E-Dünyanın Suç Raporu

Sanal saldırılar, kredi kartı yolsuzluğu, veri hırsızlığı ve diğerleri... Son dönemde artan sanal suçlar, dünyanın yeni tartışma konusu haline geldi. Başta ABD olmak üzere Batı’da bu alanda çeşitli...

1.02.2001 02:00:000
Paylaş Tweet Paylaş

Sanal saldırılar, kredi kartı yolsuzluğu, veri hırsızlığı ve diğerleri... Son dönemde artan sanal suçlar, dünyanın yeni tartışma konusu haline geldi. Başta ABD olmak üzere Batı’da bu alanda çeşitli girişimler yapılıyor, yasal altyapı oluşturulması için çaba gösteriliyor. Ancak, Mc Connell International’in araştırması, dünya çapında bu alanda yasal boşluk olduğunu, sınırlı sayıda ülkenin önlem almaya başladığını ortaya koyuyor.
 
Büyük yatırım yaparak kurduğunuz internet sitesinin güvenlik duvarı delindi ve şirketinize ait değerli bilgiler çalındı... Fakat şirket içinde bu tür durumları denetleyecek bir birim olmadığından bunu fark etmediniz bile... Çalınan bilgileri ele geçiren rakip firmalardan biri size karşı üstünlük sağlayabilir. Verileri çalan kişi, borsada önemli bir avantaj yakalayabilir. Hatta bu bilgilerden yararlanan bir kurum kendi sistemini geliştirebilir... Bunlar ilk akla gelenler.

Senaryoyu baştan alalım ve başka bir hikaye kurgulayalım: Bankanızın iletişim ağının güvenlik duvarı kırılarak hesaplara ulaşıldı. Yüklüce bir miktar para çalındı. Eliniz kolunuz bağlı. Çünkü, bu olay kanunlarca suç olarak tanımlanmadığından, parayı çalan kişiyi tespit etseniz dahi; yapacak bir şey yok!

Son kez başa sarıyoruz; siber saldırganlar tasarımı için yüklüce para yatırdığınız şirket web sayfasını, hizmet dışı bıraktı. Alışveriş yapmak için sayfanıza “klik”leyen yüzlerce ziyaretçi eli boş döndü. Yine, yapacak bir şey yok. Çünkü, yasalarda boşluk var... Elbette bunların hepsi varsayım. Ama maalesef gerçeğe yakın varsayımlar...

Siber tehlike çanları...

Bilgisayarla işlenen suçların yarattığı tehlike artıyor. Bu nedenle artık hükümetler ve hukuk kurumları konuya daha ciddi yaklaşmaya başladılar. Bir çok ülkede yasalar bu tür suçlara karşı yaptırım gücüne sahip değil. Yasal korumanın eksikliği, şirketlerin ve devletin; hırsızlık, yetkisiz kullanım veya değerli bilgilerin yok edilmesi durumlarına karşı korumasız kalmasına neden oluyor.

Kurumların kendi çabalarıyla oluşturdukları güvenlik, sanal ortamda iş yürütmek için yeterli güvenliği sağlamıyor. Yasal yöntemlerle de yaptırım uygulanması gerekiyor. Yasal emniyet çalışmaları yetersiz olan ülkeler, yeni ekonomide yaşanan hızlı ve keskin rekabette kaybediyor.

Mc Connell International, oldukça tanınmış bir strateji ve teknoloji yönetim danışmanlığı firması. Şirketin, özellikle “elektronik iş-(e-iş)” ve “elektronik devlet - (e-devlet)” konularında yaptığı çalışmalar dikkat çekiyor, konu ile ilgili araştırmaları da büyük ilgi topluyor. Sanal suçların önem kazanmasıyla beraber Mc Connell International, Aralık 2000’de ayrıntılı bir rapor hazırladı. Raporda 52 ülkenin bilgileri ve istatistikleri kullanıldı. Rapor, ülkelerin büyük çoğunluğunun, hala sanal suçlar konusunda yeterli hassasiyeti göstermediğini ortaya koyuyor.

Tutuklanma riski düşük olan sanal suçlar, işletmelerin finansal sağlığına, müşterilerin güvenine ve milletlerin güvenliğine karşı tehdit oluşturuyor. “Bilgisayar Acil Yanıt Takım Koordinasyon Merkezi – Computer Emergency Response Team Coordination Center (CERT/CC)”nin yaptığı araştırmaya göre, 2000’in ilk 3 çeyreğinde güvenliği tehdit eden vakalar, 1999 yılına kıyasla yüzde 54 oranında arttı. Bu artışa rağmen, Mc Connell International’ın Başkanı Bruce Mc Connell, işlenen suçlarım mali boyutunu kimsenin bilmediğini söylüyor.

