Bulut Bilişim Sistemlerinin Olası Riskleri

noktalıvirgül

noktalıvirgül

Deneyimli Moderatör
17 Kas 2020
918
502

Bulut Bilişim Sistemi: İnternete bağlanabilen tüm cihazlarla verilere ve hizmetlere erişim sağlanan bir servis aracıdır. Farklı cihazlarla farklı yerlerden uzaktan erişim kolayca bulut sistemiyle sağlanır. Kullanıcının istediği bilgiye istediği yerden ulaşabilmesini sağlar. Birden fazla bellek ve disk kullanılarak hafıza sorunlarıyla uğraşmak, masraf etmek yerine bulut sisteminin kolaylıklarından faydalanılabilmektedir. Yani donanım parçaları ve yazılım sistemlerinin kapasitesinin yükseltilmesi gerektiğinde bu durumlar her seferinde belli bir harcama yapılmasına sebep olur, bulut sistemi bunlara engel olur. Yine de bu esnek yapısına rağmen riskleri de yok sayılmamalıdır.

Bilişim çağında bilgi ne kadar önemliyse güvenliği de o kadar önemlidir. Bulut sistemlerinin bilgi güvenliği konusundaki yetersizliği, kullanıcıların tedirgin olmasına sebep olmaktadır. Bu sistemlerde hem veri güvenliğinin sağlanması, hem verilerin kaydedilmesi, hem bu veri kayıtlarının nerede tutulacağı konularında hizmet alan kullanıcılara imkânlar sunulmaya çalışılır, fakat bulut bilgi yönetiminin teknik aksaklıkları nedeniyle verilen bu hizmetler aksamaktadır.
Bulut bilişimin bazı zayıf yönleri:

-Bulut sistemleri ileri düzey bir güvenilirlik sağlıyor olsalar da bu hizmetlerdeki olası kesintiler, verilerin ve işlem yükünün artmasıyla bulut’a yüklenenlerde kayıpların oluşması, kötü niyetli kişilerin bu verilere ulaşabilmesi, hizmet alanlar için çok büyük sorunlara sebep olur.

-Kullanıcıların verileri hakkındaki kontrol eksikliği ve kontrol kaybı oluşabilir, bu yüzden herkese açık veya belli bir alana açık olan bulutlarda dosyalar, klasörler, uygulama ve web site hizmetleri, projeler vb verilerin güvenliği risk altındadır. Kullanıcıların buluta yükledikleri herhangi bir hizmet hakkında kontrol kaybı, herkese açık bulutlarda hizmetlerini paylaşan kullanıcıların ihtiyacı olan güvenli ortam, işlevsellik ve daha birçok kontrol süreçleri konusunda imkânlarının kısıtlanmasına sebep olur. Ayrıca bu sistemlerde verilerin ve hizmetlerin sabit bir ünitede depolanma garantisi yoktur. Yine de bazı hizmet sağlayıcılar, büyük ölçekli müşteriler için ayrılan sunucu olanakları da sunarlar.

-Bulut hizmetlerinin çoğunun birlikte çalışılabilirlik özelliği yoktur. İki farklı bulut hizmeti arasında uyum (entegrasyon) durumu zordur ve bu durum, kullanıcıların bulut hizmeti sağlayıcılarına karşı bağımlı kalmalarına neden olabilir veya kullanıcılar bu sebeple kendilerine özel bulutlar oluşturmak zorunda kalabilirler. Hatta uyum sorunu sebebiyle hizmet sağlayıcısını değiştirmek isteyen müşterilerin bu değişim sırasında veri kayıpları oluşabilir veya başka bir sağlayıcıya geçme şansı olmayabilir.

-Uzaktan erişim güvenlik riskinin de artmasına sebep olur. Bu erişim esnasında “koklama (sniffing)”, “yanıltma-aldatma (spoofing)”, “ortadaki adam (man in the middle)” isimli saldırı yöntemleriyle veri güvenliği riske girmektedir. Saldırı girişimiyle birlikte oluşan veri kaybı, gizliliğin korunamaması gibi durumlarda hizmet sağlayıcı firmalar sorumluluk almamaktadır. Bu sorumluluğu almalarıyla ilgili de yasal bir düzenleme henüz yoktur.

-Web tabanlı olan bulut hizmetleri, geniş bantlı internet bağlantısıyla rahat çalışacak şekilde tasarlandıkları için internetin indirme ve yükleme hızı düşük olduğunda bulut’u verimli kullanma şansı azalacaktır.

