T.C. MARMARA ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ ĠġLETME ANABĠLĠM DALI MUHASEBE DENETĠMĠ BĠLĠM DALI ĠÇ DENETĠMĠN GELĠġEN VE DEĞĠġEN DÜNYASINDA: SĠBER GÜVENLĠK VE DENETĠM Yüksek Lisans Tezi HÜSEYĠN SĠNAN OCAK Ġstanbul, 2021 T.C. MARMARA ÜNĠVERSĠTESĠ SOSYAL BĠLĠMLER ENSTĠTÜSÜ ĠġLETME ANABĠLĠM DALI MUHASEBE DENETĠMĠ BĠLĠM DALI ĠÇ DENETĠMĠN GELĠġEN VE DEĞĠġEN DÜNYASINDA: SĠBER GÜVENLĠK VE DENETĠM Yüksek Lisans Tezi HÜSEYĠN SĠNAN OCAK DanıĢman: Prof. Dr. NEJAT BOZKURT Ġstanbul, 2021 GENEL BĠLGĠLER İsim ve Soyadı: Hüseyin Sinan Ocak Anabilim Dalı: İşletme Programı: Muhasebe Denetimi Tez Danışmanı: Prof. Dr. Nejat Bozkurt Tez Türü ve Tarihi: Yüksek Lisans – Haziran 2021 Anahtar Kelimeler: İç Denetim, Risk, Siber Güvenlik, Siber Saldırı, Siber Güvenlik Denetimi. ÖZET ĠÇ DENETĠMĠN GELĠġEN VE DEĞĠġEN DÜNYASINDA: SĠBER GÜVENLĠK VE DENETĠM Günümüzde, teknoloji çok yaygın bir şekilde kullanılmakta ve işletmelere büyük avantajlar sağlamaktadır. Ancak sağladığı avantajlara karşı birçok tehdidi de bünyesinde barındırmaktadır. Tehditlerin başında siber saldırılar yer almaktadır. Siber saldırıların şirketlere maliyetleri çok farklı boyutlara doğru ilerlemektedir. Bu nedenle siber güvenlik kavramının bileşenlerini çok iyi bir şekilde anlamak ve yaşanmış saldırılardan gerekli dersleri çıkartmak gerekmektedir. Bilgilerin sistemlerde kaydedilmeye başlamasından itibaren depolanan verilerin güvenlikleri de önemli olarak görülmektedir. Şirketlerin, güvenlik önlemlerini alarak gelebilecek her türlü siber saldırıya karşı hazırlıklı olmaları gerekmektedir. Eğer daha önceden tedbir alınmadıysa çok büyük kayıplar verilmesi söz konusu olabilmektedir. Siber güvenlik kapsamında alınan veya alınabilecek önlemler için iç denetim departmanlarına önemli görevler düşmektedir. Bu çerçevede iç denetim birimleri riskleri değerlendirmeli ve üst yönetime bilgi vermektedir. Şirketler, güvenlikle ilgili önlemlerini alma aşamasında siber güvenlik denetimleri yaptırarak şirket içerisinde yer alan açıklıkları daha iyi görebilmeye imkanına olmaktadır. Bu doğrultuda da aksiyon planları oluşturulmaktadır. Çalışmada; siber güvenlik, siber güvenlik ve iç denetim ve siber güvenlik denetimi, konu başlıklarına üzerinde durulmuştur. Çalışmanın son bölümünde ise yaşanmış bir siber saldırı olayının nasıl gerçekleştiği ve sonucunda ne gibi aksiyonlar alındığına yönelik bir uygulama yer almaktadır. GENERAL KNOWLEDGE Name and Surname: Hüseyin Sinan Ocak Field: Business Administration Programme: Accounting Auditing Supervisor: Prof. Dr. Nejat Bozkurt Degree A warded ande Date: Master - May 2021 Keywords: Internal Audit, Risk, Cyber Security, Cyber Attack, Cyber Security Audit. ABSTRACT IN THE DEVELOPING AND CHANGING WORLD OF INTERNAL AUDIT: CYBER SECURITY AND AUDIT Today, technology is widely used and provides great advantages to businesses. However, it contains many threats against the advantages it provides. Cyber attacks are at the top of the threats. The costs of cyber attacks to companies are moving towards very different dimensions. For this reason, it is necessary to understand the components of the concept of cyber security very well and to learn the necessary lessons from experienced attacks. Since the information is started to be recorded in the systems, the security of the stored data is also seen as important. Companies must be prepared against any possible cyber attack by taking security measures. If precautions have not been taken before, huge losses may incur. Important duties fall on the internal audit departments for the measures taken or can be taken within the scope of cyber security. In this context, internal audit units should evaluate the risks and inform the senior management. Companies have the opportunity to better see the openings in the company by having cyber security audits during the process of taking security-related measures. Action plans are prepared in this direction. In the study; Cyber security, cyber security and internal audit, and cyber security audit, topics were emphasized. In the last part of the study, there is an application about how a cyber attack incident occurred and what actions were taken as a result. ĠÇĠNDEKĠLER ĠÇĠNDEKĠLER ................................................................................................................ i TABLO LĠSTESĠ ........................................................................................................... iv ġEKĠL LĠSTESĠ.............................................................................................................. v KISALTMALAR ........................................................................................................... vi GĠRĠġ ............................................................................................................................... 1 1. SĠBER GÜVENLĠK .................................................................................................... 3 1.1. Siber Kavramlar ..................................................................................................... 3 1.1.1. Siber Güvenlik ................................................................................................. 3 1.1.2. Siber Uzay ....................................................................................................... 5 1.1.3. Siber Savaş ...................................................................................................... 5 1.1.4. Siber Suç .......................................................................................................... 6 1.1.5. Siber Terörizm ................................................................................................. 7 1.1.6. Siber Casusluk ................................................................................................. 8 1.1.7. Siber Caydırıcılık............................................................................................. 8 1.1.8. Siber Hijyen ..................................................................................................... 9 1.2. Siber Güvenlik Standartları .................................................................................. 11 1.2.1. Uluslararası Standartlar Teşkilatı ISO 27000 Standartlar Serisi ................... 11 1.2.2. COBIT ........................................................................................................... 16 1.3. Siber Silahlar ........................................................................................................ 18 1.3.1. Virüs .............................................................................................................. 18 1.3.2. Solucan .......................................................................................................... 19 1.3.3. Casus Yazılım ................................................................................................ 20 1.3.4. Truva Atı ....................................................................................................... 21 1.3.5. Arka Kapı ...................................................................................................... 22 1.3.6. Mantık Bombası ............................................................................................ 22 1.3.7. Kök Kullanıcı Takımı .................................................................................... 23 1.3.8. Köle Bilgisayarlar / Botnet / Zombi Bilgisayar ............................................. 23 1.3.9. Fidye Virüsü .................................................................................................. 24 1.4. Siber Saldırı Türleri.............................................................................................. 25 1.4.1. DoS ve DDoS Saldırıları / Hizmet Dışı Bırakma .......................................... 25 1.4.2. Sosyal Mühendislik ....................................................................................... 26 i 1.4.3. Yemleme-Oltalama Saldırıları....................................................................... 27 1.4.4. IP Aldatmacası - Gizlenmesi ......................................................................... 28 1.4.5. Sıfırıncı Gün Saldırıları ................................................................................. 28 1.5. Siber Saldırı Örnekleri ......................................................................................... 29 1.5.1. RSA Securıd Sızıntısı .................................................................................... 29 1.5.2. Target Firmasına Saldırı ................................................................................ 29 1.5.3. ICANN Firmasına Saldırı .............................................................................. 30 1.5.4. Alman Çelik Fabrikasına Saldırı ................................................................... 31 1.5.5. Cathay Pacific Havayolu Şirketine Saldırı .................................................... 31 2. SĠBER GÜVENLĠK VE ĠÇ DENETĠM.................................................................. 32 2.1 İç Denetim ............................................................................................................. 32 2.2 İç Denetimin Amacı ve Kapsamı .......................................................................... 33 2.3 İç Denetimin Unsurları .......................................................................................... 34 2.3.1 Bağımsızlık ve Tarafsızlık .............................................................................. 34 2.3.2 Güvence ve Danışmanlık Kavramı ................................................................. 35 2.3.3 Kurumun Faaliyetlerinin Geliştirilmesi ve Değer Katılması.......................... 36 2.3.4 Sistematik ve Disiplinli Bir Faaliyet Olması .................................................. 37 2.4 İç Denetimin Türleri .............................................................................................. 37 2.4.1 Mali Denetim .................................................................................................. 37 2.4.2 Uygunluk Denetimi ........................................................................................ 38 2.4.3 Faaliyet Denetimi ........................................................................................... 39 2.4.4 Bilgi Teknolojileri Denetimi .......................................................................... 41 2.4.5 Sistem Denetimi ............................................................................................. 43 2.5 İç Denetimin Güncel Başlıkları ............................................................................. 43 2.5.1 Bulut Bilişim ve İç Denetim ........................................................................... 44 2.5.2 Büyük Veri ve İç Denetim .............................................................................. 45 2.5.3 Mobil Teknolojiler ve İç Denetim .................................................................. 48 2.5.4 Sosyal Medya ve İç Denetim .......................................................................... 50 2.5.5 Siber Güvenlik ve İç Denetim ........................................................................ 52 2.6 Siber Güvenlikte Üçlü Savunma Hattı .................................................................. 54 2.6.1 Birinci Savunma Sistemi ................................................................................ 55 2.6.2 İkinci Savunma Sistemi .................................................................................. 57 2.6.3 Üçüncü Savunma Sitemi ................................................................................ 58 ii 2.7 Siber Danışmanlar ................................................................................................. 60 3. SĠBER GÜVENLĠK DENETĠMĠ ............................................................................ 62 3.1 Siber Güvenlik Denetimi Çerçevesi ...................................................................... 62 3.2 Risk Değerlendirme Aşaması ................................................................................ 64 3.2.1 Müşteri Kabulü ............................................................................................... 64 3.2.2 Denetimin Planlanması ................................................................................... 65 3.2.3 Risklerin Belirlenmesi .................................................................................... 67 3.3 Sızma Testi ............................................................................................................ 68 3.3.1 Sızma Testi Türleri ......................................................................................... 69 3.3.2 Sızma Testi Aşamaları .................................................................................... 71 3.4 Riske Karşılık Verme ............................................................................................ 72 3.4.1 Şifreleme......................................................................................................... 73 3.4.2 Bal Küpü ......................................................................................................... 73 3.4.3 Uç Nokta Güvenliği Sistemi ........................................................................... 74 3.4.4 Steganografi .................................................................................................... 74 3.4.5 IP Adres Takip Sistemleri .............................................................................. 75 3.4.6 Güvenlik Duvarı ............................................................................................. 75 3.5 Raporlama ............................................................................................................. 75 4. SĠBER SALDIRI VE SONRASINDA ALINAN AKSĠYONLARA YÖNELĠK BĠR UYGULAMA ........................................................................................................ 77 4.1 Uygulamanın Amacı ve Kapsamı ......................................................................... 77 4.2 Siber Saldırı Vakası............................................................................................... 77 4.3 Durum Değerlendirme Tabloları ........................................................................... 80 SONUÇ .......................................................................................................................... 89 KAYNAKÇA ................................................................................................................. 90 iii TABLO LĠSTESĠ Tablo 1: Dünyada İnternet Kullanımı .............................................................................. 7 Tablo 2: Denetim Türleri Karşılaştırması ...................................................................... 40 iv ġEKĠL LĠSTESĠ ġekil 1: Bilgi Güvenliği (CIA) Üçlüsü ............................................................................. 4 ġekil 2: Siber Uzayın Bileşenleri ..................................................................................... 5 ġekil 3: ISO / IEC 27000 Standardı Ailesi ..................................................................... 12 ġekil 4: ISO 27001 Faydaları (%) .................................................................................. 13 ġekil 5: BGYS'nin PUKÖ Modeli .................................................................................. 14 ġekil 6: ISO 27001 Ailesi ............................................................................................... 16 ġekil 7: COBIT Şemsiyesi ............................................................................................. 17 ġekil 8: Solucanların İlerleme Aşamaları ....................................................................... 19 ġekil 9: Solucan Yazılımı Uyarısı .................................................................................. 20 ġekil 10: Spyware sisteminizi nasıl izler ve bildirir? ..................................................... 21 ġekil 11: Zombi Bilgisayarların Siber Saldırılarda Kullanılması .................................. 24 ġekil 12: Sosyal Mühendislik Saldırı Planı .................................................................... 27 ġekil 13: Güvence Hizmetlerinin Tarafları .................................................................... 35 ġekil 14: Danışmanlık Hizmetinin Tarafları .................................................................. 36 ġekil 15: BT Denetiminin Yeri ...................................................................................... 42 ġekil 16: Büyük Veride 5V ............................................................................................ 46 ġekil 17: Üçlü Savunma Hattı ........................................................................................ 55 ġekil 18: Denetim Başlangıcı ......................................................................................... 65 ġekil 19: Sızma Testleri ................................................................................................. 69 ġekil 20: Şifreleme Aşamaları ........................................................................................ 73 v KISALTMALAR COBIT Control Objective of Information Technology BS Bilgi Sistemleri PUKÖ Planla – Uygula – Kontrol Et – Önlem Al BGYS Bilgi Güvenliği Yönetim Sistemi ISO Standartlar Teşkilatı International Organization for Standardization - Uluslararası ISACA Information Systems Audit and Control Association – Bilgi Sistemleri Denetim ve Kontrol Derneği ITIL Information Technologies Infrastructure Library – Bilgi Teknolojileri Altyapı Kütüphanesi DDOS Distributed Denial of Service – Dağıtılmış Hizmet Reddi DOS Denail of Service – Servis Hizmet Reddi IP Internet Protocol – İnternet Protokolü BT Bilgi Teknolojileri IIA Institute of Internal Auditors – Uluslararası İç Denetçiler Enstitüsü UMUÇ Uluslararası Mesleki Uygulama Çerçevesi CIA Certified Internal Auditor – Sertifikalı İç Denetçi BYOD Bring Your Own Device – Kendi Cihazını Getir vi GĠRĠġ Gelişen ve değişen dünyayla birlikte şirketlerin kullandıkları sistemlerde farklı bir boyuta doğru ilerlemektedir. Teknolojinin kullanımı şirketler için çok büyük avantajlar sağlasa da belirli bir noktadan sonra güvenlik boyutunun da düşünülmesi gerekmektedir. Hiçbir şirket, bilgilerinin başkaları tarafından izinsiz bir şekilde ele geçirilmesini istemez. Şirketlerin bu durumda sistemlerinin güvenliğini sağlama konusunda daha dikkatli hareket etmeleri gerekmektedir. Nitekim COVID-19 salgın hastalığıyla birlikte bazı şirketlerin uzaktan çalışmaya geçtiği bilinmektedir. Bu süreçte uzaktan çalışmaya geçen şirketlerdeki artış ile siber saldırıya uğrayan şirketlerdeki artışın doğru orantılı olarak ilerlediği görülmüştür. Sistemlerin güvenlik boyutu mekân fark etmeksizin sağlanması gereken bir süreçtir. Çalışmanın birinci bölümünde; siber güvenlik konusu geniş bir çerçeve üzerinde anlatılmıştır. Siber kavramlara, standartlara, saldırıların gerçekleşmesi sırasında kullanılan silahlara, saldırı türlerine ve global dünyada da bilinilirliği olan şirketlere çok büyük zararlar veren siber saldırı hikayelerine yer verilmiştir. Çalışmanın ikinci bölümünde; iç denetim hakkında temel seviyede bilgi verilmiş ve iç denetimin ilgili olduğu güncel konulara yer verilmiştir. Daha sonrasında bu konulardan biri olan siber güvenliğin iç denetimle ilişkisi açıklanmıştır. İç denetçiler şirketin birçok alanında oluşabilecek risklere karşı üst yönetime güvence vermektedir. Gelişen ve değişen teknolojik dünyayla birlikte şirketlerde büyük boyutlarda zarara yol açabilecek siber saldırılara karşı güvenlik önlemlerinin alınması konusunda iç denetçinin yönetime farkındalık kazandırması gibi birçok görevleri bulunmaktadır. Çalışmanın üçüncü bölümünde; siber güvenlik denetiminin önemine yer verilmiştir. Şirketler siber güvenlik denetimi yaptırarak sistemlerindeki zafiyetleri tam anlamıyla görebilmektedir. Daha sonrasında bu zafiyetlerin siber saldırganlar tarafından fark edilmeden önce kapatılması gerekmektedir. Şirketlerin birçok alanda verileri bulunmaktadır. Bunların yabancı kimseler tarafından ele geçirilmesi sonucunda hem itibar kaybı hem de maddi kayıplar ortaya çıkmaktadır. Bu sebeple belirli bir ölçeğe ulaşmış olan şirketlerin, üst yöneticilerin meydana gelebilecek saldırılara karşı şirketi 1 koruyabilmek veya zararı azaltmak adına siber güvenlik denetimi yaptırması gerekmektedir. Çalışmanın son bölümünde; teknoloji dünyasının gelişmesiyle birlikte çok fazla yaygınlaşan bir siber saldırı örneğine yer verilmiştir. Özellikle, şirket personelleri üzerinden yapılan bir oltalama saldırısının gerçekleşme yöntemi, saldırının fark edilmesiyle birlikte şirket içerisindeki durum ve saldırı sonrasında alınmış ve alınabilecek önlemler hakkında inceleme yapılmıştır. 2 1. SĠBER GÜVENLĠK 1.1. Siber Kavramlar 1.1.1. Siber Güvenlik Siber güvenlik kavramının çeşitli kaynaklarda birçok tanımı bulunmaktadır. Bunlardan bazılarına çalışmada yer verilmiştir. Siber güvenlik; siber alanda kullanılan verilerin ve varlıkların gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak amacıyla kuruluşlar ve devletler tarafından izlenen güvenlik, risk yönetimi süreçleriyle ilgili eylemlerin tümüdür1. Siber güvenlik, işletmedeki faaliyetlerin etkinliği ve etkililiği, iç ve dış raporlamanın güvenilirliği aynı zamanda geçerli yasa ve düzenlemelere uygunluğuyla ilgili hedeflerini destekleyen sistemlerle ilgilidir2. Siber güvenlik hem siber bölgeyi hem de organizasyonu ve kullanıcıların varlıklarını herhangi bir tehdit unsuruna karşı savunmak amacıyla kullanılabilecek araçlar, politikalar, güvenlik sistemleri, risk yönetimi yaklaşımları, faaliyetler, eğitim, en iyi uygulamalar, güvence ve teknoloji bütününden oluşmaktadır3. Siber güvenlik, hem siber alanda yer alan bilişim sistemlerinin hem de bilginin gizlilik, bütünlük ve erişilebilirlik ölçülerinin korunmasını sağlamaktır. Saldırıların tespit edilmesinin ardından bunlara karşı önlemler alınması ve sonraki aşamada ise sistemlerin, saldırılar meydana gelmeden önceki durumlarına getirilmesi amaçlanmaktadır4. Bilgi sistemleri içerisinde işlenen, depolanan ve transfer edilen bilginin gizliliğinin ve mahremiyetinin korunması, veri bütünlüğünün ve bilgiye erişimin, erişim hız ve 1 Daniel Schatz, Rabih Bashroush ve Julie Wall, “Towards a More Representative Definition of Cyber Security”, Journal of Digital Forensics Security and Law, Cilt.12, Sayı.2, 2017, s.66 2 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, The Institute of Internal Auditors (IIA), 2016, s.5 3 https://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx, (26.09.2020) 4 T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, “2016-2019 Ulusal Siber Güvenlik Stratejisi”, s.8 3 kalitesinin korunması ile sistemin devamlılığının sağlanması hem bilgi güvenliğinin hem de siber güvenliğin temel prensipleri olarak kabul görülmektedir5. ġekil 1: Bilgi Güvenliği (CIA) Üçlüsü Kaynak: Tony Flick ve Justin Morehouse, Securing The Smart Grid Next Generation Power Grid Security, 2011, s.35 Bilgi güvenliğinin gizlilik, bütünlük ve erişilebilirlik (kullanılabilirlik) gibi özelliklerini koruyabilmek için birtakım standartları bulunmaktadır. Bu kavramları daha detaylı incelersek; gizlilik, bilgiye ve sisteme yetkisi olmayan şahısların erişiminin engellenmesi şeklinde tanımlanabilir. Bütünlük, bilginin yetki izni olmayan şahıslar tarafından değiştirilmesi, silinmesi veya herhangi bir şekilde zarar görmesi durumuna karşı içeriğinin muhafaza edilmesidir. Erişilebilirlik, kişilerin bilgiye ihtiyaçları olduğu zaman kullanıma hazır durumda olması demektir6. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir7. 