Görselin büyük bir kısmı animasyon karıncalarla dolu, hepsi siyah ancak bir tanesi kırmızı. Sol üst köşede ise dağınık harflerle hackers - hacking yazıyor.

Tehdit Modelinin Dijital Güvenlik Planınızdaki Yeri

Bu yazı ilk olarak 04.11.2020 tarihinde dijitalguvenlik.org adresinde yayınlanmıştır.

Tehdit Modellemesi Nedir?

Eğer dijital güvenlik konusunda kendinizi geliştirmek ve başınıza gelebilecek tehlikeleri en aza indirmek istiyorsanız, öncelikle kendinizi ve içinde bulunduğunuz durumu tanımanız gerekiyor. Her kişi ve kurumun koşulları, kullandığı araçlar ve teknolojiyle olan ilişkisi onların farklı risklerle karşı karşıya kalmasına neden olur. Bu yüzden başarılı bir dijital güvenlik planının en önemli aşaması neye ihtiyacınız olduğunu anlayabilmekten geçer.

Bunu yapmak için dijital koşullarınızı tanımanın ve riskleri tespit etmenin farklı yolları mevcut. Ancak bunu kendi başınıza yapmak istiyorsanız, tehdit modellemesi dediğimiz yöntem hem uygulaması kolay hem de oldukça öğretici bir risk tespit aracıdır. Beş temel sorudan oluşan bu yöntemin amacı mevcut güvenlik durumunuzu ve ihtiyaçlarınızı anlamanızı ve koşullarınızı tanıyarak ihtiyacınız olan önlemleri bulmanızı sağlamaktır. Düzenli bir şekilde kullandığınız zaman bu yöntem ile hem başarılı bir dijital güvenlik sistemi kurabilir hem de ihtiyacınız olmayan önlem ve araçlara vaktinizi ve paranızı harcamaktan kaçınabilirsiniz.

Tehdit modellemesinin ve güvenlik planı yapmanın öğrettiği en önemli şeylerden birisi de güvenliğin bir seferde tamamlanacak bir hedef değil, daima gelişen ve değişen bir süreç olduğudur. Dijital güvenlik söz konusu olduğunda kesin çözümler veya mükemmel araçlar diye bir şey asla söz konusu değildir. Her tehditin farklı kişiler için farklı çözümleri olabilir, herkes her güvenlik önlemini uygulayamayabilir. Bu yüzden dijital güvenlik konusunda bir şeyler yapmadan önce kendi modelinizi belirlemeniz ve planınızı buna göre oluşturmanız büyük bir önem taşımaktadır.

Şimdi sırayla tehdit modellemesinin aşamalarını ve bunların neden önemli olduğunu inceleyelim.

Tehdit Modellemesinin Aşamaları

Yukarıda bahsettiğim gibi tehdit modellemesinin temelinde cevaplamanız gereken beş soru bulunmaktadır. Bu soruların her biri sizin güvenlik planınızdaki kilit bir noktayı tanımlamanıza ve buna dair ne yapabileceğinizi daha iyi görmenize yardımcı olmayı amaçlar. Bu yüzden bu soruları cevaplarken olabildiğince kapsayıcı düşünmeniz ve dürüst olmanız büyük bir önem taşımaktadır.

Soru 1: Neyi korumak istiyorum?

Bir dijital güvenlik planı oluştururken hedefinizin ne olduğunu bilmek çok önemlidir. Söz konusu güvenlik olduğunda ise bu hedef belirli verilerin veya cihazların güvende olduğundan ve saldırılara karşı korunduğundan emin olmaktır. Bu yüzden korumak istediğiniz şeyin ne olduğunu bilmek büyük önem taşır. Çünkü planınızın merkezinde bu korumak istediğiniz şey olacak ve geri kalan birçok şey buna göre belirlenecek.

Korumak istediğiniz şeyler oldukça çeşitli olabilir. Bilgisayarınızdaki önemli veriler, çevrimiçi hesaplarınız, dijital iletişiminiz, kurumsal verileriniz veya sunucularınız bunlardan bazıları. Elbette daha detaya girdikçe bu sorunun cevabı daha spesifik olacaktır. Örneğin bir gazeteci için bu bazen riskli bir bölgede yaşayan haber kaynağının kimliği, bir sistem yöneticisi için müşterilerinin sunucu bilgileri, aile içi şiddet gören bir kadın için iletişimini gizli ve güvenli tutmak olabilir.