Sanal suçun farkı ne?

Sanal suç, bilgisayar aracılığıyla verilen zararlar veya iletişim ağlarını tahrip eden eylemler olarak tanımlanabilir. Uzmanlar, bu tip suçları, bilinen suçlardan dört şekilde ayırıyorlar. Birincisi, bu suçları işlemeyi öğrenmek kolay... Fiziki ortamdaki gibi zor değil. İkincisi, verilen zarara oranla suç işlemek için gereken kaynak daha az. Üçüncü farklılık ise fiziksel katılım olmadan da suçun işlenebiliyor olması... Sonuncu olarak ise, bu tür eylemler çoğu zaman yasa dışı addedilmiyor.
 
Mc Connell International’ın hazırladığı rapora göre, birçok ülkenin yasaları siber suçları engelleyemiyor. Örneğin, e-ticaret siteleri, kendilerini hizmet dışı bırakan saldırılardan, eski yasalarla korunamıyor. Bu tür suçları işleyenler, kolaylıkla yasal boşluklardan yararlanabiliyor.

Sanal ortam “sınırların üzerinde” olduğundan, konuyla ilgili yasal düzenlemeler karmaşıklık yaratıyor. Bu suçları “sınırların üzerinden” çözmek ve yaptırım uygulamak oldukça zor.

Sanal suçlar, devletlerin geleneksel yasal egemenliklerini bölebiliyor. Dünyanın her hangi bir yerindeki bir bilgisayardan, sizin web sayfanıza saldırı olabilir, birkaç milletin “sınırlarına” aynı anda girilebilir veya yabancı kaynaklar tarafından yapılıyor görüntüsü verilebilir.

Suç tanımı her ülkede farklı

Sanal suçlar her ülkede aynı şekilde tanımlanmıyor. Bazı ülkelerde izinsiz erişim, ancak, kötü niyet taşıyorsa suç teşkil ediyor. Kimi ülkelerdeyse veri hırsızlığı, sadece çalınan veri din veya sağlıkla ilgiliyse ya da dolandırıcılık maksadıyla yapıldıysa suç sayılıyor.

Raporda dikkat çekilen bir diğer nokta da, yasalardaki çifte standart. Yasalara bakıldığında, kamu sektörüne ait bilgisayarların, özel sektöre göre daha fazla korunduğu görülüyor.

Değişik ülkelerin güncellenmiş yasalarındaki cezalarında bile farklılıklar var. Mauritus, Filipinler ve Amerika Birleşik Devletleri’nde sanal suçlara karşı kanunların yaptırımının daha yüksek olduğu görülüyor. Hiçbir güncel yasası olmayan 33 ülkeden 17’si bu konuda çalışma yapmayı önemsemediklerini belirtiyor.

Acil yasal düzenleme

Mc Connell International’ın raporu, araştırmada yer alan her ülkede, iletişim ağlarında işlem gören ve saklanan bilgilerin emniyeti konusunda halkın görüşlerini değerlendiriyor.

Bilgi güvenliği; yasal korumanın derecesi, yazılımların telif hakkı, elektronik gizliliğin korunmasına yönelik çabalar ve dijital imzaların yetkilendirilmesinde yaşanan yasal güçlükler ilk bakışta göze çarpan sorunlar... Raporda; Asya ve Avrupa’da bazı ülkelerin tüm bu faktörleri göz önüne aldığı belirtiliyor. Birkaç ülke yeterli yasal önlemleri alarak sanal suçluları mahkemeye taşıyabiliyor. Yine de bu ülkelerin neredeyse yarısının bilgi güvenliği konusunda ciddi çalışma yapması gerektiği belirtiliyor.  Zaman aşımına uğramış yasalarla zayıf yaptırım gücü olan mekanizmalar, bilginin korunmasını güçleştiriyor. Yerel veya uluslararası e-işi zorlaştırıyor.

50 ülkedeki son durum

Rapor hazırlanırken, her ülkeden, özel ve devlet sektöründeki bilgisayarları korumaya yönelik kanunlarını sıralaması istenmiş. Ülkelerin 50’den fazlası sadece bir-iki konuyla kısıtlı yasal düzenlemeye sahip. Üstelik çoğunluğu,  yasalarını güncelleme veya yeni yasa taslaklar oluşturma konusunda henüz hiçbir somut adım atmamış.
Araştırma kapsamındaki kanunlar, 10 değişik suç kategorisinde değerlendiriliyor. Bu kategoriler; veri suçları, işlemin yolunu kesmek, veri üzerinde  değişiklik, hırsızlık, şebeke suçları, müdahale ve sabotaj içeren erişim suçları, güvenlik duvarını kırmak, virüs yaymak, sanal suçlara yardım ve yatakçılık, bilgisayar yolsuzlukları, tahribi ve diğer suçları kapsıyor.

