Mehmet Kara, TÜBİTAK BİLGEM

Günümüzde kişilere, kurumlara hatta ülkelere ait verilerin büyük bir kısmı disk sistemi, sabit disk, usb bellek, flash disk, CD, DVD gibi sayısal saklama ortamarında saklanmaktadır. Bu saklama ortamlarında saklanan bilgilerin tamamı aynı gizlilik seviyesinde değildir. Bazılarının ortaya çıkması kişileri kurumları para, zaman, prestij kaybı gibi önemli kayıplarla karşı karşıya bırakabilir. Bilgilerin önemlerine uygun olarak güvenliğin temel üç ayağı olan gizlilik, bütünlük ve sürekliliğinin sağlanması çerçevesinde gizliliğin korunması adına gerektiğinde güvenli olarak silinmesi ya da imha edilmesi de büyük önem taşımaktadır. Bu makalede bilgilerin güvenli olarak iletilmesinden ziyade saklama ortamlarında güvenli olarak saklanması ve işlenmesi ele alınmıştır.

Kurumlar tüm uygulamalarını bilgisayar ortamına taşıyıp gelir, gider, Ar-Ge, ürün, personel, kurum politikaları gibi kurum için hayati öneme sahip olan bilgileri disklerde tutmakta, yedeklerini de yedekleme ünitelerindeki veri saklama kasetlerine almaktadır. Aynı şekilde herhangi bir kişinin bilgisayarında ona ait gelir gider, banka işlemleri, sağlık bilgileri, özel resim dosyaları, özel dosyalar gibi kayıtlar bulunabilir. Hatta bu bilgiler kişilerin cep telefonlarında bile olabilir. Bu verilerin yedekleri genellikle harici bir disk, CD, DVD gibi bir saklama ortamında saklanmaktadır.

Bu bilgilerin ilgisiz kişilerin eline geçmemesi için cihazlar kullanıldığı sürece şifreleme, kimlik doğrulama, yetkilendirme gibi birçok güvenlik önlemi alınmaktadır. Fakat silindiği düşünülen dosyalar, saklama ortamının uygun bir şekilde silinmemesi durumunda sayısal adli analiz araçlarıyla ya da basit yazılım araçlarıyla kolayca geriye döndürülebilmektedir. Hatta bu saklama ortamları zaman zaman kontrolsüz bir şekilde elden çıkarılabilmektedir. Örneğin çok kritik bilgileri bulunan bir kurum veya kişi eskiyen bilgisayarını herhangi bir işlem yapmadan başka bir kuruma bağışlayabilmekte, hurda olarak satabilmekte ya da doğrudan çöpe atabilmektedir. Bozulan veya çok eskiyen bilgisayarların diskleri uygun bir şekilde silinmeden elden çıkarılması çok önemli bilgilerin ilgisiz kişilerin eline geçmesine neden olmaktadır. Hatta bu bilgisayarlara ait saklama ortamları yeterince güvenli olmayan yöntemlerle silinmesi durumunda verilerin büyük bir bölümünün veya tamamının geriye döndürülmesi mümkün olmaktadır. Bu yetkisiz geriye döndürmelerin ortadan kaldırılması için veriler önemlerine uygun olarak silinmelidir.

Verilerin Sınıflandırılması
Günlük hayatımızda olduğu gibi bilgisayar sistemlerinde de saklanan verilerin hepsi aynı öneme sahip değildir. Verilerden bazılarını doğrudan hiçbir endişe olmadan başkaları ile paylaşırken bazı verilerin başkaları tarafından görülmemesi, bizim için önemlidir. Verilerin gizliliklerine göre tasnif edilmesi işlemine bilgi sınıflandırması denilmektedir. Bilgisayar sistemlerinde de her bir dosya içerdiği bilgiye göre bir etiket ile sınıflandırılmaktadır. Bilgi sınıflandırma tarihçesi özellikle askeri ve devlet bilgileri gözönüne alındığında çok gerilere gitmektedir. Teknolojinin gelişmesiyle kurumlar ve kişilerin verilerinin de sınıflandırılması ihtiyacı ortaya çıkmıştır. Bu makalede daha çok özel sektör kurumları ve kişiler için yaygın kullanılan veri gizlilik sınıfları ele alınacaktır.

Açık (Public): Başkanlarının eline geçmesi durumunda kuruma maddi ya da prestij olarak herhangi bir zararı dokunmayan bilgilerdir. Kurum reklamları, müşterilerine sunduğu hizmetler gibi topluma açık olan dokümanlar tasnif dışı olarak da değerlendirilir.

