Bilgi güvenliği süreçleri, günümüzün dijital dünyasında işletmelerin dijital varlıklarını korumak için ihtiyaç duydukları birçok güvenlik kontrolünün belirlemesini ve uygulayabilmesini sağlayan önemli bir konudur. Söz konusu güvenlik kontrolleri arasında, veri şifreleme ve anahtar yönetimi oldukça önemli bir yere sahiptir. Bu noktada, HSM (Hardware Security Module) cihazları dijital varlıkların güvenliğinin sağlanması açısından önemli bir rol oynamaktadır ve işletmelerin bilgi güvenliği stratejilerinde mutlaka yer alması gereken bir unsur olarak ortaya çıkmaktadır.

Bu yazımızda, bilgi güvenliği süreçlerinde HSM cihazlarının önemini ele alarak, güçlü şifreleme ve anahtar yönetimi özellikleriyle birlikte, bilgi güvenliği süreçlerinde sağladıkları katkıya değineceğiz. Ayrıca yasal mevzuatımızda bu cihazlara ilişkin yer alan hususları inceleyerek CB DDO Bilgi ve İletişim Güvenliği Rehberi bakış açısıyla HSM cihazlarının sahip olması gereken özelliklerden bahsedeceğiz. 

HSM cihazları bilindiği gibi veri şifreleme, anahtar yönetimi, sertifika yönetimi, sanal özel ağ (VPN) güvenliği ve veri bütünlüğü kontrolü gibi birçok bilgi güvenliği sürecinde etkin ve güvenli bir şekilde kullanılabilmektedir. HSM cihazlarının bu süreçlerde sağladığı kriptografik güvenlik özellikleri dijital varlıkların korunması açısından oldukça kritik öneme sahiptir. Çünkü en zayıf olduğumuz an güvenli olduğunu düşündüğümüz bir sürecin gerçekte yeteri kadar güvenli olmadığı andır. 

Bu yazımızda bilgi güvenliği süreçlerinin uygulanması için uygun bir HSM çözümü arayan işletmeler ve güvenlik uzmanları için önemli faydalar sağlayacak bilgileri bulabileceksiniz. Öncelikle HSM cihazlarının yaygın olarak kullanıldığı sektörlerden, temel işlevleri ve koruduğu verilerden bahsederek başlayalım.

HSM’ler güvenli veri işleme ve kriptografik anahtar yönetimi için kullanılan cihazlar olduğu için birçok sektörde yaygın olarak kullanılmaktadır. 

Hizmet Sağlayıcılar: Özellikle enerji dağıtım şirketleri veya telekomunikasyon şirketleri gibi çok sayıda aboneye hizmet veren kurum ve kuruluşlarda yüksek sayıda fatura ve e-mühür işlemleri için HSM cihazları çok etkin bir şekilde kullanılabilmektedir. HSM cihazlarının sahip olduğu yüksek işlem kapasitesi ile çok sayıda fatura ya da belge aynı anda mühürlenmekte veya imzalanabilmektedir.

Finansal Hizmetler: Bankalar, finansal kuruluşlar, ödeme işlemcileri ve diğer finansal hizmet sağlayıcıları, HSM’leri kritik finansal verileri korumak için kullanabilmektedir. HSM’ler, kredi kartı işlemleri, ATM işlemleri, kimlik doğrulama, veritabanı şifrelemesi gibi birçok güvenlik önlemi gerektiren işlemlerde de kullanılmaktadır.

Kamu ve Devlet Kurumları: Devlet kurumları, askeri kurumlar ve diğer kamu kuruluşları, hassas verilerin korunması için HSM’leri kullanmaktadırlar. Örneğin, kimlik doğrulama, dijital imzalar, e-devlet uygulamaları gibi alanlarda HSM’ler kullanılabilmektedir.

Sağlık Hizmetleri: Sağlık sektörü, hastane sistemleri, elektronik sağlık kayıtları, reçeteler ve tıbbi verilerin güvenliğini sağlamak için HSM’leri kullanmaktadır. Hasta verilerinin gizliliği ve bütünlüğü için kriptografik işlemler HSM’ler aracılığıyla gerçekleştirilmektedir.