Araştırmaya göre katılan ülkelerden 33’ünün henüz yasalarında sanal suçlarla ilgili düzenlemesi yok. Bu ülkelerden 10’unun, beş veya daha az kategori ile ilgili yasal düzenlemesi bulunuyor. 9 ülke,  altı veya daha fazla kategoride uygulama başlattı. Bu on kategorinin hepsinde de yasal düzenlemeye sahip tek bir ülke bulunuyor: Filipinler.

Nasıl önlem alacaksınız?

Güvenli bir sanal çevre yaratmak için atılması gereken ilk adım yasaları genişletmek. Mc Connell International’ın raporuna göre, şirketler kendi sistemlerini dışarıdan veya içeriden gelecek saldırılardan korumayı amaç edinmeli. Ancak, bu sağlandıktan sonra kanunların yaptırımına ve caydırıcılığına güvenilebilir. Şirketler, çalışanlarını güvenlik konularında eğitmeli ve hassas verileri ele alacak bütün bir plan geliştirmeli. Ayrıca, kaynaklarını kayıtlar ve işlemler için kuvvetli güvenlik teknolojileri sağlamada kullanmalı. Söz konusu güvenlik teknolojileri ise; güvenlik duvarları(firewalls), anti-virüs yazılımları, izinsiz girişleri meydana çıkaran araçlar ve doğruluk tescil hizmetlerini kapsıyor.

Bilgiyi korumaya yönelik donanım ve yazılımlar komplike ve pahalı olduğundan, sistem operatörleri ve imalatçıları, periyodik olarak güvenlik önlemlerini “kapalı” tutarlar. Bu şekilde sistemdeki önemli bilgilerin müdafaası zorlaşır ve çok sayıda güvenlik boşluğu bırakılmış olur. Ayrıca, bu araçların standartlarının uygunluğu konusunda bir fikir birliği bulunmuyor. Bunun yanında kurumların güvenlik yatırımlarının yeterliliğini belirleyecek kabul görmüş bir yöntem de yok. Bilgi güvenlik yatırımlarının maliyetleri ve yararları belirlenemediğinden, güvenlik konularına yeterli kaynak ayrılmıyor.

Dünyanın ortak girişimi

Bütün bunların ışığında; önlem almaya, harekete geçmeye, birlik içinde hareket etmeye yönelik girişimler zayıf kalıyor. Dünyanın çeşitli yerlerinde, bu konularla ilgili gerçek bilgi paylaşımını sağlayan birkaç girişim oldu. “World Information Technology and Services Alliance - Dünya Bilgi Teknoloji ve Hizmetleri Birliği (www.witsa.org)” çok kısa bir süre önce “Global Information  Security Summit – Global Bilgi Güvenliği Zirvesi”ne sponsor oldu. Bu zirvede, hükümetler, şirketler ve uluslararası organizasyonlar bilgilerini paylaşarak, ortaklıklara adım attılar.

Zirve sonrasında oluşan gruplar, halen, kritik bilgi güvenliği sorunlarında ortak yaklaşımlar geliştirmeye çalışıyorlar. Sonuçlar, Mayıs 2001’de Belfast’taki ikinci zirvede açıklanacak. Bu zirve, aynı zamanda, ülkelere sanal dünya suçlarını ele alan kanuni düzenlemeleri, ilerlemeleri öğrenmek için bir fırsat yaratacak.

“KREDİ KARTI DOLANDIRICILIĞI ARTACAK.”

Kaya Kazmirci/Arthur Andersen Teknoloji & Risk Danışmanlığı Kıdemli Yönetici

Türkiye ve Türkiye gibi ülkelerde daha çok ne tür suçlar işleniyor?

Suç “kanuni” bir şeydir; yani bir eylem kanunlarca “suç” olarak tanımlanmalı ki suç olsun... Türkiye’nin bu konudaki kanuni mevzuatı oldukça yeni. Ancak, benim gördüğüm “Denial of Service” diye bilinen saldırı yöntemi sık uygulanıyor. Bu şöyle açıklanabilir; karşınızdaki kurumun sistemlerinin hizmet dışı kalmasını sağlamak. Türkiye’de bunu çok gördüm.