-Verilerin nerede depolandığı konusunda bir kesinlik olmadığı için herhangi bir hukuksal sorun olduğunda veya başka herhangi bir sebepten dolayı verilere ihtiyaç duyulduğunda veri depolama alanı bilgisine ulaşmak zordur. Erişim sağlandığında ise hukuk için yapılan müdahalede dijital deliller incelenirken aynı kayıt ortamında olan ve incelenmesi gerekli olmayan veriler de açık hale gelmektedir. Bu da başka bir hukuki soruna sebep olabilir ve hatta inceleme sırasında verilerin yapısında değişiklikler oluşabilir. Bu değişiklik “son erişim zamanı” anlamında olduğundan başka bir zaman yeniden bir inceleme yapıldığında delil olarak nitelendirilemeyecektir.

-Bulut hizmeti veren firmanın bulut hizmeti konusunda yeterliliği olmaması durumunda veri kaybı, veri bütünlüğünün bozulması, yetkisiz erişime karşı, yani siber saldırılara karşı gerekli önemlerin alınamaması gibi sorunlar oluşmaktadır.

-Bu sistemde kişisel verilerin gizliliği konusunda büyük riskler oluşabilmektedir. Kullanıcı veya hizmet sağlayıcı tarafından herhangi bir hata sonucunda oluşan açıklar sebebiyle kullanıcının kişisel verileri dünyaya hızla yayılabilir. Bu da büyük sorunlara sebep olabilmektedir. Bu durumun doğma sebepleri arasında, bulut bilişim hizmetleri vermek isteyen girişimciler için bir yeterlilik şartı olmaması, herhangi bir sorun oluştuğunda yasal düzenleme yoktur ve sorunların oluşmaması için denetim uygulamalarının olmaması durumları vardır.

-Bulut hizmet sağlayıcılar, kesintisiz hizmet verme garantisi veremezler, yani hizmette oluşan kesintiler, verilere erişimin kısıtlanmasına ve iş akışının sekteye uğralamasına sebep olur. Bu kesintiler sebebiyle oluşan veri kayıpları söz konusu olduğunda, bulut hizmet sağlayıcıları sorumluluk almamaktadırlar.

-Kullanıcının kendisine ait verilere sadece kendisinin erişebileceğine dair bir güvence verilememektedir.

- Herhangi bir sorun karşısında bulut sistem hizmetinin kesildiğinde, tekrar ne zaman hizmet verilmeye başlanacağı konusunda garanti verilmemektedir.

-Bulut sistemine aktarılan verilerin kime ait olduğu konusunda belirli bir bilgi yoktur. Hizmet kalitesinin geliştirilmesi vaadiyle, veri içeriklerini istediği gibi kullanabileceği, değiştirebileceği, kendi isteklerine göre kaydedebileceği, dağıtabileceği, görüntüleyebileceği haklarının olduğu belirtilerek kapsamlı bir izin ve yetki, hizmet sağlayıcıya verilmiş olur. Alınan bu yetki, örneğin kullanıcıyı ve verilerini korumak amaçlı kötü amaçlı yazılımdan koruma önlemi dışında da veri kullanılmasına imkân tanımış olur. Hatta bazı bulut lisans sözleşmelerinde veri içeriğinin tüm haklarının hizmet sağlayıcı firmaya devredildiği ifadesi vardır. Bu yetkiyi de hizmetleri sunmak amacıyla talep ederler.

- İnternete bağlı olan her sistemin olduğu gibi bulut sistemlerinde de kullanıcı için paha biçilemez değerdeki verilerin siber saldırı ile kaybedilme riski bulunmaktadır. Yani veriler, yetkisiz erişim, verilerin değiştirilmesi vb. gibi saldırılara maruz kalabilir. Bu durumların yaşanmaması için hizmet sağlayıcıların, veri sahibi tarafından verilere kısa sürede erişim sağlamalarını kolaylaştırmalı, kullanıcının kişisel verilerinin kriptolu (şifreli yazılı) şekilde saklayıp korunmasını sağlaması çok önemlidir. Fakat firmaların güvenilirliği, yeterliliği gibi konularda denetlenme sorunları hala devam etmektedir.

-Kullanıcının sildiği veriler olduğunda ise bunların sistemden tamamen silinip silinmediği konusunda net bir bilgi yoktur. Örneğin Google Gizlilik Politikası kullanıcı gizlilik sözleşmesinde, silinen veri veya dosyaların ayrıca yedeği alınan geri dönüşüm alanlarından da aynı anda silinemeyeceği belirtilmiştir ve ne kadar süre sonra tamamen silinmiş olacağına dair de bilgi bulunmamaktadır.

-Türkiye’de bulut bilişim sistemlerinde, kişisel verilerin gizliliği ve verilerin korunmasıyla ilgili bir yasal düzenleme henüz yoktur. Bu yüzden, kişisel verileri toplayıp kullanan, siber güvenlik anlamında önlem almayan hizmet sağlayıcılara bu konuda dava açılma hakkı yoktur.