Hasas (Sensitive ): Daha çok yetkisiz erişim ve yetkisiz değiştirilmeye karşı korunması gereken bilgilerdir. Bilginin yetkisiz olarak değiştirilmesi ve silinmesi durumunda kurum ve kişi zor durumda kalabilir.

Özel (Private): Kuruma veya kişiye ait bilgiler. Bu bilgilerin açığa çıkması kurumu ve kişileri zor duruma düşürür. Maaş bilgilerinin ortaya çıkması, kişilere ait sağlık bilgilerinin başkaları tarafından bilinmesi bu tür bilgilere örnek gösterilebilir.

Gizli (Secret ): Bilginin başkalarının eline geçmesi durumunda kurum maddi ve prestij olarak ciddi kayba uğrar. Örneğin Ar-Ge bilgileri, ürünlere ait özel bilgiler, ticari sırlar, bu tür bilgilere örnek gösterilebilir.

Kurumlar ve kişiler verilerini sınıflandırmalı ve bu sınıflandırmaya uygun güvenlik önlemlerini almalıdır.

Verilerin Güvenli Saklanması
Veriler bilgisayar ortamlarında saklanırken işletim sistemleri ve uygulama yazılımları aracılığıyla ilgisiz kişilerden kimlik doğrulama ve yetkilendirme güvenlik önlemleriyle korunurlar. Örneğin bilgisayarımız çalışırken başından ayrıldığımızda ya bilgisayarı kapatırız ya da kilitleyerek ilgisiz kişilerin çalışma ortamımıza erişmesini engelleyebiliriz.

Eğer çok sayıda kullanıcının dosyasının bulunduğu bir ortamda çalışıyorsak o zamanda yetkilendirme mekanizmasını kullanarak hangi kullanıcının hangi dosyalara erişim yapabileceğini belirleriz ve her kullanıcı kendi yetkileri çerçevesinde dosyalara ulaşabilir. Tabi ki bilgisayardaki verileri şifreli olarak tutmuyorsak bu çözüm yeterli olmaz çünkü bilgisayar çalıştırılabilir bir CD ile açılarak sabit disk üzerindeki veriler okunabilir, bilgisayarın sabit diski çıkarılıp başka bir bilgisayara takılarak içindeki veriler kolayca okunabilir. O yüzden çok önemli bilgilerin bilgisayarda açık olarak saklanması uygun değildir. Birçok düzenleme ve yasa önemli verilerin saklanması ile yakından ilgilenir.

Günümüzde veriler, bilgisayarlar arasında iletilirken şifrelenmeleri yanında saklanırken de şifreli olarak tutulabilirler. Verileri saklama ortamlarında tutmak için birçok çözüm bulunmaktadır. Veriler işletim sistemleri aracılığıyla, uygulamalar aracılığıyla ya da donanımsal şifreleme çözümleri aracılığıyla şifrelenerek saklanabilirler. Verileri bilgisayarda şifreli olarak tutmak için PGP, Truecryp, Bitlocker, Mcafee Endpint Encryption, Symantec endpint Encryption, FileVault gibi programlar yaygın olarak kullanılmaktadır. Taşınabilir bellek ortamlarının birçoğu bile verileri otomatik olarak şifreli saklayacak mekanizmalara sahiptir.

Bilgilerin büyük bir kısmı USB belleklerde taşındığı için bu belleklerde dosyaların şifreli olarak tutulması önemlidir. USB belleklerdeki verileri şifreli olarak saklamak için Comodo Disk Encryptor, Rosho Mini Drive, USB Safe Gurad, DiskCryptor, TrueCryp gibi kullanımı kolay ve tekin çözümler mevcuttur [2]. Bunların yanında TÜBİTAK BİLGEM SIR’da güvenli veri saklamada kullanılabilecek güvenli bir saklama ortamıdır.

Verilerin Saklama Ortamlarından Silinmesi veya Saklama Ortamlarının İmha Edilmesi
Verilerin güvenli olarak silinmesi güvenli saklanması kadar önemli bir konudur. Çünkü verilerin etkin bir şekilde silinmemesi durumunda basit adli analiz araçları ile veriler kolay bir şekilde geriye döndürülebilmektedir. Verilerin güvenli olarak silinmesi verilerin gizlilik dereceleri ve daha sonra saklama ortamının hangi amaçlar için kullanılacağı ile yakından alakalıdır. Örneğin özel verileri içeren bir saklama ortamındaki verileri sildikten sonra aynı gizlilik derecesine sahip verileri saklayacaksak basit silme yöntemlerini kullanmamız yeterli olabilir. Buna karşın gizli seviyesindeki bilgileri tuttuğumuz bir saklama ortamında açık (public) verileri saklayacaksak bu saklama ortamı herkes tarafından görülüp incelenebileceği için içindeki verilerin güvenli yöntemlerle silinmesi gerekmektedir. Saklama ortamlarından verilerin silinmesi ve yeniden kullanılması konusunda aşağıdaki maddeler yaygın olarak kullanılmaktadır.