Perakende ve E-ticaret: Perakende sektörü ve e-ticaret şirketleri, kredi kartı işlemleri ve müşteri bilgilerinin güvenliğini sağlamak için HSM’leri kullanabilmektedir. Ödeme geçitleri, POS (Point of Sale) sistemleri ve çevrimiçi ödeme işlemleri HSM’ler aracılığıyla güvence altına alınmaktadır.

Telekomünikasyon: Telekomünikasyon sektörü, kullanıcı kimlik doğrulama, şifreleme, sanal özel ağlar (VPN) gibi alanlarda HSM’leri kullanabilmektedir. Mobil iletişim ağlarının güvenliği, SIM kartları ve güvenli mesajlaşma gibi işlemler HSM’ler tarafından desteklenmektedir.

HSM cihazları, bilgi güvenliği süreçlerinde birçok önemli işlevi yerine getirmekle birlikte bazı temel işlevleri şunlardır;

Anahtar Yönetimi: HSM’ler, güvenli anahtar oluşturma, depolama, kullanma ve imha işlemlerini gerçekleştirir. Kriptografik anahtarlar, HSM içinde güvenli bir şekilde üretilir, depolanır ve yönetilir. Bu işlev, anahtarların yetkisiz erişime karşı korunması ve anahtar yönetimi süreçlerinin güvenliğini sağlar.

Kriptografik İşlemler: HSM’ler, kriptografik işlemleri gerçekleştirmek için güvenli bir ortam sağlar. Örneğin, simetrik ve asimetrik şifreleme, dijital imza ve anahtar değişimi işlemleri gibi kriptografik operasyonlar HSM içinde gerçekleştirilebilir. 

Güvenli Veri Depolama: HSM’ler, hassas verilerin güvenli bir şekilde depolanması için kullanılabilir. Örneğin, kullanıcı parolaları, şifreler, kimlik doğrulama bilgileri gibi gizli veriler HSM içinde korunabilir. 

Doğrulama ve Kimlik Doğrulama: HSM’ler, kullanıcı kimlik doğrulaması, erişim kontrolü ve yetkilendirme gibi işlemler için kullanılabilir. Bu işlev, güvenli oturum açma, kimlik doğrulama ve yetkilendirme süreçlerinin sağlanmasını destekler.

Zaman Damgası: HSM’ler, güvenli zaman damgası hizmetleri sunabilir. Özellikle tarih ve saat bilgilerinin güvenli bir şekilde kaydedilmesi ve kullanılması gereken durumlarda bu işlev, belirli bir zamanın doğrulanması ve belgelendirilmesi için kullanılabilir.

Uzaktan Erişim ve Güvenli İletişim: HSM’ler, güvenli uzaktan erişim ve güvenli iletişim için güvenli ağ protokolleri ve şifreleme yöntemleri kullanarak güvenli iletişim kanalları oluşturur ve uzaktan erişimi güvenli hale getirmektedir. 

HSM cihazları, çok çeşitli türdeki verileri korumak için kullanılabilir. Genel amaçlı bir HSM cihazıyla korunabilecek yaygın veri türlerini şunlardır;

Şifreler ve Kimlik Bilgileri: HSM cihazları, kullanıcı parolaları, şifreler ve kimlik doğrulama bilgileri gibi hassas gizli verilerin güvenliğini sağlamak için kullanılabilir. Bu tür veriler, HSM içinde güvenli bir şekilde depolanır ve işlenir.

Kriptografik Anahtarlar: Özel anahtarlar, simetrik ve asimetrik anahtarlar, dijital sertifikalar ve kriptografik algoritmalarda kullanılan diğer anahtarlar HSM içinde korunabilir. Anahtarlar HSM’de güvenli bir şekilde depolanır, anahtar oluşturma ve kullanma işlemleri HSM tarafından gerçekleştirilir.

