Üniversiteler, her kamu kurum ve kuruluşu gibi kamuya hizmet veren kurumlardır. Eğitim ve araştırma verilerinin yanında; öğrencilerin, akademisyenlerin ve üniversite çalışanlarının kişisel ve hassas verilerini saklarlar. Siber saldırıların giderek arttığı günümüzde, üniversitelerin veri güvenliği, kamu güvenliği ile eşdeğer hale gelmektedir.
Son yıllarda Marmara [1], Atatürk [2], Özyeğin [3] gibi üniversitelerde gerçekleşen veri ihlallerinde on binlerce öğrenci ve çalışanın verileri sızdırıldı. Ekim 2023’te Tokat Gaziosmanpaşa Üniversitesi’nin sistemlerindeki açıklardan faydalanan saldırganlar, 741 öğrencinin bilgilerini internette satışa sundular. [4] Ağustos 2023’te Atatürk Üniversitesi de siber saldırıya maruz kalmış, saldırıyı bir personelin kullanıcı bilgilerini ele geçirerek gerçekleştirmiş ve 12 bin kişinin verilerini ele geçirmişlerdi. [2] Bu durum, üniversitelerin siber saldırılara karşı ne kadar hassas olduğunu göstermekle birlikte üniversitelerin kamu güvenliği açısından ne kadar önemli olduğunu da gözler önüne sermektedir.
Üniversitelerde Yaşanan Veri İhlallerinin Nedenleri
Üniversitelerde yaşanan veri ihlallerinin nedenlerini şöyle açıklayabiliriz:
- Güvenlik Zafiyetleri: Üniversiteler, genellikle büyük ve karmaşık ağlara sahip kurumlar oldukları için siber saldırılara karşı savunmasız olabilirler. Güvenlik açıkları, kötü niyetli kişilerin sistemlere sızmasına ve hassas verilere erişim sağlamasına neden olabilir.
- Bilgi Güvenliği Politikalarının Yetersizliği: Üniversitelerin bilgi güvenliği politikalarının yetersiz olması, güvenlik standartlarının belirlenmemesi veya uygun güvenlik önlemlerinin alınmaması veri ihlallerine zemin hazırlayabilir.
- Bilinçsiz Kullanıcı Davranışları: Çalışanlar ve öğrenciler arasında bilinçsiz veya güvenlik kurallarına uymayan davranışlar, siber saldırılara karşı savunmasızlığı artırabilir. Örneğin, güçlü şifre kullanımı, güncel yazılımların kullanılması gibi temel güvenlik prensiplerine dikkat edilmemesi ihlallere neden olabilir.
- Tedbirlerin Etkin Uygulanamaması: Üniversitelerde tedbirlerin uygulanabilmesi için yeterli ekonomik ve teknik kaynakların eksikliğinin yanı sıra bu tedbirlerin uygulanmasını sağlayacak insan gücü yetersizliği, birçok tedbirin uygulanamamasına yol açtığı gibi üniversitelerin karmaşık yapıları, üniversite çalışanlarının farkındalık eksikliği ile eğitim sırasındaki bilgi erişiminde ve paylaşımında esneklik arayışı sebepleri, üniversitelerde tedbirlerin etkin bir şekilde uygulanamamasına yol açmaktadır.
- Teknolojik Eksiklikler: Üniversitelerde kullanılan bilişim teknolojilerinin güncel olmaması veya güvenlik güncellemelerinin düzenli olarak yapılmaması, potansiyel güvenlik risklerini artırabilir.
- Dış Tehditler: Üniversiteler, araştırma, geliştirme ve inovasyon faaliyetleri nedeniyle çeşitli hassas bilgilere sahiptirler. Bu bilgiler, çeşitli nedenlerle hedef haline gelebilir ve dışarıdan gelen siber saldırılara maruz kalabilirler.
- Fiziksel Güvenlik Zayıflıkları: Bilgi teknolojileri altyapısının fiziksel olarak korunmaması da bir güvenlik zafiyeti oluşturabilir. Bilgisayar odalarının, sunucu odalarının ve veri merkezlerinin yeterince güvenli olmaması, fiziksel erişimle gerçekleştirilen ihlallere yol açabilir.
- Kişisel Bilgisayar Kullanımı: Öğrenciler, öğretim üyeleri ve diğer personel kişisel bilgisayarlarını üniversite ağlarına bağladığında, bu bilgisayarların güvenli olup olmadığı büyük bir önem taşır. Güncel antivirüs yazılımlarının kullanılması ve işletim sistemlerinin düzenli güncellenmesi gereklidir. Kişisel bilgisayarların parola politikalarına uygun şekilde korunması ve kullanıcıların güvenlik konusunda bilinçli olmaları önemlidir. Özellikle kurum personelinin kişisel bilgisayarının kullanılmaması bu durumda büyük önem taşır.
- Uygulama Güvenliği: Üniversiteler genellikle çeşitli uygulamaları kullanır, bu uygulamaların güvenliği sağlanmalıdır. Bu uygulamaların güvenlik güncellemeleri düzenli olarak takip edilmeli ve uygulanmalıdır. Özellikle öğrenci bilgileri, akademik kayıtlar ve diğer hassas verilere erişim sağlayan uygulamaların güvenliği fazlasıyla önemlidir.
