 Koç.net'in
2003 yılı Ağustos-Eylül ayları arasında, çeşitli büyüklüklerde
binden fazla firma üzerinde yaptığı güvenlik riskleri araştırmasına
göre, şirketlerin yüzde 87'sinin internetten saldırılara 'açık'
olduğu belirlendi.
Şirketlerin yüzde
56'sının web sunucu bilgilerinin kolaylıkla çalınabilir, ana
sayfalarının değiştirilebilir veya bir başka adrese yönlendirilebilir
olduğu sonucu çıktı. Şirketlerin yüzde 43'ünün DNS
sunucularındaki
açıklardan dolayı, kurumsal maillerinin ele geçirilebilir veya
internet üzerinden yapılan bankacılık işlemlerinde kullanılan
şifrelerin çalınabileceği sonucu çıktı.
Koç.Net araştırmasına
göre, şirketlerin yüzde 28'inde güvenlik duvarı
konfigurasyonlarının 'yetersiz' olması ve bu sistemlerin by-pass
edilerek her türlü bilgiye ‘erişilebilir’ olması endişe
verici. Şirketlerden yüzde 30’unun
sistemlerinde yüksek
seviyede açıklar bulunuyor.
Bulgulara genel
olarak bakıldığında, büyük saldırıların halka açık bırakılması
zorunlu olan http, ftp, smtp ve dns hizmetlerinden kaynaklandığı
gözlendi. Şirketler bu servisleri
iş ortakları ile haberleşmekte, ürünlerini müşterilerine
pazarlamada kullanıyorlar. Şirketlerin iş süreçlerinin önemli
bir bölümünü içeren bu servislerdeki güvenlik açıklarının
hackerlar tarafından suistimal edilmesi, firma ve pazara telafisi mümkün
olmayan zararlar bırakabiliyor.
KAPISI AÇIK
ŞİRKETLER
 Araştırmada,
internete açık olmayan servislerin filtrelenmesini sağlayan güvenlik
duvarlarında (firewall)
da, ciddi eksiklikler olduğu görüldü. İncelenen firmaların
yaklaşık olarak yüzde 30’unun güvenlik duvarı
konfigurasyonunda problem bulunuyor. Bu durumu evin kapısının yarı
açık bırakılmasına benzeten rapor, şirketlerin “Tüm
dosyalarını ve veritabanında tutulan tüm bilgileri, kontrolsüz
bir şekilde saldırılara açık hale getirdiğini” vurguladı.
Symantec’in 2003
yılında ABD’de yaptığı benzer bir güvenlik araştırması
ile karşılaştırmalar yapan KoçNet, Türk şirketlerinin
ABD’deki şirketlere göre “4 kat daha fazla güvenlik açığına
sahip” olduğunun altını çiziyor.
EN KORUMASIZ
TEKSTİL
Raporda, güvenlik
duvarı konusunda özellikle eğitim, perakende, kamu ve tekstil
sektörlerinde çok ciddi risklerin bulunduğu belirtildi. Bu sektörlerde
bulunan şirketlerin Türkiye ekonomisindeki önemi, karşılaşılabilecek
risklerin boyutlarının da büyük olacağını gösteriyor.
Yüksek seviyedeki
açıkların sektörel dağılımına bakıldığında ise en az
riskin enerji ve sağlık sektöründe, en çok riskin de eğitim,
kamu ve perakende sektörü firmalarında olduğu görülüyor.
Genellikle bu açıkların temeli, kullanılan uygulamalara ait güvenlik
yamalarının düzenli takip edilmemesinden kaynaklanıyor.
CERT, Security
Focus gibi kuruluşlar tarafından duyurulan korumaların şirketler
tarafından düzenli takip edilmemesi, bu şirketlerin zaaflarını
artırıyor.
KOBİ MÜŞTERİLERİ
DE ETKİLENİYOR
Güvenlik riskleri
araştırması çerçevesinde, tüm sektörlerde faaliyet gösteren
KOBİ’lerle ilgili detaylı bir analiz yapıldı. Kampanyaya katılan
şirketlerin yüzde 60’ını oluşturan KOBİ’lerin yüzde
70’inde güvenlik duvarı kullanılmadığı veya konfigurasyonlarında
ciddi eksikliklerin olduğu ortaya çıktı. Açıkların yüzde
40’ı web servislerindeki açıklardan kaynaklanıyor. Bu durum,
e-ticaret yapan KOBİ’lerin hem kendilerini hem de müşterilerini
yüksek risk altında bırakıyor.
KREDİ KARTI BİLGİLERİ
AÇIKTA
 KOBİ’lerin
yüzde 20’si veritabanlarını tüm internet erişimine açtığından,
bu şirketlerin ürün, müşteri bilgileri-kredi kartı, müşteri
ad/adres bilgisi, finansal bilgiler gibi kritik bilgilerine dışardan
saldıran hackerlar kolaylıkla erişebiliyorlar. KOBİ’lerin yüzde
15’inde dosya sunucuları internetten tümüyle ‘erişilebilir’
durumda.
Koç.net raporunda,
özellikle 2004’te yaygınlaşması beklenen genişbant hizmetleri
ile internet erişimine sahip KOBİ’lerin sayısının artacağına
işaret edilerek, “Belirtilen riskleri gidermeden internete bağlanacak
KOBİ’lerin, kendilerine ve müşterilerine yarardan çok zarar
getirecekleri” değerlendirmesine yer verildi.
YÜZDE 87 RİSK
ALTINDA
İnternete açık
firmaların yüzde 87 gibi büyük bir kesiminde değişik oranlarda
risk taşıyan güvenlik açıkları tespit edildiğini belirtilen
rapor çeşitli uyarılarda bulundu. Rapor “Birçok şirketin,
bilgi güvenliğini sağlanamamasından dolayı meydana gelebilecek
kayıpların boyutları hakkında fikir sahibi olmadıkları”nın
altını çiziyor.
GÜVENLİK BİLİNCİ
EKSİKLİĞİ
Rapor güvenlik açıklarının
temel nedeni, şirketlerde bilgi güvenliği bilincinin oluşmamasına
bağlıyor. Türkiye’de halen ‘bilgi güvenliği’nin teknik
bir sorun olarak kabul edilmediğinin altını çizen raporda, bunun
sonucu olarak da risklerin saptanamadığı, göz ardı edildiği, güvenlik
yamalarının düzenli takip edilmediği ve bilgi sistemleri güvenliğinin
eksiklikler ile işletildiği vurgulandı.
|