Kriptografik İmzalar: HSM’ler, dijital imzaların oluşturulması ve doğrulanması için kullanılabilir. Veri bütünlüğünün sağlanması, kimlik doğrulama ve güvenli iletişim gibi senaryolarda dijital imzalar kullanılır ve HSM’ler bu işlemlerin güvenliğini sağlar.

Finansal Veriler: HSM’ler, finansal kuruluşlar tarafından kredi kartı verileri, PIN (Kişisel Tanımlama Numarası) bilgileri, finansal işlemler ve ödeme verileri gibi hassas finansal verilerin korunması için kullanılır.

Sağlık Verileri: HSM’ler, sağlık sektöründe elektronik sağlık kayıtları, tıbbi görüntüler ve diğer hassas sağlık verilerinin güvenliğini sağlamak için kullanılabilir. Bu verilerin korunması gizlilik ve bütünlük gereksinimlerinin karşılanması bakımından oldukça önem arz etmektedir.

Lisans ve Sertifikalar: HSM’ler, yazılım lisansları, dijital sertifikalar, lisans anahtarları gibi önemli lisans ve sertifikaların güvenli bir şekilde depolanması ve kullanılması için kullanılabilir.

HSM cihazlarının yukarıda bahsettiğimiz işlevleri yerine getirirken kriptografiye özel güvenlik önlemlerini (tamper detection, kırmızı-siyah ayrımı vb.) sağlaması gerekmektedir. HSM cihazlarının güvenliği ve uyumu genellikle standartlara ve denetim süreçlerine dayalı olarak kontrol edilmekte ve/veya sertifikalandırılmaktadır. Yaygın kullanılan bazı yöntemler şunlardır;

Uluslararası Standartlar: HSM cihazları genellikle uluslararası kabul görmüş standartlara uygun olarak tasarlanır ve üretilir. Bu standartlar arasında FIPS 140-2/3 (Federal Information Processing Standard), Common Criteria (ISO/IEC 15408), PCI DSS (Payment Card Industry Data Security Standard), ISO/IEC 19790-24759 gibi standartlar bulunur. HSM cihazının bu standartlara uygun olduğunu doğrulamak için ilgili sertifikaları veya uygunluk belgelerini kontrol edebilirsiniz.

Güvenlik Değerlendirme ve Sertifikasyonları: Bağımsız güvenlik değerlendirme kuruluşları, HSM cihazlarını inceleyerek güvenliklerini değerlendirir ve uygunluk sertifikaları verir. Örneğin, Common Criteria sertifikası veya FIPS 140-2/3 (CMVP,CAVP)sertifikası gibi belgeler, HSM cihazının güvenlik standartlarına uygun olduğunu gösterir. Bu sertifikaları ve güvenlik değerlendirme raporlarını kontrol ederek HSM cihazının güvenliği hakkında bilgi edinebilirsiniz.

Güvenlik İncelemeleri ve Denetimler: HSM cihazının güvenlik açıklarını tespit etmek ve uyumluluğunu kontrol etmek için güvenlik incelemeleri ve denetimler yapılabilir. Bu incelemeler genellikle bağımsız güvenlik uzmanları veya denetim firmaları tarafından gerçekleştirilir. Güvenlik açıkları, zafiyetler veya uyumsuzluklar tespit edilirse, bu sorunların giderilmesi için düzeltici önlemler alınması gerekebilir. 

Kurumsal Politika ve Standartlar: Kuruluşunuzun belirlediği güvenlik politikaları ve standartlar, HSM cihazının güvenliği ve uyumu açısından da önemlidir. Bu politikalar ve standartlar, HSM cihazının kullanımı, konfigürasyonu, erişim kontrolleri ve güvenlik politikaları gibi konularda belirli kuralları içerir. HSM cihazının bu politika ve standartlara uygun olduğunu doğrulamak için iç denetim süreçlerini kullanabilirsiniz.