5 Barış Çeliktaş ve Soner Çelik, “Güncel Siber Güvenlik Tehditleri: Fidye Yazılımlar”, Cyberpolitik Journal, Cilt.3, Sayı.5, 2018, s.122 6 Mustafa Meral, Sıber Güvenlık Kapsamında Kritık Altyapıların Korunmasnın Önemı, Harp Akademileri Stratejik Araştırmalar Enstitüsü, Savunma Kaynakları Yönetimi Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2015, s.26 7 http://www.belgelendirme.com.tr/iso-27001-2013-bilgi-guvenligi-belgesi.html, (28.09.2020) 4 1.1.2. Siber Uzay Literatüre baktığımızda siber uzay veya siber alan olarak her iki terimde kullanılmaktadır. Tanımlar, teknolojik gelişmelerle birlikte zaman içerisinde değişime uğramaktadırlar. Verilerin depolandığı ve her durumda erişime açık, iletişimin kolaylıkla yürümesini sağlayan bilgisayar ve ağ bileşenlerinden oluşan sanal ortama, siber uzay adı verilmektedir8. Teknolojinin gelişimiyle birlikte internet, hayatımızda önemli bir rol almaktadır. İnternet, siber uzayı meydana getiren bileşenlerin başında yer almaktadır. Siber uzayın diğer bileşenleri ise; iletişim ağları, dış dünyaya kapalı askeri ağlar, cep telefonları, uydu sistemleri, enerji dağıtım ağları, elektronik koruma sistemi, insansız hava araçlarıdır9. ġekil 2: Siber Uzayın Bileşenleri Kaynak: Barış Çeliktaş, Siber Güvenlik Kavramının GeliĢimi ve Türkiye Özelinde Bir Değerlendirme, Karadeniz Teknik Üniversitesi, Sosyal Bilimler Enstitüsü, Uluslararası İlişkiler Anabilim Dalı, Yüksek Lisans Tezi, Trabzon, 2016, s.6 1.1.3. Siber SavaĢ Günümüz dünyasında neredeyse her alanda görülen teknolojik yeniliklerle birlikte siber ortam denilen bir kavram ortaya çıkmıştır. Siber ortam; şahıslar, işletmeler ve 8 Haydar Çakmak ve Tamer Altunok, Suç Terör ve SavaĢ Üçgeninde Siber Dünya, Ankara: Barış Platin Kitabevi, 2009, s.27 9 Uğur Akyazı, “Uluslararası Siber Güvenlik Strateji ve Doktrinleri Kapsamında Alınabilecek Tedbirler”, 6.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı, Ankara, 2013, s.216 5 devletlerin yer aldığı bir bütün olarak düşünüldüğünde, çoğunlukla tehlikeye açık ve karmaşık bir yapıya sahiptir. Kimi zaman devletlerin kimi zaman ise şahısların karşı karşıya gelmesiyle birlikte siber alanda görülen bu mücadele adını siber savaşa vermiştir10. Siber savaş, bilgi teknolojilerini koruma amacıyla siber ortamda saldırılar gerçekleştirmek veya karşı taraftan gelebilecek müdahaleleri önleyebilmek için gerçekleştirilen faaliyetlerin tamamıdır11. Siber ortamda, bilgi teknolojilerini kullanarak bir kuruma veya bir ülkeye; sistemlerini kullanılamaz hale getirerek maddi ve manevi zararlar vermek amacıyla gerçekleştirilen saldırı çeşidine siber savaş adı verilmektedir12. Siber savaş, kargaşa çıkarmadan savaşma ve karşı tarafın kanını dökmeden rakibi yenme sanatı ve bilimidir13. 1.1.4. Siber Suç Bir suç eyleminin bilgisayar, cep telefonu, tablet vb. gibi elektronik cihazlar kullanılarak gerçekleştirilebilme durumu mevcut ise ya da sistemlerin içinde yapılacak eylem hukuki sınırlar içerisinde değilse bu tip suçlar siber suç olarak ifade edilmektedir14. Siber suçları diğer suçlardan ayıran en belirgin fark, suçun bir bilişim sistemi aracılığıyla işlenmiş olmasıdır. Aslına bakacak olursak suçları, bilgisayar ile işlenen suçlar ve bilgisayarsız işlenen suçlar olarak ikiye ayırmamız da mümkündür15. Siber suçlara örnek olarak kullanıcının izni olmadan sisteme girilmesi, yetki aşımı, verilerin 10 Kamil Tarhan, Uluslararası Güvenliğin Bir BileĢeni Olarak Siber Güvenlik, Selçuk Üniversitesi, Sosyal Bilimler Enstitüsü, Uluslararası İlişkiler Ana Bilim Dalı, Yüksek Lisans Tezi, Konya, 2018, s.38 11 Steven A. Hildreth, “Cyberware”, Congressional Research Service, 2001, s.1 12 Önder Şahinaslan, Siber Saldırılara KarĢı Kurumsal Ağlarda OluĢan Güvenlik Sorunu ve Çözümü Üzerine Bir ÇalıĢma, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı, Doktora Tezi, Edirne, 2013, s.4 13 Jeffery Carr, Inside Cyber Warfare: Mapping the Cyber Underworld, 1.Baskı, 2010, s.2 14 Ufuk Taşcı ve Ali Can, “Türkiye‟de Polisin Siber Suçlarla Mücadelede Politikası: 1997-2014”, Fırat Üniversitesi Sosyal Bilimler Dergisi, Cilt.25, Sayı.2, 2015, s.230-231 15 Çakmak ve Altunok, a.g.e., s.26 6 değiştirilmesi, yok edilmesi, sistemin devamlılığını engellemek için yapılan yasa dışı eylemler verilebilir16. 1.1.5. Siber Terörizm Siber terörizm, siyasi bir motivasyonla geçmişte planlanarak, toplumlara zarar vermek amacıyla bilgisayar sistemlerinin el verdiği ölçüde, internet ağlarına yönelik gerçekleştirilen faaliyetlerin bütünüdür. Terörizm, siber alan içerisindeki internetten yararlanmaya odaklanmış durumdadır. Uzaktan kontrol edilebilmesi, bilgi akışındaki rahatlık, yakalanma olasılığının diğer saldırı yöntemlerine göre daha zor olması siber terörizmin tercih edilmesinin sebeplerinden bazılarıdır17. Tablo 1‟te görüldüğü gibi dünyada internet kullanım oranı hızlı bir şekilde yükselmektedir. 2022 ve 2030 yıllarına gelindiğinde dünya büyük bir internet ağı ile birbirine bağlı duruma gelecektir. Bu durumla birlikte siber terör saldırılarına maruz kalacak kişilerin ve kurumların da artacağı düşünülmektedir. Dünyada önemli sektörler arasında yer alan finans, sağlık, kamu, ulaşım, üretim, gibi sektörler siber teröristlerin odaklandıkları yerlerdir18. Tablo 1: Dünyada İnternet Kullanımı Yıl Nüfus 2015 2017 2022-Tahmini 2030-Tahmini 7,3 milyar 7,6 milyar 8 milyar 8,5 milyar Ġnternet Kullanıcı Sayısı 1,8 milyar 3,8 milyar 6 milyar 7,5 milyar Ġnternet Kullanımının Nüfusa Oranı 25% 50% 75% 88% Kaynak: Şeref Sağıroğlu ve Mustafa Alkan, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, BGD Siber Güvenlik ve Savunma Kitap Serisi 1, 2018, s.266 16 Hans Corell, The Challenge of Borderless Cyber-Crime, Symposium on the Occasion of the Signing of the Unıted Nations Convention Against Transnational Organized Crime, Palermo, 2000, s.3 17 Çakmak ve Altunok, a.g.e., s.38–39 18 Şeref Sağıroğlu ve Mustafa Alkan, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, BGD Siber Güvenlik ve Savunma Kitap Serisi 1, Grafiker Yayınları, 1.Baskı, Ankara, 2018, s.265 7 1.1.6. Siber Casusluk Siber casusluk; siyasi, askeri ve ekonomik açıdan rakiplerine karşı daha önde olmak amacıyla bilişim sistemlerini yasaların izin vermediği şekilde kullanarak bir kuruluşa veya kişiye ait bilgilerin, sırların ele geçirilmesidir19. Siber casusluk kavramını, hareket alanı siber uzay olan bir tür bilgisayar korsanları olarak adlandırabiliriz. Siber casuslar, sistemlere sızıp içerisinde bulundukları sürece, arkalarında iz bırakmamaya çalışmaktadırlar20. 1.1.7. Siber Caydırıcılık Caydırıcılık stratejisini uygulayabilmek için iki temel unsur bulunmaktadır. Birincisi, her an karşı taraftan gelebilecek saldırılara karşı koyabilmek için güçlü bir savunma sistemine sahip olmak, ikincisi ise misilleme üzerine odaklanmaktır. Eğer, saldırganlar yaptıkları eylemlerden sonra ağır cezalara çarptırılırlarsa bu bir örnek olabilir ve diğer saldırganlar bu tip eylemlerde bulunmadan önce bir kez daha düşünebilirler21. Siber caydırıcılık ile ilgili bazı ünlü yazarların sözleri şu şekildedir; savaş stratejisti Sun Tzu: „„En iyisi savaşmadan baş eğdirmektir.‟‟ Romalı Komutan Belisarius ise “En mükemmel ve mutlu zafer şudur: Kendiniz bir zarar görmeden, düşmanı amacından vazgeçmek zorunda bırakmaktır.‟‟ demiştir. Bu tanımlardan yola çıkarak siber caydırıcılık savaşa göre daha çok tercih edilebilmektedir22. Siber caydırıcılık, bilgi teknolojilerini hedef alan saldırı veya tehdit unsuru oluşturabilecek bir durumun engellenmesi ve önlenmesi olarak tanımlanmaktadır. Tanımdan yola çıkarak tüm bu saldırılar ve tehdit unsurlarından siber uzay kapsamında yapılan eylemler anlaşılmaktadır. Saldırıların nereden geldikleri tespit edilerek 19 Eugene Nickolov, Modern Trends in the Cyber Attacks Against the Critical Definitions of the Fundamental, Regional Cybersecurity Forum, Sofia, 2008 20 Haley Christopher, “A Theory of Cyber Deterrence”, Georgetown Journal of International Affairs, 2013 21 Christopher, a.g.m., 2013 22 Sağıroğlu ve Alkan, a.g.e., s.207–208 8 uluslararası yargıda cezalandırılmaları durumun da siber caydırıcılığın önemli bir unsurudur. Siber caydırıcılığın bazı temel özellikleri şöyledir23:  Daha az insan ile daha fazla tehdit oluşturulabilir. Ama önemli olan insan kaynağı değil bilgidir. Bilgi elde edilebilir olduktan sonra gelişime ve güncellemeye ihtiyaç duyar.  Teknolojik olarak kendisini geliştirmiş ülkeler diğer ülkelere göre siber güvenlik konusunda daha hassastır.  Saldırgan, farklı kişiler sorumluymuş gibi gösterebilmekte veya kendisini gizleyebilmektedir.  Saldırılar bölümlerle ayrılmış şekilde gerçekleşebilir veya karşı saldırı olarak dönebilir. 1.1.8. Siber Hijyen Siber saldırılara uğrayan şirketlere baktığımızda genel olarak güvenlik önlemlerinin yeterince sağlıklı olmadığını ya da önlemlerinin hiç olmadığını görmekteyiz. Saldırıyı gerçekleştirecekler, kurumu önceden analiz ederek açıkların nerede daha fazla olduğunu tespit etmektedirler. Siber güvenlik ile ilgili temel bir ilke olan siber hijyen: siber tehditlerin barındırdığı riskleri minimize edebilmek için birtakım önlemler alınmasıdır. Siber hijyen aynı zamanda kişisel hijyenle de benzerlik göstermekte ve iyi bir şekilde uygulanırsa kurumların saldırılara uğrama riskini azaltmaktır24. Siber hijyen uygulamaları, saldırganların başarılı olmalarını zorlaştırmakta ve ortaya çıkabilecek hasarı azaltabilmektedir25. Siber hijyenin temel prensibi başkaları tarafından da bilinen zayıf noktalara odaklanarak, onları geliştirme ve değiştirme durumudur. İleriki dönemlerde siber hijyen kurumlar için çok önemli bir kavram haline dönüşecektir. 23 Gaycken Sandro ve Martellini Maurizio, Cyber Security: Deterrence and IT Protection for Critical Infrastructures, 2013, s.3–4 24 Enisa, “Review of Cyber Hygiene Practices”, European Union Agency for Network and Information Security, 2016, s.6–14 25 Murguiah Souppaya vd., “Crıtical Cybersecurity Hygiene: Patching The Enterprise”, National Institute of Standards and Technology, 2018, s.4 9 Siber hijyenin sağlıklı bir şekilde oluşmasını sağlayan altı kontrol adımı bulunmaktadır26:  1. Kontrol: Donanım Varlıklarının Envanter ve Kontrolü Ağda mevcut olan tüm donanım aygıtları yalnızca yetkili yerlere erişim imkanına sahip olacak şekilde etkin bir yönetim (envanterin izlenmesi ve düzeltilmesi) tarzıyla yetkisiz ve yönetilmeyen aygıtların bulunması ve erişilmesinin önlenmesi aşamasıdır. Bu sayede güvenlik tehdidi oluşturabilecek cihazların görünür olması sağlanmaktadır.  2. Kontrol: Yazılım Varlıklarının Envanter ve Kontrolü Ağdaki tüm yazılımları, yalnızca yetkili yazılımın yüklenip çalıştırılabilmesi aynı zamanda yetkisiz ve yönetilmeyen yazılımların bulunması veya uygulanmaması için etkinleştirilmesi işlemidir.  3. Kontrol: Aralıksız Güvenlik Açığı Yönetimi Doğru araçlarla desteklenen güvenlik açığı yönetim programı, kurumun kendi güvenliğini denetlemesini ve hem iç hem de dış tehditlerin sunduğu riskleri yönetmesini sağlar. Güvenlik açığı yönetimi sayesinde en güvenilir kurumların ağlarında da birtakım hata ve kusurlar ortaya çıkabilir.  4. Kontrol: Yönetimle ilgili Ayrıcalıkların Kontrollü Kullanımı Bilgisayarlarda, ağlarda ve uygulamalarda yönetimsel ayrıcalıkların kullanımını, atanmasını, yapılandırılmasını izlemek, kontrol etmek, önlemek, düzeltmek için kullanılan işlemler ve araçlardır.  5. Kontrol: Mobil Cihazlarda, Dizüstü Bilgisayarlarda, İş İstasyonlarında ve Sunucularda Donanım ve Yazılım için Güvenli Yapılandırma Saldırganların savunmasız hizmetlerden yararlanmalarını önlemek için, sıkı bir yapılandırma yönetimi ve kontrol süreci kullanarak mobil cihazların, dizüstü bilgisayarların, sunucuların ve iş istasyonlarının güvenlik yapılandırmasını oluşturmak, uygulamak ve etkin bir şekilde yönetmektir. 26 “Tripwire State of Cyber Hygiene Report”, Foundatıonal Controls For Security Complıance & IT Operatıons, 2018, s.2–7 10  6. Kontrol: Denetimlerin İzlenmesi ve Analizi, Onarımı Güvenlik önlemleri ve analizleri, BT ekiplerinin saldırganların yerlerini belirleyebilmelerine, kötü niyetli yazılımları tespit etmelerine ve zararsız makinelerde etkinlikleri izlemelerine yardımcı olabilir. 1.2. Siber Güvenlik Standartları Siber güvenliğin etkili bir şekilde yönetilebilmesi için kurumların sahip oldukları bilgilerin standartlar aracılığıyla herhangi bir tehlikeye karşı korunması gerekmektedir. Bu standartlar teknolojilerin getirdiği yenilikler sayesinde sürekli olarak değişim ve gelişim göstermektedir27. Bu çalışmada uluslararası kabul görmüş ISO 27000 serisi ve COBIT standardına yer verilmiştir. 1.2.1. Uluslararası Standartlar TeĢkilatı ISO 27000 Standartlar Serisi ISO 27000 standardı, güvenlik riskini en aza indirmek veya güvenliğini tehdit eden durumlar karşısında yol gösterici olmak konumundadır. Bu standart, ISO 27000 ile ilgili kavramları ve bilgi güvenliğiyle ilgili temel bilgileri içerisinde barındırmaktadır28. 27 Şeref Sağıroğlu, Siber Güvenlik ve Savunma Standartlar ve Uygulamalar, BGD Siber Güvenlik ve Savunma Kitap Serisi 3, Grafiker Yayınları, 1.Baskı, Ankara, 2019, s.51 28 Mustafa Özlü ve İzzet Gökhan Özbilgin, “Yazılım GeliĢtirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi”, XII. Akademik Bilişim Konferansı Bildirileri, Muğla Üniversitesi, 10-12 Şubat 2010, s.224 11 ġekil 3: ISO / IEC 27000 Standardı Ailesi Kaynak: Faruk Çubukçu, Bilgi Güvenliği Yönetim Sistemi, ISO 27001:2013 Uygulama Kılavuzu, 2018, s.24 1.2.1.1. ISO 27001 İlk olarak 2005 yılında ortaya atıldığında BS 7799-2 olarak isimlendirilen bu standart daha sonra güncellenerek ISO 27001 ismini almıştır. ISO 27001 Standardının ortaya çıkma sebeplerinin başında dijital ortamda saklanan bilgilerin, başkaları tarafından ele geçebilecek durumda olmasıdır. Çalınan bilgiler daha sonra şirketler/kurumlar için büyük tehlikeler barındırabilir. Bu sebeple bilgilerin gizliliğinin sağlanması, bütünlüğünün korunması ve yetkisiz kişiler tarafından erişimin engellenebilmesi için bu standart ortaya çıkmıştır. ISO 27001 standardı kurumların bilgi güvenliğini sağlayabilmesi için uluslararası bir standarttır. Bu standardı kullanamaya en çok ihtiyacı 12 olan kurumların başında finans, kamu ve sağlık sektörleri gelmektedir. Çünkü bu tür kurumlarda başkalarına ait bilgiler saklanmaktadır29. ISO 27001 Standardının işletmelere/kurumlara sağladığı bazı faydalar şöyledir30;  Bilgileri koruyarak riskini en aza indirir.  Kurumun daha verimli bir şekilde çalışmasına katkı sağlar.  Bilgilerin doğru ve güvenilir bir biçimde korunmasına olanak sağlar.  Şirketin/İşletmenin sahip olduğu tüm bilgilerinin gizli kalmasını sağlar.  Şirkette bilgilerin korunmasına dair farkındalık ortaya koyar. Şirketin bilgi güvenliği konusundaki eksikliklerini ortaya çıkarmakla birlikte bu alanlarda daha yüksek güvenlik önlemi alınmasına olanak sağlar.  Bilgilerin içeriğinin yetkisiz kişiler tarafından değişmesini engeller.  Yasal olarak uyulması gereken ilkelerin yönetmeliğe uygun olmasını yardımcı olur.  Şirketin kurumsal saygınlığını korur.  Rakipleriyle rekabette daha avantajlı bir yerde olmasına yardımcı olur. ġekil 4: ISO 27001 Faydaları (%) Kaynak: https://www.bsigroup.com/tr-TR/ISO-27001-Bilgi-GuvenligiYonetimi/ISOIEC-27001-Revizyonu/, (15.10.2019) 29 Faruk Çubukçu, Bilgi Güvenliği Yönetim Sistemi ISO 27001: 2013 Uygulama Kılavuzu, Pusula 20 Yayıncılık, 1.Baskı,İstanbul, 2018, s.17–27 30 Özbilgin ve Özlü, a.g.m., s.1–8 13 İşletmeler ve kurumlar, PUKÖ kavramıyla birlikte daha etkili bir bilgi güvenliği sistemi uygulamayı ve yönetmeyi amaçlamaktadırlar. PUKÖ sayesinde BT risklerini en kısa zamanda kaldırmayı hedeflemekte ve daha iyi bir sistem için Planla, Uygula, Kontrol Et, Önlem Al (PUKÖ) modelini esas almaktadır31. ġekil 5: BGYS'nin PUKÖ Modeli Kaynak: http://www.bilgiguvenligitr.com/bilge-adam-guvenlik-egitimleri/egitim-2isoiec-27001-bilgi-guvenligi-yonetim-sistemi-uygulama-egitimi/, (17.10.2019) BGYS aşamaları, Plan-Do-Check-Act32:  Planlama (Plan): BGYS‟nin amaç ve hedeflerinin belirlenmesi, politika ve prosedürlerin hazırlanması, üst yönetimin desteğinin alınması, kurumun mevcut 31 Mustafa Yılmaz, ĠĢletmelerde Bilgi Güvenliği Uygulama Sorunları ve Çözüm Önerileri; Konya Örneği, Karatay Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Yüksek Lisans Tezi, Konya, 2018, s.36-37 32 Çubukçu, a.g.e., s.93–101 14 olan eksikliklerinin belirlenmesi, işletmenin ihtiyacı olan yazılımların belirlenmesi, bilgi varlıkları temelinde risk analizi ve çalışmaları süreçlerini içermektedir.  Uygula (Do): Bu süreçte planlama aşamasında belirlenen politikalar ve hedefler uygulanır. Bu aşamada seçilen kontrollerin uygulanması, performans analizi, bilgi güvenliği ihlaliyle karşılaşıldığında etkili müdahalede bulunulması, BGYS ekibi belirlenen riskleri gözden geçirme ve riskleri azaltmak için çalışmalar yapmaktadır.  Kontrol Et Bu (Check): süreç BGYS‟de hedeflenen performansın değerlendirilmesi ve raporlanmasını içerir. Sistemin iyileştirilmesi, kontrol etme sürecinin doğru bir şekilde yapılıp yapılmadığına bağlıdır. Belirli sürelerle iç denetimler yapılarak ortaya çıkan sonuçlar hakkında üst yönetimle görüşülmektedir.  Önlem Al (Act): Tespit edilen durumlara göre düzeltici ve önleyici faaliyetlerde bulunulur. PUKÖ modeli kısaca, ne yapılması gerektiğini, kararların uygulanmasını, sistemin çalışırlılığının kontrol edilmesini ve istenildiği gibi çalışmayan kontroller için önlemler alınmasını ortaya koymaktadır33. 1.2.1.2. ISO 27002 Eski adı ISO 17799 olarak yer alan bu standart, 2007 yılında ISO 27000 serisi bilgi güvenliği standartlarına ait olduğu açıkça belli olması için içeriğinin aynı kalmasıyla birlikte ismi ISO 27002 olarak değiştirilmiştir. ISO 27001 Standardının uygulamasında yerine getirilecek hususlar ISO 27002 de yer almaktadır. ISO 27002 standardına göre; bu standart, işletmelerdeki bilgi güvenliği ve risk yönetimini ön planda tutarak kontrollerin doğru seçilebilmesi, yönetilebilirliğini ve uygulanabilirliğini bir bütün olarak içerisinde bulunduran bilgi güvenliği uygulamaları için rehber niteliği kapsadığını ifade etmektedir34. 33 M. Mahir Ülgü vd.(Editörler), Bilgi Güvenliği Politikaları Kılavuzu Sürüm 2.1, T.C. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü, Kuban Matbaacılık Yayıncılık, Ankara, 2019, s.19 34 https://intweb.tse.org.tr/Standard/Standard/Standard.aspx?, (22.10.2019) 15 ISO 27001 ve ISO 27002 standartları arasındaki farklara bakmak gerekirse; ISO 27001 standardı, güvenilir bir sistem yönetimi ve bilgi güvenliği altyapısı oluşturmak için kullanılırken, ISO 27002 standardı ise bilgi güvenliği kontrollerini uygulamak için kullanılmaktadır. ISO 27001 standardı Bilgi Güvenliğindeki büyük resmi göstermekteyken bu standartta anlatılanları uygulayabilmek için ise ISO 27002 vb. standartlar incelenir35. ġekil 6: ISO 27001 Ailesi Kaynak: Ahmet Bozgeyik, Gaziantep‟te Faaliyet Gösteren Orta ve Büyük Ölçekli ĠĢletmelerin Siber Güvenlik Yönetim YaklaĢımlarının Analizi, Hasan Kalyoncu Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Doktora Tezi, 2018 1.2.2. COBIT COBIT, ISACA tarafından 1996 yılında Türkçe karşılığı Bilgi ve İlgili Teknolojiler için Kontrol Hedefleri olan “Control Objectives for Information and Related Technology” kelimelerinden üretilmiş, BT Yönetimi için en iyi uygulamalar bütünüdür. COBIT, bilişimsel ve ilgili teknolojilerle ilişkisi olan bilgileri kontrol ederek yönetmeyi amaçlamaktadır36. COBIT‟in ilk bölümünün yayınlanmasından sonra sürekli olarak güncellemelere tabi tutulmuştur. COBIT 1 ile başlayan uygulamanın son versiyonu COBIT 5 olarak kurumsal BT yönetişimi kavramını ön plana çıkarmıştır. COBIT‟i ISO vb. diğer standartlardan ayıran temel özellik tüm BT fonksiyonlarını içerisine alan bir 35 https://www.mshowto.org/iso-27000-ailesi-standartlari-nedir.html, (22.10.2019) Orhan Yılmaz, ITIL ve COBIT Yönetim Standartları ve Bir Uygulama, Beykent Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Yönetimi Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2014, s.31 36 16 çerçeve sunmasıdır37. COBIT, gelişen ve değişen teknolojinin getirdiği risklerin nasıl yönetileceğine ve sistemleri nasıl daha güvenilir duruma getirebiliriz sorusuna yanıt aramaktadır38. COBIT 5‟ten bankacılık, sigorta, kamu, üretim, sağlık, enerji, telekomünikasyon, otomotiv sektörlerinden belirli bir ölçeğe ulaşmış olan işletmeler faydalanabilmektedir39. ġekil 7: COBIT Şemsiyesi Kaynak: Fatih Akyol, COBIT (Bilgi ve Ġlgili Teknolojiler için Kontrol Hedefleri) Uygulayan ġirketlerdeki Bilgi Güvenliği Politikalarının ġirket, Personel ve Süreçlere Etkileri, Yüksek Lisans Tezi, 2013 COBIT‟in bir kuruma sağladığı faydalardan bazıları şu şekilde ifade edilmiştir40: a) Bilgi ve donanım varlıklarını kurum hedeflerine göre kullanır. b) Stratejik hedeflere ulaşmak için etkin ve yenilikçi fayda sağlar. 37 Fatih Güneş vd., Bilgi Teknolojileri Denetimi ve COBIT‟in Sektörel Uygulanabilirliği, Beykent Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği, s.3–4 38 Eliza Natasa Artinyan, “Cobit Çerçevesi”, Deloitte, s.1–2 39 COBIT 5: Ne kadar hazırsınız?, Kurumsal Bilgi Teknolojileri Yönetişim Çerçevesi, Pwc, s.2–4 40 Şahinaslan, a.g.t., s.38 17 c) Siber risklere karşı güvenli ve verimli bir teknolojik ortam sunar. d) Kabul edilebilir düzeyde tehdit riskini yönetir. e) İşletme yönetimini, maliyetlerini ve hizmetleri iyi duruma getirir. f) Süreçlerin ilgili bölümlerinde ilgili standart (ISO 9001/27001, ITIL, CMMI ve PMI vb.) yaklaşımları tavsiye eden çerçeve yapı sağlayan denetim aracı olarak katkı sağlar. 1.3. Siber Silahlar Siber Silah, insanlara ve cihazlara fiziksel zarar verme ya da sabote etme amacıyla birtakım kimseler/kurumlar tarafından siber savaş sırasında siber saldırılarda kullanılan yazılımlar ve cihazlar olarak tanımlanmaktadır41. NATO Güvenlik Danışmanı Rex Hughes siber silahlarla ilgili şu cümleyi kullanmıştır: “Yakın gelecekte çıkabilecek büyük bir savaşta ilk mermi internette atılacaktır”42. 1.3.1. Virüs Kullanıcılar tarafından fark edilemeyerek sistemler üzerinde değişiklik yapıp onları bozabilen ve istem dışı görüntüleri ekrana yansıtabilen bir zararlı yazılım türüdür. Virüsler, gizlendikleri süre boyunca hedeflerine ulaşabilmekte ve sistem içerisindeki varlıklarını sürdürebilmektedirler. Sistemlere daha büyük zararlar verebilmek ve kullanılabilirliğini engellemek için sürekli yayılım eğilimindedirler43. Farklı boyutlarda tehditler içeren virüsler, son zamanlarda en çok kullanılan siber saldırıları araçlarından biri olarak yer almaktadır44. E-posta adresine gelen bir e-mailin okunmasıyla veya dosyanın açılması ile kullanıcı kişi virüsü yayabilir. Virüsler, istemeyerek de olsa kişilerin müdahalesi ile harekete geçmesi özelliği sayesinde diğer zararlı yazılımlardan ayrılmaktadır. Bu durumda 41 Stefano Mele, “Cyber-weapons: Legal and Strategic Aspects Version 2.0”, Italian Institute of Strategic Studies, 2013, s.10 42 Mehmet Tutuş ve Özgür Ulusan, “E-Devlet ve Siber Güvenlik GeliĢmiĢ Siber Silahlar”, Türk Hava Kurumu Enstitüsü, 2013, s.5 43 Sağıroğlu ve Alkan, a.g.e., s.228 44 Meral, a.g.t., s.16 18 kullanıcıların uğrayabileceği zararları kısmen ya da tamamen ortadan kaldırabilmek için virüs koruma programları ortaya çıkmıştır45. 1.3.2. Solucan Bilgisayar kurtları olarak da bilinen solucanlar, e-mail, crack programlar, korsan oyun, Dvd ve Cd‟ler yoluyla sisteminize sızabilmektedir. Sisteminizde sürekli olarak yerini değiştirebilen ve bununla birlikte çoğalabilen programlardır. Virüslerden farklı olarak sisteminizde girdiği andan itibaren kopyalama işlemini otomatik olarak gerçekleştirmektedir. Bununla birlikte bilgisayarınız içerisinde yer alan bir solucan kullanıcıdan bağımsız olarak herhangi bir komut olmaksızın çoğalmaya başlamaktadır. Bilgisayarınıza sızan solucanın ortaya çıkartabileceği en kötü durum bilgisayarın RAM‟indeki kullanım alanın arttırarak kısa bir zamanda çalışmaz hale gelmesine ya da çökmesine sebep olmasıdır. Solucanların izlediklerin yol aşağıdaki şekilde görülmektedir46. ġekil 8: Solucanların İlerleme Aşamaları Kaynakça: https://www.tech-worm.com/worm-solucan-nedir/, (28.10.2019) Solucanlar; ağ solucanı, e-posta solucanı, özel kod yapılı solucanlar ve mobil kod zararlılar olmak üzere ayrı şekilde görülmektedir. Bunların arasından ağ bağlantısı ile bulaşan ve sistem içerisinde kendi kendine çoğalma tehlikesi bulunan Worm.Win32/Rimecud.B bir solucan türünün sistem üzerinden kaldırılması için uyarı penceresi aşağıda görülmektedir47. 