Bu aşamada kimi zaman birden çok cevabınız olabilir. Eğer cevaplarınız, yani korumak istediğiniz şeyler, birbiriyle ilişkili ise bunlar üzerine ortak bir plan hazırlamak mümkün olabilir. Ama daha bağımsız cevaplar verdiyseniz ikisi için ayrı ayrı devam etmeniz ve en sonda planların nerede ortaklaştığına bakmanız daha iyi olacaktır. Bu sayede iki bağımsız planı zorla birleştirmek ile uğraşıp konuyu kendiniz için zorlaştırmazsınız.

Soru 2: Bunu kimden korumak istiyorum?

Güvenlik planımızın merkezini tespit ettikten sonraki aşama, bu plana ihtiyaç duymamıza sebep olan tehditleri daha iyi anlamak olacaktır. Bunu yapabilmek için tehditin kim veya ne olduğunu belirlememiz gerekiyor.

Korumak istediğimiz şeyin ne olduğunu biliyorsak bunu neden korumak zorunda kaldığımıza dair de bir fikrimiz olacaktır. Ancak bu tehdit kaynağını daha net bir şekilde önümüze koymak planımızın detaylarını belirlememiz için önemli. Kimi zaman dijital güvenliğimiz için riskin nereden geldiğine dair bulanık bir fikrimiz olduğu için yanlış önlemler alabiliyor ve asıl odaklanmamız gereken tehdit kaynaklarını gözardı edebiliyoruz. Bu yüzden korumak istediğimiz şeyi belirledikten sonra gerçekçi bir şekilde tehdit kaynaklarını listelememiz çok önemli.

Elbette bu tehdit kaynakları da oldukça çeşitli ve farklı potansiyellere sahip olacaktır. Burada önemli olan potansiyel tehdit olabilecek kişi ve grupları görebildiğinizden emin olmak. Eğer bu konuda önünüzde net bir resim olursa güvenlik risklerinizi kavramak konusunda avantajınız artacaktır. Ancak sadece tehditin nereden geleceğini bilmek yeterli değil. Planımızı yapabilmek için bu tehditi daha iyi anlamamız gerekiyor.

Soru 3: Eğer planım başarısız olursa sonuçları ne kadar kötü olabilir?

Güvenlik planınızı yaparken başarısızlığı da hesaba katmanız lazım. Eğer neyi korumak istediğinizi biliyorsanız ve kimlerin buna erişmek isteyebileceğini de tespit ettiyseniz, sıra riskin seviyesini belirlemekte.

Bu soruyu cevaplarken önem vermeniz gereken nokta riskin ne kadar büyük olduğunu anlamak. Her güvenlik riskinin sonuçları farklıdır ve kimisi çok daha ciddi sonuçlar doğurabilir. Örneğin sosyal medya hesaplarınızın erişimini kaybetmenizin sonuçları görece daha kontrol edilebilir bir seviyede olsa da, e-posta hesabınızın erişimini kaybetmeniz tüm dijital hayatınızı alt üst etme potansiyelini taşır.

Farklı senaryolarda ve farklı koşullarda bu sonuçları net bir şekilde görmenin planınız için iki büyük faydası olacaktır. İlki planınızın özellikle odaklanması gereken noktaların neler olduğunu ve önceliğinizin nerede olması gerektiğini daha iyi anlamanızı sağlayacaktır. İkincisi ise herhangi bir sebepten dolayı planınız başarısız olur veya yetersiz kalırsa bu sonuçların etkisini minimuma indirmek için neler yapabileceğinizi ve sonrasında tekrar güvenliğinizi sağlamak için nelere ihtiyaç duyacağınızı daha iyi bileceksiniz.

Unutmayın ki dijital güvenlik bir süreçtir ve planınız sürekli evrilen ve gelişen bir şey olacaktır. Bir kez başarısız olduğunuzda her şeyin sonu olarak düşünmemeli, başarısızlık anından sonra ne yapmanız gerektiğini de planınızın bir parçası olarak görmeniz lazım.