Yönetim Kontrolleri ve İzleme: HSM cihazının güvenliği, yönetim kontrolleri ve izleme süreçleriyle sürekli olarak takip edilmelidir. Bu, HSM cihazının doğru bir şekilde yapılandırıldığını, güncellemelerin düzenli olarak uygulandığını, erişim kontrollerinin sağlandığını ve olaylarının izlendiğini içermektedir. HSM cihazının güvenliğini ve uyumluluğunu sağlamak için düzenli denetimler, izleme ve güncelleme süreçleri uygulanmalıdır.

Kriptografiye İlişkin Yasal Mevzuatımız, Bilgi ve İletişim Güvenliği Rehberi

Bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılmasının getirdiği güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla alınması uygun görülen tedbirler 2019/12 sayılı Cumhurbaşkanlığı Genelgesi ile genel hatlarıyla belirlenmiştir. Bu Genelgenin bir sonucu olarak ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşlarının da katkılarıyla hazırlanmış ve 24.07.2020 tarihinde onaylanmıştır.

Yerli ve Millî Kripto Sistemleri

Gerek 2019/12 sayılı Genelgede, gerekse Bilgi ve İletişim Güvenliği Rehberinde kriptografik sistemlerin kullanımı ve sahip olması gereken güvenlik özellikleriyle ilgili bir çok madde karşımıza çıkmaktadır. Örneğin Genelgede yabancı menşeli kripto sistemlerin sahip olabileceği riskler göz önünde bulundurulmuş ve 11. maddesinde yerli ve milli kripto sistemlerinin geliştirilmesinin teşvik edilmesi, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi yönünde çok açık bir irade ortaya konulmuştur.

Ayrıca Genelgeden alınan bu dayanak ile Bilgi ve İletişim Güvenliği Rehberi Kripto Uygulamaları Güvenliği (4.4) Bölümünde yerli ve millî kripto sistemlerinin kullanılmasına vurgu yapılmıştır.

Bu noktada “…temini tercih edilmelidir.” ifadesi zaman zaman kesin bir hüküm bulunmamakta şeklinde yorumlansa da Rehberde yerli ve millî ürünlerin hangi durumlarda tercih edilmesi gerektiği çok net bir şekilde ifade edilmiştir. Eğer güvenlik gereksinimlerini karşılayan yerli ve millî bir ürün mevcut ise bu ürünün tercih edilmesi aslında yasal bir gereklilik olarak karşımıza çıkmaktadır.

Günümüzde bilgi güvenliğine yönelik olarak uygulanan bir çok çerçeve, standart ya da regülasyon uluslararası kabul görmüş kriptografik mekanizmaların ve güvenli bir anahtar yönetim sisteminin kullanımına genel bir bakış açısıyla vurgu yaparken bir istisna haricinde söz konusu sistemlere ilişkin detaylara girilmemektedir. Bu istisna Bilgi ve İletişim Güvenliği Rehberi’dir.

Bilgi ve İletişim Güvenliği Rehberi’ni kripto sistemleri bakış açısıyla incelediğimizde toplam 59 tedbirin doğrudan veya dolaylı olarak kripto sistemlerini işaret ettiğini görmekteyiz. Bu tedbirlerin 25’i varlıkların korunması ve bilgi güvenliği için kripto sistemlerinin kullanımını zorunlu kılarken 29 tedbir ise bu kripto sistemlerinin sahip olması gereken güvenlik özelliklerini tanımlamaktadır. 5 adet tedbir de hem kripto sistem kullanımına, hem de kripto sistem güvenlik özelliklerine yönelik olarak tanımlanmıştır.

Ayrıca BTK tarafından yayımlanan Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik ile “kamu kurum ve kuruluşları tarafından kullanılan kodlu veya kriptolu haberleşme sistemlerinde tasarımı ve üretimi Türkiye’de yapılan millî kripto cihazlarının kullanımı esastır” denilmektedir.

Görüldüğü üzere kritik verilerin işlendiği kripto sistemlerinde mümkün olması durumunda yerli ve millî cihazların kullanımına ulusal mevzuatımızda özel bir önem verilmektedir.

