Tarih : 1 Şubat 2009
Bir su tesisatçısının etik olması söz konusu mudur ? Gelir, musluğu değiştirir ve gider. Musluğun bozuk olması, damlatması veya montajı sorunlu ise işini doğru yapmıyordur. Ama genel olarak muslukçuyu etik olmamakla suçlayamazsınız; sadece parasını verdiğiniz işi yapıp yapmaması ile yargılarsınız. Başka yerlerde muslukların veriminden, yeni modellerden ve kendisinin tercihlerinden bahsettiğinde "etik olarak yanlış, bir daha bu adama musluklarımı değiştirmeyeceğim" denmez, diyenini görmedim. Oysa doktorun yazdığı ilaçlar, seçtiği tedavi yöntemi, dene(k/y)leri ve ötanaziye bakışı önemlidir; kendinizi ona göre emanet edersiniz. Sadece muslukçu yoktur; tamirci, lastikçi, kapıcı ve manav vardır. Doktor da yanlız değildir, avukat, polis ve hatta çilingir de aynı kategoriye girebilir.
Meslek seçimini yaparken uyulması gereken kuralları veya genel kriterleri de bilmelisiniz. Bilgi güvenliği işi çok hassas dengeler üzerinde yürümektedir, atacağınız adımların güven/etik gibi kavramlar ile sorgulandığını görürsünüz. Bilgi güvenliği, çok sayıda kişinin çalışmak için seçtiği bir alandır ve kendine özel kriterleri vardır. Bu kriterler farklı alanlarda farklı isimler ile anılır; sonuçta sizin yaptığınız tüm hareketler ile beraber yargılandığınızı farkedersiniz. Yazdığınız makaleler,yaptığınız yorumlar, araçlar, dahil olduğunuz gruplar, arkadaşlarınız ve panellerdeki katılımınız başlıca incelenecek işlemlerdir. Böylece müşteriler en hassas bilgilerini size emanet edip etmemeye karar vereceklerdir.
Bilgi güvenliğindeki çalışma alanlarından birinde ise etik doruklarda gezer; sistem sızma denetimleri.Sistem sızma kavramını bilmeyenler için Penetration, Hacking, Ethical Hacking gibi kavramların yerine kullandığımı hatırlatayım. Eğer sistem sızma denetimi yapıyor iseniz ahlaki sorgulamalara daha çok maruz kalırsınız, kaldı ki Ethical Hacking dikkatinizi çekmiştir. Bu sorgulamanın nedeni ise denetmenlerin, hedef sistemde bir güvenlik açığını araştırması ve bu araştırma sonrasında bulguları müşteriye raporlamasıdır. Kötü olasılıklar ise açığın kullanımı ile bundan çıkar elde etmesi, bu açık ile övünmesi veya açığı kullanım içeride bir arka kapı bırakara sonrası için yatırım kararı alması.
Sistem sızma ve genel güvenlik ile ilgili işlerde, müşteriler tarafından yetkinliği algılamak adına sertifika sorgulaması yapılır. CISSP (Certified Information Systems Security Professional) ve CEH (Certified Ethical Hacker) sertifikaları beraberinde yukarıdaki bahsedilen etik kavramını asgari koşulları içinde anarlar. Aşağıda "Code of Ethics"ten yapılmış bir alıntı var.
---- ALINTI-----
Code of Ethics Canons:
- Protect society, the commonwealth, and the infrastructure.
- Act honorably, honestly, justly, responsibly, and legally.
- Provide diligent and competent service to principals.
- Advance and protect the profession.
Ülkemizde ise ilgili sertifikalara sahip olduğunu her fırsatta belirtmek isteyen, yazılarının altına ekleyen, hatta eğitmeni olan arkadaşlarımız söz konusu etik konusunda kafamda soru işareti oluşturan çok sayıda hareket yapıyorlar. Bir güvenlik açığını bulmak ve yayınlamak konusunda izlenebilecek yollar vardır; ancak bir kurumun kaynaklarının üzerindeki zaafiyetleri konuşurken -eğer yukarıda yazan gerçeklerin farkındaysanız- uymanız gereken kurallar vardır. İzlenebilecek olan yollar ile uyulması gereken kurallar arasındaki fark "etik zorunluluktur". Beni rahatsız eden hareketler ise tam bu konuda ortaya çıkıyor.
Etik olacağını, yaptığı hareketlerin onurlu olacağını "vaad eden" kişiler, özellikle bir kurumun kaynaklarındaki açığı kamuyla paylaşma lüksüne sahip değildir; açar aldığı sertifikanın referanslarını ve doğru yollardan birini seçerek çözüme kavuşturur. Yani özünde amaç güvenlik açığını barındıran kurumun zarar görmemesini sağlamaktır, ayrıca güvenlik açığının kapattırılması da amaç ise ortası bulunur. Genel kullanımı olan bir ürünün -Örnek Microsoft IIS- açığını tartışmak farklıdır, bir kurumun web sitesindeki sorunu tartışmak - Örnek Microsoft'un web sayfasında halen devam eden SQL sorguları değiştirme açığı- farklıdır. İkisini karıştırıyor iseniz, bir kurumun yüklenmemiş yamalarından bahsetmeye devam eder iseniz, kurumdaki yetkililerin bu konuda sahip oldukları birçok iş kuralı nedeniyle yaşadıkları sorunları görmezden geliyor iseniz; ETİK DEĞİLSİNİZDİR, başka birşeysinizdir. Kurumun ilgili açığı duyurmanızdan veya alenen tartışmanızdan göreceği zarar sizi ilgilendirmiyor yanılgısında olabilirsiniz; ancak yarın güvenliğini sağlamak/denetlemek zorunda kalacağınız kurum size bunların karşılığını sorabilir.
Etik olmak demek bir güvenlik açığını duyurmamak, hasır altı etmek, dünyayı toz pembe saymak değildir; -konuştuğumuz konu sınırlarında- güvenlik açığını kapatmak ve kurumun açığını gidermek noktasında, kurumun ve kamunun zarar görmemesini sağlamaktır. Açığı kapattırmak istiyor iseniz bunun nasıl yapılacağı üzerinde yazılmış çok şey bulunmaktadır; bir çıkış noktası olması adına sadece bir yolu içeren kişisel tecrübemi aşağıda paylaşıyorum. Birçok farklı yol, yöntem ve doğru olabilir; ama hedef kurumların ve kamunun zarar görmesini engellemektir. Bazen kamu ve kurum zararı çakışabilir, böyle bir durumda orta yolu bulmakta o kişinin asli görevlerinden biridir; kimse size bu işin kolay olduğunu söylemedi.
Bir Güvenlik Açığını Yayınlamak
http://agresifsirin.blogspot.com/2012/09/bir-guvenlik-acgn-yaynlamak.html
Fatih Ozavci
Bilgi Güvenliği Danışmanı