45 Gürol Canbek ve Şeref Sağıroğlu, “Kötücül ve Casus Yazılımlar: Kapsamlı bir AraĢtırma”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.22, Sayı.1, 2007, s.123 46 https://www.tech-worm.com/worm-solucan-nedir/, (28.10.2019) 47 Şahinaslan, a.g.t., s.18–19 19 ġekil 9: Solucan Yazılımı Uyarısı Kaynak: Önder Şahinaslan, Siber Saldırılara KarĢı Kurumsal Ağlarda OluĢan Güvenlik Sorunu ve Çözümü Üzerine Bir ÇalıĢma, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Anabilim Dalı, Doktora Tezi, 2013 1.3.3. Casus Yazılım Casus yazılımların diğerlerinden farklı olan unsurları, sistemin içerisine sızdıktan sonra kopyalarını oluşturarak çoğalmaya gerek duymamalarıdır. Bu tür yazılımların amaçları, kişisel bilgileri kullanıcılar tarafından fark edilmeyerek ele geçirmektir. Daha sonrasında ise ele geçirilen bu bilgiler ticari amaçlar için kullanılmaktadır48. Kullanıcılar, internette gezerken istemeyerek bu tür yazılımların sistemlerine girmesine izin verebilmektedirler. Bu sebeple ilgi çekici reklamlara, indirim fırsatları adı altında gelebilecek çeşitli mesajlara inanmamalı ve dikkatli davranmaları gerekmektedir. Aksi taktirde istemeyerek de olsa sistem içerisindeki kurulumu veya onayı kullanıcılar kendileri gerçekleştirmektedirler49. Spyware (casus yazılım), sistem içerisinde çalışmaya devam ederken bilgisayarınızda ve internette gerçekleştirdiğiniz işlemleri takip etmektedir. Örnek vermek gerekirse sisteminize bulaşan casus yazılımlar aşağıdaki işlemlerden bir kısmını yapıyor anlamına gelebilir50:  Giriş yaptığınız Web sayfalarının adresini kaydetmek,  E-posta üzerinden iletişime geçilen kişilerin bilgilerini kaydetmek, 48 Resul Daş, Şahin Kara ve M. Zekeriya Gündüz, “Casus Yazılımların Bilgisayar Sistemlerine BulaĢma Belirtileri ve Çözüm Önerileri”, s.1 49 Hüseyin Akarslan, BiliĢim Suçları, Seçkin Yayıncılık, Ankara, 2012, s.93 50 Michael Miller, PC Güvenliği ve Bilgisayar Virüsleri, Alfa Basım Yayım, 2003, s.314 20  Size ulaşan ya da sizin gönderdiğiniz maillerin içeriklerini kaydedilmesi,  Bilgisayarınızı kullanırken klavyeye her bastığınız anda harflerin kaydedilmesi,  Bilgisayarı kullanırken farenin sistem içerisindeki tüm hareketlerinin takip edilmesi,  Tüm sohbet kanallarının içeriğini takip ederek kişisel verilere (isim, adres, fotoğraf) ulaşmak. ġekil 10: Spyware sisteminizi nasıl izler ve bildirir? Kaynak: Michael Miller, PC Güvenliği ve Bilgisayar Virüsleri, 2003 1.3.4. Truva Atı Truva atından ismini alan trojanlar, sistemlere girerek çok iyi bir şekilde kendilerini gizleyebilmektedirler. Facebook, whatsapp, e-posta gibi uygulamalar yoluyla karşı tarafa ilgi çekici mesajlar iletilebilir ayrıca reklamlar verilebilirken bu tür aldatıcı bağlantılara tıklanmamalıdır. Tarafımıza ilgimizi çeken bir e-mail ulaştığında kimden geldiğini bilmediğimiz iletileri açtığımız taktirde trojanlar sisteme sızmaya başlayabilirler. Trojanlar çok daha tehlikeli hale de gelebilmektedir, bunlara örnek vermek gerekirse; bilgisayarınızdaki kameraya ulaşarak sizi izleyebilir ve mikrofonunuz aracılığıyla sizi dinleyebilir51. Truva atı bulaşmış bir bilgisayarın tehlike boyutunu anlatabilmek şu çerçevede daha iyi anlayabiliriz. Yukarıda da bahsettiğimiz gibi kişiler 51 Olcay Büyükçapar, BiliĢim Teknolojileri ve Yazılım, Kodlab Yayıncılık, İstanbul, 2018, s.57 21 genellikle tanıdığı kişilerden gelen e-mailleri açmakta ve linklere tıklamalıdır. Ancak email gönderen kişi aslında karşı tarafın bilgisayarına sızmış bir truva atı olabilir. Çünkü bilgisayara sızmış olan truva atı kullanıcının e-mail bilgilerini ele geçirerek hatta içerisine sızarak e-mail kutusu içerisinde yer alan kullanıcılara, yakın arkadaşlarına emailler gönderebilir. E-Mail alan kişi, gönderen kişiyi tanıdığı için bu iletiyi rahat bir şekilde açmaktadır. Aslında e-mail bir truva atıdır ve artık kendi sistemine de bulaşmıştır. Sisteminizi bu tür tehlikeli yazılımlardan korumak için güçlü anti-virüs programları kullanarak sisteminizi her zaman güncel tutmak gerekmektedir52. Virüslerin çalışabilmesi için bir dış müdahale gerekirken, solucanlar ise sistem içerisinde girdikten sonra kendi kendilerine çoğalabilme özellikleri bulunmaktadır. Truva atları, kendi kendilerine çoğalamama özelliği sebebiyle virüsler ile benzerlik gösterse de faydalı bir program gibi gözükerek arka planda sisteme zarar verecek çalışmalar yürüten bir casus yazılımdır53. 1.3.5. Arka Kapı Arka kapı, sistem üzerinde istenildiği zaman ortaya çıkarılamayacak şekilde, kullanıcı adı ve şifre gibi kimlik doğrulama metotlarını devre dışı bırakarak yasadışı yöntemlerle sisteme ulaşma ve bilgilere erişme imkânı sağlayan bir yöntemdir54. Zaman zaman truva atları ve arka kapılar birbirine karıştırılmaktadır. Hem arka kapı hem de truva atları sisteme sızmayı amaçlayan zararlı yazılımlardandır. Ancak truva atı görünürde zararlı bir yapı gibi kendini ortaya vermezken, arka kapı yalnızca sistemin içerisine girmeyi hedefleyen gizli yapılar olarak bilinmektedir55. 1.3.6. Mantık Bombası Mantık bombaları, belirli bir sistemin içerisinde yer alan zararlı yazılımlar olarak karşımıza çıkmaktadır. Bu tür zararlı yazılımlar sistemlere sızarlarken kullanıcı kişiler 52 Miller, a.g.e., s.74–75 Barış Çeliktaş, Siber Güvenlik Kavramının GeliĢimi ve Türkiye Özelinde Bir Değerlendirme, Karadeniz Teknik Üniversitesi, Sosyal Bilimler Enstitüsü, Uluslararası İlişkiler Anabilim Dalı, Yüksek Lisans Tezi, Trabzon, 2016, s.33 54 Akarslan, a.g.e., s.95 55 Canbek ve Sağıroğlu, a.g.e., s.126 53 22 tarafından fark edilmeleri çok zordur. En yaygın zararlı yazılımlar arasında bulunan mantık bombaları, sistemlere sızdıkları süreden itibaren verileri ortadan kaldırmaya çalışırlar. Etki alanları çok geniş bir kitledir56. 1.3.7. Kök Kullanıcı Takımı Kök kullanıcı takımları, bir saldırının başarılı olması durumunda sızılan sisteme eklenen yazılımlardır. Takım içerisinde bulunan araçlar, saldırganın izlediği yolu ve daha sonrasında sisteme girerken yakalanmaması için sistem içerisinde bıraktığı arka kapıları oluşturur. Bu sayede saldırgan sistem içerisinde rahat bir şekilde hareket edebilmektedir57. Kök kullanıcı takımlarının önemli iki unsuru bulunmaktadır. İlki giriş yaptıkları sistemde, herhangi bir yetki sınırlandırılması ile karşı karşıya kalmamak için ihtiyaç duyulan komutların girilmesidir. İkincisi ise sisteme sızan kişilerin, kendilerinden daha üstün yetkiye sahip olanlardan gizlenmeleridir58. 1.3.8. Köle Bilgisayarlar / Botnet / Zombi Bilgisayar Zombi bilgisayarlar, kullanıcının haberi olmaksızın sistemine yüklenen zararlı yazılımın, sistem kontrolünün başkaları tarafından ele geçirilmesi ve bu sayede hedefteki sistemlere saldırılar gerçekleştirmek amacıyla kullanılan bilgisayarlara verilen isimdir. Botnetler, siber saldırıların en önemli alt yapı bileşenlerinden biridir. Botnet ağları, komuta ve kontrol sunucularından ve saldırıya katılan aynı zamanda uzaktan yönetilebilen çok sayıda virüslü bilgisayarlardan oluşmaktadır59. Zombi bilgisayarların artmasıyla birlikte siber saldırıların ortaya çıkartacağı boyutta da bir artış gerçekleşmektedir. 56 Akarslan, a.g.e., s.94 Canbek ve Sağıroğlu, a.g.e., s.127 58 Akarslan, a.g.e., s.94–95 59 Louis Marinos, Adrian Belmonte ve Evangelos Rekleitis, “Enisa Threat Landscape 2015”, European Union Agency For Network And Information Security, 2016, s.26 57 23 ġekil 11: Zombi Bilgisayarların Siber Saldırılarda Kullanılması Kaynak: https://www.stm.com.tr/documents/file/Pdf/052_siber_tehdit_durumu_rapor_2016-08-03-10-57-17.pdf, (22.12.2019) Zombi bilgisayar haline dönüşen bir sisteme yüklenen programlar sayesinde saldırganlar istedikleri zaman DDos komutlarını göndererek sistemleri aktif hale getirmekte ve gerçekleştirilecek olan siber saldırıya dahil etmektedir.60 Mühendislik Teknoloji Danışmanlık dergisinin siber tehdit durum raporunda şu bilgilere yer verilmiştir61: 2016 yılında EMEA (Europe, Middle East and Africa) ülkeleri arasında yapılan bir araştırmada botnete bağlı cihazların sayısı tespit edilmiştir. Buna göre Türkiye ilk sırada yer almakta, şehirler olarak bakıldığında ise İstanbul ve Ankara botnetlere bağlı en fazla cihaz bulunan şehirler arasında birinci ve ikinci sırada yerlerini almaktadır. 1.3.9. Fidye Virüsü Saldırganlar, sistemlere müdahalede bulunarak verilerin asıl sahibi olan kişilerin ulaşmasına engel olmaktadır. Daha sonra bu verilere sahip olan kişilerle iletişime geçerek belirli bir fidye karşılığında verileri, dosyaları erişime açmaktadır. Bu tür zararlı 60 61 https://docplayer.biz.tr/12545187-Dos-ddos-zombi-bilgisayar-ve-botnet-nedir.html, (25.12.2019) “2016 Ekim-Aralık Dönemi Siber Tehdit Durum Raporu”, STM Mühendislik Teknoloji Danışmanlık, s.12 24 yazılımlara fidye virüsleri ismi verilmiştir. Fidye yazılımlarını sistemlere bulaştıran saldırganlar, sistemlere bir ekran görüntüsü göndermekte ve bu şekilde kullanıcılarla iletişime geçmektedirler. İletişime geçerek fidye yazılımlar için banka yoluyla veya nakit olarak ödeme yapılırken saldırganlar genelde tespit ediliyordu ve onlar için büyük problemler ortaya çıkıyordu. Ancak Bitcoin vb. yeni ödeme yöntemleri türeyince ödemelerin takip edilmesi ve sisteme sızan kişilere ulaşmak artık daha zorlamıştır. Fidye yazılım saldırıları, bilgilerin çok kıymetli olmasıyla birlikte fidyelerinde yüksek seviyede istenildiği daha çok sağlık, finans ve telekomünikasyon şirketlerini hedef almaktadır. Fidye yazılımı saldırısının başarılı olması için gereken aşamaları şu şekildedir62:  Sistemin ele geçirilmesi,  Kullanıcının sistem içerisinde yer alan verilere erişimin engellenmesi,  Veri sahibine ödeyeceği fidyenin ve ödeme şeklinin bildirilmesi,  Veri sahibi tarafından yapılan ödemenin kabulü.  Ödeme alındığında asıl kullanıcıya erişim izninin verilmesi. 1.4. Siber Saldırı Türleri 1.4.1. DoS ve DDoS Saldırıları / Hizmet DıĢı Bırakma Dos (Denial Of Service- Servis Hizmet Reddi) saldırılarında amaç kullanıcıların sistemlere ulaşmasını engellemektir. Her sistemin bir kapasitesi bulunmaktadır ve bu kapasitenin aşılması durumunda sistemlere ulaşmak çok zorlaşmakta ya da erişilemez hale gelmektedir. DDos saldıırları ise Dos saldırılarındaki gibi tek bir servis sağlayıcısıyla yapılmamaktadır. DDos saldırıları sırasında ne kadar çok zombi adı verilen bilgisayarlar kullanılırsa saldırının gücü de o oranda artmaktadır. Zombi bilgisayarlar, DDos saldırları öncesinde ele geçirilmiş ve istenilen zaman saldırıya katılabilir durum da ki sistemlerdir. DDos saldırıları ile Dos saldırılarını kıyasladığımızda, 62 DDos saldırılarının boyutları Çeliktaş ve Çelik, a.g.m., s.108–109 25 daha büyük zararlar ortaya çıkarmaktadır. Bu tip saldırılarda amaç sistemin içerisine sızmak değil, verilen hizmeti askıya/sekteye uğratmaktır63. Corero 2018 Yılı DDoS Trend Raporu‟nda yayınlanan istatistiklere göre64;  2018 yılında yapılan DDos saldırılarının %82‟si düşük boyutlarda gerçekleşmiştir.  Yüksek boyutlarda gerçekleştirilen saldırıların oranı toplam saldırıların %2‟si olarak gözlenmiştir.  2018 yılında yapılan DDos saldırılarının %81‟i 10 dakika veya daha kısa sürmüştür.  DDos saldırılarının %96‟sı 60 dakika veya daha kısa sürmüştür.  2017 yılında 10 dakikadan daha az süren saldırıların oranı %71 iken, 2018 yılında %81 olarak gerçekleşmiştir. Q4 2017 Global DDoS Threat Landscape Raporu‟ndaki istatistiklere göre; ABD %24, Güney Kore %10,3 ve Çin %8,7 oranlarıyla DDos saldırısı gerçekleştiren ülkeler listesinde en üst sıralarda yerlerini almıştır. Türkiye ise %2,1 ile en fazla DDos saldırısı gerçekleştiren 10 ülke arasında dokuzuncu sırada yerini almıştır65. 1.4.2. Sosyal Mühendislik Sosyal Mühendislik (Social Engineering), bireyleri aldatmayı hedefleyen ve ileri seviye teknoloji kullanılmasına gerek kalmadan gerçekleştirilen bir saldırıdır66. Sosyal mühendislik tipi saldırılardan korunmak amacıyla savunma sistemleri kurulmakta ve buna bağlı olarak da kurumların güvenlik prosedürleri daha iyi bir duruma gelmektedir. Sosyal mühendislik denetimleri yaptıran kurumlar, bu tip bir saldırıyla karşı karşıya kalma ihtimalleri diğer kurumlara göre daha azdır. Çünkü 63 https://www.beyaz.net/tr/guvenlik/makaleler/dos_ve_ddos_nedir.html, (01.01.2020) Corero, “Full Year 2018 DDoS Trends Report”, 2019, s.4–6 65 Imperva, “Global DDoS Threat Landscape Q4 2017”, 2018, s.8-17 66 Gökhan Muharremoğlu ve Raif Berkay Dinçel, “Sosyal Mühendislik”, Pwc, 2018, s.1 64 26 denetimlerin yapıldığını bilen şirket çalışanları, uyulması gereken güvenlik kurallarını iyi bilmekte ve ona göre kontrol eylemleri daha etkin bir şekilde çalışmaktadır67. Sosyal Mühendislik saldırılarının diğer saldırılara göre başarılı olmalarının temel sebepleri68;  İnsanlar kandırılabileceklerini asla düşünmemektedir.  İşletmeler aldıkları güvenlik tedbirlerinin teknik olarak yeterli olduklarını düşünmektedir.  Bilgi güvenliğinin aşılabilecek en zayıf noktası „„İnsan‟‟ boyutudur. ġekil 12: Sosyal Mühendislik Saldırı Planı Bilgi Toplama İyi İlişkiler kurmak, Güven Kazanmak Güveni İstismar Etmek Bilgiye Erişim, Bilgiyi Kullanma Kaynak: Alper Başaran ve Okan Yıldız, Sosyal Mühendislik Saldırıları 1.4.3. Yemleme-Oltalama Saldırıları Oltalama (Phishing) tekniği kullanılarak yapılan saldırılarda, kullanıcıların kredi kartı bilgileri, kimlik bilgileri gibi özel bilgilerini ele geçirmek amaçlanmaktadır. Saldırganların en fazla tercih ettiği oltalama yöntemi, bir bankadan veya finans kurumları tarafından gönderilmiş gibi gözüken e-postalardır. E-Mailin içeriğinde genellikle bir form bulunmakta ve bu formda hesap numarası, şifre vs. gizli tutulması gereken bilgiler yer almaktadır. Zaman zaman kim oldukları belli olmayan kişiler bu sefer e-posta yoluyla değil de telefonla arayarak veya mesajla iletişime geçmekte ve bilgileri talep etmektedir69. 67 Hasan Bağcı, “Sosyal Mühendislik ve Denetim”, Denetişim Dergisi, Kamu İç Denetçiler Derneği, Sayı.1, 2016, s.48 68 Okan Yıldız ve Alper Başaran, “Sosyal Mühendislik Saldırıları”, s.17 69 https://www.eset.com/tr/phishing/, (10.01.2020) 27 1.4.4. IP Aldatmacası-Gizlenmesi Bu saldırı türünde saldırgan, güvenilir bir sitenin internet protokolünü (IP) kullanarak herhangi bir kişinin sistemine bağlanmaktadır. Bu sayede saldırıyı gerçekleştirirken kendi kimlikleri ortaya çıkmamakta ve gizlenmektedirler70. IP aldatması (IP Spoofing), en fazla Dos saldırılarında görülmektedir. Saldırı başladığı andan itibaren gönderilen paketlerin hepsi farklı adreslerden geliyormuş gibi gözüktüğü için asıl saldırganın belirlenmesi mümkün olmamaktadır71. Ülkemizde Yüksek Öğretim Kurumuna (YÖK) yapılan saldırı buna bir örnektir. Sitede bulunan açıklardan yararlanarak YÖK‟ün internet sitesini hacklemişlerdir. Ele geçirdikten sonra üniversiteler ile ilgili evrakları, YÖK‟e gelen şikayetleri ve birçok gizli yazışmaları sosyal medya üzerinden paylaşmışlardır. Siber güvenlik uzmanları saldırganları yakalayabilmek için harekete geçseler de saldırı IP Spoofing yöntemi ile yapıldığından saldırıda yer alan bilgisayarların IP adreslerinin kamu kurumlarına ve ilgisiz kişilerin üzerine kayıtlı oldukları ortaya çıkmıştır72. 1.4.5. Sıfırıncı Gün Saldırıları Sıfırıncı gün(0-Day) saldırıları, yazılımlarda büyük zararlar verebilecek daha önceden bilinmeyen ve ortaya çıkartılmamış zafiyetlerin saldırganlar tarafından bulunmasıdır. Yazılımı yapanlar, uygulamanın herhangi bir kısmında zafiyet bırakmayacak duruma getirip bu aşamadan sonra kullanıma açmalıdır. Eğer kullanılan bir uygulamada zafiyet varsa da geliştirici en kısa sürede bir yama ortaya çıkartarak bunu düzeltmelidir. Eğer geliştirici buna dikkate almaz ve bazı kısımlarında açıklar bırakırsa sıfırıncı gün saldırılarına uğrayabilir73. Bireyler ve kurumlar da kendi sistemlerini sürekli güncel tutarak bu tür bir saldırıdan korunabilirler74. 70 Muharrem Gürkaynak ve Adem Ali İren, “Reel Dünyada Sanal Açmaz: Sıber Alanda Uluslarararası ĠlıĢkıler”, Süleyman Demirel Üniversitesi, İktisadi ve İdari Bilimler Fakültesi Dergisi, Cilt.16, Sayı.2, s.272 71 https://tr.wikipedia.org/wiki/IP_spoofing, (11.01.2020) 72 Su Dilara Alioğlu, Siber Saldırılar ve Ülkelerin Siber Güvenlik Politikaları, İstanbul Bilgi Üniversitesi, Lisansüstü Programlar Enstitüsü, Bilişim ve Teknoloji Hukuku Yüksek Lisans Programı, 2019, s.32–33 73 https://www.beyaz.net/tr/guvenlik/makaleler/zeroday_nedir.html, (15.02.2020) 74 https://www.kaspersky.com.tr/resource-center/definitions/zero-day-exploit, (15.02.2020) 28 1.5. Siber Saldırı Örnekleri Siber saldırganlar, artık şirketleri hedef almaktansa şirkette çalışan personelleri hedef almaktadır. Kurumlar, çalışanlarına siber güvenlik eğitimleri vermeli ve farkındalığı sağlamalıdır. Aksi taktirde saldırganların bir numaralı hedefi haline gelmektedirler75. Siber saldırıların şirketlere verdiği zararlar her geçen gün artmaktadır. Kayıpları maddi anlamda büyük olmakla birlikte toplum içinde saygınlıklarını da büyük ölçüde yitirmektedirler. Bunun üzerine IBM‟in CEO‟su Ginni Rometty, „„Siber suç, dünyadaki her şirket için en büyük tehdittir.‟‟ açıklamasını yapmıştır. Amerikalı iş adamı Warren Buffet ise “Siber saldırıların, nükleer silahlardan bile daha kötü olduğunu söylemiştir”76. 1.5.1. RSA Securid Sızıntısı Siber saldırıların farklı amaçları da olabilir. Her siber saldırıda direkt olarak maddi kazanç hedeflenmemekte hedefteki kurumun dolaylı yolla maddi zarar veya itibar kaybına uğraması da hedeflenebilir. 2011 yılında gerçekleşen veri sızıntısının detayları RSA tarafından tam olarak açıklanmasa da Securid iki faktörlü kimlik doğrulama sistemi ile ilgili bazı bilgilerin çalındığı belirtilmektedir. Saldırganlar bu saldırı sayesinde doğrudan maddi kazanç elde edememekle birlikte RSA‟in ana şirketi olan EMC bu veri sızıntısı olayını kapatmak için 66 milyon USD harcamıştır. Saldırı RSA içerisindeki bazı çalışan gruplarına hedefli oltalama e-postası gönderilerek başlatılmıştır. Saldırının başarılı olmasının nedeni e-postaların ikna edici şekilde tasarlanmış olması ve adında “2011 İşe Alım Planı” olan ilgi çekici bir dosya içermesidir77. 1.5.2. Target Firmasına Saldırı Amerika‟da bulunan ünlü perakende firması Target 2013 yılının Kasım ayında ağır bir siber saldırıya uğramıştır. Bu saldırı sonucunda 40 milyon kişinin kredi kartı bilgileri ve 75 İsmail Saygılı, Dünyayı Yöneten Güç-Bilgi Güvenliğinin En Zayıf Halkası Ġnsan Faktörü, Siber Güvenlik Dergisi, Sayı.1, Mayıs 2017, s.56-58 76 https://www.cybermagonline.com/rakamlar-ve-istatistikler-ile-2018-icin-en-onemli-5-siber-guvenlik-gercegi, (22.02.2020) 77 Saygılı, a.g.m., s.58 29 70 milyon kişinin adres bilgileri, telefon numaraları vs. gibi özel bilgiler ele geçirilmiştir Hackerler, alışveriş anında POS cihazına takılan kredi ve banka kartlarının arkasındaki manyetik şeritte depolanan bilgileri ele geçirmişlerdir. Şirketin güvenlik ve ödeme sistemlerine kötü amaçlı yazılımlar yükleyerek bu saldırıyı gerçekleştirmiş bulunmaktalar. Bloomberg Businessweek haberine göre saldırı başladığı anda dışarıdan hizmet veren bilgi güvenliği uzmanları saldırı olduğu yönünde uyarılarda bulunmuş ancak Target firmasının yöneticileri bu uyarıları dikkate almamıştır78. Target firması, müşterilerine ait bilgilerin sızdırılması sebebiyle 2017 yılındaki mahkeme sonucunda 18,5 milyon USD ödemek durumunda kalmıştır. Aslında firma kayba uğrayan müşterilerinin tüm kayıplarını ödemeyi kabul etse de bu cezayı almaktan kurtulamamıştır. Mahkemenin kararına göre Target etkin bir bilgi güvenliği sistemi yürütememiştir. Çok büyük kayıplara uğrayan firma bu yaşananlardan sonra güçlü bir siber güvenlik sistemi kuracak ve bilgi güvenliği işlerinde daha yetkin kişilere bünyesinde yer verecektir79. 1.5.3. ICANN Firmasına Saldırı Dünya genelinde internet alan adlarının yönetilmesinde söz sahibi olan ve internetin gelişimine ve değişimine ilişkin önemli kararların alınmasında yetkili kurumların başında gelen ICANN (Internet Corporation for Assigned Names and Numbers) 2014 yılında, 20 dakikalık süre boyunca hacklendiğini duyurdu. Hackerlar tarafından ICANN‟den gönderilmiş süsü verilen e-postaların, ICANN çalışanları tarafından açılması ve yönlendirilen sahte sayfada çalışanların kişisel bilgilerini vermesi hackerların ICANN‟in dahili sistemlerine ulaşmasını sağladı. Dahili sistemlere yönetim erişimi alan hackerlar bu bölgede çalışanların mail adresleri, telefon numaraları ve çeşitli bilgilerini ele geçirdi. Problemin farkedilmesi üzerine çalışanlara ait tüm mail hesaplarını iptal eden ve şifreleri yenileyen ICANN güvenlikle ilgili gerekli önlemleri aldı. ICANN Wiki sayfası, ICANN blog ile Whois sorgulama portalını 20 dakikalık sure ile ele geçiren korsanlar alınan güvenlik önlemleri ile problem büyümeden sistemden uzaklaştırıldı. Konu ile ilgili açıklama yapan ICANN yetkilileri “Hack olayı 78 https://www.businessinsider.com/bloomberg-businessweek-publishes-brutal-interactive-cover-on-the-target-hack2014-3, (25.02.2020) 79 https://h4cktimes.com/veri-sizintilari/abdnin-dev-perakende-zinciri-targeta-sok-ceza.html, (26.02.2020) 30 ile ilgili kamuoyunu bilgilendirmek ICANN‟in önemle savunduğu şeffaflık ilkesinin bir gereğidir, ayrıca siber güvenlik konusunda paylaşılan bu bilgi diğer kurumların gerekli önlemleri almasında da rol oynuyor.” şeklinde açıklama yapmıştır80. 1.5.4. Alman Çelik Fabrikasına Saldırı Hackerler bu seferde 2014 yılında bir çelik fabrikasına siber saldırı düzenlemiştir. Almanya‟da bulunan çelik fabrikası uğradığı siber saldırı sonucunda, saldırganlar tesisi ele geçirmiş ve maden eritme ocaklarının istenildiği zaman kapatılmamasına sebep olmuş ve tesislerde büyük zararlar ortaya çıkmıştır81. Saldırının gerçekleşme anı şu şekildedir82: “Karmaşık sosyal mühendislik ve spear phishing tekniklerini kullanan hackerlar, fabrikanın ofis ağına erişti. Spear phishing, saldırganların sanki bir organizasyondan geliyormuş gibi epostalar gönderdiği bir saldırı tipi. Bu tür e-postalar ile ofis ağına erişen saldırganlar, buradan da üretim ağına sızdı. Bu aşamadan sonra ise bazı bileşenler ve hatta bütün sistemler çökmeye başladı. Fabrikanın maden eritme ocaklarından biri kontrollü bir biçimde kapatılamadı ve BSI‟a göre bu durum fabrikada devasa zararlara yol açtı. Saldırganların teknik yeteneklerinden ise “çok gelişmiş” olarak bahsedildi.” 1.5.5. Cathay Pacific Havayolu ġirketine Saldırı Merkezi Hong Kong‟da bulunan Cathay Pacific Havayolu şirketi 2018 yılında 9,4 milyon müşterisinin kişisel bilgilerinin, gerçekleşen bir siber saldırı sonucu çalındığını duyurmuştur. Bu saldırı sonucunda havayolu şirketinin hisselerin büyük düşüşler gerçekleşmiş ve yaklaşık olarak 201 milyon dolarlık bir değer kaybı yaşamıştır. Havacılık sektörünün en geniş kapsamlı siber saldırısı olarak tarihteki yerini almış bulunmaktadır. Bu olay saldırı gerçekleştikten yedi ay sonra ortaya çıkmış ve firma tarafından yapılan açıklamada; kişisel bilgilerin ele geçirildiği ancak bu bilgilerin 80 Siber Güvenlik Çağı, Natro Hosting Dergisi, Sayı.3, Ocak 2015, s.15 https://lepicallidus.com/teknoloji/almanyada-celik-fabrikasina-siber-saldiri, (27.02.2020) 82 https://www.technopat.net/2014/12/23/hackerlar-almanyada-celik-fabrikasini-hackledi/, (05.03.2020) 81 31 herhangi bir yerde kullanılıp kullanılmadığı ile ilgili bir bilginin olmadığını söylemişlerdir83. 