Yazımızda belirttiğimiz konular ışığında hangi sektörde faaliyet gösteriyor olursak olalım, bir HSM cihazı kullanmamız yasal bir zorunluluk olabilir ve bu durumda doğru bir HSM cihazı seçerken şu faktörleri dikkate almamız gerekecektir.

Güvenlik Standartları: HSM cihazının güvenlik standartlarına uygun olması çok önemlidir. Güvenlik standartları arasında FIPS 140-2/3, Common Criteria (ISO/IEC 15408), PCI-DSS/PCI-HSM 3/4, ISO/IEC 19790-24759  gibi uluslararası sertifikasyonlar bulunur. Bu sertifikasyonlar, HSM’nin belirli bir güvenlik seviyesine ve standartlara uygun olduğunu doğrulamaktadır.

Yetenekler ve Özellikler: İhtiyaçlarınıza uygun olarak HSM’nin sağlaması gereken özellikleri belirlemek önemlidir. Bunlar arasında anahtar depolama kapasitesi, işlem hızı, desteklenen şifreleme algoritmaları, rastgele sayı üretebilme kabiliyeti, çoklu kullanıcı desteği ve entegrasyon yetenekleri gibi faktörler yer alır. HSM’nin kullanım senaryolarınıza uygun özelliklere sahip olmalıdır.

Yerli ve Millî Cihaz Kullanımı: Yerli ve millî cihaz kullanımını sadece millî teknolojinin geliştirilmesine yönelik bir gayret olarak değerlendirmek doğru bir yaklaşım olmayacaktır. Güvenlik açısından baktığımızda yabancı ülkelerin casusluk faaliyetlerinde ilk odaklanacakları sistemler doğal olarak gizli verilerin işlendiği kripto sistemleri olacaktır. Tasarımını bilmediğimiz yabancı menşeli bir cihazda arka kapı olmadığını garanti edemeyeceğimizi hiçbir zaman unutmamalıyız. Bununla birlikte yerli ve millî kripto cihazları, kesintiye karşı toleransı olmayan bu sistemlerde yabancı ülkelere bağımlılığı ortadan kaldıracak ve stratejik öneme sahip verilerin kontrolünü sağlayacaktır.

Performans: HSM’nin performansı, yüksek hızlı işlemleri destekleyebilme ve düşük gecikme süreleriyle çalışabilme yeteneği açısından önemlidir. İş yükünüze göre yeterli performansa sahip bir HSM seçilmelidir.

Uyumluluk: HSM cihazının seçeceğiniz uygulama, platform veya sistemle uyumlu olması gerekmektedir. Özellikle entegrasyonun sağlanması gereken sistemlerle uyumluluk test edilmeli ve doğrulanmalıdır.

Ölçeklenebilirlik: HSM cihazının ihtiyaçlarınızın büyümesine uyum sağlayabilmesi önemlidir. Gelecekte artan talepleri karşılamak için (örneğin post quantum algoritmalara geçilmesi gibi) ölçeklenebilir bir HSM cihazı seçilmelidir.

Kullanıcı Deneyimi: HSM’nin kullanım kolaylığı, yönetim araçları ve kullanıcı arayüzü gibi faktörler de dikkate alınmalıdır. Kullanıcıların HSM’yi etkili bir şekilde yönetebilmeli ve kullanabilmelidir.

Sağlayıcı ve Destek: HSM sağlayıcısının güvenilir ve güçlü bir itibara sahip olması önemlidir. Sağlayıcının uzun süreli destek ve bakım hizmetleri sunabilmesi, ihtiyaç anında en kısa sürede sorunlarınızı çözebilme yeteneği ve güncellemeleri sağlama kabiliyeti gibi faktörler değerlendirilmelidir.

Maliyet: HSM cihazının maliyeti, bütçenizle uyumlu olmalıdır. Ancak, sadece maliyeti düşük olan bir seçenek değil, ihtiyaçlarınıza en uygun özelliklere ve güvenlik standartlarına sahip olanı seçmeye dikkat etmelisiniz.