Soru 4: Korumak istediğim şeyi korumak zorunda kalma ihtimalim ne kadar yüksek?

Her ne kadar dijital güvenlik üzerine yazılan ve konuşulan konular her tehditi korku filmlerinde köşede bekleyen canavar gibi tasvir etmeyi ve paranoyak bir şekilde sürekli tetikte olmamız gerektiği hissini uyandırsa da çoğu zaman gerçek hayatta durum bu değildir. Bu yüzden planınızı daha gerçekçi bir temele oturtmak için bu tehditlerin gerçekleşme potansiyellerini de hesaba katmamız gerekiyor.

Her dijital güvenlik tehditi aynı sıklığa sahip değildir. Yani dijital güvenlik planına ihtiyaç duymanız her an saldırı altında olduğunuz anlamına gelmez. Kimi hedef gözetmeyen dijital güvenlik tehditleri (hedefsiz oltalama saldırıları, hedefsiz fidye yazılım ve benzeri zararlı yazılım saldırıları gibi) daha sık gerçekleşme potansiyeline sahip olsa da bunlara karşı kendinizi güvende tutmak çok daha kolay ve zahmetsizdir.

Ancak daha büyük sonuçları olabilecek güvenlik tehditleri genellikle daha nadir gerçekleşir ve birçok güvenlik planında hesaba katılması şeylerin başında bunlar gelir. Ancak bunları her an başınıza gelecekmiş gibi düşünmeniz size faydadan çok zarar verecektir. Panik hâlinde yapılan bir güvenlik planı birçok hatayı da beraberinde getirebilir. Bunların gerçekleşme ihtimalini daha gerçekçi bir şekilde ele almak, sizi paniğe kapılmaktan koruyacak ve bu sayede daha sakin ve kapsamlı bir güvenlik planı hayata geçirebileceksiniz.

Ayrıca gerçekleşmesi gerçekten çok çok düşük olan tehditlere karşı korunmaya çalışmak çoğu zaman asıl odaklanmanız gereken riskleri unutmanıza ve onların ihtiyaç duyduğu kaynakları planınıza eklemeyi unutmanıza neden olacaktır. Eğer Edward Snowden gibi bir istihbarat teşkilatından USB bellekler dolusu gizli belgelerle çıkmadıysanız güvenlik planınızın en büyük önceliği devletlerin sizi hacklemeye çalışması olmamalı. (Eğer böyle bir şeyi çoktan yaptıysanız ve güvenlik planı yapmaya bu yazıyla başlıyorsanız, zaten çok geç kalmışsınız demektir.)

Soru 5: Potansiyel sonuçların önüne geçmek için ne kadar zahmete katlanabilirim?

Bu soru belki de en önemli nokta olabilir. Dijital güvenlik planınızı hayata geçirmek için ne kadar imkanınız var? Birçok kişi bu konularda ilk bilgilenmeye başladığı zaman bir hevesle çok büyük projelere girişebiliyor ve bir süre sonra zamanının, elindeki teknolojilerin veya maddi durumunun bunu gerçekleştirmeye yetmeyeceğini farkedip tamamen bırakıyor. Bunun önüne geçmek için kendinizi ve elinizdeki imkanları bilerek bir güvenlik planı hazırlamanız şart.

Örneğin zaman konusunda hâli hazırda sıkışık biriyseniz, günlerce süren bir dijital güvenlik eğitimine ayıracak vaktiniz olmayabilir. Bu durumda çevrimiçi eğitimleri veya yazılı kaynakları tercih edebilirsiniz. İşiniz veya başka ihtiyaçlarınızdan dolayı kullanmak olduğunuz işletim sistemleri ve cihazlar varsa, güvenlik planınız bunların yerine başka cihazlar eklemeye değil onları daha güvenli hâle getirmeye odaklanmalı.

Ekonomik durum ise genellikle bunların içerisinde en büyük etkiye sahip olandır. Dijital güvenlik planınız bazen yeni cihazları veya yazılımları gerektirebilir, fakat bunu sağlamak her zaman mümkün olmayacaktır. Bu durumda kendi imkanlarınızı zorlamak yerine bunu gelecek aşamalardan birisi olarak belirleyip önceliği elinizdekileri daha güvenli hâle getirmek olarak belirlemeniz daha iyi olur.