Hassas bilgi içeren saklama ortamları fiziksel olarak imha edilmeli ya da her bir silmeden sonra saklama ortamınının rastgele karekterlerle doldurulduğu güvenli silme programları ile üç defa silinmelidir.

Tüm saklama ortamları, elden çıkarılmadan (devir, satış, çöpe atma vb. ) önce hassas veri açısından kontrol edilmeli. Hassas veri içeriyorsa güvenli olarak silinmelidir.

Şifrelenmiş verileri saklayan diskler doğrudan elden çıkarılmamalı basitte olsa silme işlemine tabi tutulmalıdır.

Hassas bilgi içeren hassa saklama ortamları tamir edilemiyorsa imha edilmelidir.

Kurum kendisi için güvenli silme prosedürü oluşturmalı ve veri silemde onu kullanmalıdır.

Aynı gizlilik seviyesinde kullanılacak saklama ortamlarının bir defa silinmesi yeterli olabilir.

Hali hazırdaki gizlilik seviyesinden daha düşük bir gizlilik seviyesinde kullanılacak saklama ortamları her bir silmeden sonra saklama ortamınının rastgele karekterlerle doldurulduğu güvenli silme programları ile üç defa silinmelidir.

İnternet Ortamındaki Veriler
Çoğunlukla kendi kontrolümüzde bulunan saklama ortamları ve onların silinmesi veya imha edilmesinden bahsettik. Oysa kişilere ait bilgilerin büyük bir kısmı bedava e-posta hizmeti sunan Hotmail, Yahoo, Google gibi eposta sitelerinde, facebook, twitter, bing, linkedin, Netlog, MySpace gibi sosyal paylaşım sitelerinde, youtube gibi video paylaşım sitelerinde, msn, skype gibi mesajlaşma sitelerinde tutulmaktadır. Bu verilerin nerede tutulduğunu biz sildiğimiz zaman gerçekten silinip silinmediğini bilmiyoruz. Hatta bize ait verileri zaman içinde silemez duruma bile düşebiliyoruz. Örneğin size ait özel bir resmin başkaları tarafından kopyalandığını ve farklı bir ülkedeki İnternet servis sağlayıcı üzerinden yayınlandığını düşünün. Bu resminizin yayından kaldırılmasını sağlamanız aylar sürebilir belki de mümkün olmayabilir. O yüzden bu tür kontrolü bizde olmayan sitelere bilgi yüklerken iki defa düşünmemiz gerekir. Televizyon haberlerinde, gazetelerde, internette bu tür sitelerin olumsuz sonuçlarına ait her gün onlarca haber görüyoruz. Bu haberlerin en önemlilerinden biri Google yöneticisi Eric Schmidt’in “İleride gençler belkide twitter, facebook gibi sosyal paylaşım sitelerine yazdıklarından kurtulmak için isimlerini değiştirmek zorunda kalacaklardır” açıklamasıdır [4 ]. Uzaktan baktığımızda tamamen bizim kontrolümüzde gibi görülmesine rağmen oraya yazdığımız bilgilerin ya da koyduğumuz dokümanların kimlerin eline geçtiğini bilemiyoruz.

Sonuç
Getirdiği yeniliklerle hayatımızı kolaylaştıran bilgisayarlar. En değerli verilerimiz işleme, saklama ve iletme işlemlerini de yerine getiriyor. Bilgisayarlar verilerin gizliliğine uygun olarak saklanması ve gerektiğinde silinmesi ya da saklama ortamının tümden imha edilmesi büyük önem arz etmektedir. Bu yüzden kurumlar ya da kişiler verilerini saklarken güvenli saklama ve silme yöntemlerini kullanmalıdırlar. Özellikle İnternet ortamında kullanılan ve verileri nerede sakladığını bilmediğimiz uygulamalara minimum güvenlik düzeyindeki verileri yüklemeliyiz.

Kaynaklar

[1] Krutz R., Vines R. D., “The CISSP Perp Guide”, Wiley, 2004

[2] http://www.ilovefreesoftware.com/12/featured/5-best-free-usb-encryption-software.html

[3] http://www.bbc.co.uk/news/technology-11009700