Özetle, bulut sistemleri kullanılmadan önce, klasik depolama yöntemlerine göre risklerinin daha yüksek olduğunu unutmamak gerekir.
 
Son düzenleme:
JohnWick51

JohnWick51

Uzman üye
20 Mar 2022
1,866
770
28
noktalıvirgül' Alıntı:

Bulut Bilişim Sistemi: İnternete bağlanabilen tüm cihazlarla verilere ve hizmetlere erişim sağlanan bir servis aracıdır. Farklı cihazlarla farklı yerlerden uzaktan erişim kolayca bulut sistemiyle sağlanır. Kullanıcının istediği bilgiye istediği yerden ulaşabilmesini sağlar. Birden fazla bellek ve disk kullanılarak hafıza sorunlarıyla uğraşmak, masraf etmek yerine bulut sisteminin kolaylıklarından faydalanılabilmektedir. Yani donanım parçaları ve yazılım sistemlerinin kapasitesinin yükseltilmesi gerektiğinde bu durumlar her seferinde belli bir harcama yapılmasına sebep olur, bulut sistemi bunlara engel olur. Yine de bu esnek yapısına rağmen riskleri de yok sayılmamalıdır.

Bilişim çağında bilgi ne kadar önemliyse güvenliği de o kadar önemlidir. Bulut sistemlerinin bilgi güvenliği konusundaki yetersizliği, kullanıcıların tedirgin olmasına sebep olmaktadır. Bu sistemlerde hem veri güvenliğinin sağlanması, hem verilerin kaydedilmesi, hem bu veri kayıtlarının nerede tutulacağı konularında hizmet alan kullanıcılara imkânlar sunulmaya çalışılır, fakat bulut bilgi yönetiminin teknik aksaklıkları nedeniyle verilen bu hizmetler aksamaktadır.

Bulut bilişimin bazı zayıf yönleri:

-Bulut sistemleri ileri düzey bir güvenilirlik sağlıyor olsalar da bu hizmetlerdeki olası kesintiler, verilerin ve işlem yükünün artmasıyla bulut’a yüklenenlerde kayıpların oluşması, kötü niyetli kişilerin bu verilere ulaşabilmesi, hizmet alanlar için çok büyük sorunlara sebep olur.

-Kullanıcıların verileri hakkındaki kontrol eksikliği ve kontrol kaybı oluşabilir, bu yüzden herkese açık veya belli bir alana açık olan bulutlarda dosyalar, klasörler, uygulama ve web site hizmetleri, projeler vb verilerin güvenliği risk altındadır. Kullanıcıların buluta yükledikleri herhangi bir hizmet hakkında kontrol kaybı, herkese açık bulutlarda hizmetlerini paylaşan kullanıcıların ihtiyacı olan güvenli ortam, işlevsellik ve daha birçok kontrol süreçleri konusunda imkânlarının kısıtlanmasına sebep olur. Ayrıca bu sistemlerde verilerin ve hizmetlerin sabit bir ünitede depolanma garantisi yoktur. Yine de bazı hizmet sağlayıcılar, büyük ölçekli müşteriler için ayrılan sunucu olanakları da sunarlar.

-Bulut hizmetlerinin çoğunun birlikte çalışılabilirlik özelliği yoktur. İki farklı bulut hizmeti arasında uyum (entegrasyon) durumu zordur ve bu durum, kullanıcıların bulut hizmeti sağlayıcılarına karşı bağımlı kalmalarına neden olabilir veya kullanıcılar bu sebeple kendilerine özel bulutlar oluşturmak zorunda kalabilirler. Hatta uyum sorunu sebebiyle hizmet sağlayıcısını değiştirmek isteyen müşterilerin bu değişim sırasında veri kayıpları oluşabilir veya başka bir sağlayıcıya geçme şansı olmayabilir.

-Uzaktan erişim güvenlik riskinin de artmasına sebep olur. Bu erişim esnasında “koklama (sniffing)”, “yanıltma-aldatma (spoofing)”, “ortadaki adam (man in the middle)” isimli saldırı yöntemleriyle veri güvenliği riske girmektedir. Saldırı girişimiyle birlikte oluşan veri kaybı, gizliliğin korunamaması gibi durumlarda hizmet sağlayıcı firmalar sorumluluk almamaktadır. Bu sorumluluğu almalarıyla ilgili de yasal bir düzenleme henüz yoktur.

-Web tabanlı olan bulut hizmetleri, geniş bantlı internet bağlantısıyla rahat çalışacak şekilde tasarlandıkları için internetin indirme ve yükleme hızı düşük olduğunda bulut’u verimli kullanma şansı azalacaktır.