- Eğitim ve Farkındalık: Kurum personeli ve öğretim görevlileri, bilgisayar güvenliği konusunda eğitilmeli ve farkındalık yaratılmalıdır. Kötü niyetli e-posta ve phishing saldırılarına karşı dikkatli olmaları ve şüpheli durumları rapor etmeleri teşvik edilmelidir.
- Ağ Güvenliği: Üniversite ağları, güvenlik duvarları, güvenli bağlantı protokolleri ve diğer güvenlik önlemleri ile korunmalıdır. Ayrıca, ağ trafiği izleme ve güvenlik olaylarına müdahale yetenekleri gibi önlemler de alınmalıdır.
- Geliştirme ve Test Süreçleri: Eğer kurum tarafından geliştirilen ve kullanılan uygulamalar varsa, yazılım geliştirme süreçleri güvenlik odaklı olmalıdır. Kod incelemeleri, güvenlik testleri ve zafiyet taramaları düzenli olarak yapılmalıdır.
Bu faktörlerin bir araya gelmesi, üniversitelerin bilişim güvenliğini artırabilir ve veri ihlalleri riskini azaltabilir. Bu süreçte güvenlik bir bütün olarak ele alınmalı ve sadece ağ güvenliği değil, aynı zamanda kullanıcı bilincini artırma ve uygulama güvenliği gibi diğer önlemlere de odaklanılmalıdır.
İhlallerin Yaşanmaması İçin Üniversiteler Neler Yapabilir?
Siber güvenliğin sağlanması üniversiteler için yasal bir zorunluluktur. Tüm üniversitelerin 27 Temmuz 2020 tarihinde yürürlüğe giren Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi (BİGR) uyarınca siber güvenlik tedbirlerine uyum sağlaması gerekmektedir ve denetim raporlarını 1 Mart 2024 tarihine kadar Dijital Dönüşüm Ofisi Başkanlığına iletmeleri gerekmektedir.
BİGR, bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken tedbirleri içeren ve yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik genel çerçeve sağlayan bir rehberdir. Dolayısıyla üniversitelerin siber güvenlik ile ilgili tüm ihtiyaçlarını karşılamaktadır.
BİGR Tedbirleri
- Varlık Gruplarına Yönelik Güvenlik Tedbirleri: Üniversitelerin bünyesinde bulunan ağlar, sistemler, uygulamalar, taşınabilir cihaz ve ortamlar, nesnelerin interneti (Iot) cihazları, personel ve fiziksel mekanların güvenliğinin sağlanmasına yönelik tedbirlerdir. Bu tedbirler ile birlikte üniversiteler; güvenlik açıklarını kapatabilir, dış tehditlere karşı korunur, çalışanların bilgi güvenliği konusunda yeterli bilgi ve farkındalığa erişmesi sağlanır. Ayrıca ilgili tüm süreçlerin güvenli ve etkin bir şekilde gerçekleşmesini sağlayacak politikaların üretilmesini şart koşar.
- Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri: Anlık mesajlaşma, bulut bilişim, kritik altyapılar güvenli hale getirildiği gibi kişisel verilerin kaydedilmesi, işlenmesi, korunması, yok edilmesi veya silinmesi gibi süreçlerin yasal mevzuata uygun ve güvenlik bir şekilde gerçekleştirilmesini sağlayan tedbirlerdir.
- Sıkılaştırma Tedbirleri: Üniversitelerde bulunan işletim sistemlerinin, veri tabanlarının ve sunucuların güvenliğini sağlamak için gerekli tedbirlerdir.
İnternet kullanımının ve siber saldırıların artmasıyla birlikte, kurum ve kuruluşların verilerini koruyabilmesi için gerekli güvenlik önlemlerini alması kaçınılmaz hale gelmiştir. İnternet ortamında veri saklamak ve kamuya hizmet vermek durumunda olan üniversiteler de bu kapsamdadır. Veri ihlallerinin, kişisel verilerin çalınması veya yetkisiz kişiler tarafından kullanılması gibi ciddi sonuçlara yol açması nedeniyle, üniversitelerin veri güvenliğini sağlamak için gerekli önlemleri alması büyük önem taşımaktadır. Üniversiteler, bilgi güvenliği zorunluluklarını yerine getirebilmek için Bilgi ve İletişim Güvenliği Rehberi’ne uyumlu olmak zorundadır.
KAYNAKÇA
[1] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Marmara Üniversitesi (KVKK)
https://www.kvkk.gov.tr/Icerik/7451/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Marmara-Universitesi
[2] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Atatürk Üniversitesi (KVKK)
https://www.kvkk.gov.tr/Icerik/7694/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Ataturk-Universitesi
[3] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – T.C. Özyeğin Üniversitesi (KVKK)
https://www.kvkk.gov.tr/Icerik/6854/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-T-C-Ozyegin-Universitesi-
[4] Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Tokat Gaziosmanpaşa Üniversitesi (KVKK)
https://kvkk.gov.tr/Icerik/7722/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Tokat-Gaziosmanpasa-Univers
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.