2. SĠBER GÜVENLĠK VE ĠÇ DENETĠM 2.1 Ġç Denetim Türkiye İç Denetçiler Enstitüsü‟nün tanımına göre84; “İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.” İç denetim finansal işlemler ile ilgilendiği kadar aynı zamanda finansal olmayan işlemlere de odaklanmaktadır. Yapılan denetimler sayesinde yöneticiler ve çalışan kişiler yaptıkları işleri analiz ederek iç kontrol ile ilgili süreçleri değerlendirmektedir85. İç denetimin performansını değerlendirebilmek ve katma değerini ortaya çıkartabilmek için Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından “Uluslararası İç Denetim Standartları” yayınlanmıştır. Denetim sırasında bu standartlara uymak gerekmektedir86. İç denetim, işletmelerin faaliyet alanı ile ilgili tüm süreçlerinin gözden geçirilerek değerlendirilmesini içeren bir denetim türüdür. Bu denetim sayesinde kontrollerin 83 https://tr.sputniknews.com/asya/201810251035836450-cathay-pasific-havayollari-hacklendi-musteri-bilgilericalindi/, (07.03.2020) 84 https://www.tide.org.tr/page/26/Ic-Denetimin-Tanimi, (27.03.2020) 85 Nuran Cömert, “ĠĢletmelerde Kontrol ve Denetim Kavramlarının Doğru Kullanılması amacına Yönelik Kavramsal Bir Ġnceleme”, Marmara Business Review, Cilt.1, Sayı.1, 2016, s.12 86 Ali Kamil Uzun, “ĠĢletmelerde Ġç Denetim Faaliyetinin Rolü ve Katma Değeri”, Deloitte s.2 32 etkinliği ölçülmektedir. İç denetim görevini yerine getiren iç denetçiler, denetim sonucunda ortaya çıkan bulguları ve önerileri üst yönetim ile paylaşmaktadır. İşletme çalışanları, iç denetçilerin varlığını bilmesi durumunda kendilerinin işletme politikalarına ve planlarına ne derece uyum göstermiş oldukları ölçüleceği için davranışlarını ve faaliyetlerini daha dikkatli bir şekilde gerçekleştirmeye çalışacaklardır87. İç denetçilerin, sorumluluklarını yerine getirebilmeleri için gerekli olan bilgi ve beceriye sahip olması gerekmektedir. İç denetçilerin her alan hakkında uzmanlık seviyesin de bilgilerinin olması beklenmemektedir. Yetersiz olduklarını düşündükleri durumlarda dışarıdan uzmanlık desteği almaları gerekmektedir88. 2.2 Ġç Denetimin Amacı ve Kapsamı İç denetimin amacı; kurumların hedeflerine ulaşabilmesi ve karşı karşıya oldukları risklerin yönetilebilmesi için iç kontrol sistemine yönelik bağımsız ve tarafsız bir şekilde güvence hizmeti vermektir. İç denetim faaliyetini gerçekleştirenler, doğru bir risk yönetimiyle birlikte hem etkili hem de verimli kontrol ve kurumsal yönetim ile ilgili görüş ve öneriler vermektedir89. İç denetim sayesinde işletmeyi yönetmekle sorumlu olan kişiler görevlerini daha etkin bir şekilde yerine getirebilme fırsatına sahip olmaktadır. İç denetimin asıl amacı işletme yönetimine hizmet etmektir90. Bir işletmede hilenin ortaya çıkartılması iç denetimin esas amaçlarından bir tanesi olmasa da incelediği konular arasında yer almaktadır. Hilenin önlenmesi, caydırılması ve tespit edilmesi yönetimin sorumluluğu içerisindedir. İç denetim ekipleri yönetime, hile olaylarına karşı kontrollerin yeterli seviyede olup olmadığı konusunda güvence hizmeti sağlamaktadır91. Genel olarak iç denetimin kapsamı şunlardan oluşmaktadır92: - İç kontrol sisteminin incelenerek değerlendirilmesi, - Risk yönetim sisteminin bir bütün olarak incelenmesi, 87 Ersin Güredin, Denetim, Beta Basım Yayım, 10.Baskı, İstanbul, 1998, s.15 Davut Pehlivanlı, Modern Ġç Denetim Güncel Ġç Denetim Uygulamaları, Beta Yayınları, 2.Baskı, İstanbul 2014, s.18–19 89 İstanbul Serbest Muhasebeci Mali Müşavirler Odası, “Ġç Denetime Genel Bir BakıĢ”, 2015, s.14 90 Hasan Gürbüz, Muhasebe Denetimi, Bilim Teknik Yayınevi, 4.Baskı, İstanbul, 1995, s.51 91 Didem Doğmuş Yurdakul., “Avrupa Birliği‟nde Ġç Denetim Sistemi: Üye Ülke Uygulamaları”, H. Kıral içinde, İç Denetim, Ankara: İç Denetim Koordinasyon Kurulu, 2014, s.15 92 Bayram Aslan, “Bır Yönetım Fonksıyonu Olarak Ġç Denetım”, Sayıştay Dergisi, Sayı 77, s.68–69 88 33 - Yönetimin ve mali bilgi sisteminin incelenmesi, - Muhasebe kayıtları ile mali tabloların doğruluk ve güvenilirlik açısından incelenmesi, - İşletmenin her türlü faaliyetlerinin yasal mevzuata, standartlara ve belirlenen politika ve prosedürlere uygunluğunun incelenmesi, - Değerlendirmelerin sonucunda rapor verilmesi ve önerilerde bulunulması, - Raporlamadan sonra gereken izlemelerin yapılması. 2.3 Ġç Denetimin Unsurları 2.3.1 Bağımsızlık ve Tarafsızlık Bağımsızlık; iç denetçilerin görevlerini yerine getirirken tarafsızlığını bozabilecek durumlardan uzak durmalarıdır. Tarafsızlık ise iç denetçilerin görevlerini, çalışmaların sonucuna dürüst bir şekilde inanacakları ve bu denetimin kalitesinden taviz vermeyecek şekilde yapmalarını sağlayan tarafsız bir zihinsel tutumdur. Tarafsız bir iç denetçinin karar alırken başkalarına bağlı kalmaması önemlidir.93. İşletmenin birer çalışanı olarak iç denetim ekipleri veya dışarıdan denetim hizmeti veren ekipler, denetim alanı içerisindeki konularla ilgili verilecek kararlarda bağımsız ve tarafsız bir şekilde davranması gerekmektedir. Denetim sonucunda ortaya çıkacak bulguların ve verilecek önerilerin doğru olabilmesi için iç denetçilerin bağımsızlık ve tarafsızlıklarını kaybetmemeleri son derece önem arz etmektedir. Bu durumu etkileyecek sebeplere; kişisel ilgi, ekonomik ilgi, sosyal baskı, cinsiyet önyargısı gibi örnekler verilebilir94. İç denetçilerin bağımsız olabilmeleri için denetledikleri birimden daha üst bir yöneticiye karşı sorumlu olması gerekmektedir. ABD‟de 317 işletmenin yer aldığı bir araştırma sonucuna göre iç denetçilerin 136‟sı Muhasebe Müdürüne karşı sorumludur. Bu durum, iç denetçilerin muhasebe departmanıyla ilgili denetimlerini doğru bir şekilde gerçekleştirememelerine yol açmaktadır. 93 Muhasebe müdürünün çalışmalarını Türkiye İç Denetim Enstitüsü, Uluslararası Ġç Denetim Standartları Mesleki Uygulama Çerçevesi (2007‟deki DeğiĢikliklerle), 2008, s.35–39 94 Pehlivanlı, a.g.e., s.8 34 inceleyecek olan iç denetçi ancak üst yönetime karşı sorumlu olursa başarılı bir denetim gerçekleşmiş olacaktır. Aynı zamanda iç denetim ekiplerinin, denetim sırasında görevinin ne olduğunu bilmeleri, her türlü baskıya rağmen doğru bildiklerini yapması gerekmektedir. Bağımsızlığın tek başına yeterli olmadığı bu konuda tarafsızda olması gereken iç denetçilerin görevlerini yerine getirebilmeleri için kendi yaptıkları prosedürleri denetlemekten kaçınmaları gerekmektedir. Denetçiler hem yapan hem de denetleyen konumuna düşmemeye özen göstermelidir. İç denetçilerin bağımsız ve tarafsız olmaları bu şartlara uygun davranmalarına bağlıdır95. 2.3.2 Güvence ve DanıĢmanlık Kavramı Güvence Hizmetleri; İşletmenin risk yönetimi, kontrol ve yönetişim süreçlerine yönelik bağımsız bir değerlendirme esas alınarak sonuçların objektif olarak incelenmesidir. Güvence görevinin kapsamı ve niteliği iç denetçiler tarafından belirlenmektedir. Güvence hizmetlerinde genellikle üç tarafı bulunmaktadır96: - Sistem veya ele alınan bir konunun doğrudan içinde olan kişi veya grup, süreç sahibi - Değerlendirmeyi yapan kişi veya grup, iç denetçi - Değerlendirmeyi kullanan kişi veya grup, kullanıcı ġekil 13: Güvence Hizmetlerinin Tarafları Kaynak: Emine Aktaş, Ġç Denetim ve Risk Yönetimi ĠliĢkisi, İstanbul Ticaret Üniversitesi, Sosyal Bilimler Enstitüsü, Muhasebe ve Denetim Anabilim Dalı, Yüksek Lisans Tezi, 2015 Danışmanlık Hizmetleri; işletme içerisinde idari bir görevde yer almamak şartıyla faaliyetlerini geliştirme ve değer katma hedefiyle yola çıkılan bir hizmettir. Bu hizmet çerçevesinde, önerilerde bulunmak ve işleri hem daha kolay hem de daha doğru bir 95 96 Gürbüz, a.g.e., s.52–53 Türkiye İç Denetim Enstitüsü, a.g.e., s.15 35 şekilde gerçekleştirebilmek üzerine görüşmeler yapılmaktadır. Danışmanlık hizmetlerinin genellikle iki tarafı bulunmaktadır97: - Tavsiye veren kişi veya grup, iç denetçi - Tavsiye talep eden ve alan kişi veya grup, görevin müşterisi ġekil 14: Danışmanlık Hizmetinin Tarafları Kaynak: Emine Aktaş, Ġç Denetim ve Risk Yönetimi ĠliĢkisi, İstanbul Ticaret Üniversitesi, Sosyal Bilimler Enstitüsü, Muhasebe ve Denetim Anabilim Dalı, Yüksek Lisans Tezi, 2015 Bu iki hizmet çeşidi ile birlikte iç denetimin kapsamında genişlemektedir. İç denetim birimleri kontrol, risk yönetimi ve kurumsal yönetim konularında yönetime danışmanlık ve aynı zamanda güvence hizmetleri sağlamaktadır. İç denetimin gelişimi ve değişimi sonucunda çalışmalar pro-aktif olarak yürütülmeye başlanmıştır. Geleneksel denetimde olay gerçekleştikten sonra müdahale edilirken, kurumsal risk yönetimi temelli denetim anlayışıyla olayın gerçekleşme durumuna karşı iç denetim birimleri önlemlerini almaktadır. Bu sayede kurumların amaçlarına ulaşmalarına katkı sağlanmaktadır98. 2.3.3 Kurumun Faaliyetlerinin GeliĢtirilmesi ve Değer Katılması Değer Katmak, güvence ve danışmanlık hizmetleri yoluyla işletmenin hedeflerini gerçekleştirme fırsatlarını arttırmak ve faaliyetleri geliştirme imkânlarını belirleyerek riske maruz kalmasını azaltmaktır99. Sürekli olarak gelişen meslekler arasında iç denetim, işletmelerde çok önemli ve vazgeçilemez konumda olmasını sağlayan, onun işletmelere sağladığı katma değerden 97 Türkiye İç Denetim Enstitüsü, a.g.e., s.15 Pehlivanlı, a.g.e., s.8–9 99 Türkiye İç Denetim Enstitüsü, a.g.e., s.35 98 36 kaynaklanmaktadır100. İç denetçiler, yaptıkları işi yönetim kademesine çok iyi bir şekilde anlatabilmeleri gerekmektedir. Üst yönetim, iç denetimin işletmeye sağlayacağı katma değerin farkına varırsa, iç denetim sistemi daha etkili ve verimli bir şekilde çalışma fırsatına sahip olabilmektedir. İç denetimin değer katma rolü iyi anlaşılamadığı için yönetim kademesinin bütçede daralmaya gideceğinde ilk akla gelen alan olarak iç denetim görülmektedir. Geleneksel denetim yaklaşımını benimseyen iç denetim ekipleri genellikle bu durumla karşı karşıya kalmaktadır101. 2.3.4 Sistematik ve Disiplinli Bir Faaliyet Olması İç denetim faaliyetinin sistematik bir çalışma olmasının temelinde; iç denetim faaliyetinin işletme içerisinde oluşturulmasından iç denetçilerde bulunması gereken niteliklere, denetim faaliyetlerinin planlamasında nasıl bir yol izleneceğine yönelik tüm konuların detaylı bir şekilde standartlara bağlanmış olması yer almaktadır. İç denetimin tanımında yer alan hususlara, standartlarda detaylı olarak yer verilmiştir. İşletmeye değer katma, bağımsızlık ve tarafsızlık gibi önemli noktalar standartlarda ve UMUÇ‟ta detaylı olarak bulunmaktadır. İç denetimin tanımı ile standartlar ve UMUÇ arasında tam bir anlam ve bütünlük vardır. Bu sayede iç denetim hem teorik açıdan hem de uygulama aşamasında tüm yönleriyle detaylandırılma imkanına sahip olmaktadır. Birbirleriyle uyum içerisinde olan bu süreçler, iç denetim mesleğinin etik kurallarının güçlü bir şekilde belirlenmesine ve sertifikalı iç denetçi (CIA) gibi iç denetçilerin niteliklerine yönelik düzenlemeler, iç denetimin disiplinli bir meslek olmasına katkı sağlamaktadır102. 2.4 Ġç Denetimin Türleri 2.4.1 Mali Denetim Mali denetim kavramı, literatürde aynı zamanda finansal tablolar denetimi ve mali tablolar denetimi ismi ile de geçmektedir. Mali tablolar denetimi, işletmelere ilişkin finansal tabloların belirli muhasebe standartlarına uygunluğu, mali durumu ve faaliyet sonuçlarının gerçeği yansıtıp 100 Ali Kamil Uzun, “Denetim Hayattır”, Turcomoney Dergisi, Deloitte, 2014, s.3 Ali Kamil Uzun, “Değer Yaratan Denetim”, İç Denetim Dergisi, Deloitte, Sayı.14, 2006, s.1–2 102 Çetin Özbek, Ġç Denetim Kurumsal Yönetim Risk Yönetimi Ġç Kontrol, 2012, s.106 101 37 yansıtmadığı konusunda bir görüşe varabilmek için yapılan denetimdir103. Mali denetimler büyük bir kullanıcı kitlesinin, ekonomik karar alma sürecinde önemli yer tutmaktadır. Mali denetim sonucunda, yöneticiler işletmenin kaynaklarının hangi ölçüde ve etkinlikte kullanıldığını görebilmektedirler104. İç denetimin, finansal tabloların denetimindeki rolü muhasebe kayıtlarının doğruluğunu ve güvenilirliğini araştırarak bu bilgilerin elde edilmesi aşamasın da yer alan kayıt ortamını ve raporlama sistemini kontrol etmektir. İç denetçilerin amaçları arasında işletme varlıklarının dışarıdan veya içeriden gelebilecek zararlara karşı korunup korunmadığını araştırmaktır. Finansal tablolar denetimi, hata ve hileleri ortaya çıkartma rolünün yanında önlenmesi için de koruma yöntemlerinin geliştirilmesine yardımcı olmaktadır105. Aynı zamanda iç denetimdeki önemlilik seviyesi bağımsız denetime göre daha düşüktür. Bu sebeple iç denetim sırasında daha fazla ayrıntıya girilmekte ve devamlılık gerektiren bir süreç olarak görülmektedir106. 2.4.2 Uygunluk Denetimi İşletmenin, faaliyetlerinin veya işlemlerinin belirli kurallara uygun olup olmadığının belirlenmesi amacıyla yapılan denetim türüdür. Bu kuralları belirleyen otorite işletmenin üst yönetiminde bulunan kişiler olabildiği gibi devlet kurumları da olabilmektedir. Bu denetim türünde asıl amaç mevzuata uygunluğun belirlenmesidir107. Bir üretim işletmesi dışarıdan hammadde alırken, depoya gelen malzeme için teslim alma tutanağının düzenlenip düzenlenmediği ya da üst yönetimin kasada nakit olarak bulunacak tutarın üç günü geçmeden bankaya yatırılması gerektiği yönündeki gibi kurallar bu denetim türüne bir örnek teşkil etmektedir. 103 Şaban Uzay, Mehmet Özbirecikli ve Seval Kardeş Selimoğlu, Bağımsız Denetim, Nobel Akademik Yayıncılık, 2.Baskı, 2017, s.14 104 Gürbüz Gökçen, Başak Ataman ve Cemal Çakıcı, Türkiye Finansal Raporlama Standartları Uygulamaları, Beta Yayıncılık, 2.Baskı, İstanbul, 2016, s.196 105 Nihat Kırmızı, ĠĢletmelerde Ġç Kontrol Sistemini Ġncelemenin Bağımsız Denetim Karar Sürecindeki Yeri, Marmara Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2007, s.47 106 Nejat Bozkurt, Muhasebe Denetimi, Alfa Yayıncılık, 7.Baskı, İstanbul, 2015, s.28 107 Bozkurt, a.g.e., s.28 38 Uygunluk denetiminin sonuçları, finansal tablolar denetimindeki gibi üçüncü şahıslara yönelik bilgi vermenin aksine işletmenin üst yöneticilerine rapor edilmektedir108. İşletmenin ana sözleşme hükümleri, meclis tarafından çıkartılan kanun, yönetmelik ve tüzük, işletme yönetiminin belirlediği politika ve prosedürler ve diğer kişiler ile yapılan anlaşmalar uygunluk denetiminde esas alınan kriterler arasındadır. Finansal tablolar denetiminden önce uygunluk denetiminin yapılmış olması gerekmektedir. Eğer uygunluk denetimi gerçekleştirilmediyse denetçinin görevi, ilk olarak denetlenecek konu üzerindeki muhasebe kayıtlarının incelenmesidir. Uygunluk denetiminin sonuçlandırılması finansal tablolar denetiminin gerçekleştirilmesi aşamasına yardımcı olmaktadır109. Uygunluk denetimi, işletmelerin vergi mevzuatı açısından uygun işlem yapıp yapmadıklarına da dikkat etmektedir. Vergi Usul Kanunu hükümleri ve vergi matrahı ile ilgili düzenlemeler uygunluk denetiminin ilgilendiği alanlardandır110. 2.4.3 Faaliyet Denetimi Faaliyet denetimi, performans denetimi ve başarım denetimi olarak da isimlendirilmektedir. Faaliyet denetimi, işletmelerin büyüme ve kar oranları hakkındaki değerlendirmelerini ortaya koymaktadır. İşletmelerin amaçlarına ulaşabilmesi için faaliyetlerinin başarısını ölçmeye ve amaca ulaşırken karşılaşılabilecek engelleri yönetime düzenli bir şekilde bildirmektedir. Faaliyet denetiminin temelinde üç önemli kavram yer almaktadır. Birincisi etkenlik kavramı amaca ulaşmak, ikincisi etkinlik(verimlilik) kavramını amaca ulaşabilmek için sahip olduğumuz kaynaklardan verimli bir şekilde faydalanmak, üçüncüsü ise ekonomiklik tutumlu olmaktır111. Faaliyet denetimi gerçekleştirilirken denetçilerin sordukları sorular şunlardır112:  İşletme faaliyetlerinde ne kadar başarılı? 108 Güredin, a.g.e., s.14 Gürbüz, a.g.e., s.12 110 Uzay, Özbirecikli ve Selimoğlu, a.g.e., s.14 111 Uzay, Özbirecikli ve Selimoğlu, a.g.e., s.15 112 Sibel Uzun, Bağımsız Denetimde Ġç Kontrol ve Ġç Denetimin Rolü, Okan Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2016, s.14 109 39  Hedeflere ne ölçüde ulaşılmıştır?  İşletme faaliyetlerinin hedeflere etkisi ne ölçüde olmuştur?  Faaliyetlerin verimliliğe etkisi ne kadar olmuştur?  İşletme faaliyetlerini gerçekleştirirken ilkelere uygun davranmış mıdır?  İşletmenin amaçlarına ulaşmak için izlediği yol nasıldır? Faaliyet denetimlerini gerçekleştiren denetçiler arasından en uygunu iç denetçilerdir. Çünkü iç denetçiler diğer denetçilere göre kurumu daha yakından tanımaktadırlar113. Faaliyet denetiminin odak noktası kurumların örgüt yapısı, üretim yöntemleri, bilgi işlem faaliyetleridir. Bu sebeple faaliyet denetiminin gerçekleştirilmesi diğer denetim türlerine göre daha karmaşık bir yapıya sahiptir114. Tablo 2: Denetim Türleri Karşılaştırması Finansal Tablolar Uygunluk Denetimi Faaliyet Denetimi Bireylerin yaptığı işlem Örgütün veya bir ve faaliyetler birimin faaliyet Denetimi Denetimin Konusu Ölçüt Finansal Tablolar sonuçları Genel Kabul Görmüş Yetkili otoritelerin Etkinliği veya Muhasebe Kavram ve koyduğu yasa, kural verimliliği ölçmek için İlkeleri veya politikalar önceden belirlenmiş performans göstergeleri Bir üst yönetim veya Muhasebe bilgilerini Sonuçların Ġletilmesi kullanan tarafların tümü Üst yönetim değerleme yapan birimin kendi yöneticileri Kaynak: Şaban Uzay, Mehmet Özbirecikli ve Seval Kardeş Selimoğlu, Bağımsız Denetim, Nobel Akademik Yayıncılık, 2017 113 Murat Kiracı, “Faaliyet Denetimi ile Ġç Kontrol ĠliĢkisi”, Osmangazi Üniversitesi, Sosyal Bilimler Dergisi, Cilt.4, Sayı.2, 2003, s.68–69 114 Bozkurt, a.g.e., s.29 40 2.4.4 Bilgi Teknolojileri Denetimi Sürekli değişen teknolojik gelişmelerle birlikte işletmeler faaliyetleriyle ilgili işlemlerin büyük bir kısmını sanal ortam üzerinden yürütmektedir. Sanal ortam üzerinden üretilen ve saklanan bilgiler daima riskler ile karşı karşıyadır. Bilgi teknolojileri denetimiyle birlikte sistemin güvenilirliğinin ve yeterliliğinin incelenmesi amaçlanmaktadır115. İç denetçiler; bilgi teknolojileri denetimi yaparak kurumun bilgi teknolojileri hedeflerine ulaşabilmesi için kontrollerin etkin şekilde çalışıp çalışmadığını test etmektedir. Denetimin kapsamı bilgi teknolojileriyle ilgili nesnel güvence verebilmek için sistemlerin incelenmesi, ilgili kanıtların toplanması, değerlendirilmesi ve sonuçların üst yönetime rapor olarak bildirilmesidir. İç denetim standartlarında yer alan etkinlik, gizlilik, bütünlük, erişilebilirlik, uygunluk ve güvenilirlik kavramları çerçevesinde bilgi teknolojileri denetimini gerçekleştirmektedirler116. İç denetçilerin gerçekleştirdikleri denetim sırasında karşılaştıkları bazı kontrol eksiklikleri şunlardır117:  İşletmenin bilgi teknolojileriyle ilgili politika ve prosedürlerinin olmaması ya da güncel tutulmaması,  Görev, yetki ve sorumlulukların çalışanlara detaylı şekilde anlatılmaması,  Aktif şekilde çalışmayan güvenlik ve saldırı tespit sistemi,  Antivirüs programının olmaması,  Parola ile ilgili kuralların bulunmaması,  Güvenlik yamalarının sistemlere yüklenmemesi,  Veri tabanı güvenliğiyle ilgili önlemlerin bulunmaması,  Sistemlerde kullanıcı adı ve şifre giriş sayfalarının SSL ile yapılandırılmamış olması,  İşletme için önem arz eden sunucuların güvenli yerlerde bulunmaması, 115 Aslan, a.g.m., s.76 Mehmet Doğanyiğit, “Pılot Ġç Denetımlerın GerçekleĢtırılmesı Projesı”, Denetişim Dergisi, Kamu İç Denetçiler Derneği, Sayı.4, 2010, s.115 117 Melike Sinem Uçum, “BT Güvenliği Denetimi”, Denetişim Dergisi, Kamu İç Denetçiler Derneği, Sayı.16, 2015, s.76 116 41 Bilgi sistemlerindeki kontrollerin etkili bir şekilde çalışmaması durumunda işletmenin tüm kayıtları üzerinde büyük bir risk unsuru yer almaktadır. Örneğin; bilgi sisteminde yer alan bir kontrol zayıflığından dolayı üst yönetime giden bilginin yanlış veya eksik olması neticesinde yönetim tarafından verilen kararın etkisi ölçülemeyecek boyutlara ulaşabilir118. BT denetiminde diğer denetim türlerinde olduğu gibi mali kayıtları veya iş süreçlerini denetlemekten söz edilmemektedir. BT denetimi denildiğinde bilginin kalitesi ve güvenilirliği için kullanılan teknolojinin denetimi anlaşılmaktadır. Bu sebeple diğer denetim türlerinden ayrılmaktadır. Ancak denetim türlerinin hepsinde denetim ilkeleri, uygulama standartları, üst düzey süreçler ve faaliyetler ortak bir temele dayanmaktadır. Bu sebeple denetim türleri birbirleriyle sürekli olarak etkileşim içerisindedir. Şekilde görüldüğü gibi BT denetimi de diğer denetim türlerinin bir bileşenidir119. ġekil 15: BT Denetiminin Yeri Kaynak: Stephen Gantz, The Basıc of IT Audit Purposes Processes and Practical Information, 2014 118 119 Kırmızı, a.g.t., s.54 Stephen Gantz, The Basics of IT Audit Purposes Processes and Practical Information, 2014, s.2 42 2.4.5 Sistem Denetimi Belirli büyüklüğe ulaşmış işletmelerin büyük bir kısmında iç kontrol sistemi güçlü veya zayıfta olsa bulunmaktadır. Sistem denetimiyle birlikte zayıf olan bu iç kontrollerin güçlü duruma getirilmesiyle, işletmenin daha etkili ve verimli bir şekilde çalışması amaçlanmaktadır120. Sistem denetimi, denetimi yapılan bölümün amaçlarına ulaşabilmesi doğrultusunda iç kontrol sisteminin etkin bir şekilde çalışıp çalışmadığının incelenmesidir. Denetim sırasında işletmenin iç kontrol sistemindeki eksikliklerin ortaya çıkartılması, kalitesinin ve uyguluğunun belirlenmesi, uygulanan metotların yeterliliğin ölçülmesi değerlendirme aşamasında esas alınan kriterlerdir121. 2.5 Ġç Denetimin Güncel BaĢlıkları İş dünyası ve dijital dönüşümün birbirine bağlı iki aktör olduğu görülmektedir. İşletmeler, faaliyetlerini daha etkili ve verimli bir şekilde yürütebilmek için teknolojik gelişmeleri takip etmektedir. Faaliyetlerine en uygun teknolojiyi seçmek için denetim ekiplerinin tecrübelerinden yararlanmaya ihtiyaç duyulmaktadır. Çünkü her bir yeni teknolojinin işletmelere getirdiği farklı türde risklerde yer almaktadır. İç denetçilerin, teknolojik gelişmeleri takip ederek ortaya çıkabilecek bu riskleri işletmenin üst yönetimiyle görüşmesi gerekmektedir. Teknolojik gelişmelerle birlikte iç denetçiler gelişmeli, değişmeli ve dönüşmelidir. Yeni düşüncelere kendilerini hazırlayarak işletmelerin ihtiyaçları doğrultusunda yardımcı olması beklenmektedir122. 14. yıllık Küresel CEO Anketine katılan CEO‟ların yaklaşık %70‟i maliyetleri azaltmak ve daha verimli olmak için BT‟ye yatırım yapmaktayken, %54‟ü ise mobil cihazlarda, sosyal medyada ve daha farklı yeni teknolojiler de dahil olmak üzere girişimlere para aktarmaktadır. Ankette CEO‟lar teknoloji olanaklarını araştırdıklarını ve bulut bilişimin risklerini ve faydalarını düşündüklerini belirtmişlerdir. Anket sonucunda; bulut bilişim, sosyal medya, mobil cihaz kullanımı ve siber güvenlik, iç 120 Doğanyiğit, a.g.m., s.114 Kamu İç Denetim Rehberi, Ġç Denetim Koordinasyon Kurulu, Ankara, 2013, s.35 122 “Embracing the Next Generation of Internal Auditing”, Protiviti, 2019, s.3–17 121 43 denetim ekiplerinin dikkate alması gereken konular arasında olduğu görülmektedir. İç denetim yöneticilerine göre ilgili riskleri dikkate almak için iç denetim işlevlerinin iç ve dış konu uzmanlarıyla etkileşim içerisinde olduğu görülmektedir123. 2.5.1 Bulut BiliĢim ve Ġç Denetim Bulut bilişim; verilerin, uygulamaların ve altyapının çevrimiçi olarak depolandığı ve uzaktan erişilebilme imkanını veren her türlü hizmeti ifade etmektedir. Şirketler bulut bilişim sayesinde fiziksel konum, iş gücü veya sermaye ile sınırsız kapasiteyi sunabilir duruma gelmektedir. Günümüzde yaşanan teknolojik gelişmeler, çoğu işletmeyi doğrudan etki altına almaktadır. İşletmelerin bulut bilişimi tercih etmelerinin en büyük sebepleri; zaman ve mekân sınırlamasının olmaması ve maliyetinin düşük olmasıdır124. Ancak bulut bilişim, sağladığı faydalar kadar bünyesinde güvenlik risklerini de barındırmaktadır. Bulut Bilişimde dikkat edilmesi gerekenler; risklerin belirlenmesi, risklerin nasıl azaltılabileceği ve bilgilerin nasıl daha etkin ve güvenli bir şekilde kullanılabileceği gibi konulardır125. İşletmeler, bulut bilişimi sistemlerine entegre edeceklerinde gereken eğitimi ve güvenlik önlemlerini dikkate almazlarsa istenilen faydayı veremeyebilir. Bununla birlikte operasyonel, finansal ve uyumlulukla ilgili risklerle karşı karşıya kalabilirler. Bu risklere örnek vermek gerekirse126;  Veri güvenliği ve düzenleyici risk: Halka açık bir bulutta depolanan veriler üçüncü bir tarafın yönetimine ve kontrollerine bırakılır.  