Bu soruda kendinize dürüst olmanız ve imkanlarınızı açık bir şekilde ortaya koymanız çok önemli. Eğer gerçekçi bir dijital güvenlik planı oluşturmak ve bunu uygulayabilmek istiyorsanız koşullarınızı iyi tanımanız lazım. Olmayan kaynaklar üzerinden bir plan yaparsanız çok kısa sürede bu planın çökmeye başladığını göreceksiniz. Bu da hem güvenlik tehditlerinin başarılı olma ihtimalini arttıracak hem de sizin bu konudaki hevesinizin azalmasına neden olacaktır.

Tehdit Modelinizi Kullanmak

Bu soruları cevapladıktan sonra önünüzde nasıl bir dijital güvenlik planına ihtiyacınız olduğuna dair net bir haritanız olacaktır. Bu beş soru sizin dijital güvenlik konusunda ihtiyacınızın neler olduğunu, nasıl tehditlerle baş etmeniz gerekebileceğini ve bunlara karşı neler yapabileceğinizi size gösterecek.

Tehdit modelinizin en büyük faydasını planınızı uygulamaya başladığınız zaman göreceksiniz. Almanız gereken önlemlerle ilgili araştırma yaparken birçok farklı kaynak ve araçla karşılaşmanız kaçınılmaz. Ancak bir tehdit modeliniz varsa, onu kullanarak ihtiyacınız olmayan ve size doğrudan fayda sağlamayacak olanları kolayca eleyebilir ve planınız için önemli olanlara odaklanabilirsiniz. Böylece kafa karışıklığı veya boşa zaman harcamak gibi ihtimalleri de minimuma indirmiş olacaksınız. Bu sayede dijital güvenlik planınızı çok daha hızlı ve verimli bir şekilde uygulamaya alabileceksiniz.

Artık güvenlik planınızı hazırlamaya ve uygulamaya başlayabilirsiniz. En önemli ve öncelikli olan tehditlerden başlayarak almanız gereken ve alabileceğiniz önlemleri sıralayarak bir uygulama takvimi oluşturmanız en iyisi olacaktır. Asla tüm planınızı tek seferde uygulamaya kalkışmayın. Mümkün olduğunca her aşamayı sırayla tamamlamanız hem zihinsel yükünüzü azaltacaktır hem de daha sağlıklı bir şekilde planınızı uyguladığınızdan emin olmanıza imkan verecektir. Örneğin hesaplarınızın güvenliği için bir plan yaptıysanız parola kasanızın kurulumu ile hesaplarınızı iki aşamalı doğrulamaya geçirmeyi aynı anda yapmaya çalışmayın. Önce birini tamamlayın, ardından diğerini halledersiniz.

Tehdit modeliniz ile birlikte planınızı da uygulamaya alırken bunların esnek olması gerektiğini daima aklınızda bulundurun. Asla adımlarınızı kesin ve değişmez olarak düşünmeyin. Hayatınızın veya işinizin bir döneminde önlem almanız gereken tehdit bir süre sonra ortadan kaybolabilir ya da yeni tehditler doğabilir. Aynı şekilde hayatınızda yaşadığınız başka değişimler tehdit modelinizin veya planınızın da değişmesini gerektirebilir. Eğer bu konuda planlı hareket etmek isterseniz kendinize tehdit modelinizin ve planınızın üzerinden geçmek için düzenli zamanlar —örneğin üç ayda bir— belirleyebilirsiniz.

Dijital güvenlik hayatımızın gereklerinden birisi ve sürekli evrimleşen bir süreç. Eğer bu konuda ihtiyaçlarınızı ve koşullarınızı anladığınız ve buna uyum sağlayabilecek bir planınız ve sisteminiz varsa, bu konuda gözünüzün korkmasına da hiç gerek yok. Dijital güvenlik bireysel ve kurumsal koşullara bağlı olarak değişebilen ve evrilebilen bir kavram. Tehdit modeli gibi bir yöntemle kendinizi ve ihtiyaçlarınızı merkeze koyduğunuz sürece başarılı bir şekilde altından kalkabilirsiniz.

Hazırlayan: Ahmet Alphan Sabancı


Comments

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.