Yakından gözlemlediğim bir örnekte ise bir şahıs, bir kamu kuruluşunun bilgisayarları üzerinde hakimiyet kurmuş. Sevmediği bu kuruma karşı bahsettiğim şekilde bir saldırı düzenledi. Hem bu kamu kuruluşunun sistemlerinin devre dışı kalmasına neden oldu. Hem de kuruluş saldırının yarattığı zararı kendi kaynaklarıyla karşılamak zorunda kaldı. Bu durumda kanun mevzuatı şu şekilde uygulandı: Saldırı, kamuya karşı olduğu için terör mevzuatında ele alındı. Bunun dışında, Türkiye’de daha çok siyasi amaçlı saldırılar oluyor. Yurt dışında PKK’yı destekleyen sayfaların saldırıya maruz kaldığını çok gördük örneğin...

Biraz daha açıklayabilir misiniz?

Ayrıca, karışık bir durum var; Türkiye’de, bazı suçlar var ki dünyanın bir ülkesinde gayet açıkça yapılabiliyor. Başka bir ülkede suç olarak kabul görmüyor. Kumar örneğin. Türkiye’de yasak. Kumar oynatan bir web sayfası, eğer server yurt dışındaysa ve Türkiye’den kişiler siteye girerek kumar oynuyorlarsa, nasıl bir mevzuat söz konusu? Kumar oynayan, böyle bir durumda suçlu mu, değil mi? Nasıl karar verilecek, bu bilinmiyor.

Bunun ikinci örneği, porno sayfaları. Türkiye’de kanun dışı veya ahlaka aykırı diye nitelendirilen bir bilgi, yurt dışında öyle kabul edilmeyebilir. Belli bir siyasi görüşü benimseyen bir web sayfası Türkiye’de yasakken başka ülkelerde uygun bulunabilir.

Bunun dışında Türkiye’de bir bankanın bankacılık yazılımının çalındığını duyduk. Yani bankanın, web bankacılık yazılımını kopyalayıp diğer  bankalarda da uygulamışlar. Türkiye’de daha çok bu tür vakalar oluyor. Bir bilgi alıp, kopyalamak, öyle değerlendirmek... Türkiye’de para çalmaktan çok, sistemlere girip bilgiye erişmek, bilgiyi değerlendirmek gibi suçlar işleniyor.

Kredi kartı dolandırıcılığı Türkiye’de görülmüyor mu?

Her yerde oluyor. Türkiye’de elektronik-iş nispeten gelişmekte olduğu için, kredi kartı dolandırıcılığında küçük bir yüzde söz konusu. Zaten internete ulaşabilen insan sayısı kısıtlı. Türkiye’de bu tür güvenliğe çok önem veriliyor. Yurt dışında bu kadar önemsenmiyor. Türkiye’de bu tür işleri yapan kurumların büyük bir kısmı bu işi oldukça sıkı tutuyorlar. Sorun yaşandığında, sorun yaşayan kurumlar göze batmamaya çalışıyor. Müşterilerin sorunlarını içerde hallediyorlar. Gelecekte ise Türkiye’de, gerek yurt içi, gerek yurt dışı kredi kartı dolandırıcılığının artacağını düşünüyorum.

“KANUN SADECE İKİNCİ DERECEDEN BİR SAVUNMA YOLUDUR.”

Bruce Mcconnell/Mcconnell International Başkanı

Mc Connell International Başkanı Bruce Mc Connell, Capital’in konuyla ilgili sorularını yanıtladı:

Ne tür suçlar daha yaygın ve bunlardan hangileri hangi sektörleri tehdit ediyor?

En sık rastlanan suçlardan iki tanesi, değerli bilgi hırsızlığı ve web sayfalarını tahrip etmek üzere hesaplara yetkisiz giriş. Yani web sayfasını yıkmak. Web sayfası olan herkes, tabi bir de düşmanı varsa, tehlike altında. Elbette büyük şirketler daha çekici hedefler. Özellikle tahrip etme sık rastlanan saldırılardan biri. Veri hırsızlığındaysa kilit hedef finansal sektör.

Diğeri bir hedef ise yazılım şirketleri. Çünkü, onların değerli yazılım bilgisayar kodları bulunuyor. Ama yine de, havayolları şirketleri gibi yüksek teknolojik tüm gruplar ve hatta hükümetler de bu konuda çaresiz. Finans sektörü, bilgiyi koruma konusunda en çok yol alan sektör. Bence iş kurumları daha çok sisteme yetkisiz girişler konusunda endişe duymalı. İçeriden veya dışarıdan birileri değerli bilgilere ulaşabiliyor, çalabiliyor, değiştirebiliyor ya da tahrip edebiliyor.