Operasyonel risk: İşletmede mevcut olan hizmetlerin bulut sistemiyle entegrasyonu pahalı ve zaman alıcı olabilir. Paylaşılan bulut hizmeti modelleri genellikle sınırlı özelleştirilebilirlik imkânı sağlayarak beklenilenden daha fazla entegrasyon riski ortaya çıkartabilir. 123 Pwc, “Lights, camera, action... scripting internal audit for a changed world”, 2011 State of The Internal Audit Profession Study, 2011, s.9 124 Accenture, “Technology Building Your Cloud Strategy With Accenture”, s.3 125 Şeref Sağıroğlu ve Mustafa Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, BGD Siber Güvenlik ve Savunma Kitap Serisi 2, Grafiker Yayınları, 1.Baskı, Ankara, 2019, s.52–54 126 KPMG, “20 key risks to consider by Internal Audit before 2020”, 2018, s.7 44  Finansal risk: Bulut hizmeti önemli bir yatırım gerektirirken, paylaşılan hizmetler zayıf planlama ve değişen iş gereksinimlerine bağlı olarak değişebilmektedir. İç denetim, bulut bilişim ile ilgili risklerin değerlendirilmesi, yönetilmesi, kontrol edilmesi ve işletmelerin menfaatlerinin garanti altına alınmasına destek olmaktadır127. İç denetim, işletmelerin sistemlerini incelerken birtakım değerlendirmeler yaparak, üst yönetime tavsiye niteliğinde görüş bildirmektedir. Bulut bilişim konusunda iç denetçiler şu konularda yardımcı olabilmektedir128:  Bulut platformları çalıştırmak için kullanılan mevcut yönetişim çerçevesinin bağımsız bir şekilde değerlendirmesini yapmak,  İşletmeye uygun bulut bilişim sertifikalarının tanımlanması ve amaca uygun bir bulut bilişim yönetim çerçevesi oluşturmak için önerilerde bulunmak,  Veri güvenliği risklerini tanımlamak için işletme adına üçüncü taraf bulut hizmet sağlayıcılarının bağımsız bir değerlendirmesini yapmak,  İşletme ve bulut hizmeti sağlayıcısı arasında atanan rollerin ve sorumlulukların kapsamını değerlendirmek,  Üçüncü taraf bulut bilişim hizmet sağlayıcıları ile Hizmet Seviyesi Anlaşmalarını (SLA) gözden geçirilmesi ve sözleşmeye uygunluğunun değerlendirilmesi,  Bulut bilişim kurulumunun iç ve dış düzenlemelerle ilgili incelemesinin yapılması. 2.5.2 Büyük Veri ve Ġç Denetim Büyük Veri (Big Data) kavramı 2005 yılında Roger Magoulas tarafından, büyüklüğü ve karmaşık yapısından dolayı geleneksel veri yönetimi araçlarını kullanarak yönetilememesi ve işlenememesinden dolayı büyük miktarlardaki veri kümeleri şeklinde tanımlanmıştır. Büyük verinin oluşumunda Çeşitlilik (Variety), Hız (Velocity), 127 128 Pwc, “Ġç Denetimin GeliĢen Teknolojideki Yeni Rolü”, s.6 KPMG, a.g.m., s.7 45 Hacim (Volume), Değer (Value) ve Doğruluk (Veracity) olmak üzere 5 bileşen bulunmaktadır. Genellikle büyük verinin 5V‟si olarak isimlendirilmektedir129. ġekil 16: Büyük Veride 5V Kaynak: Ahmet Onay, Büyük Veri Çağında Ġç Denetimin DönüĢümü, Muhasebe Bilim Dünyası Dergisi, 2020 Çeşitlilik: Dünya genelinde Büyük Verinin artışıyla birlikte farklı tip ve özelliklerde görülmektedir. Bu çeşitlilik, denetim kanıtlarının çeşitliliğine de yansımaktadır. İç denetçiler veri ambarı içerisinde daha ayrıntılı çalışmalar yürütme durumunda kalmaktadır130. Hız: Veri hacmi sürekli artarak büyük boyutlara dönüşmektedir. Örneğin; bir giyim mağazasında genellikle satışlarla ilgili kayıtlar ön planda tutulmaktadır. Ancak müşterilerin, mağazanın internet sayfasındaki davranışları, incelediği ürünler, aynı ürünle ilgili sayfa da kaldığı süre gibi değişkenler müşterinin satın alma davranışını tahmin edebilmek için önemli bir gösterge olarak da görülebilmektedir. Bu sebeple bunlar belirlenerek müşteri, farklı alışveriş sitelerine yönelmeden önce ilgisini çekebilecek farklı hareketler sergilenebilir aksi taktirde müşteri vazgeçebilir. Bu durum ile karşılaşmamak için müşteri hareketleri ile eş zamanlı çalışan modeller geliştirilmesi gerekmektedir. Bu analizlerin kısa sürede yapılması gerekliliği büyük verideki hız 129 Ümit Dülger, “Büyük Veri Nedir?”, Yeni Türkiye Dergisi, Yeni Türkiye Stratejik Araştırma Merkezi, Sayı.89, 2016, s.503 130 Ahmet Onay, “Büyük Verı Çağında Ġç Denetımın DönüĢümü”, Muhasebe Bilim Dünyası Dergisi, Cilt.22, Sayı.1, 2020, s.142 46 kavramını tanımlamaktadır131. Büyük Verinin sağladığı yüksek hız, denetim kanıtlarının sık, tekrarlanabilir ve sürdürülebilir olması doğrultusunda sürekli denetime olanak sağlamaktadır. Büyük Veriyle bağlantılı olan teknoloji ve yazılımların geliştirilmesi, iç denetçilerin sürekli denetimi gerçekleştirebilmelerinin yolunu açmıştır132. Hacim: Verinin hacmi, verinin büyüklüğünü ve boyutunu yansıtmaktadır. Değişen ve gelişen teknolojiyle birlikte verilerin hacmi katlanarak artmaktadır. Örneğin; “Dünya‟da her bir dakikada 200 bin e-posta gönderilmekte, 300 bine yakın tweet atılmakta ve Facebook‟a 150 binden fazla resim yüklenmektedir.” İç denetim yöneticileri, denetlenecek verinin hacmi arttıkça denetimin kapsamını da genişletmek durumuyla karşı karşıya kalmaktadırlar. Daha önceden yapılan denetimlerde örneklem yolu ile denetim tercih edilirken, bu dönemde ise verinin tamamı üzerinden denetim çalışmaları gerçekleştirilmektedir. Bu durumda makul güvence kavramı yerini daha yüksek seviyede bir güvenceye bırakmaktadır133. Doğruluk: Bilgi yoğunluğunun fazla olduğu büyük veride, verinin güvenilir veya doğru olması önem arz etmektedir. Verilerin doğru kişiler tarafından görünebilir ve gizli kalması, hangilerinin değerlendirilmesi saklanması gerekmektedir 134 . veya atılması gibi güvenlik İç denetim ekiplerinin önlemlerinin büyük veriden faydalanabilmesi için verinin doğru, tutarlı ve eksiksiz olması gerekmektedir. Bu şartların sağlanabilmesi için sistem yedekleme ve geri yükleme, veriyi kurtarma, erişim kontrolü vb. alanlarla ilgili olan BT denetimi önemli bir yer tutmaktadır. İç denetçilerin, doğru bilgiye ulaşabilmesi için öncelikle bu konularda etkin kontrollerin yer alması ve geliştirilmesi yönünde çaba göstermesi gerekmektedir135. Değer: Büyük verinin değeri, verinin kurumlar için ekonomik değer oluşturabilecek bir anlayışa dönüşmesiyle ortaya çıkmaktadır. Büyük verinin değeri, birbirleriyle ilişkili bireyler ve topluluklar hakkında ya da bilginin kendi yapısıyla ilgili veri parçaları arasında bağlantı kurularak ulaşılabilen sistemden elde edilmektedir. Büyük verinin iş süreçlerinde sağlayacağı maliyet, büyük veriden faydalanabilmek için işletmelerin 131 Suat Atan, “Veri, Büyük Veri ve ĠĢletmecilik”, Balıkesir Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Cilt.19, Sayı.35, 2017, s.13 132 Onay, a.g.m., s.142–143 133 Onay, a.g.m., s.134-135 134 https://tr.wikipedia.org/wiki/Büyük_veri, (14.05.2020) 135 Onay, a.g.m., s.143 47 üstleneceği maliyetten daha fazla olması durumunda büyük veriyi daha değerli bir konuma getirecektir. Büyük verinin, karar verme süreçlerinde anlık olarak etki etmesi ve doğru kararı verebilmek için ulaşılabilir olması, değer bileşeni için önemli bir boyut olarak yerini almaktadır. COVID-19 salgını ile karşı karşıya kalan bir devletin, anlık olarak ülkedeki doktor sayısına, il ve ilçelere göre hasta sayısının dağılımını görebilmesi buna örnek olarak gösterilebilir136. Büyük hacme sahip işlemlerin geleneksel yöntemlerle denetlenmesi istenilen sonucu vermeyebilir. Daha verimli sonuçlar elde edebilmek için risk odaklı denetim modellerinin geliştirilmesi gerekmektedir. Bu model sayesinde işletme, mevcut yapısında gerçekleşebilecek hilelerle daha etkin bir şekilde mücadele edebilmektedir137. 2.5.3 Mobil Teknolojiler ve Ġç Denetim Bilgisayar teknolojisi ile programlanan ve kontrol edilen akıllı cihazlar iş gücün de “mobil çalışan” kavramına yeni bir anlam getirmiştir. Uzaktan çalışmak, bir zamanlar işletmeler tarafından sağlanan bir dizüstü bilgisayar aracılığıyla işletmenin ağına bağlanmakla sınırlıyken, bugünün seçeneklerindeyse işleri mobil bir şekilde yürütmek için telefonlar ve tabletler bulunmaktadır. Akıllı cihazlar işletmede çalışanlara, wi-fi veya hücresel hizmetin olduğu her yerde hem kişisel hem de iş yerinde kullanabilmek için tek bir cihaza sahip olma imkânı sağlar. Ancak bazı işletmeler çalışanlarına, şahsi olarak kullandıkları akıllı cihazları kullanmalarını -kendi cihazını getirme (BYOD)söylerken bazıları ise çalışanlarına işletme adına ayrıca akıllı cihaz temin etmektedir. Her iki durumda da işletmeler, akıllı cihazların barındırdığı çok sayıda risk ile karşı karşıya kalmaktadır138. İş dünyasında birçok işletme, iş gereksinimlerini daha etkili bir şekilde karşılamak için mobil cihazlar kullanmaktadır. Ancak bu sistemi kurarken ortaya çıkabilecek 136 Ertuğrul Aktan, “Büyük Veri: Uygulama Alanları, Analitiği ve Güvenlik Boyutu”, Bilgi Yönetimi Dergisi, Cilt.1, Sayı.1, 2018, s.6-7 137 Şeref Sağıroğlu ve Orhan Koç, Büyük Veri ve Açık Veri Analitiği: Yöntemler ve Uygulamalar, Grafiker Yayınları, 1.Baskı, Ankara, 2017, s.288 138 GTAG, “Auditing Smart Device: An Internal Auditor‟s Guide to Understanding and Auditing Smart Devices”, The Institute of Internal Auditors (IIA), 2016, s.3–4 48 riskleri de değerlendirmek gerekmektedir. İşletmelerin dikkate alması gereken risklerden bazıları şunlardır139:  Artan bilgi kaybı riski: Çalışanlara teslim edilen akıllı cihazların çalınması ya da kaybolması durumlarda güvenlik riski artmaktadır.  İzlenme: Günümüzde birçok cihazın karşı karşıya kalabileceği casus ve zararlı yazılımların, yeni nesil teknolojiyle birlikte artık mobil cihazlar için de yapılması riski artış göstermektedir.  Farkındalık ve iletişim: Çalışanlara sürekli olarak güvenlik uygulamaları konusunda eğitimler vermek, örneğin mobil cihazlar için zayıf şifreler yerine daha güçlü ve güvenilirini kullanmak.  BT çalışanlarının eğitilmesi: İşletmede çalışan BT çalışanları mobil cihazlar konusunda çok iyi olmayabilirler ve bu nedenle cihazların güncellenmesini takip edemeyebilirler. İç denetimin, akıllı cihazlarla ilgili riskleri ve kontrolleri değerlendirme yaklaşımı, yeni cihazların da ortaya çıkmasıyla birlikte gelişmektedir. İç denetim faaliyeti, yönetimin akıllı cihazların kullanımıyla ilişkili olan bu riskleri azaltma da etkin bir rol oynamaktadır. Bu doğrultuda iç denetçilerin görevleri şunlardır140:  İşletmenin akıllı cihaz stratejisini anlama,  Akıllı cihaz teknolojisinin organizasyon üzerindeki etkisinin değerlendirilmesi,  Akıllı cihaz ortamı için güvence sağlama. Bu güvenceyi sağlayabilmek için akıllı cihazların kullanımından kaynaklanan risklerin belirlenerek değerlendirilmesi, yönetişim, risk yönetimi ve kontrol yeterliliğinin belirlenmesi ve cihazlarla ilgili kontrollerin etkinliğinin incelenmesi gerekmektedir141. 139 Pwc, “Ġç Denetimin GeliĢen Teknolojideki Yeni Rolü”, s.12 GTAG, “Auditing Smart Device: An Internal Auditor‟s Guide to Understanding and Auditing Smart Devices”, s.3–8 141 GTAG, “Auditing Smart Device: An Internal Auditor‟s Guide to Understanding and Auditing Smart Devices”, s.3 140 49 2.5.4 Sosyal Medya ve Ġç Denetim Sosyal medyanın yaygın olarak kullanılmasıyla birlikte şirket çalışanları ve müşteriler arasındaki etkileşimin birçok avantajı bulunmaktadır. Sosyal medya üzerinden işletmeler, kendi reklamlarını herhangi bir ücret ödemeden yapabilme imkânına sahiptir. Ancak bu avantajların işletmelere getirdiği bazı riskleri de bulunmaktadır. İtibar ve marka riski, veri sızıntısı ve güvenlik ile ilgili riskler işletmeler için yüksek risk seviyesindedir. Bu riskler iyi bir şekilde yönetilirse, işletmeye düşük maliyetler ve yeni gelir kalemleri gibi avantajlar sağlamaktadır. Riskler şöyledir142:  Markanın zarar görmesi: Sosyal ağ sayesinde müşteriler, şirketin ürünleri ve hizmetleri hakkındaki yorumlarını paylaşma olanağına sahip olmaktadır. Bu doğru bir şekilde yönetilirse herhangi bir sorun ortaya çıkmayacaktır. Ancak kötü bir şekilde yönetilmesi durumunda şirketin marka imajı zarar görebilir. Örneğin; uluslararası ünlü bir pizza zincirinde yiyecek hazırlama konusunda şaka yapan çalışanlar, Youtube‟da bir video yayınlamıştır. Kısa bir zaman sonra video bir milyondan fazla kişi tarafından izlenmiş ve Google üzerinden arama da ilk 10 da görüntülenmiştir.  Veri kaybı: İşletme çalışanlarının çok sayıda kişiyle bağlantılı olması nedeniyle önemlilik arz eden bilgilerin kaza ile veya kasıtlı olarak dışarıya sızma riski artmaktadır. Çoklu bağlantılar bilgisayar korsanlığı ile müşteri veri kaybına da yol da açabilmektedir.  Kötü amaçlı yazılımların yayılımı: Sosyal ağlarla artan bağlantı nedeniyle bir sistemin hacklenmesi daha kolay duruma gelebilmektedir. Örneğin, twitter kullanıcılarının hareketleri kısa süre içerisinde popüler hale gelebilmektedir. Hackerlar bu bağlantılardaki URL‟leri değiştirerek kullanıcıları kötü amaçlı web sitelere yönlendirmektedir. PWC‟nin Küresel Bilgi Güvenliği Durumu Araştırması‟na göre çok az ayıda şirket bu tür risklere karşı yeterince hazırlıklıdır. Çoğu şirket (%60) henüz sosyal ağlar, bloglar gibi Web 2.0 değişimlerini destekleyen güvenlik teknolojileri uygulamamıştır. Ve hatta 142 Pwc, “Lights, camera, action... scripting internal audit for a changed world”, s.9–11 50 daha fazlası (%77) sosyal ağların veya Web 2.0 teknolojilerinin kullanımını ele alan güvenlik politikalarını belirlememiştir143. Sosyal medyada işletmelerin uğradığı kazalara bir örnek daha vermek gerekirse; 2017'de McDonald‟s hızlı bir şekilde kaldırılmasına rağmen retweet edilen ve 1.000'den fazla kez beğenilen bir Trump / Obama karşıtı mesajını tweetledi. Belki de saf bir şekilde, şirket Trump taraftarlarından ve müteakip #BoycottMcDonalds hashtag'inden kaçınılmaz bir tepki beklemiyordu. Bir özür yayınladı ve hesabının saldırıya uğradığını açıkladı. Sosyal medya platformlarından milyonlarca kişiye ulaşmak mümkündür bu sebeple önemli bir pazarlama aracı olarak da görülmektedir. İşletmeler McDonald‟s gibi olaylar ile karşılaşmamak için pazarlama ve iletişim stratejilerine özen göstermelidir144. Ülkemizin nüfusunun yarısından fazlasının internete erişimi bulunmakta ve online deneyimlerin müşterilerin kararlarını önemli ölçüde etkilemektedir. AdAge tarafından yapılan bir araştırmada sonuç olarak tüketicilerin satın alma kararlarında sosyal medyanın tıpkı televizyon reklamları kadar etkili olduğu görülmüştür145. İç denetiminin sosyal medya konusunda odaklanması gereken konular şunlardır146;  Belirli konulara yönelik politikaların geliştirilmesine yardımcı olmak, teknolojinin getirdiği fırsatları ve riskleri dengelemek,  Mobil cihazlar için güvenlik politikalarının merkezden yönetilmesini ve uygulanmasını sağlamak ayrıca cihazların kaybolması veya çalınması durumunda cihazların kilitlenmesi veya cihaz içeriğinin silinmesini sağlamak,  İşletmenin kullanacağı mobil antivirüs yazılımını belirlemek için risk değerlendirmesi yapmak,  İşletmede bulunan BT politikalarına uyumun izlenmesi,  Şirketin maliyetlerini en aza indirecek planların yapılmasını sağlamak. 143 Pwc, “Lights, camera, action... scripting internal audit for a changed world”, s.12 “Risk In Focus 2019 Hot Topıcs For Internal Auditors”, The Institute of Internal Auditors Netherlands, European Confederaiton of Institutes of Internal Auditing, 2018, s.24 145 Accenture, “Accenture Türkiye DijitalleĢme Endeksi”, 2016, s.22 146 Pwc, “Lights, camera, action... scripting internal audit for a changed world”, s.12 144 51 2.5.5 Siber Güvenlik ve Ġç Denetim Teknolojinin yaygın olarak kullanıldığı bu dönemde siber güvenlik birçok kuruluşun odak noktasıdır. Siber güvenlik konusu, sürekli olarak yönetim kurulu gündeminin tepesinde bulunan konuların başında gelmektedir. Siber güvenliğin önemli bir konu haline gelmesini sağlayan bazı faktörler şunlardır147;  Veri ihlallerinin maliyetli sonuçlarından kaçınmak  Müşteri verilerinin kaybolmasıyla ilgili olarak, kurumun itibar kaybının önlenmesi  İşletme bilgilerinin güvenliğinin sağlanması  Bilgisayar korsanları tarafından belirli bilgileri ve bireyleri hedef alan fidye yazılımların karmaşıklığı. Bu bilgisayar korsanları faaliyetlerini doğrudan ağlar üzerinden değil aynı zamanda kilit tedarikçiler ve teknoloji ortaklarıyla bağlantılar sağlayarak gerçekleştirebilmektedir. Siber güvenlik ihlallerinin sonuçları bir kuruluşun karlılığı ve itibarı için çok ağır sorunlar ortaya çıkartabilmektedir. KPMG‟nin İsviçre‟de bulunan 60 şirkette yaptığı bir araştırma sonucunda şu istatistiklere ulaşılmıştır148:  Siber saldırılara uğrayan şirketlerin %42‟si sonuç olarak finansal kayıplara uğramıştır.  Siber müdahale planlarının %82‟si tedarikçilere veya iş ortaklarına yönelik saldırı olaylarını kapsamamaktadır.  Araştırmaya katılanların işletmelerin yalnızca %28‟inde siber sigorta bulunmaktadır. İstatistiklerden de anlaşıldığı gibi siber saldırganlar dünya genelinde işletmelere çeşitli zararlar verebilmek için aktif olarak çalışmaktadır. Siber saldırılar; finansal sahtekarlık, bilgi hırsızlığı veya bilgiyi kötüye kullanma, bilgisayar sitemlerini çalışamaz duruma getirme, bir işletmenin faaliyet alanındaki altyapı sistemini bozma gibi çeşitli nedenlerle gerçekleştirilmektedir. Bu sebeple iç denetim yöneticileri siber riskleri doğru bir şekilde 147 148 KPMG, a.g.m., s.9 KPMG, a.g.m., s.9 52 belirlemeli ve yönetime destek vermelidir. İşletmelerle ilgili siber tehditleri anlamak için işletme dışındaki tarafların hangi bilgileri değerli gördüğü, işletmede bulunan süreçlerden hangisinin en önemli olduğu ve çalışmaması durumunda ortaya çıkabilecek sonuçları belirlemek önemlidir. Ayrıca hangi bilgilerin dışarıya sızması durumunda finansal veya rekabetçi kayıplara ya da itibar hasarının oluşacağının önceden belirlenmesi işletmeler için önem arz etmektedir. Bu durumların ortaya çıkmasında yer alan bazı bilgiler şunlardır; müşterilerin ve çalışanların verileri, tedarik zinciri, ürün kalitesi ve güvenliği, sözleşmelerin şartları ve fiyatlandırmaları, finansal veriler ve planlamalar149. İşletmelerin faaliyet alanları, siber tehditlerin belirlenmesinde önemli değişiklikler göstermektedir. Örneğin; perakendeciler müşteri verilerini korumaya ve müşteri hizmetlerinin kesintiye uğramamasına dikkat etmektedirler. Fikri mülkiyet araştırma ve geliştirmeye odaklanmış kuruluşlar için önemli bir endişe kaynağı olarak yer almaktadır. Üreticiler, üretim ve tedarik zinciri sistemlerinin güvenilirliği ve verimliliğinin yanı sıra ürünlerin kalitesi ve güvenliğine odaklanmaktadır. İç denetim yöneticileri, alana göre farklılıklar gösterebilecek bu riskleri belirleyebilmek ve gereken önlemleri alabilmek için sektörü iyi bir şekilde analiz ederek tanıması gerekmektedir150. İşletmeleri siber saldırılardan korumada siber güvenlik uzmanlarının çalışmaları kadar iç denetim ekiplerinin çalışmaları da rol oynamaktadır. Siber güvenlik riski, teknoloji riski olduğu kadar aynı zamanda bir iş riskidir. İç denetim departmanları bu riski yönetmede işletmenin temel yapıtaşı olarak görev almaktadır. İç denetim yöneticileri, işletmelerde siber güvenlik denetimlerinin planlandığı şekilde yürütülmesini sağlamakla birlikte ileriye yönelik ve stratejik düşünce liderliğini sunmaktadır. Siber güvenlik konusunda iç denetim ekiplerinin dikkati dört alanda bulunmaktadır151:  Siber tehditlere karşı hazırlık ve müdahale konusunda güvence vermek,  Yönetime, kurumun karşı karşıya olduğu risk seviyesini ve mevcut olan bu risklere karşı alınan aksiyonları bildirmek, 149 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.3–5 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.5–8 151 “Küresel BakıĢ Açıları ve AnlayıĢlar Yapay Zeka - Ġç Denetim Mesleğine ĠliĢkin Dikkate Alınması Gerekenler”, The Institute of Internal Auditors, 2017, s.10 150 53  Kuruma yönelik bir siber saldırı gerçekleşmesi durumunda etkili savunma ve müdahale mekanizmasının uygulanabilirliğine yönelik güvence vermek için BT departmanı ile ortak çalışma yürütmek,  Kurumda mevcut olan risklerle ilgili çalışanlar arasında iletişimi ve iş birliğini sağlamak. 2.6 Siber Güvenlikte Üçlü Savunma Hattı Üçlü savunma hattı, işletmelerin hedeflerine ulaşırken karşılaşabilecekleri risklerin etkili bir şekilde yönetilmesinde kilit rol oynamaktadır. Bu savunma hattının doğru bir şekilde ayrıştırılması ve etkin çalışması, iç denetim faaliyetinin siber güvenlikteki rolünü değerlendirmede önemli bir adım olarak görülmektedir152. Bu model işletmede bulunan tüm departmanların birbirleriyle uyum içerisinde çalışmalarını sağlamak bakımından önemli bir koordinasyon görevi üstlenmektedir. Risklere tam ve doğru bir şekilde karşılık verebilmenin ön koşulu bu koordinasyona bağlıdır. İşletmelerde risk yönetimi ve kontrol alanındaki sorumluluklar belirlenirken Üçlü Savunma Hattı modeli bir gösterge (benchmark) olarak kabul görmektedir. Modelin uygulandığı işletmelerde, görev-yetki-sorumlulukların net ve açık olarak belirlenmesi risk yönetimi ve kontrolüne katkı sağlamaktadır. Üçlü savunma hattı işletmelerde birer erken uyarı sistemi olarak görülmektedir153. 152 “IIA Position Paper: The Three Lınes Of Defense In Effectıve Rısk Management And Control”, The Institute of Internal Auditors, 2013, s.2–5 153 Murat Nail Uzel, Bülent Hasanefendioğlu, Cem Niyazi Durmuş, “3‟lü Savunma Hattının COSO Ġç Kontrol Sisteminin Etkinliğin Arttırılmasında Kaldıraç Etkisi”, Mali Çözüm Dergisi, İSMMMO, Sayı.136, 2016, s.199– 204 54 ġekil 17: Üçlü Savunma Hattı Kaynak: Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing, “At The Junction of Corporate Governance and Cybersecurity”, Cyber Risk Governance Report 2017, s.12 Bağımsız denetçiler, işletmenin yapısı dışarısında olmalarına rağmen kurumun yönetişim ve kontrol çevresinde önemli bir role sahiptirler. Kurumun dışarısında kalan bağımsız denetçiler ile işletme çalışanları arasında etkili ve verimli bir eşgüdüm sağlandığı taktirde üst yönetime ve ilgililere güvence sağlayarak ek bir savunma hattı da ortaya çıkabilmektedir154. 2.6.1 Birinci Savunma Sistemi Birinci savunma hattını oluşturan yöneticiler, işletmede mevcut olan riskleri üstlenir ve yönetirler. Aynı zamanda süreç ve kontroller ile ilgili eksiklikleri düzeltmeden sorumlu kişiler olarak yer almaktadırlar. Operasyonel yönetim, işletme içerisindeki politika ve prosedürlerin uygulamaya koyulmasında görev aldığı kadar faaliyetlerin işletmenin hedef ve amaçlarına ulaşması yolunda ortaya çıkartabileceği riskleri belirleme, değerlendirme, kontrol etme ve azaltma çabası içerisinde de bulunmaktadır. Yöneticiler, uygulamaya koyulan prosedürlere çalışan personellerin uyup uymadığını gözlemlemektedir. Eğer kontrol eksikliği veya yüksek risk barındıran bir durum ortaya 154 “IIA Position Paper: The Three Lınes Of Defense In Effectıve Rısk Management And Control”, s.8 55 çıkarsa kısa süre içerisinde giderilmeli aksi taktirde raporlanması gerekmektedir155. Denetim raporları genellikle birinci savunma hattındaki faaliyetleri incelemek için yapılan çalışmalardan oluşmaktadır156. Üçlü savunma hattını siber güvenlik açısından değerlendirdiğimizde: İşletmelerde teknoloji alanında çalışan genel müdür ve yardımcısı, bilgi güvenliği yöneticileri ve bilgi teknolojileri uzmanı olarak çalışanlar siber güvenlikte birinci savunma hattını oluşturmaktadır. Teknolojiden sorumlu genel müdür (CTO), teknolojik gelişmeleri takip ederek işletmenin misyonuna katkı sağlayacak şekilde yönlendirmektedir. Aynı zamanda fikri mülkiyetini koruma görevi de bulunmaktadır. Teknoloji departmanında çalışan diğer personeller ise işletme varlıklarının yeterli seviyede korunması yönündeki çalışmaların başında yer almaktadırlar. Teknoloji birimindekilerin, siber saldırılara karşı mücadele genel müdür ve diğer üst düzey yöneticilerle iş birliği içerisinde faaliyetlerini yürütmesi, siber risklerin belirlenmesinde önemli rol bir oynamaktadır. İşletmeler de birinci savunma hattına yönelik faaliyetler şunlardır157:  Güvenlik prosedürlerinin yönetimi, eğitimi ve testi,  Konfigürasyonun güvenli araçlarla gerçekleştirilmesi, güncel yazılımların kullanılması ve yamaların yapılması,  Saldırı tespit sistemlerini kullanmak ve sızma testlerinin gerçekleştirilmesi,  Ağ trafik akışını doğru şekilde yönetmek ve korumak için güvenilir ağ yapılandırması,  Bilgi varlıklarının, teknolojik cihazların ve ilgili yazılımların envanteri,  Verilerin korunması ve kayıpların önlenmesi için programlarının kullanılması,  Yetki erişiminin doğru yönetilmesi,  Gerektiğinde verilerin şifrelenmesi,  İç ve dış taramalarla güvenlik açığı yönetimi uygulamaları,  Sertifikalı BT, BT riski ve bilgi güvenliği yeteneklerine sahip kişilerin iş alımı. 