Şirketlerin yüzde 87'si güvenlik riski taşıyor

Koç.net, 2003 Ağustos-Eylül ayları arasında ücretsiz olarak sunduğu güvenlik denetimi kampanyası ile yaklaşık bin büyüklü küçüklü, farklı sektörlere ait şirketin güvenlik risklerini tespit ederek istatistik amaçlı bir rapor hazırladı.Güvenlik denetimi kampanyası sonrasında denetimi yapılan şirketlerle ilgili olarak raporda ortaya çıkan sonuçlar özetle şöyle:

• Şirketlerin yüzde 87'si farklı düzeylerde güvenlik riski taşıyor
• Şirketlerin yüzde 56'sının web sunucu bilgileri kolaylıkla çalınabilir durumda, ana sayfaları değiştirilebilir veya bir başka adrese yönlendirilebilmesi mümkün.
• Şirketlerin yüzde 43'ünün DNS sunucularındaki açıklardan dolayı şirket e-postaları ele geçirilebilir veya çalışanların Internet üzerinden eriştiği bankacılık gibi işlemlerde kullanılan şifrelerin çalınabilmesi mümkün.
• Şirketlerin yüzde 28'inin güvenlik duvarları konfigürasyonu kötü olduğu için by-pass edilerek her türlü bilgiye erişilebiliyor.
• Şirketlerin yüzde 29'unun sistemlerinde çok yüksek seviyede açıklar bulunuyor.

Yapılan açıklamada, genel olarak bakıldığında en büyük tehditlerin halka açık bırakılması zorunlu olan HTTP, FTP, SMTP ve DNS hizmetlerinden kaynaklandığı belirtiliyor. Şirketlerin iş ortakları ile bu servisleri kullanarak haberleştiği ve ürünlerini müşterilerine pazarlayabildiği kaydediliyor. Şirketlerin iş süreçlerinin önemli bir bölümünü içeren bu servislerdeki güvenlik açıklarının kötü niyetli kişiler tarafından kullanılması durumunda şirkete telafisi mümkün olmayan zararlar vereceğinin de altı çiziliyor.

Buna ek olarak halka açılması sakıncalı olan servislerin filtrelenmesindeki önemli unsur olan güvenlik duvarlarında da ciddi eksiklikler olduğu görüldüğü, incelenen şirketlerin yaklaşık olarak yüzde 30’unun güvenlik duvarı konfigürasyonunda problem bulunduğu ifade ediliyor. Şirketlerin tüm dosyalarının, veritabanında tutulan tüm bilgilerinin kontrolsüz bir şekilde tüm dünyaya açık durumda bırakıldığını ve bunun da ciddi zararlara neden olabileceği, bir an önce güvenlik önlemlerinin alınması gerektiği vurgulanıyor.

Symantec tarafından 2003’ün ilk altı ayını kapsayan araştırma sonuçlarına göre ise Amerika’daki şirketlerde güvenlik riskleri ile ilgili aşağıdaki noktalar ön plana çıkmaktadır.

• Açıkların yüzde 80’i uzaktan sistemlere zarar vermek için kullanılabilir.
• Şirketlerin yüzde 12’sinde web uygulama açığı bulunmaktadır.
• Solucan saldırılarındaki artış bir önceki seneye göre yüzde 20 artmıştır.
• Halka açık olmayan uygulamalara (e.g. veritabanı erişimi) saldırılar bir önceki seneye göre çok artmıştır.
• Solucan saldırıları çok fazla zarara yol açmıştır. 2003 Ağustos ayında solucan saldırılarından dolayı şirketler 2milyar$ zarar uğramışlardır.

Bu bulgulardan web açıkları bölümü kampanya bulguları ile karşılaştırıldığında Türkiye’deki şirketlerin Amerika’daki şirketlerin 4 katı kadar güvenlik açığına sahip olduğu ortaya çıkmaktadır.

Rizikometre raporunda öne çıkan diğer bir önemli problem de Internete açılmaması gereken servislerin güvenlik duvarı (firewall) ile kontrol altına alınmamasından kaynaklanmaktadır. Aşağıdaki raporda Türkiye’deki kurumların sektörel analizi yapılmaktadır.

Güvenlik duvarı konfigürasyon problemleri

Özellikle eğitim, perakende, kamu ve tekstil sektörlerinde çok ciddi risklerin taşındığı gözlenmiştir. Bu sektörlerde bulunan şirketlerin Türkiye ekonomisindeki yerinin büyüklüğü ve eğitim gibi stratejik öneme sahip olmaları, karşılaşılabilecek risklerin boyutunun da çok büyük olacağını belirtmektedir.