Sanal suçlar genel olarak organize suçlar mı yoksa bireyler tarafından işlenen suçlar mı?

Bireysel suçlar olarak başlamıştı aslında ama gittikçe gözüken o ki, organize suçlara dönüştüler. Terörist gruplar da işe karışmaya başladı.

Kanuni sistemini kurma aşamasında olan ülkelere tavsiyeleriniz nelerdir?

Ülkeler boşlukları bulmak için kanunlarını gözden geçirmeli. Bu boşlukları doldurmalı. Aynı zamanda Avrupa Konseyi çalışmalarına mutlaka katılmalı. Çünkü, bu çalışmalar ortak ve sağlam bir model oluşturuyor.

Gelecekte neler olabilir?

Gelecekte de, öncelikli olarak şirketlerin sistemlerini kendi çabalarıyla korumaları gerekecek. Çünkü, kanun sadece ikinci dereceden bir savunma yoludur.  Gelecekte daha fazla ve daha büyük sanal suçlar işlenecek. 

ULUSLAR ARASI ARENADA NELER YAPILMALI?

Mc Connell International’ın hazırladığı raporun sonuçlarına göre sanal saldırılardan korunmak için alınacak önlemler şöyle sıralanıyor:

MİLLİ YASALARI TEST EDİLMELİ: Birçok ülkede yasal düzenlemeler yenilenmesine rağmen, çoğunda halen caydırıcı etkinliği olduğu saptanmamış arzi yasalara güveniliyor. Hala pek çok ülke, henüz hiç denenmemiş ve sanal dünyanın kuruluşuna dayanan yasal uygulamaları yürütüyor. Halbuki bu yasalar daha mahkemelerce test edilmedi bile.

GÜÇLÜ YAPTIRIMLAR KONULMALI: Güncellenmiş uygulamalardaki zayıf yaptırımlar, kısıtlı bir caydırıcılık yaratıyor. Fakat bu suçların, ekonomik ve sosyal etkileri büyük ölçüde zararlar verebilir.

ŞİRKETLER KENDİ ÖNLEMİNİ ALMALI:Yasal uygulamalardaki yetersizlik, özel sektörün bilgi güvenliği için güçlü teknik çözümler ve yönetim uygulamaları geliştirmesini gerektiriyor. Sadece yasal düzenlemelere güvenmek hata olabilir.

ULUSLARARASI BİRLİK:Ülkeler, hangi suçların yasalarca ele alınması gerektiği konusunda henüz ortak bir fikre sahip değiller. Dünyanın her yerinde suçlar yakın şekillerde tanımlanmadığı ve yasaların uygulaması resmi kaynaklarca düzenlenmediği sürece, bu durum karmaşık kalmaya devam edecek.

ORTAK YASAL MODEL OLUŞTURULMALI:Ülkelerin büyük çoğunluğu, özellikle gelişmekte olanlar, uygulayabilecekleri bir model arayışındalar. Bu ülkeler, e-ticaretin bir an önce güvenli bir ortamda yapılması gerektiğinin farkındalar. Fakat çok sayıda ülkenin gereken kanuni ve teknik donanımları yok. Özel ve kamu sektörünün ortak çalışmasıyla bunlar sağlanabilir.

“SANAL GÜVENLİKTEN SORUMLU BİR BİRİM OLMASI GEREKİYOR.”

Kaya Kazmirci/Arthur Andersen Denetim–Teknoloji & Risk Danışmanlığı Kıdemli Yönetici

Yeni kurulacak olan internet şirketleri alt yapılarını hazırlarken nelere dikkat etmeli?

Burada en önemli şey; güvenlikten sorumlu bir birimin olması. Yani en azından bir kişinin olması gerekir. Konular sürekli değişiyor. Siteyi kurarken çok güvenli bir ortam sağlamış olabilirsiniz, ama bu öyle bir şey ki her gün değişiyor. Kurumlar, güncellemeyi sık sık yapmak durumunda. Belli aralıklarla, bu konuda uzman kişilerce sistemlerinin denetlenmesi gerekir. Bu, olası sorunlara karşı çözüm üretebilmeleri için gerekli. Bir kurum gayet güzel bir sistem kuruyor, ama o sistemde yenileme yapmıyor. Kurdukları zaman gayet güvenli olan sistem, altı ay sonra güvenli olmuyor. Yazılımlarla ilgili belli açıkları çıkıyor.


 

Türkiye ve dünya ekonomisine yön veren gelişmeleri yorulmadan takip edebilmek için her yeni güne haber bültenimiz “Sabah Kahvesi” ile başlamak ister misiniz?


İLGİNİZİ ÇEKEBİLİR

Yorum Yaz