155 “IIA Position Paper: The Three Lınes Of Defense In Effectıve Rısk Management And Control”, s.5 https://www.misti.co.uk/internal-audit-insights/how-internal-audit-can-benefit-from-the-three-lines-of-defencemodel, (29.05.2020) 157 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.6–7 156 56 2.6.2 Ġkinci Savunma Sistemi İkinci savunma hattı, yönetim tarafından belirlenen finansal kontrol, risk yönetimi, uyum kontrolleri, sistem güvenliği gibi fonksiyonlardan oluşmaktadır. Bu fonksiyonlar işletme içerisinde birinci savunma hattındaki risk ve kontrolleri oluşturmaya, gözden geçirmeye ve izlemeye yardımcı olan birimlerdir158. İkinci savunma hattı aynı zamanda siber güvenlikle ilgili yönetişim işlevlerinin çoğunun gerçekleştirilmesinden sorumludur. İkinci savunma hattının siber güvenliğe ilişkin sorumlulukları şunlardır159:  Siber güvenlik ile ilgili riskleri değerlendirmek ve bu risklerin işletmenin risk iştihanı uygunluğunu belirlemek,  Mevcut ve ortaya çıkabilecek riskleri izlemek, yasalardaki ve yönetmeliklerdeki değişiklikleri takip etmek,  Uygun kontrol tasarımını sağlamak için birinci savunma hattı ile iş birliği içerisinde çalışmak. Siber güvenlik riskleri, birçok risk türüne göre daha tehlikelidir. Bu nedenle zamanında karşılık verilmez ise işletmede ağır sonuçlar ortaya çıkabilir. İkinci savunma hattı, sürekli gelişen tehdit ortamına karşılık olarak işletmeyi yeterince hazırlamak ve güvence altına almak için kritik öneme sahiptir. Bu aşamada siber güvenlik riskleri ve kontrolleri hakkında yönetim kurullarına farkındalık sağlamak için birinci ve üçüncü savunma hatlarıyla birlikte çalışılması gerekmektedir. İkinci savunma hattında yaygın siber güvenlik faaliyetleri şunlardır160:  Siber güvenlik politikaları, eğitimi ve testinin tasarlanması,  Siber risk değerlendirmelerinin yapılması,  Siber tehdit unsuru ile ilgili bilgilerin toplanması,  Verilerin sınıflandırılması ve erişim izinlerin tasarlanması,  Anahtar risk göstergelerinin izlenmesi ve gereken iyileştirmelerin yapılması,  IT alanında sertifikalı kişilerin işe alınması ve devamlılığın sağlanması, 158 Chartered Institute of Internal Auditors, “Governance of risk: Three lines of defence”, 2019, s.2 Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing “At The Junction of Corporate Governance and Cybersecurity”, Cyber Risk Governance Report 2017, s.11 160 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.9–10 159 57  Üçüncü taraflarla, tedarikçilerle ve hizmet sağlayıcılar ile ilişkilerin değerlendirilmesi,  İş sürekliliği planlarının yapılması ve test edilmesi. 2.6.3 Üçüncü Savunma Sitemi Üçüncü savunma hattı, bağımsız ve nesnel bir güvence sağlayıcısı olarak iç denetim işlevinden oluşmaktadır. İç denetimin amacı yönetişim, risk yönetimi ve iç kontrollerin etkinliğini sağlamaktır. Aynı zamanda birinci ve ikinci savunma hatlarının etkinliğinin değerlendirilmesi üçüncü savunma hattında bulunan iç denetimin görevlerinden biridir161. İç Denetçiler Enstitüsü (IIA) Uluslararası Mesleki Uygulama Çerçevesi kapsamında, İç Denetimin misyonu: “riske dayalı, nesnel güvence sağlayarak ve tavsiye ile öngörülerle kurumu geliştirmek ve korumaktır.” Bu misyon kurumların siber güvenlik riski ile karşı karşıya kalmaları durumunda da aynı ölçüde uygulanabilmektedir. İç denetim, siber risk yönetim grubu ile koordineli olarak kurumların siber risk yönetim planlarının geliştirilmesi, uygulanması ve değerlendirilmesinde önemli bir rol oynamaktadır.162 Üçüncü savunma hattı olarak iç denetim, siber güvenlik ile ilgili durumlar söz konusu olduğunda ikinci savunma hattıyla birlikte önemli bir rol oynamaktadır. İç denetim yöneticilerinin, siber güvenlikle ilgili değerlendirmeler yaparken göz önünde bulundurması gereken konulardan bazıları şunlardır163:  Yönetim kurulu ve üst yöneticiler siber güvenlikle ilgili kilit risklerin farkındalar mı? İşletme, içerisinde siber güvenlik girişimleri yeterli destek ve öncelik alıyor mu?  Yönetim, siber tehditlere veya güvenlik ihlallerine duyarlı varlıkları tanımlamak için bir risk değerlendirmesi yaptı mı ve potansiyel etki (finansal ve finansal olmayan) değerlendirildi mi? 161 https://www.misti.co.uk/internal-audit-insights/how-internal-audit-can-benefit-from-the-three-lines-of-defencemodel, (29.05.2020) 162 Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing, a.g.m., s.18 163 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.11–15 58  Siber güvenlikle ilgili mevcut ve ortaya çıkabilecek olan risklerden, yaygın zayıflıklar ve siber güvenlik ihlallerine karşı güncel kalmak için birinci ve ikinci savunma hatlarıyla iş birliği yapılıyor mu?  Siber güvenlik politikaları ve prosedürleri mevcut mu ve çalışanlar periyodik olarak siber güvenlik bilinci eğitimi alıyor mu?  BT süreçleri siber tehditleri tespit etmek için tasarlanmış ve çalışıyor mu? Yönetimin yeterli izleme kontrolleri var mı?  Üst yönetime ve yönetim kuruluna, işletmenin siber güvenlik programlarının durumu hakkında bilgi vermek için geri bildirim mekanizmaları çalışıyor mu?  Siber saldırı veya tehdit durumunda yönetimin etkin bir yardım hattı veya acil durum prosedürü mevcut mu? Bunlar çalışanlar ve servis sağlayıcılara aktarıldı mı?  İç denetim faaliyeti siber tehditleri azaltmak için süreçleri ve kontrolleri değerlendirebiliyor mu yoksa İç denetim yöneticilerinin siber güvenlik uzmanlığı için ek kaynaklar düşünmesi gerekiyor mu?  İşletme, verileri harici olarak depolayanlar (BT sağlayıcıları, bulut depolama sağlayıcıları) dahil sistem erişimi olan üçüncü taraf hizmet sağlayıcılarının bir listesi tutuluyor mu? Hizmet kuruluşunun denetimlerinin siber güvenlik riski yönetimi programlarının bir parçası olarak etkinliğini değerlendirmek için bağımsız bir siber güvenlik incelemesi yapıldı mı?  İç denetim, işletmenin karşı karşıya olduğu yaygın siber tehditleri yeterince tanımlamış mı ve bunlar iç denetim risk değerlendirmesine ve planlamasına dahil edilmiş mi? İşletmeler bu konulara özen gösterdikleri taktirde kurumlarında güçlü yönetişimin temelleri atılmış sayılmaktadır. İç denetim yöneticileri yukarıdaki konuları dikkate alarak siber güvenlikle ilgili kırmızı bayrakları belirleyebilmektedirler. Yönetişim eksikliklerini gösteren kırmızı bayraklardan bazıları; birbirinden ayrılmış yönetişim yapısı, eksik strateji, siber güvenlik çabasının gecikmesidir164. 164 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.14 59 Bir iç denetçi, BT tarafından tanımlanan Penetrasyon testini yeniden yapmak yerine, testin ayrıntılarını gözden geçirerek sonuçlara güvenip güvenemeyeceğine karar verebilir. İç denetçi gerektiğinde, teknik personeli gözlemlemeli ve onlarla yüz yüze görüşmeler gerçekleştirmektedir. Bunun sonucunda siber güvenlik prosedürlerine dahil edilmesi gereken bulgular tespit edilebilmektedir165. İç denetim ekiplerinin üçüncü savunma hattındaki faaliyetleri şunlardır166:  Siber güvenlik ile ilgili önleyici ve tespit edici önlemlerin bağımsız bir şekilde gerçekleştirilmesini sağlamak,  Sorunlu internet adresleri, kötü amaçlı yazılımlar ve veri sızıntıları için erişimi kısıtlı olan kullanıcıların BT varlıklarını değerlendirmek,  Gerekli olan iyileştirme tedbirlerinin takip edilmesi,  Hizmet kuruluşlarının, üçüncü tarafların ve tedarikçilerin siber risk değerlendirmelerini gerçekleştirmek, birinci ve ikinci savunma hatları bu sorumluluğu paylaşmaktadır. 2.7 Siber DanıĢmanlar Güvenilir birer danışman olarak görülen iç denetim yöneticilerinin, siber dünyadaki gelişmeleri ve mevcut riskleri takip etmesi gerekmektedir. İşletmelerin faaliyet alanlarına yeni katılan teknolojik cihazların güvenliğini sağlama konusunda iç denetim yöneticilerinin ekiplerini doğru şekilde yönlendirerek işletmeye destek vermesi beklenmektedir. Siber güvenlik riskinin sıfıra indirilmesi mümkün değildir. Ancak siber danışmanların görevi, bu riski minimum seviyeye indirme oyunu olarak görülmektedir. Saldırganların, “Saray Mücevherleri” olarak adlandırdıkları işletmenin gizli bilgilerine ulaşmasının engellenmesi siber danışmanların amaçlarından biridir167. Siber güvenlik riski, iç denetim birimlerinin çoğunun farkında oldukları risk kategorileri arasında bulunmaktadır. Ancak sadece küçük bir kısmı siber güvenlik konularıyla ilgili iç denetim hizmeti vererek bu tür bir riske karşı aksiyon almaktadır. 165 GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, s.13 Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing, a.g.m., s.19 167 The Institute of Internal Auditors, “Global Perspektifler ve AnlayıĢlar: Güvenilir Bir Siber DanıĢman Olarak”, Sayı.4, 2016, s.3–4 166 60 Global Nabız‟ın anket verilerine göre siber güvenlik hizmeti ile ilgili bazı istatistikler şöyledir168.  Siber güvenlikle ilgili iç denetim hizmetlerinin yalnızca %16‟sını iç denetim departmanları vermektedir.  Siber güvenlikle ilgili iç denetim hizmetlerinin %42‟sini iç denetim departmanları ve dış hizmet sağlayıcılarının ortak çalışmaları sonucunda ortaya çıkmaktadır.  Siber güvenlikle ilgili iç denetim hizmetlerinin %16‟sı dış hizmet sağlayıcılar tarafından sağlanmaktadır.  Siber güvenlikle ilgili iç denetim hizmetlerinin %25‟i işletmeye siber güvenlikle ilgili hiçbir iç denetim hizmeti vermemektedir. İç denetim departmanlarının işletmelere, siber güvenlik denetimi hizmetini verememelerinin sebepleri şunlardır169:(Ankete katılanlar birden fazla cevap verebilmektedir)  %65 oranla ilk sırada, iç denetçilerin siber güvenlikle ilgili becerilere ve bilgi birikimine sahip olmaması  %55 oranla iç denetçilerin siber güvenliği denetlemek için gereken araçlara sahip olmamaları  %26 oranla iç denetim ekiplerinin, siber güvenlikle ilgili riskleri değerlendirmemiş olmaları  %22 oranla iç denetimin siber güvenliği denetleyecek zamanı olmaması  %19 oranla yönetimin, siber güvenliğin denetlenmesi için gereken desteği iç denetime vermemesi İç denetçilerin siber güvenlik konularından uzak olmalarının sebeplerinden ilki yetkinliklerinin olmamasından kaynaklanmaktadır. Ancak kendilerini bu alanda geliştirerek işletmeler için güvenilir siber danışmanlar konumuna gelmeleri söz konusu olabilir. 168 The Institute of Internal Auditors, “Global Perspektifler ve AnlayıĢlar: Ġç Denetimin Global Nabzı Kanalıyla Sunulan Yeni Trendler”, Sayı.5, 2016, s.13–14 169 The Institute of Internal Auditors, “Global Perspektifler ve AnlayıĢlar: Ġç Denetimin Global Nabzı Kanalıyla Sunulan Yeni Trendler”, s.15 61 3. SĠBER GÜVENLĠK DENETĠMĠ 3.1 Siber Güvenlik Denetimi Çerçevesi Siber güvenlik denetiminin kapsamı170;  Şebeke, veri tabanı ve uygulamalara ilişkin veri güvenliği politikaları,  Veri kaybı önleme tedbirleri,  Uygulanan etkili ağ erişim denetimleri,  Dağıtılan algılama / önleme sistemleri,  Güvenlik kontrolleri (fiziksel ve mantıksal),  Olaylara müdahale programlarından oluşmaktadır. Siber güvenlik denetimi ile ilgili amaçlar aşağıdaki şekilde sınırlandırılabilir171: 170 ISACA, “Cyber Security Audit”, 2017, s.1 62  Siber güvenlik politikaları ve prosedürleri ve bunların çalışma etkinliği hakkında bir değerlendirme yaparak yönetime güvence sağlamak.  Güvenlik kontrollerindeki zayıflıklar nedeniyle kurum verilerinin güvenilirliğini, doğruluğunu ve güvenliğini etkileyebilecek güvenlik kontrolü sorunlarını tespit ederek yönetime rehberlik etmek.  Yanıt verme ve kurtarma programlarının etkinliğini değerlendirerek kurumsal yaklaşımların içselleştirilmesinde yardımcı olmak. Güvenlik yeteneklerinin sürdürülmesi ve iyileştirilmesi, siber tehditlerin azaltılmasına ve kuruluşu istenen siber güvenlik olgunluk düzeyine taşımaya yardımcı olabilir. İç denetim, kapsamlı bir siber risk değerlendirmesi gerçekleştirerek, denetim komitesi ve yönetim kurulu üyelerine objektif bakış açıları ve bulgular sunabilir. Ayrıca bu bulguları bir veya birden fazla sayıda kurum için siber risk alanlarını ele alan geniş bir iç denetim planı geliştirmek için kullanabilir172. Siber güvenlik denetimleri ve değerlendirme süreçleri, siber güvenliğin başarısında önemli bir rol oynamaktadır. Siber güvenlik denetimlerinin yürütücüleri olarak bilenen iç denetçiler, risk yönetim uzmanları ve işletme yönetimi konumunda olan taraflar detaylı olarak aşağıda açıklanmıştır173. a) Yönetim: İşletme hakkında son kararı her zaman yönetim vermektedir. Bu sebeple, işletme yönetimindekiler siber güvenlik kontrollerinin var olması ve etkin bir şekilde çalışması için önemli bir rol üstlenmektedir. Kararların, risk yönetimi süreçleri göz önüne alınarak doğru bir şekilde verilmesi gerekmektedir. b) Risk Yönetimi: Risk değerlendirmeleri çoğu zaman işletmede bir güvenlik sorumlusunun rehberliğinde gerçekleştirilmektedir. Risk değerlendirmelerinde genellikle iki türlü amaç bulunmaktadır. Risk düzeyinin netleşmesi ve kolay bir şekilde anlaşılabilmesi için risk durumu hakkında toplantı yapılarak ortak bir yaklaşıma varılması önemlidir. İkinci olarak da mevcut olan risklerin ortadan kaldırılması için alternatif yolların belirlenmesi gerekmektedir. Bu sayede hem 171 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, s.352 Deloitte, “Cybersecurity and The Role of Internal Audit: An Urgent Call To Action”, 2017, s.4 173 Mahmut Sami Öztürk, “Sıber Saldırılar, Sıber Güvenlık Denetımlerı ve Bütüncül Bır Denetım Modelı Önerısı”, Muhasebe ve Vergi Uygulamaları Dergisi, Ankara SMMMO, 2018, s.221–222 172 63 problem hem de çözüm yolları belirlenmekte ve işletmeye zarar vermesinin önüne geçilmektedir. Siber güvenlikte riskli alanlar sürekli değişime uğramaktadır. İşletmede güçlü bir siber güvenlik altyapısı oluşturmak için ise yönetim çerçevesine, tanımlanmış süreçlere ve yetenekli siber güvenlik kaynaklarına sahip olmak önemlidir. c) İç Denetim: Sürekli olarak gelişmekte olan dijital dünyada işletmeleri korumak kritik önem taşımaktadır. İç denetim departmanları, siber güvenlik denetimleri konusunda çok önemli bir rol oynamaktadır. Aynı zamanda denetim kuruluna işletmenin yönetim kurulu seviyesinde bağımsız bir görüş bildirilmesi için çapraz raporlama ilişkisine sahiptir. Çapraz raporlama ile yönetim kuruluna bilgi verilmekte ve bu doğrultuda denetim kuruluna rapor verilmektedir. Denetim sırasında kontroller objektif bir şekilde değerlendirilmekte ve iyileştirmeler için tavsiyelerde bulunulmaktadır. Aynı zamanda üst yönetim ile yönetim kurulunun siber riskleri anlamasına, bunlarla karşı aksiyon alınmasına yardımcı olmakta ve siber tehditleri yönetme konusunda işletmeye katkı sağlamaktadır. 3.2 Risk Değerlendirme AĢaması 3.2.1 MüĢteri Kabulü İşletme, sistemlerinin içerisinde yer alan güvenlik açıklarını bulabilmek ve bu doğrultuda aksiyon almak için siber güvenlik denetimi hizmeti veren bir kuruma başvurmaktadır. Siber Güvenlik Denetimi hizmetini verecek taraf, işletmeye yönelik ön inceleme yaparak risk boyutunu belirlemektedir. Hizmeti verecek firma, ön inceleme sonucunda denetimi kabul etmeme durumu söz konusu olabilmektedir. 64 ġekil 18: Denetim Başlangıcı Kaynak: Kamu Gözetim Kurumu, MüĢteri Kabul Denetim Planlaması ve BDS‟lerde Ele Alınan Önemli Bazı Alanlar, s.3-4 Karşılıklı anlaşma sağlandıktan sonra sözleşmenin koşulları belirlenerek denetim sözleşmesi imzalanmaktadır. Taraflar arasından denetim hizmeti verecek şirketin bağımsız olması önem arz etmektedir174. 3.2.2 Denetimin Planlanması Kurumlar, denetimler yaptırarak etkin operasyonlar gerçekleştirmekte, idari ve yasal düzenlemelere uygunluğunun anlaşılmasına katkı sağlamaktadır. Denetimler sayesinde 174 Uzay, Özbirecikli ve Selimoğlu, a.g.e., s.143 65 meydana gelebilecek problemlere kısa sürede karşılık verilmektedir. Etkili bir denetim aynı zamanda kurumun mali operasyonel ve etik refahını korumaktadır. Siber güvenlik denetimleri kurumlardaki bilgi ve ilgili sistemlere odaklanarak tüm bu sonuçları desteklemektedir. Denetimin başarılı bir şekilde gerçekleştirilmesinin anahtarı doğru ve tam olarak planlanmasıyla mümkün olmaktadır. Denetimin kapsamını ve amacını her iki tarafta anlamalı ve kabul etmelidir. Amaç açıkça belirtildikten sonra denetim aşamasına geçmek için ilgili prosedürleri kapsayacak bir denetim planı hazırlanmaktadır. Denetim planının önemli bir bileşeni, çalışma programıdır. Denetim programı, kurumdaki kontrollerin etkinliğini test etmek ve doğrulamak amacıyla kullanılacak prosedürleri ve adımları belgelemek için sık sık kullanılmaktadır. Denetim sonuçlarının tutarlılığı ve kalitesi denetim programına doğrudan bağlıdır. Bu nedenle iç denetçilerin kapsamlı denetim programlarının nasıl geliştirileceğini iyi bir şekilde bilmeleri gerekmektedir. Plan ve program dahilinde siber güvenlik denetiminde, iç denetçilerin yapabilecekleri şöyle sıralanabilir175:  Kurumda mevcut olan güvenlik politikasına, standartlarına, yönergelerine ve prosedürlere uyumun kontrol edilmesi,  Politika, standartlar, kılavuzlar ve prosedürlerin etkinliğinin incelenmesi ve eksikliklerin tespit edilmesi,  İlgili yasal, düzenleyici ve sözleşmeye bağlı gerekliliklerin belirlenmesi ve incelenmesi,  Kurumdaki güvenlik açıklarını tanımlamak,  Risk stratejisi konusunda tavsiyelerde bulunmak,  Siber riskleri diğer risklere karşı bağımsız olarak değerlendirilmesi ve önceliklendirilmesi  Siber riskleri azaltabilmek için kontrollerin etkili bir şekilde çalışmasına yardımcı olmak  Sürekli değişime uğrayan siber risklerin takip edilmesi,  Operasyonel, idari ve yönetimsel konulardaki mevcut güvenlik kontrollerinin izlenerek, güvenlik önlemlerinin etkin bir şekilde uygulanmasını sağlamak, 175 Alptuğ Güler ve Ali Kasım Arkin, “Siber Hijyenin Sağlanmasında Ġç Denetimin Rolü”, Denetişim Dergisi, Sayı.19, 2019, s.33 66  İyileştirmeler için tavsiyelerde bulunmak. 3.2.3 Risklerin Belirlenmesi Siber Güvenlik Denetimi doğru ve tam bir şekilde planlandıktan sonra denetim sırasında önemli konuların belirlenmesi gerekmektedir. Denetim gerçekleştirilirken kontrollerin nasıl uygulanacağı ve sisteme yönelik var olabilecek tehditler açıkça ortaya konulmalıdır. İşletmelerin kontrolleri sadece iyi bir şekilde tasarlamaları yeterli değildir. Tasarlanan bu kontroller ve araçların güncel olarak da takip edilmesi gerekmektedir. Kontrollerin olmadığı ya da var olan kontrollerin etkili bir şekilde çalışmadığı sistem, içeriden ve dışarıdan gelebilecek tüm tehditlere açık kapı bırakmaktadır176. Siber olayların yaşanması kurum içinde finansal, operasyonel, yasal ve itibar üzerinde değişiklik meydana getirmektedir. Kurumların kritik altyapıdaki rolü, bir internet sitesinin potansiyel etkisini de arttırabilir. Siber ihlalin yaşanması durumunda ortaya çıkabilecek olumsuz örneklerden bazıları şunlardır177:  İtibar kaybıyla birlikte hisselerde düşüş,  Fikri mülkiyet veya ticari sırların kaybedilmesi,  Gizli veya tüketici kişisel bilgilerin kaybından veya suistimalinden kaynaklanan para cezaları, davalar  Zaman ve verimlilik kaybı,  Şirketin imajını düzeltebilmek için halkla ilişkiler kampanyası maliyetleri, Dolayısıyla bir siber güvenlik denetiminde siber ihlallerin iş süreçlerine etkileri kapsamında risk değerlendirmesi yapılması büyük önem arz etmektedir. Kurumlarda risk stratejisinin belirlenmesi yönetime ait bir karardır. Risklere karşı uygulanan kontroller kurumsal varlıkların korunması yönünde olması gerekmektedir. İşletme yöneticilerinin, ilgili faaliyetini sürdürmesi için gerekli olan gizlilik, bütünlük ve erişilebilirlik kontrollerinin seviyesinin ne şekilde belirleneceği üzerine yönlendirilmesi gerekmektedir178. 176 Öztürk, a.g.m., s.227 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, s.353 178 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, s.353–358 177 67 3.3 Sızma Testi Sızma testleri, penetrasyon testi olarak da bilinmektedir. Güvenlik testleriyle kötü niyetli şahısların sistemlere yetkisiz erişmesini engellemek ve güvenlik açıkları belirlenerek bunların ortadan kaldırılması hedeflenmektedir. Kurumlar tarafından yapılan testlerin amaçları şunlardır179:  Ortaya çıkabilecek yeni zafiyetlerin tespit edilmesi,  Tasarım zafiyetlerinin belirlenmesi,  Kurumun güvenilir olduğuna yönelik bir imaj göstergesi,  Bilgi güvenliği politikalarının gözden geçirilmesi,  Bilgi güvenliği sertifikasyonlarına uyumda sürekliliğin sağlanması,  Etkili ve bilinçli güvenlik yatırımlarının gerçekleştirilmesi,  Personellerin sorumluluğunun gözden geçirilmesi,  Sistemlere yapılabilecek saldırı veya saldırılara karşı güvenliğin sağlanması. Sızma testleri, güvenlik uzmanları tarafından gerçekleştirilmekte olup bilgisayar ağ cihazları, işletim sistemleri, iletişim araçları ve insan faktörü olmak üzere bütün bilişim altyapısını kapsayacak şekilde planlanmaktadır. Test sona erdiğinde sızılan sistemde bulunan zafiyetler ve çözüm önerilerinin bulunduğu sızma testi raporu oluşturulmaktadır. Bu rapor, kurumun sistemlerinin güvenliği hakkında tespitler barındırmakta ve ilgili kişilere iletilmektedir180. Rapor, sızma testini yaptıran firmaya 3 farklı rapor şeklinde teslim edilmektedir. Bu raporlar şunlardır181:  Yönetim Raporu: Kuruma yönelik alınacak önemli kararları içeren özet şeklinde hazırlanmış rapordur. Yönetim raporu, başlangıçta yapılan sözleşmeye uygun şekilde tamamlanma durumunu, test sonuçları kapsamında işletmenin genel güvenlik düzeyini, tespit edilen açıklıklarla ilgili yatırımları, sistemde bulunan açıklıkların risk matrislerini içermektedir.  Teknik Rapor: Tespit edilen açıklıklara yönelik teknik bilgiler içermekte olup çözüm üretmede tavsiyeler verilmektedir. Bu raporda; test sırasında ortaya çıkan 179 Yılmaz Vural ve Şeref Sağıroğlu, “Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.26, Sayı.1, 2011, s.91 180 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.439–440 181 Şahinaslan, a.g.t., s.118–119 68 açıklar belirtilmekte olup nedeni, gelebilecek saldırı türü, alınması gereken önlemleri içeren profesyonel tavsiyeler bulunmaktadır. Ayrıca açıklıklara ait ekran görüntüleri, detaylı açıklamaları da yer almaktadır.  İyileştirilmiş Dış Rapor: Yönetim raporunda ve teknik raporda yer verilen açıklıkların giderilmesi için güvenlik uzmanları iyileştirme çalışmaları yapmaktadır. İyileştirilmiş dış raporda; sızma testi sırasında tespit edilen açıklıkların giderildiğinin anlaşılması amacıyla aynı sistemlerde tekrar sızma testi uygulanmaktadır. Kısacası bu rapor, sistemlerin siber saldırılara karşı dayanıklı olduğunu ortaya koymaktadır. 3.3.1 Sızma Testi Türleri Sızma testleri arasından hangisinin yapılacağına kurumun ihtiyaçlarına göre kurumun kendisi veya testi gerçekleştirecek güvenlik uzmanı karar vermektedir. Kurum yeni bir sistemi, geliştirme aşamasından üretim aşamasına taşıyorsa ve güvenlikle ilgili ayarların doğru bir şekilde yapılıp yapılmadığı konusunda bilgi almak istiyorsa beyaz kutu testini yaptırması yönünde karar çıkacaktır. Ancak güçlü bir güvenlik stratejisi bulunan ve sistemini gerçekleşebilecek her türlü saldırı açısından test ettirmek isteyen bir kurum ise siyah kutu sızma testini yaptırma kararı verilmektedir182. Sızma testleri şekil 19‟da da görüldüğü gibi kara kutu, beyaz kutu ve gri kutu olmak üzere 3 şekilde gerçekleştirilebilir. ġekil 19: Sızma Testleri Kaynak: Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.443 182 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.444 69 3.3.1.1 Siyah Kutu Siyah kutu (Kara Kutu) testinde uzmanların, test edilecek sistem hakkında hiçbir bilgisi bulunmamaktadır. Bu aşamada test uzmanları, aynı birer saldırgan gibi düşünmekte ve hareket etmektedir. Sistemde yer alan güvenlik açıklarını kendi başlarına bulmak için çaba sarf etmektedirler183. Siyah kutu sızma testleri çok pahalı ve uzun zaman alacak bir test türüdür. Testin yapıldığı sırada sistemde aksama veya kalıcı hasarlar ortaya çıkabilmektedir. Bu sebeple testi yapacak güvenlik uzmanlarının dikkatli bir şekilde davranmaları gerekmektedir. Test sonucunda ortaya çıkan bulgular test yaptıran şirket için büyük önem taşımaktadır184. 