ENSONHABER.com / ÖZEL Dışişleri Bakanlığı, casus faaliyetlerine ve elektronik bilgi hırsızlığına karşı oldukça kapsamlı bir dizi güvenlik önlemini hayata geçirdi. Müsteşar Feridun Sinirlioğlu tarafından hazırlanarak merkez teşkilatına gönderilen, "gizli" damgalı genelgenin, her düzeydeki memura imza karşılığı okutulması ve sıralanan güvenlik kurallarına özenle uyulması istendi. Genelgede; güvenlik soruşturması yapılmamış personelin gizlilik dereceli işlerde çalıştırılmaması, elektromanyetik dinlemeye karşı güvenli bilgisayarların kullanması, güvenli olmayan yazıcıların kullanılmaması ve kriptoların CD ile taşınmaması istendi.
İŞTE KRİPTO EYLEM PLANI Dişişleri Bakanlığı, teşkilattan, "bilgi ve kripto güvenliği" açısından şu önlemlerin alınmasını istedi:
TEMPEST BİLGİSAYARLAR: Gizlilik dereceli evrakın hazırlanması için dairelerimizde, "tempest" (elektromanyetik dinlemeye karşı güvenli) özellikli bilgisayarlar tesis edilmiştir. Her düzeydeki personelimizin, kripto ve gizlilik dereceli evrakı, tempest özelliği olmayan ve açık yazışmalar için tahsis edilen bilgisayarlarda hazırladıkları, daha sonra disket veya diğer elektronik medya marifetiyle tempest bilgisayarlara aktardıkları veya güvenli olmayan yazıcılardan çıktısını alarak, tempest sistemlerde yeniden yazılmasını talep ettikleri bilinmektedir. Bakanlığımız ağına bağlı açık bilgisayarlarda, kripto veya gizlilik dereceli evrakın elektronik arşivinin dahi saklandığı, hatta gizlilik dereceli evrakın, hazırlanması aşamasında birim görevlileri ya da ilgili daireler arasında e-posta ile teati edildiği tespit edilmiştir. Bu, kesinlikle yapılmamalı.
COPY PASTE KRİPTO: E-posta yoluyla gelen ya da internet siteleri gibi açık kanallardan alınan metinlerin, herhangi bir yorum dahi eklenmeksizin aynen kripto telgraf yapılabildiği görülmektedir. Açık kaynaklarda yer alan veya işlenmiş ve herkes tarafından erişilme ihtimali olan metinlerin kripto telgraf konusu yapılmasının, haberleşme güvenliği kurslarında anlatılıyor olmasına rağmen kripto/gizlilik ihlali olduğunun bilinmediği anlaşılıyor. Gizli bilginin yetkisiz kişi ya da kuruluşların eline geçmesi gizlilik ihlali, kripto sistemine ait bilgilerin açığa çıkması kripto ihlalidir.
SİSTEM AÇIĞA ÇIKAR: Bir bilginin hem açık hem de kapalı halinin ele geçirilmesi, kripto analizi yapılabilmesine ve kullanılan kripto sisteminin tamamıyla açığa çıkarılmasına neden olabileceğinden, açık kaynaklardan alınan metinlerin kripto mesaj yapılması veya kripto işlemine tabi tutulmuş bir bilginin güvenli olmayan sistemlerde de işlenmesi/saklanması hem gizlilik hem de kripto ihlalidir.
UZAKTAN ERİŞİM BASİT: Teknolojinin bugün ulaştığı noktada, açık ağlara ve özellikle internete bağlı bilgisayarlara uzaktan erişim son derece basittir. Yetkisiz kişilerin bu bilgisayarlardaki verilere ulaşmaları her zaman olasıdır. Ayrıca, özel önlem alınmamış ağ bilgisayarlarında hazırlanan belgeler, bilgisayarda saklanmasalar dahi hazırlanmaları sırasında elde edilebilmektedir.
MİLLİ KRİPTO SİSTEMİ ÇÖKER: Yüksek maliyetlerle sürdürülen ve büyük emekle gerçekleştirilen milli kripto sistemimizi zaafa uğratabilecek bu yanlış uygulamaların, genelgelerimize ve münferit uyarılara rağmen sürdürülmesi üzerine, dairelerimize elektronik ortamda disket ile kripto verilmesi uygulamasına son verilmesi zorunluluğu ortaya çıkmıştır.
İŞLEM YAPILIR: Merkezde ve dış temsilciliklerimizde Bakanlığımız ağına bağlı bilgisayarlarda hazırlandığı veya bir kısmı dahi olsa bulundurulduğu tespit edilen gizlilik dereceli belge veya kripto ile ilgili olarak, söz konusu açık bilgisayarın zimmetli olduğu personel, belge üzerinde işlem yapan personel, imzalayan/onaylayan birim amiri ve yönergelere aykırı uygulamalarda bulunan personel hakkında ilgili mevzuatımıza göre işlem yapılacaktır.
GİZLİ BELGELERİ SİLİN: Personelimizin yeni uygulama nedeniyle mağdur olmamaları için kullanmakta oldukları Bakanlık ağına bağlı bilgisayarlarını bir kez daha kontrol etmeleri, varsa gizlilik dereceli belge ve kripto örneklerini ivedilikle silmeleri önem arz etmektedir.
GEÇİCİ PERSONEL UYARISI: Bazı dairelerimizde sözleşmeli personel ile anlaşmalı firmalardan temin edilen geçici personelin görevlendirildiği bilinmektedir. Kadrolu memur olsa dahi güvenlik soruşturması yapılmamış ve yazılı olarak izin verilmemiş personelin gizlilik dereceli işlerde çalıştırılmaları mümkün değildir. Dairelerimizin bu hususu hatırda tutarak görev dağılımını yeniden belirlemeleri uygun olacaktır.
TEMPEST NEDİR? Tempest, elektromanyetik darbe sızıntı standardı anlamına geliyor. Bu standart; elektronik cihazların elektromanyetik yayınım sınırlarını, zırhlama ve ekranlama standartlarını belirliyor. Tempest teknolojisinin amacı, bir bilgisayarın veya herhangi bir elektronik aygıtın çalışması esnasında yaydığı elektromanyetik ışınımların üçüncü bir kişi tarafından alınmasını veya elde edilen işaretlerin işlenerek söz konusu elektronik aygıtın işlediği bilgilere ulaşılmasını engellemektir. Özellikle ABD, İngiltere, Almanya gibi devletler tarafından, askeri ve gizli bilgileri muhafaza etmek amacıyla bilgisayar ve çevre birimleri (yazıcı, tarayıcı, monitör, yedekleme ünitesi vb) ile üretilen bilgilerin, elektromanyetik dalga ile gözlenmesini engellemek için başarıyla kullanılıyor. Bu standardın lisans hakkı, sadece ABD Hükümeti ve NATO tarafından veriliyor. Bugün, dünyada 50 kadar firma, Tempest adı verilen bu güvenlik standardına uygun donanım üretiyor.