Yüksek seviyedeki açıkların sektörel dağılımları

Yüksek seviyedeki açıkların sektörel dağılımına bakıldığında; en az riskin enerji ve sağlık sektöründe, en çok olasılığın ise eğitim, kamu ve perakende sektörü şirketlerinde olduğu görülmektedir.

Genellikle bu açıkların temeli, kullanılan uygulamalara ait güvenlik yamalarının düzenli takip edilmemesinden kaynaklanmaktadır. Neredeyse her gün CERT, Security Focus gibi kuruluşlar tarafından bilişim ürünlerinin yeni açıklarına karşı duyurulan korumaların şirketler tarafından düzenli takip edilmesi gerekmektedir. Aksi taktirde şirketler bu sistemlerini hacker’lara ve son zamanlarda oldukça büyük zararlar veren ve çok hızla yayılan worm saldırılarına karşı koruyamayacaklardır.

Rizikometre kampanyası sonuçları incelenirken tüm sektörlerde faaliyet gösteren KOBİ’lerle ilgili de detaylı analiz yapılmıştır. Bu çalışma bize kampanyaya katılan şirketlerin %60’ını oluşturan KOBİ’lerle ilgili aşağıdaki bulguları ortaya çıkarmıştır.

• KOBİ’lerin yüzde 70’inde güvenlik duvarı kullanılmamaktadır veya konfigürasyonunda ciddi eksiklikler vardır. Yüksek seviyeli açıkların yüzde 40’ı web servislerindeki açıklardan kaynaklanmaktadır. Bu durum e-ticaret yapan KOBİ’lerin hem kendilerinin hem de müşterilerinin yüksek risk altında olduğunu göstermektedir.
• KOBİ’lerin yüzde 20'si veritabanlarını tüm Internet erişimine açmıştır. Bu şirketlerin kritik verilerinin hepsine (ürün, müşteri bilgileri, kredi kartı, müşteri ad/adres bilgisi, finsansal bilgiler vb) kolaylıkla erişilebilir.
• KOBİ’lerin yüzde 15’inin dosya sunucuları tüm Internetten erişilebilir durumdadır. Bu şirketlerin tüm kritik bilgilerine kolaylıkla erişilebilir.

Özellikle 2004’te Telekom tarafından verilen rakamlara göre, çok artması beklenen genişbant hizmetleri ile Internet erişimine sahip KOBİ’lerin sayısı çok daha fazla artacaktır. Bu durum yukarda belirtilen riskleri gidermeden Internete bağlanacak KOBİ’lerin Internet erişimi ile yarardan çok zarara uğrayabilecekleri aşikardır.

Analiz sonuçları

İnternete açık sistemlerin yalnızca yüzde 13’ünde güvenlik açığı doğurabilecek probleme rastlanmamıştır. Geriye kalan yüzde 87 gibi büyük bir kesimde belli oranda risk taşıyan güvenlik açıkları tespit edilmiştir.

Halen birçok şirketin ciddi risk altında olmaları, bilgi güvenliğinin sağlanmamasından dolayı meydana gelebilecek kayıpların boyutları hakkında fikir sahibi olmadıklarını göstermektedir. Buna ek olarak kamu ve eğitim sektörlerinde görülen güvenlik eksikliklerinden dolayı karşılaşılabilecek zararlar sonrasında zaten oldukça yavaş hayata geçirilmekte olan e-devlet projelerinin yaygınlaşmasını daha da geciktirebilecek boyuttadır.

Belirtilen tüm güvenlik açıklarının temel nedenleri şirketlerde ve kurumlarda bilgi güvenliği konusunun önemine ilişkin bilincin yeterince oluşmamasıdır. Bilgi güvenliğinin teknik bir sorun kabul edilmesi ve yönetimin bu soruna özen göstermemesi de çözümü zorlaştırmaktadır. Tüm bu ana nedenler aşağıdaki güvenlik açığına yol açan problemleri doğurmaktadır:

• Risklerin doğru saptanmaması veya gözardı edilmesi
• Güvenlik yamalarının düzenli takip edilmemesi
• Bilgi sistemleri güvenliğinin genel tasarımındaki eksiklikler
• Güvenlik sistemlerindeki ayarların düzgün yapılamaması

Şirketler güvenlikle ilgili olarak belirtilen bu problemleri ortadan kaldırmak ve iş süreçlerini korumak için güvenlik risklerini doğru saptamalı ve yönetmelidirler. Sonuç olarak şirketlerin tüm bu eksiklikleri gidermek için bilgi güvenliğinin yaşayan bir süreç olduğunu göz önünde bulundurmaları gerekmektedir. Teknolojik gelişmeler doğrultusunda şirketler güvenlik sistemlerini güncellemeli ve oluşabilecek yeni riskler karşısında gerekli önlemlerin alındığından emin olmalıdırlar.