3.3.1.2 Beyaz Kutu Güvenlik testini gerçekleştirecek uzmanlar, kurum içerisindeki yetkili kişiler tarafından bilgilendirilerek tüm sistemler hakkında bilgi sahibi olmaktadır. Beyaz kutu testiyle daha önceden kurumda çalışmış ya da çalışmakta olan şahısların sistemi uğratabilecekleri zararlar tespit edilmektedir. Beyaz kutu testlerinde uygulanan yöntemler, siyah kutu testlerine yaklaştıkça ortaya çıkan sonuçlar sistemin güvenlik açısından büyük bir sorun olduğunu göstermektedir185. 3.3.1.3 Gri Kutu Sızma testini gerçekleştirecek güvenlik uzmanları belirli alan için sistem, uygulama, donanım veya yazılım hakkında birtakım bilgilere sahip olmaları gerekmektedir. Gri kutu sızma testlerinde, ne siyah kutu sızma testindeki gibi hiçbir şey bilmeden ne de beyaz kutu sızma testindeki kadar çok bilgi sahibi olunmaktadır. Bu tür sızma testlerinde belirli bir güvenlik zafiyetini test etmek amaçlanmaktadır. Gri kutu sızma testlerinde, kurumun tamamına yönelik bir zafiyet analizi yerine bir bölgenin veya işlemin güvenlik testi yapılmaktadır186. 183 Aileen G.Bacudio, Xiaohong Yuan, Bei-Tseng Bill Chu ve Monique Joones, “An overview of penetration testing”, International Journal of Network Security, Vol.3, No.6 2014, s.21 184 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.443 185 Narmin Mammadova, Web Yazılımlarında Güvenlik Problemleri Üzerine AraĢtırma, İstanbul Aydın Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Anabilim Dalı, Yüksek Lisans Tezi, 2017, s.24 186 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.444 70 3.3.2 Sızma Testi AĢamaları Sistemdeki açıklıkların bulunması ve bu açıklıkların kullanılması sonucunda sisteme sızılması hem sızma testini gerçekleştirecek uzmanlar için hem de sızma işlemini yapacak saldırganlar için aynı adımlar ile gerçekleştirilmektedir. İki eylem arasındaki fark ise bir tarafın sistemleri zarara uğratma hedefi varken diğeri ise sistem içerisindeki açıkları kapatmaktır. Sızma testlerinin yürütülmesi aşamasında uygulanması gereken adımlar bulunmaktadır187. 3.3.2.1 Bilgi Toplama Bu aşamada sızma testinin türüne göre bilgi sistemleri hakkında araştırmalar yapılmaktadır. Kurumun içerisinden veya dışarısından internet, intranet, haber siteleri, televizyon ve sosyal mühendislik saldırıları yoluyla detaylı bilgiler alınmaktadır. Kurum içi veya kurum dışından toplanabilecek bilgilere ait örneklerden bazıları şunlardır188:  İnternet (Kurum Dışı): İletişim bilgileri, (Web Adresi, Posta Adresi, Telefon, Faks, E-posta)  İntranet (Kurum İçi): Kullanılan ağ protokolleri, veri tabanlarının belirlenmesi, güvenlik yazılımlarının tespiti  Sosyal Mühendislik (Kurum İçi ve Kurum Dışı): Telefon yoluyla ikna, e-posta yoluyla aldatmaca 3.3.2.2 Zafiyet Taraması Sızma testlerinde hedefe ulaşabilmek için güvenlik açıklıklarının keşfedilmesi gerekmektedir. Sızma testini yapacak uzmanlar veya sızma işlemini gerçekleştirecek saldırganlar sistemdeki zafiyetleri bulabilmek için güvenlik açığı veri tabanlarını kullanmaktadır. Güvenlik açığı tarayıcıları doğru bir şekilde çalışmasına rağmen çoğu zaman yeterli olmamaktadır. Eleştirel bir tutum sergilenmesi amacıyla burada eylemi 187 Tuncay Yığıt ve Muhammed Alparslan Akyıldız, “Sızma Testleri Ġçin Bir Model Ağ Üzerinde Siber Saldırı Senaryolarının Değerlendirilmesi”, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü Dergisi, Cilt.18, Sayı.1, 2014, s.15 188 Vural ve Sağıroğlu, a.g.m., s.9 71 gerçekleştiren kişinin yorumuna ihtiyaç duyulmaktadır. Bu sebeple zafiyet taraması otomatik olarak yapılabildiği kadar manuel analizi de bünyesinde barındırmaktadır189. 3.3.3.3 Erişimi Kazanmak ve Sürdürmek Güvenlik zafiyetleri belirlendikten sonra sisteme sızma eylemi gerçekleştirilmektedir. Bu aşamada güvenlik zafiyetini doğru bir şekilde istismar ederek hedef sistem içerisinde sürekli yer almak amaçlanmaktadır. Hedefin yalnızca eylemi gerçekleştirenlerin kontrolünde olduğu anlaşılınca sızma işlemi başarılı bir şekilde gerçekleştirilmiştir. Sızma işlemin yapan güvenlik uzmanları ya da saldırganlar bu süreçten sonra sistemde istedikleri gibi hareket edebilmektedir190. 3.3.3.4 İzleri Temizlemek Bu aşamada sızma işlemini yapan güvenlik uzmanları ya da saldırganlar sistem üzerinde yaptıklarının izlerini silmektedir. Güvenlik uzmanları, test süresi bittikten sonra açılan oturumların kullanılmasının önüne geçmek için saldırganlar ise yasal bir suçla karşı karşıya kalmamaları için log(iz) kayıtlarını ortadan kaldırmaktadır. Güvenlik uzmanlarının buradaki amacı sisteme saldırının hangi yöntemlerle ve araçlarla yapılabileceğini göstermek ve yöneticilere farkındalık sağlamaktır191. 3.4 Riske KarĢılık Verme İşletmeler, güvenlik ihtiyaçlarına ve maliyetlerine göre riskleri kontrol altında tutmayı hedeflemektedir. Siber saldırı ve tehditler ile mücadele ederken ve siber savunma yöntemlerini uygularken savunma sistemlerinin efektif ve doğru bir şekilde kullanmaları gerekmektedir. Etkin bir savunma ve korunma mekanizmasının oluşmasını sağlayan siber savunma ve korunma sistemleri aşağıda açıklanmıştır192. 189 Georgia Weidman, Penetration Testing: A Hands On Introduction To Hacking, 2014, s.9-10 Sağıroğlu ve Alkan, Siber Güvenlik ve Savunma Problemler ve Çözümler, s.451–452 191 Şahinaslan, a.g.t., s.116–117 192 Çeliktaş, a.g.t., s.47 190 72 3.4.1 ġifreleme Dönemin en büyük sorunlarından biri olan güvenli veri alışverişi sırasında gizlilik çok önem taşımaktadır. İletilmek istenen bilgilerin başkaları tarafından kolay bir şekilde erişilmemesi için şifreleme yöntemleri kullanılmaktadır. Bu şifreleme yöntemine kriptoloji ismi verilmektedir. Kriptoloji kelimesi gizleme bilimi anlamına gelmekte ve şifreleme (kriptografi) ve şifre çözme (kriptanaliz) olmak üzere ikiye ayırmaktadır193. ġekil 20: Şifreleme (Kriptografi) Aşamaları Kaynak: Ayşe Beşkirli, Durmuş Özdemir ve Mehmet Beşkirli, ġifreleme Yöntemleri ve RSA Algoritması Üzerine Bir Ġnceleme, Avrupa Bilim ve Teknoloji Dergisi, 2019 Bilgi şifreleme işlemi yapıldıktan sonra başkalarının anlayamayacağı duruma dönüşmektedir. Şifreyi okuyabilmek için kişilerin elinde şifrenin anahtarları olmak zorundadır. Bu anahtarlar sayesinde şifreli metin düz metin haline dönüşmektedir194. Şifreleme işlemleri çok uzun yıllardır askeri ve diplomatik alanlarda iletişim sırasında kullanılmaktadır. Ancak son zamanlarda özel sektördeki işletmelerde şifreleme yoluyla iletişim kurma aşamasına gelmiştir. Sağlık ve finans alanındaki bilgilerin önem derecesi göz önüne alındığında güvenli ve gizli bilgi akışı şifreleme yöntemiyle daha güvenilir bir duruma dönüşmektedir195. 3.4.2 Bal Küpü Bal küpü (Honeypot), saldırganları üzerlerine çekmek için yöntem olarak kullanılmaktadır. Bal küplerinin asıl amacı saldırıyı gerçekleştirenleri durdurmak değildir. Buradaki görevleri sisteme yetkisiz girişlerin ya da saldırganın kullandığı 193 Tarık Yerlikaya, Yeni ġifreleme Algoritmalarının Analizi, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, 2006, s.2-3 194 Ayşe Beşkirli, Durmuş Özdemir ve Mehmet Beşkirli,, “ġifreleme Yöntemleri ve RSA Algoritması Üzerine Bir Ġnceleme”, Avrupa Bilim ve Teknoloji Dergisi, 2019, s.285 195 Yerlikaya, a.g.t., s.3 73 metod ve araçlar hakkında bilgi edinmekte ve tuzak bir sunucu görevi görmektedir. Bal küpleri sayesinde işletmeye yönelik saldırıları gizli bir şekilde izleyerek kaydetmekte ve açıkların tespit edilmesine olanak sağlamaktadır. Bunları yaparken sistemin içerisindeki bilgileri tehdit edici davranışlardan kaçınmaktadır196. 3.4.3 Uç Nokta Güvenliği Sistemi Uç nokta cihazları, internet üzerinden ağa bağlanan tüm makineleri kapsamaktadır. Her işletmede olması muhtemel masaüstü ve dizüstü bilgisayarları, yazıcıları ve tarayıcıları, tabletleri, akıllı telefonları içerisinde barındırmaktadır. Uç nokta güvenliği sistemiyle ağdaki tüm uç nokta cihazlarının güvenliğinin sağlanması amaçlanmaktadır197. Bu sistemle birlikte işletme içerisindeki ağa bağlı cihazların, tek bir merkez üzerinden kontrol edilmesi sağlanarak yönetilebilirliğini kolay bir şekle dönüştüren bütünleşik bir güvenlik sistemidir198. 3.4.4 Steganografi Steganografi, bilgi gizleme yöntemlerinin önemli bir alt dalı olarak nesnelerin içerisine verinin gizlenmesi olarak tanımlanmaktadır. Ses, video ve resim görüntülerinin üzerine veri saklanabilmektedir. Görüntü dosyalarının içerisine gizlenmiş bir başka görüntü mevcut olmakta kısaca veri içerisine veri gömmektir. Günümüzde gelişen teknolojiyle ve bilginin önem derecesindeki artışla birlikte steganografi kullanımı da hızla yükselmektedir199. Steganografi, bilgi saklama sanatı olarak tanımlanmakta ve mesajı gizleyerek ilgili yerlere ulaştırma amaçlanmaktadır. Steganografi‟nin kriptografi‟den en önemli farkı saklanması istenen mesaj varlığının gizlenmesidir. Saklanan verinin varlığını yalnızca gönderici ve alıcı kişi fark edebilirken başka birisi tarafından anlaşılması mümkün değildir. Kriptografi‟de ise verinin gizlendiğini herkes 196 Süleyman Muhammed Arıkan ve Recep Benzer, “Bir Güvenlik Trendi: Bal Küpü”, Acta Infologica Dergisi, Cilt.2, Sayı.1, 2018, s.2–3 197 https://www.kaspersky.com.tr/resource-center/preemptive-safety/endpoint-security, (06.12.2020) 198 Çeliktaş, a.g.t., s.71 199 Andaç Şahin, Ercan Buluş ve M.Tolga Sakallı, “24-Bit Renkli Resimler Üzerinde En Önemsiz Bite Ekleme Yöntemini Kullanarak Bilgi Gizleme”, Trakya Üniversitesi Fen Bilimleri Dergisi, Cilt.7, Sayı.1, 2006, s.17-18 74 görebilmekte ancak sadece anahtar çözücülerine sahip olan kişiler tarafından anlaşılmaktadır200. 3.4.5 IP Adres Takip Sistemleri İnternet protokolü (IP) adresi, İnternet'e erişen ağdaki bir bilgisayara veya başka bir cihaza atanan bir numaradır. Bu numara, onu kullanan bilgisayar hakkında genel bir konum hatta sahibinin adı gibi belirli bilgileri açığa çıkarabilmektedir. Suç işleyen suçlular tarafından kullanılan IP adreslerinin bilgi günlüklerini oluşturmak için izleme yazılımı kullanılabilir. IP adresleri gizlenebilmesinden dolayı bu yazılımı kullanmanın başarısı hem onu kullanan kişinin hem de saldırıyı yapan kişinin becerisine bağlı olarak değişmektedir201. 3.4.6 Güvenlik Duvarı Güvenlik duvarları ağ ortamında iletişimi sağlayan trafiğin istenildiği şekilde ilerlemesinin imkân veren cihazlardan oluşmaktadır. Bir güvenlik duvarı, paketlerin içerisindeki bilgilere bakarak uygun olmayan paketleri düşürür veya güvenliğini sağladığı yerel ağın erişime izin vermektedir. Güvenlik duvarları üzerindeki erişim kuralları sayesinde önceden belirtilen uygunluk kontrolleri test edilmektedir. Erişim kuralları ağ yöneticisi tarafından ihtiyaçlar doğrultusunda değiştirebilmektedir. Değişiklik yapılacağı sırada dikkatli bir şekilde davranılmaz ise gereksiz IP adresleri portlarının erişime açılmasına neden olabilmektedir. Bu durumda güvenlik açıkları meydana çıkmaktadır202. 3.5 Raporlama Siber güvenlik denetimi sonucunda ortaya çıkan sonuçlar bir denetim raporu ile ilgili kişilerle paylaşılmaktadır. Yapılan denetim neticesinde belirlenen bir güven aralığında güvence verilmektedir. Siber güvenlik denetim güvencesi kurumun siber güvenliğinin 200 Ömer Kurtuldu ve Nafiz Arıca, “Ġmge Kareleri Kullanan Yeni Bir Steganografi Yöntemi”, Journal Of Naval Science And Engineering, Vol.5, No.1, 2009, s.108 201 Ajeet Singh Poonia, “Audit Tools for Cyber Crime Investigation”, International Journal of Enhanced Research in Science Technology & Engineering, Vol.3, Issue.12, 2014, s.18 202 Osman Ayhan Erdem ve Ramazan Kocaoğlu, “Yeni Bir Ağ Güvenliği YaklaĢımı: Dinamik Zeki Güvenlik Duvarı Mimarisi”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.29, Sayı.4, 2014, s.707 75 boyutu hakkında önemli bilgiler ortaya koymaktadır. Denetim güvencesi ne kadar iyi olursa işletmenin siber güvenlik politikalarının da o ölçüde etkili olduğundan bahsedilebilir. Aynı zamanda dış paydaşlara karşı işletmenin güvenilirliği, imajı ve şeffaflığı ile denetimin doğruluğu, kalitesi ve objektifliği hakkında da bilgi sunmaktadır203. Denetim sonuçlarının hızlı bir şekilde raporlanması, şirketin siber tehditlerle kısa süre içinde başa çıkmasına olanak tanımaktadır. Ancak siber saldırılara karşı kesin bir garanti bulunmamakla birlikte koruma düzeyi sadece teknoloji yatırımına bağlıda değildir. Mevcut kaynakları daha etkin bir şekilde kullanarak iç ve dış uzmanlar tarafından bir risk altyapısının geliştirilmesi, yönetimi ve düzenli test edilmesi kilit bir önceliktir. Bir siber güvenlik denetim raporuyla kurumun güvenlik ihlalleriyle karşı karşıya kalma olasılığını keşfetmenin maliyeti, gerçek bir saldırının neden olduğu potansiyel yönetişim, finansal ve itibarla ilgili olumsuz etkiden önemli ölçüde daha düşüktür204. 203 204 Öztürk, a.g.m., s.229–230 Seth Berman, “Cyber Audits Prerequisite to Good Governance”, Issues.232, 2013, s.6 76 4. SĠBER SALDIRI VE SONRASINDA ALINAN AKSĠYONLARA YÖNELĠK BĠR UYGULAMA Uygulama sırasında yer verilen bilgiler Türkiye‟de siber saldırıya uğramış bir şirkete aittir. Gizlilik prosedürü kapsamında şirket hakkında detaylı bir bilgi yer almamaktadır. 4.1 Uygulamanın Amacı ve Kapsamı Özellikle son dönemlerde çok fazla yaygınlaşan siber saldırıların şirketlere verdikleri zararın boyutu çok büyüktür. Bu uygulamayla birlikte bir siber saldırının gerçekleşmesi durumunda ortaya çıkacak zararın boyutlarını en aza indirebilmek için gerekli olan önlemlerin anlatılması amaçlanmıştır. Bu doğrultuda, değerlendirme tablolarında şirketin saldırı öncesi durumu, saldırı sonrası durumu ve mevcutta geliştirilebilecek olan aşamaları yer almaktadır. Yaşanmış bir Oltalama (Phishing) saldırısı sonrası şirkette alınan aksiyonlara yönelik bir inceleme yapılmıştır. İnceleme sonrasında eksik olarak görülen konulara, öneri başlıkları altında yer verilmiştir. 4.2 Siber Saldırı Vakası Bu konu başlığı altında, yaşanan siber saldırının detaylarına yer verilecektir. Şirketin Kuruluş Tarihi: 21.06.2015 Siber Saldırı Tarihi: 11.01.2020 Şirkette Çalışan Toplam Personel Sayısı: 480 Şirketin Yer Aldığı Sektör: İlaç Saldırının Gerçekleşme Yöntemi: Oltalama (Phishing) Maddi Kayıp: 150.000 $ Şirketteki personellerin aralarında dosya paylaşımı yapabilmeleri, dosyaların muhafaza edilmesi ve mesaj yoluyla iletişim sağlayabilmeleri için bir dokümantasyon programı bulunmaktadır. Bu program içerisinde departmanların birbiriyle iletişimini 77 gösteren iş akışları, günlük olarak birbirleriyle yaptıkları dosya alışverişleri, şirket prosedürü, görev tanımları vs. tüm bilgiler yer almaktadır. Ayrıca bu bilgiler haricinde sektör gereği ilaçların yapım aşamasında kullanılan formüller, hammaddeler, ilaçların analiz sonuçları ve benzeri gizli dosyaların olduğu bilgilerde yer almaktadır. Dokümantasyon programındaki bu gizli bilgilere her departmanın ulaşabilmesi mümkün değilken biyoteknoloji departmanında çalışan personellerin görevleri gereği yetkileri mevcuttur. Saldırının gerçekleştiği Biyoteknoloji departmanı, diğer ilaç üretimlerinden farklıdır. Biyoteknoloji departman, hücre bazlı ilaç üretimi yapmaktadır. Normal ilaçlardan farkı diğer ilaçlarda kimyasal hammaddeler kullanılırken Biyoteknolojik ilaçlarda bu mümkün değildir. Biyoteknolojik ilaçlara örnek vermek gerekirse SMA hastalarının kullandığı ilaçlar bu kategoriye girmektedir. Bu tip ilaçları temin edebilmek fiyatı sebebiyle normal ilaçlara göre çok daha zordur. Saldırı Biyoteknloji departmanında beş ay önce işe başlayan uzman bir personel üzerinden yapılmıştır. Biyoteknoloji bölümünde çalışan personelin e-posta adresine bir mail gelmiştir. Bu mailin içeriğine bakıldığında; mevcutta kullanılan dokümantasyon programına bir güncelleme geldiği ve bu sebeple kullanıcının sistemden çıkartıldığı yazmaktadır. Sisteme tekrar giriş yapılabilmesi için linke tıklanarak tekrar giriş yapılması gerekmektedir. Aynı zamanda programda yapılan güncellemeyle birlikte gelen yenilikleri gösteren dosyanın da ekte olduğu belirtilmiştir. Personel işe de yeni başladığı için ve böyle bir güncellemenin olabileceğini düşünerekten linke tıklayarak kullanıcı adı ve şifresiyle programa girişini yapmıştır. Her zaman giriş yapılan ekran olduğu düşünülen bu sitenin alan adının başlangıcı aynıyken son kısmındaki farklılık dikkat çekmemiştir. Onun haricinde internet sayfasının görüntüsünde hiçbir farklılık bulunmamaktadır. Personel sisteme giriş yapmış ancak kullanıcı adı ve şifresi artık tuzak kuran siber saldırganların eline geçmiştir. Saldırganlar sistemin içine sızmış ve bütün dokümantasyonlara ulaşma imkanına sahip olmuştur. Ancak bu durum şirket içerisinde hemen farkına varılamamıştır. Saldırganlar program içerisinde yer alan tüm dokümanları kopyaladıktan sonra sistemi kullanılamaz durumda getirmişlerdir. Programda çalışan tek kısım olarak iletişim kurulabilmesi amaçlı mesaj kutusudur. Saldırganlar uzun süre sistem içerisinde kalmış ve şirketin içeride aldığı yedeklerin 78 tamamına da ulaşabilmiştir. Şirketin dışarısında bir yedek tutmamaları şirkete büyük zarar vermiştir. Sistemin çökmesi sonucunda şirket bünyesinde çok büyük iki problem ortaya çıkmıştır. Birincisi gizli olan ilaç formüllerinin yayınlanması, diğeri ise ilaçların üretimine devam edilebilmesi için ihtiyaç olan formüllerdir. Bu formüller olmadan şirketin Biyoteknoloji departmanı tarafından üretilen hücre bazlı ilaçların üretilmesi mümkün değildir. Program çökertildikten sonra saldırganlar mesaj yoluyla şirket çalışanlarıyla iletişim kurmuştur. 150.000 $ karşılığında tüm dosyaların verileceği saldırganlar tarafından iletilmiştir. Verileri tekrar alabilmek için çeşitli yollar aransa da saldırganların dediğini yapmaktan başka çare olmadığı anlaşılmıştır. Bu süreçten sonra saldırganlar ile iletişime geçilmiş ve ödemenin yapılacağı bilgisi aktarılmıştır. Ancak bilgilerin tekrar alınabilmesi için bir garanti bulunmamaktadır. Bu sebeple saldırganlar biraz olsun iyi niyetli olduklarını gösterebilmek amacıyla bir kısım dosyaları program üzerinden erişime açmıştır. Ancak bu dosyalar ilaç formüllerin olduğu bilgileri kapsamamaktadır. Saldırganlar ödeme takibinin yapılamaması için kripto para ile ödemenin yapılmasını istemiştir. Bu durum saldırganların profesyonel bir şekilde çalıştıklarını göstermektedir. Sonuç olarak ödeme yapılmış ve iki gün içerisinde programdaki dosyalar şirkete iade edilmiştir. Ancak saldırganlarda bir yedeğin olup olmadığı ve herhangi bir zamanda bunu yayınlamayacakları bilgisi mevcut değildir. Bu sebeple şirket üretimine devam etse de üst yönetimdekilerin kafasında bir soru işareti olarak kalmıştır. 79 4.3 Durum Değerlendirme Tabloları IT Bölümü ve İnsan Kaynakları Bölümü ile görüşülmüş olup firmadan alınan bilgiler tablolarda yer almaktadır. Saldırı gerçekleşmeden önceki ve gerçekleştikten sonraki duruma yönelik bilgileri aynı zamanda önerileri de gösteren tablolara aşağıda yer verilmiştir: 1. ÇalıĢanlara siber güvenlik konusuyla ilgili bir farkındaklık eğitimi verildi mi? Saldırı Öncesi Şirket personellerine yönelik çeşitli eğitimler verilse de siber Durum güvenlik konusuyla ilgili bir eğitim içeriden veya dışarıdan verilmediği görülmüştür. Saldırı Sonrası Durum Siber olaylar ile nasıl mücadele edileceğine yönelik bir eğitim henüz verilmemiştir. IT Bölümü tarafından verilmesi düşünülmektedir. Siber güvenlik riskine karşı personellerin farkındalık kazanması kurumun saldırıya uğrama riskini de azaltacaktır. Siber güvenlik Risk ve Öneri her departmanı ilgilendiren bir konu olduğu için personellere farkındalık eğitimi verilmelidir. Bu doğrultuda üst yönetimin, personellerin yaptıkları işin önemlilik seviyesini düşünerekten hareket etmeleri gerekmektedir. 80 2. Meydana gelebilecek siber saldırılara karĢı sigorta bulunmakta mıdır? Saldırı Öncesi Siber saldırılara karşı bir sigorta yapılmamıştır. Durum Saldırı Sonrası Saldırı sonrasında yaşanılan kayıpların önüne geçebilmek Durum amacıyla şirket bünyesinde bir siber güvenlik sigortası yaptırılmıştır. Ancak bu sigortanın kapsamı çok dar olarak ele alınmıştır. Siber güvenlik sigortasının, verilerin kaybedildiğinde ortaya Risk ve Öneri çıkabilecek zarardan daha yüksek bir maliyeti bulunmamaktadır. Bu doğrultuda yapılan siber güvenlik sigortasının kapsamı genişletilmeli ve tam ölçekli bir sigorta yaptırılmalıdır. 81 3. ġirkette teknolojik açıdan zafiyetlerin görülebilmesi için sızma testi yapıldı mı? Saldırı Öncesi Daha önce şirkette böyle bir çalışma yapılmamıştır. Durum Şirketin üst yönetimi, bu hizmeti veren dışarıdan bir firma ile anlaşarak sızma testi yaptırmıştır. Yapılan sızma testleri Saldırı Sonrası sonucunda sistem içerisinde çok fazla zafiyet ortaya çıkmıştır. Durum Ortaya çıkartılan bu zafiyetlerin büyük bir kısmı ortadan kaldırılırken bazıları ise beklemektedir. Bekleme sebebi olarakta zafiyetin ortaya çıkartacağı sonuçların çok büyük etki etmeyeceği düşünülmekte ve bazı şeylerin tamamen değişmesi bu doğrultuda da büyük maliyet ortaya çıkacağıdır. Sızma testini yapan personellerin, sistemlerin içerisidenki zafiyetleri ortaya çıkarması sonucunda benzer saldırıların tekrar etmesini önlemek amaçlanmaktadır. Ortaya çıkartılan Risk ve Öneri bu zafiyetlerin bir kısmı mevcut sistemler üzerinde beklemektedir. Siber saldırganlar sistemlerde yer alan en ufak bir zafiyetten dahi faydalanabilmektedir. Küçük denilen zafiyetler saldrıganlar tarafından tespit edilmesi durumunda beklenen etkiden fazlasını ortaya koyabilmektedir. Bu nedenle en kısa sürede tüm zafiyetler ortadan kaldırılmalıdır. 82 4. ġirket içerisinde önemli bilgilere yönelik Ģifreleme politikaları uygulanmakta mıdır? Saldırı Öncesi Önemli olduğu düşünülen tüm bilgiler dokümantasyon Durum programında tutulmaktadır. Bu programa girebilmek için şifre ve kullanıcı adı girmek gerekse de ek olarak gizli dosyalara ait bir şifreleme politikası uygulanmamıştır. Saldırı Sonrası Durum Saldırı sonrasında güvenlik önlemleri arttırılsa da şifreleme politikalarına yönelik sistem üzerinde ek bir şey yapılmamıştır. Bunun yerine çok yüksek seviyede önemlilik arz eden bilgiler sistem üzerinde tutulduğu gibi manuel olarak dosyaların içerisinde de gizli bir alanda saklanmaktadır. Şifreleme(Kriptografi) işlemi yapıldığında dosya içerisinde yer Risk ve Öneri alan bilgiler başkalarının anlayamacağı bir şeye dönüşmektedir. Anlaşılmayacak duruma gelen bu dosyaların düzelebilmesi için dosyayı bozan kişilerin elindeki şifreleme anahtarlarının olması gerekmektedir. Bu anahtarlar sayesinde şifrelenen metin dönüştürülebilmektedir. 83 okunabilecek duruma 5. Beklenmedik bir durum ile karĢılaĢılması durumunda aksiyon planı mevcut mudur? Saldırı Öncesi Acil durum planı bulunmamaktadır. Durum Üst yönetim, saldırı sonrasında doğrudan IT Bölümü Saldırı Sonrası personellerinden bilgi almak istemiştir. IT Bölümü de durumu Durum nasıl kurtarabileceği üzerine araştırmalar yapmakta ancak daha önceden nasıl bir yol izleneceğine yönelik bir planlama yapılmadığı için süreç olması gerekenden daha yavaş bir şekilde ilerlemiştir. Acil durum nedeniyle işletme faaliyetleri olağan olmayan bir şekilde aksayabilir. Bu sebeple yazılı bir acil durum planı Risk ve Öneri hazırlanması önerilmektedir. - Yazılı acil durum planı tüm ilgili kişilere dağıtılmalıdır. - Olağanüstü bir durumda hangi mekanlardaki hangi yedek sunucuların devreye gireceği belirlenmelidir. - Planda yüksek riskli ve öncelikli alanlar olasılık, finansal etkiler ve diğer sonuçları yönlerinden tespit edilerek bu doğrultuda önlem alınmalıdır. 84 6. ĠĢletmede kullanılan programların tümünde log kayıtları tutulmakta mıdır? Saldırı Öncesi Durum İşletme içerisinde kullanılan programların tamamında log kayıtları tutulmaktadır. Saldırı sonrasında log kayıtlarına ulaşılarak saldırının nereden Saldırı Sonrası Durum ve kim tarafından gerçekleştirildiği araştırılmaya çalışılmış ancak bir sonuca varılamamıştır. Log analizleri sayesinde şirkete yapılan bir saldırı çok kısa süre içerisinde tespit edilebilir. Şirketlerin çoğunda log kayıtları Risk ve Öneri tutulmakta ancak analizi yapılmamaktadır. Analizi de yapılmadığı için saldırı sonradan fark edilmiştir. Bu sebeple güçlü bir bilişim altyapısı kurulmalı ve log analizleri de yapılmalıdır. Aksi taktirde bir başka saldırı yaşanması durumunda tespit etmek yine mümkün olmayacaktır. 85 7. Uzaktan çalıĢma ve uzaktan eriĢime iliĢkin güvenlik prosedürleri belirlenmiĢ midir? Saldırı Öncesi Durum VPN kullanımına yönelik prosedür belirlenmiştir. Dışarıdan bir firmadan VPN kullanımı için hizmet alınmaktadır. Saldırı Sonrası Saldırı gerçekleştikten sonra bu konuyla ilgili herhangi bir Durum aksiyon alınmamıştır. Dışarıdan hizmet alınmaya devam edilmektedir. VPN kullanımı için dışarıdan bir hizmet alınmaktadır. Ancak bu hizmeti dışarıdan almak şirketi dışarıdan birilerine açmak Risk ve Öneri anlamına da gelmektedir. VPN‟e bağlandıktan sonra içeride yapılan işlemlerin ne kadarı takip edilmekte olup olmadığı çoğu zaman bilinememektedir. Bu nedenle şirket içerisinde yetkili bir personel tarafından şirketin kendi VPN ağı kurulması daha doğru olacaktır. Tüm kontrol şirket içerisinde bulunacak ve içerik olarak dışarıya bilgi çıkmayacaktır. 86 8. Yedekleme ve kurtarma ile ilgili Ģirket içerisindeki durum nedir? Saldırı Öncesi Durum Belirli sürelerle yedekleme yapılmaktadır. Aynı zamanda yedeklenen veriler düzenli aralıklarla kontrol edilmektedir. Saldırı Sonrası Saldırı gerçekleştikten sonra şirket yetkilileri, verileri geri Durum getirebilmek amacıyla İngiltere ve ABD‟deki bazı firmalar ile iletişime geçmiştir. Gerekli görüşmeler yapılmış olsa da bir sonuca varılamamıştır. Bilgilerin dışarıda bir yerde daha tutulmaması büyük bir Risk ve Öneri sorun teşkil etmiştir. Bu nedenle en kısa süre yedeklenen verilerin dışarıda da muhafaza edilmesi gerekmektedir. Bir daha böyle bir saldırı yaşanması durumunda en azından dışarıdan verilerin geri getirilmesi sağlanabilir. 9. ġirkette flash bellek kullanımına yönelik bir kısıtlama veya 87 yasaklamaya yönelik bir uygulama bulunmakta mıdır? Saldırı Öncesi Durum Şirkette flash bellek kullanımıyla ilgili bir kısıtlama veya yasaklama uygulaması bulunmamaktadır. Saldırı sonrasından flash bellek kullanımına yönelik bir sınırlandırma getirilmek istenmiştir. Ancak şirket içerisinde bazı işlerin hızlı bir şekilde ilerlemesini engelleyeceği Saldırı Sonrası Durum yönünde görüş ortaya çıkmıştır. Bu sebeple de şirkette flash bellek kullanımına yönelik prosedür yayınlanmıştır. Prosedür içeriğine bakıldığın da: flash belleklerin bilgisayara takıldığında ilk olarak virüs taraması yapılması gerektiği, kime ait olduğu belli olmayan flash belleklerin bilgisayara takılmaması gerektiği, flash bellek içerisindeki dosyaların şifrelenmesi gibi kurallar yer almaktadır. Saldırı sonrasında flash bellek kullanımıyla ilgili prosedür yayınlanmış olsa da bu kurallara uymayan personeller olabilmektedir. Bu durumu fark eden kötü niyetli kişi veya kişiler flash bellek aracılığıyla sisteme sızabilmektedir. Bu sebeple şirket içerisinde flash bellek kullanımı tamamen Risk ve Öneri yasaklanabilir. Bilgisayar ortamında bir ortak alan oluşturularak departmanlar arası dosya paylaşımı oradan yapılabilir. Yalnızca ilgili kişilerin dosyaya erişimi istenmesi durumunda ise dosya şifrelenerek ilgili kişiyle şifresi mail yoluyla paylaşılabilir. Bu sayede flash bellek yoluyla şirketteki sistemlere dışarıdan bir sızma hareketi kesin olarak engellenmiş olur. Aynı zamanda bir önceki tabloda bahsedilen e-imza uygulamasıyla giriş yalnızca ilgili kişilerin ulaşabilmesi istenen dosyalar için de yapılabilir. 88 SONUÇ Siber güvenlik geçmişte çok fazla gündem konusu olmazken günümüzde ise çok yaygınlaşmıştır. Bunun sebebi olarak da teknolojik gelişmeler görülmektedir. Bu doğrultuda şirketler siber güvenlik risklerini çok iyi bir şekilde anlamalı ve aksiyon planlarını ona göre yapmalıdır. Gelişen ve değişen teknolojik dünya üzerinde iç denetçilerin görevleri de değişiklik göstermektedir. İç denetçiler, mesleki anlamda kendilerini geliştirebilmek adına güncel konuları takip etmelidir. Şirketlerin güvenilir danışmanları arasında görülen iç denetçilere duyulan saygı genellikle çok fazladır. Bunun en önemli sebebi olarak henüz gerçekleşmemiş olaylara karşı riskleri belirleyip şirketlerin aksiyon almalarını sağlamalarıdır. Her ne kadar birçok üst yönetici tarafından siber güvenlik konusu önemli olarak görülmese de saldırıya uğradıktan sonra bu görüş değişiklik göstermektedir. Bu sebeple saldırı meydana gelmeden önce durumun farkına varılması gerekmektedir. Bu farkındalığı sağlamada en önemli aktör iç denetçilerindir. Şirketlerin karşı karşıya oldukları riskler analiz edilirken siber güvenlik çerçevesi de değerlendirilmelidir. Türkiye‟deki iç denetçiler siber güvenlik konularına çok vâkıf değilken yurtdışında ise daha fazla söz hakkına sahiptir. Bunun sebebi Türkiye‟deki birçok iç denetçinin siber güvenlik hakkında çok fazla bilgi sahibi olmamasıdır. Ancak ilerleyen süreçte Türkiye‟de de bu durum değişecektir. Türkiye‟deki firmalara bakıldığında ya bünyesinde bir siber saldırı olayı yaşanmış ya da çevresinde yaşanmış olan şirketlerin güvenlik tedbirleri konusunda daha güçlü olduğu görülmüştür. Ancak saldırı gerçekleştiğinde şirketler hem itibar kaybına hem de maddi kayıplara uğramaktadır. Çok büyük boyutlarda maddi kayıplar verilmediği sürece şirketler genellikle faaliyetlerine devam ederken itibar kaybına uğrayan şirketlerde bu durum böyle değildir. İtibar kaybına uğrayan şirketlere olan güven sarsıldığında müşteri açısından eğer alternatif bir firma varsa oraya yönlenmektedir. Saldırıya uğrayan şirketlerin güçlü bir alt yapısı yoksa itibar kaybının getirdiği kazançtaki düşüş ile kısa sürede iflas etmektedir. Bu yüzden maddi kayıpların yeniden kazanılması yakın zamanda mümkünken itibar kaybı şirketlerin sonunu getirmektedir. 89 Yeterli seviyede güvenlik tedbiri alınmayan sistemlerin saldırganlar tarafından ele geçirilmesi çok kolaydır. Şirketler siber güvenlik denetimi yaptırarak sistemlerinde mevcut zafiyetleri tespit etmelidir. Bu doğrultuda tespit edilen zafiyetlerin analizi yapılmalı ve en kısa süre içerisinde giderilmelidir. Daha önce sistemlerin güvenliğiyle ilgili bir analiz yaptırmayan şirketlerde birden fazla zafiyet ortaya çıkmaktadır. Bu zafiyetlerin giderilmesi kimi zaman maddi açıdan çok kolay olsa da büyük yatırım gerektiren zafiyetlerde vardır. Tespit edilen zafiyetler arasından yakın zamanda giderilmesi düşünülmeyenlerin siber saldırı sırasında verebileceği zarar düşünülmelidir. Genellikle siber saldırıların etkisi daha büyük sonuçlara yol açacağı düşünülse de üst yönetimdeki kişiler henüz gerçekleşmemiş ve gerçekleşme ihtimalini de düşük gördükleri için büyük maddi yatırımlar yapmaktan kaçınmaktadır. Ancak siber güvenlik denetimi ve önlemleri konusunda maddi yatırım yapmaktan kaçınan üst yöneticiler, şirketlerinde bir güvenlik ihlali yaşandığında ne kadar yanlış bir yol izlediklerini daha rahat görmektedir. KAYNAKÇA 90 Kitaplar Akarslan, Hüseyin. BiliĢim Suçları, Seçkin Yayıncılık, Ankara, 2012. Bozkurt, Nejat. Muhasebe Denetimi, Alfa Yayıncılık, 7.Baskı, İstanbul, 2015. Büyükçapar, Olcay. BiliĢim Teknolojileri ve Yazılım, Kodlab Yayıncılık, İstanbul, 2018. Flick Tony ve Justin Morehouse. “Threats and Impacts: Utility Companies and Beyond”, Securing The Smart Grid Next Generation Power Grid Security içinde (35-48), 2011. Carr, Jeffery. Inside Cyber Warfare: Mapping the Cyber Underworld, 1.Baskı, 2010. Çakmak, Haydar ve Tamer Altunok. Suç Terör ve SavaĢ Üçgeninde Siber Dünya, Barış Platin Kitabevi, Ankara, 2009. Çubukçu, Faruk. Bilgi Güvenliği Yönetim Sistemi ISO 27001: 2013 Uygulama Kılavuzu, Pusula 20 Yayıncılık, 1.Baskı, İstanbul, 2018. Gantz, Stephen. The Basics of IT Audit Purposes, Processes, and Practical Information, 2014. Gürbüz, Hasan. Muhasebe Denetimi, Bilim Teknik Yayınevi, 4.Baskı, İstanbul, 1995. Güredin, Ersin. Denetim, Beta Basım Yayım, 10.Baskı, İstanbul, 1998. Gökçen, Gürbüz, Başak Ataman, Cemal Çakıcı. Türkiye Finansal Raporlama Standartları Uygulamaları, Beta Yayıncılık, 2.Baskı, İstanbul, 2016. Miller, Michael. PC Güvenliği ve Bilgisayar Virüsleri, Alfa Basım Yayım, 2003. Özbek, Çetin. Ġç Denetim Kurumsal Yönetim Risk Yönetimi Ġç Kontrol, 2012. Pehlivanlı, Davut. Modern Ġç Denetim Güncel Ġç Denetim Uygulamaları, Beta Yayınları, 2.Baskı, İstanbul, 2014. Sağıroğlu, Şeref ve Mustafa Alkan. Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık, BGD Siber Güvenlik ve Savunma Kitap Serisi 1, Grafiker 91 Yayınları, 1.Baskı, Ankara, 2018. Sağıroğlu, Şeref. Siber Güvenlik ve Savunma Standartlar ve Uygulamalar, BGD Siber Güvenlik ve Savunma Kitap Serisi 3, Grafiker Yayınları, 1.Baskı, Ankara, 2019. Sağıroğlu, Şeref ve Mustafa Alkan. Siber Güvenlik ve Savunma Problemler ve Çözümler, BGD Siber Güvenlik ve Savunma Kitap Serisi 2, Grafiker Yayınları, 1.Baskı, Ankara, 2019. Sağıroğlu, Şeref ve Orhan Koç. Büyük Veri ve Açık Veri Analitiği: Yöntemler ve Uygulamalar, Grafiker Yayınları, 1.Baskı, Ankara, 2017. Sandro, Gaycken ve Martellini Maurizio. Cyber Security: Deterrence and IT Protection for Critical Infrastructures, 2013. Türkiye İç Denetim Enstitüsü. Uluslararası Ġç Denetim Standartları Mesleki Uygulama Çerçevesi (2007‟deki DeğiĢikliklerle), 2008. Uzay, Şaban, Mehmet Özbirecikli, Seval Kardeş Selimoğlu. Bağımsız Denetim, Nobel Akademik Yayıncılık, 2.Baskı, 2017. Yurdakul, Didem Doğmuş. “Avrupa Birliği‟nde Ġç Denetim Sistemi: Üye Ülke Uygulamaları”, H. Kıral içinde, İç Denetim, İç Denetim Koordinasyon Kurulu, Ankara, 2014. Weidman, Georgia. Penetration Testing: A Hands On Introduction To Hacking, 2014. Süreli Yayınlar 92 Akyazı, Uğur. “Uluslararası Siber Güvenlik Strateji ve Doktrinleri Kapsamında Alınabilecek Tedbirler”, 6.Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı, Ankara, 2013. Aktan, Ertuğrul. “Büyük Veri: Uygulama Alanları, Analitiği ve Güvenlik Boyutu”, Bilgi Yönetimi Dergisi, Cilt.1, Sayı.1, 2018. Aslan, Bayram. “Bır Yönetım Fonksıyonu Olarak Ġç Denetım”, Sayıştay Dergisi, Sayı.77 Atan, Suat. “Veri, Büyük Veri ve ĠĢletmecilik”, Balıkesir Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, Cilt.19, Sayı.35, 2017. Aileen G.Bacudio, Xiaohong Yuan, Bei-Tseng Bill Chu, Monique Joones. “An Overview of Penetration Testing”, International Journal of Network Security, Vol.3, No.4, 2014. Bağcı, Hasan. “Sosyal Mühendislik ve Denetim”, Denetişim Dergisi, Kamu İç Denetçiler Derneği, Sayı.1, 2016. Beşkirli, Ayşe, Durmuş Özdemir, Mehmet Beşirli. “ġifreleme Yöntemleri ve RSA Algoritması Üzerine Bir Ġnceleme”, Avrupa Bilim ve Teknoloji Dergisi, 2019. Canbek, Gürol ve Şeref Sağıroğlu. “Kötücül ve Casus Yazılımlar: Kapsamlı bir AraĢtırma”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.25, Sayı.1, 2007. Christopher, Haley. “A Theory of Cyber Deterrence”, Georgetown Journal of International Affairs, 2013. Cömert, Nuran. “ĠĢletmelerde Kontrol ve Denetim Kavramlarının Doğru Kullanılması amacına Yönelik Kavramsal Bir Ġnceleme”, Marmara Business Review, Cilt.1, Sayı.1, 2016. Çeliktaş, Barış ve Soner Çelik. “Güncel Siber Güvenlik Tehditleri: Fidye Yazılımlar”, Cyberpolitik Journal, Cilt.3, Sayı.5, 2018. Doğanyiğit, Mehmet. “Pılot Ġç Denetımlerın GerçekleĢtırılmesı Projesı”, Denetişim 93 Dergisi, Kamu İç Denetçiler Derneği, 2010. Doğu, Emin. Siber Güvenlik Çağı, Natro Hosting Dergisi, Sayı.3, Ocak 2015. Dülger, Ümit. “Büyük Veri Nedir ?”, Yeni Türkiye Dergisi, Yeni Türkiye Stratejik Araştırma Merkezi, Sayı.89, 2016. Erdem, Osman Ayhan ve Ramazan Kocaoğlu. “Yeni Bir Ağ Güvenliği YaklaĢımı: Dinamik Zeki Güvenlik Duvari Mimarisi”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.29, Sayı.4, 2014. GTAG, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense”, The Institute of Internal Auditors (IIA), 2016. GTAG, “Auditing Smart Device: An Internal Auditor‟s Guide to Understanding and Auditing Smart Devices”, The Institute of Internal Auditors (IIA), 2016. Güler, Alptuğ ve Ali Kasım Arkin. “Siber Hijyenin Sağlanmasında Ġç Denetimin Rolü”, Denetişim Dergisi, Sayı. 19, 2019. Gürkaynak, Muharrem ve Adem Ali İren. “Reel Dünyada Sanal Açmaz: Sıber Alanda Uluslararası ĠlıĢkıler”, Süleyman Demirel Üniversitesi, İktisadi ve İdari Bilimler Fakültesi Dergisi, Cilt.16, Sayı.2, 2011. Kurtuldu, Ömer ve Nafiz Arıca. “Ġmge Kareleri Kullanan Yeni Bir Steganografi Yöntemi”, Journal of Naval Science and Engineering, Vol.5, No.1, 2009. Kiracı, Murat. “Faaliyet Denetimi ile Ġç Kontrol ĠliĢkisi”, Osmangazi Üniversitesi, Sosyal Bilimler Dergisi, Cilt.4, Sayı.2, 2003. Muhammed Arıkan, Süleyman ve Recep Benzer. “Bir Güvenlik Trendi: Bal Küpü”, Acta Infologica Dergisi, Cilt.2, Sayı.1, 2018. Onay, Ahmet. “Büyük Verı Çağında Ġç Denetımın DönüĢümü”, Muhasebe Bilim Dünyası Dergisi, Cilt.22, Sayı.1, 2020. Öztürk, Mahmut Sami. “Sıber Saldırılar, Sıber Güvenlık Denetımlerı ve Bütüncül Bır Denetım Modelı Önerısı”, Muhasebe ve Vergi Uygulamaları Dergisi, Ankara SMMMO, 2018. 94 Poonia, Ajeet Singh. “Audit Tools for Cyber Crime Investigation”, International Journal of Enhanced Research in Science Technology & Engineering, Vol.3, Issue.12, 2014. Saygılı, İsmail. “Dünyayı Yöneten Güç – Bilgi Güvenliğinin En Zayıf Halkası Ġnsan Faktörü”, Siber Güvenlik Dergisi, Sayı.1, Mayıs 2017 Schatz, Daniel, Rabih Bashroush, Julie Wall. “Towards a More Representative Definition of Cyber Security”, Journal of Digital Forensics Security and Law. Cilt.12, Sayı.2, 2017. Şahin, Andaç, Ercan Buluş, M.Tolga Sakallı. “24-Bit Renkli Resimler Üzerinde En Önemsiz Bite Ekleme Yöntemini Kullanarak Bilgi Gizleme”, Trakya Üniversitesi Fen Bilimleri Dergisi, Cilt.7, Sayı.1, 2006. Taşcı, Ufuk ve Ali Can. “Türkiye‟de Polisin Siber Suçlarla Mücadelede Politikası: 1997-2014”, Fırat Üniversitesi Sosyal Bilimler Dergisi, Cilt.25, Sayı.2, 2015. Uçum, Melike Sinem. “BT Güvenliği Denetimi”, Denetişim Dergisi, Kamu İç Denetçiler Derneği, Sayı.16, 2015. Uzun, Ali Kamil. “Denetim Hayattır”, Turcomoney Dergisi, Deloitte, 2014. Uzun, Ali Kamil. “Değer Yaratan Denetim”, İç Denetim Dergisi, Deloitte, Sayı.14, 2006. Uzel, Murat Nail, Bülent Hasanefendioğlu, Cem Niyazi Durmuş. “3‟lü Savunma Hattının COSO Ġç Kontrol Sisteminin Etkinliğin Arttırılmasında Kaldıraç Etkisi”, Mali Çözüm Dergisi, İSMMMO, Sayı.136, 2016. Vural, Yılmaz ve Şeref Sağıroğlu. “Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler”, Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi, Cilt.26, Sayı.1, 2011. Tez 95 Aktaş, Emine, Ġç Denetim ve Risk Yönetimi ĠliĢkisi, İstanbul Ticaret Üniversitesi, Sosyal Bilimler Enstitüsü, Muhasebe ve Denetim Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2015. Akyol, Fatih, COBIT (Bilgi ve Ġlgili Teknolojiler için Kontrol Hedefleri) Uygulayan ġirketlerdeki Bilgi Güvenliği Politikalarının ġirket, Personel ve Süreçelere Etkileri, Beykent Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Yönetimi Analim Dalı, Yüksek Lisans Tezi, İstanbul, 2013. Alioğlu, Su Dilara, Siber Saldırılar ve Ülkelerin Siber Güvenlik Politikaları, İstanbul Bilgi Üniversitesi, Lisansüstü Programlar Enstitüsü, Bilişim ve Teknoloji Hukuku Yüksek Lisans Porgramı, 2019. Bozgeyik, Ahmet, Gaziantep‟te Faaliyet Gösteren Orta ve Büyük Ölçekli ĠĢletmelerin Siber Güvenlik Yönetim YaklaĢımlarının Analizi, Hasan Kalyoncu Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Doktora Tezi, Gaziantep, 2018. Çeliktaş, Barış, Siber Güvenlik Kavramının GeliĢimi ve Türkiye Özelinde Bir Değerlendirme, Karadeniz Teknik Üniversitesi, Sosyal Bilimler Enstitüsü, Uluslararası İlişkiler Anabilim Dalı, Yüksek Lisans Tezi, Trabzon, 2016. Kırmızı, Nihat, ĠĢletmelerde Ġç Kontrol Sistemini Ġncelemenin Bağımsız Denetim Karar Sürecindeki Yeri, Marmara Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2007. Mammadova, Narmin, Web Yazılımlarında Güvenlik Problemleri Üzerine AraĢtırma, İstanbul Aydın Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Anabilim Dalı, Yüksek Lisans Tezi, 2017. Meral, Mustafa, Sıber Güvenlık Kapsamında Kritık Altyapıların Korunmasnın Önemı, Harp Akademileri Stratejik Araştırmalar Enstitüsü, Savuma Kaynakları Yönetimi Ana Bilim Dalı, Yüksek Lisans Tezi, İstanbul, 2015. Şahinaslan, Önder, Siber Saldırılara KarĢı Kurumsal Ağlarda OluĢan Güvenlik Sorunu ve Çözümü Üzerine Bir ÇalıĢma, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı, Doktora Tezi, Edirne, 2013. 96 Tarhan, Kamil, Uluslararası Güvenliğin Bir BileĢeni Olarak Siber Güvenlik, Selçuk Üniversitesi, Sosyal Bilimler Enstitüsü, Uluslararası İlişkiler Ana Bilim Dalı, Yüksek Lisans Tezi, Konya, 2018. Uzun, Sibel, Bağımsız Denetimde Ġç Kontrol ve Ġç Denetimin Rolü, Okan Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Anabilim Dalı, Yüksek Lisans Tezi, İstanbul, 2016. Yerlikaya, Tarık, Yeni ġifreleme Algoritmalarının Analizi, Trakya Üniversitesi, Fen Bilimleri Enstitüsü, 2006. Yılmaz, Mustafa, ĠĢletmelerde Bilgi Güvenliği Uygulama Sorunları ve Çözüm Önerileri; Konya Örneği, Karatay Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Ana Bilim Dalı, Yüksek Lisans Tezi, Konya, 2018. Yılmaz, Orhan, ITIL ve COBIT Yönetim Standartları ve Bir Uygulama, Beykent Üniversitesi, Sosyal Bilimler Enstitüsü, İşletme Yönetimi Ana Bilim Dalı, Yüksek Lisans Tezi, İstanbul, 2014. İnternet Kaynakları 97 https://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx (26.09.2019) http://www.belgelendirme.com.tr/iso-27001-2013-bilgi-guvenligi-belgesi.html (28.09.2019) https://www.bsigroup.com/tr-TR/ISO-27001-Bilgi-Guvenligi-Yonetimi/ISOIEC-27001Revizyonu/ (15.10.2019) http://www.bilgiguvenligitr.com/bilge-adam-guvenlik-egitimleri/egitim-2-isoiec-27001bilgi-guvenligi-yonetim-sistemi-uygulama-egitimi/ (17.10.2019) https://intweb.tse.org.tr/Standard/Standard/Standard.aspx? (22.10.2019) https://www.mshowto.org/iso-27000-ailesi-standartlari-nedir.html (22.10.2019) https://www.tech-worm.com/worm-solucan-nedir/ (28.10.2019) https://www.stm.com.tr/documents/file/Pdf/05-2_siber_tehdit_durumu_rapor_2016-0803-10-57-17.pdf (22.12.2019) https://docplayer.biz.tr/12545187-Dos-ddos-zombi-bilgisayar-ve-botnet-nedir.html (25.12.2019) https://www.beyaz.net/tr/guvenlik/makaleler/dos_ve_ddos_nedir.html (01.01.2020) https://www.eset.com/tr/phishing/ (10.01.2020) https://tr.wikipedia.org/wiki/IP_spoofing (11.01.2020) https://www.beyaz.net/tr/guvenlik/makaleler/zeroday_nedir.html (15.02.2020) https://www.kaspersky.com.tr/resource-center/definitions/zero-day-exploit (15.02.2020) https://www.cybermagonline.com/rakamlar-ve-istatistikler-ile-2018-icin-en-onemli-5siber-guvenlik-gercegi (22.02.2020) https://www.businessinsider.com/bloomberg-businessweek-publishes-brutal-interactivecover-on-the-target-hack-2014-3 (25.02.2020) https://h4cktimes.com/veri-sizintilari/abdnin-dev-perakende-zinciri-targeta-sok- 98 ceza.html (26.02.2020) https://lepicallidus.com/teknoloji/almanyada-celik-fabrikasina-siber-saldiri (27.02.2020) https://www.technopat.net/2014/12/23/hackerlar-almanyada-celik-fabrikasini-hackledi/ (05.03.2020) https://tr.sputniknews.com/asya/201810251035836450-cathay-pasific-havayollarihacklendi-musteri-bilgileri-calindi/ (07.03.2020) https://www.tide.org.tr/page/26/Ic-Denetimin-Tanimi (27.03.2020) https://tr.wikipedia.org/wiki/Büyük_veri (14.05.2020) https://www.misti.co.uk/internal-audit-insights/how-internal-audit-can-benefit-fromthe-three-lines-of-defence-model (29.05.2020) https://www.kaspersky.com.tr/resource-center/preemptive-safety/endpoint-security (06.12.2020) Diğer Yayınlar 99 T.C. Ulaştırma Denizcilik Ve Haberleşme Bakanlığı, “2016-2019 Ulusal Siber Güvenlik Stratejisi”, s.8. Hildreth, Steven A, “Cyberware”, Congressional Research Service, 2001. Enisa, “Review of Cyber Hygiene Practices”, European Union Agency For Network And Information Security, 2016. Souppaya, Murguiah vd., “Crıtıcal Cybersecurıty Hygıene: Patchıng The Enterprıse”, National Institute of Standards and Technology, 2018. “Tripwire State of Cyber Hygiene Report” Foundatıonal Controls For Security Complıance & IT Operatıons, 2018. Artinyan, Natasa Eliza, „‟Cobit Çerçevesi‟‟, Deloitte. COBIT 5: Ne kadar hazırsınız?, Kurumsal Bilgi Teknolojileri Yönetişim Çerçevesi, Pwc. Mele, Stefano, “Cyber-weapons:Legal and Strategic Aspects Version 2.0”, Italian Institute of Strategic Studies, 2013. Marinos, Louis, Adrian Belmonte, Evangelos Rekleitis, “Enisa Threat Landscape 2015”, European Union Agency For Network And Information Security, 2016. Corero, “Full Year 2018 DDoS Trends Report”, 2019. Imperva, “Global DDoS Threat Landscape Q4 2017”, 2018. İstanbul Serbest Muhasebeci Mali Müşavirler Odası, “Ġç Denetime Genel Bir BakıĢ”, 2015. “Embracing the Next Generation of Internal Auditing”, Protiviti, 2019. “Lights, camera, action... scripting internal audit for a changed world”, 2011 State of The Internal Audit Profession Study, Pwc, 2011. Accenture, “Building Your Cloud Strategy With Accenture”. KPMG, “20 key risks to consider by Internal Audit before 2020”, 2018. 100 Pwc, “Ġç Denetimin GeliĢen Teknolojideki Yeni Rolü”, 2015. “Risk in Focus 2019 Hot Topıcs For Internal Auditors”, The Institute of Internal Auditors Netherlands, European Confederaiton of Institutes of Internal Auditing, 2018. Accenture, “Accenture Türkiye DijitalleĢme Endeksi”, 2016. “Küresel BakıĢ Açıları ve AnlayıĢlar Yapay Zeka - Ġç Denetim Mesleğine ĠliĢkin Dikkate Alınması Gerekenler”, The Institute of Internal Auditors, 2017. Chartered Institute Of Internal Auditors, “Governance of risk : Three lines of defence”, 2019. Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing, “At The Junction of Corporate Governance and Cybersecurity”, Cyber Risk Governance Report 2017. The Institute Internal Auditors, “Global Perspektifler ve AnlayıĢlar: Güvenilir Bir Siber DanıĢman Olarak”, Sayı.4, 2016. The Institute Internal Auditors, “Global Perspektifler ve AnlayıĢlar: Ġç Denetimin Global Nabzı Kanalıyla Sunulan Yeni Trendler”, Sayı.5, 2016. The Institute of Internal Auditors, “IIA Position Paper: The Three Lınes Of Defense In Effectıve Rısk Management And Control”, 2013. ISACA, “Cyber Security Audit”, 2017. Deloitte, “Cybersecurity and The Role of Internal Audit: An Urgent Call To Action”, 2017. Hans Corell, The Challenge of Borderless Cyber-Crime, Symposium on the Occasion of the Signing of the Unıted Nations Convention Against Transnational Organized Crime, Palermo, 14 December 2000. Nickolov, Eugene, Modern Trends in the Cyber Attacks Against the Critical Definitions of the Fundamental, Regional Cybersecurity Forum, Sofia, 7-9 October 2008. 101 Özlü, Mustafa, İzzet Gökhan Özbilgin, “Yazılım GeliĢtirme Süreçleri ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi”, XII. Akademik Bilişim Konferansı Bildirileri, Muğla Üniversitesi, 10-12 Şubat 2010. Ülgü, M.Mahir vd.(Editörler), Bilgi Güvenliği Politikaları Kılavuzu Sürüm 2.1, T.C. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü, Kuban Matbaacılık Yayıncılık, Ankara 2019. Güneş, Fatih vd., Bilgi Teknolojileri Denetimi ve COBIT‟in Sektörel Uygulanabilirliği, Beykent Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği. Tutuş, Mehmet, Özgür Ulusan, “E-Devlet ve Siber Güvenlik GeliĢmiĢ Siber Silahlar”, 2013. Daş, Resul, Şahin Kara, M. Zekeriya Gündüz, “Casus Yazılımların Bilgisayar Sistemlerine BulaĢma Belirtileri Ve Çözüm Önerileri”. “2016 Ekim-Aralık Dönemi Siber Tehdit Durum Raporu”, STM Mühendislik Teknoloji Danışmanlık. Muharremoğlu, Gökhan, Raif Berkay Dinçel, “Sosyal Mühendislik”, Pwc, 2018. Yıldız, Okan, Alper Başaran, “Sosyal Mühendislik Saldırıları”. Uzun, Ali Kamil, “ĠĢletmelerde Ġç Denetim Faaliyetinin Rolü ve Katma Değeri”, Deloitte. Kamu Ġç Denetim Rehberi, İç Denetim Koordinasyon Kurulu, Ankara, 2013. Kamu Gözetim Kurumu, MüĢteri Kabul Denetimin Planlanması ve BDS‟lerde Ele Alınan Önemli Bazı Alanlar. Berman, Seth, “Cyber Audits Prerequisite to Good Governance”, Issues.232, 2013. 102