-Verilerin nerede depolandığı konusunda bir kesinlik olmadığı için herhangi bir hukuksal sorun olduğunda veya başka herhangi bir sebepten dolayı verilere ihtiyaç duyulduğunda veri depolama alanı bilgisine ulaşmak zordur. Erişim sağlandığında ise hukuk için yapılan müdahalede dijital deliller incelenirken aynı kayıt ortamında olan ve incelenmesi gerekli olmayan veriler de açık hale gelmektedir. Bu da başka bir hukuki soruna sebep olabilir ve hatta inceleme sırasında verilerin yapısında değişiklikler oluşabilir. Bu değişiklik “son erişim zamanı” anlamında olduğundan başka bir zaman yeniden bir inceleme yapıldığında delil olarak nitelendirilemeyecektir.

-Bulut hizmeti veren firmanın bulut hizmeti konusunda yeterliliği olmaması durumunda veri kaybı, veri bütünlüğünün bozulması, yetkisiz erişime karşı, yani siber saldırılara karşı gerekli önemlerin alınamaması gibi sorunlar oluşmaktadır.

-Bu sistemde kişisel verilerin gizliliği konusunda büyük riskler oluşabilmektedir. Kullanıcı veya hizmet sağlayıcı tarafından herhangi bir hata sonucunda oluşan açıklar sebebiyle kullanıcının kişisel verileri dünyaya hızla yayılabilir. Bu da büyük sorunlara sebep olabilmektedir. Bu durumun doğma sebepleri arasında, bulut bilişim hizmetleri vermek isteyen girişimciler için bir yeterlilik şartı olmaması, herhangi bir sorun oluştuğunda yasal düzenleme yoktur ve sorunların oluşmaması için denetim uygulamalarının olmaması durumları vardır.

-Bulut hizmet sağlayıcılar, kesintisiz hizmet verme garantisi veremezler, yani hizmette oluşan kesintiler, verilere erişimin kısıtlanmasına ve iş akışının sekteye uğralamasına sebep olur. Bu kesintiler sebebiyle oluşan veri kayıpları söz konusu olduğunda, bulut hizmet sağlayıcıları sorumluluk almamaktadırlar.

-Kullanıcının kendisine ait verilere sadece kendisinin erişebileceğine dair bir güvence verilememektedir.

- Herhangi bir sorun karşısında bulut sistem hizmetinin kesildiğinde, tekrar ne zaman hizmet verilmeye başlanacağı konusunda garanti verilmemektedir.

-Bulut sistemine aktarılan verilerin kime ait olduğu konusunda belirli bir bilgi yoktur. Hizmet kalitesinin geliştirilmesi vaadiyle, veri içeriklerini istediği gibi kullanabileceği, değiştirebileceği, kendi isteklerine göre kaydedebileceği, dağıtabileceği, görüntüleyebileceği haklarının olduğu belirtilerek kapsamlı bir izin ve yetki, hizmet sağlayıcıya verilmiş olur. Alınan bu yetki, örneğin kullanıcıyı ve verilerini korumak amaçlı kötü amaçlı yazılımdan koruma önlemi dışında da veri kullanılmasına imkân tanımış olur. Hatta bazı bulut lisans sözleşmelerinde veri içeriğinin tüm haklarının hizmet sağlayıcı firmaya devredildiği ifadesi vardır. Bu yetkiyi de hizmetleri sunmak amacıyla talep ederler.

- İnternete bağlı olan her sistemin olduğu gibi bulut sistemlerinde de kullanıcı için paha biçilemez değerdeki verilerin siber saldırı ile kaybedilme riski bulunmaktadır. Yani veriler, yetkisiz erişim, verilerin değiştirilmesi vb. gibi saldırılara maruz kalabilir. Bu durumların yaşanmaması için hizmet sağlayıcıların, veri sahibi tarafından verilere kısa sürede erişim sağlamalarını kolaylaştırmalı, kullanıcının kişisel verilerinin kriptolu (şifreli yazılı) şekilde saklayıp korunmasını sağlaması çok önemlidir. Fakat firmaların güvenilirliği, yeterliliği gibi konularda denetlenme sorunları hala devam etmektedir.

-Kullanıcının sildiği veriler olduğunda ise bunların sistemden tamamen silinip silinmediği konusunda net bir bilgi yoktur. Örneğin Google Gizlilik Politikası kullanıcı gizlilik sözleşmesinde, silinen veri veya dosyaların ayrıca yedeği alınan geri dönüşüm alanlarından da aynı anda silinemeyeceği belirtilmiştir ve ne kadar süre sonra tamamen silinmiş olacağına dair de bilgi bulunmamaktadır.

-Türkiye’de bulut bilişim sistemlerinde, kişisel verilerin gizliliği ve verilerin korunmasıyla ilgili bir yasal düzenleme henüz yoktur. Bu yüzden, kişisel verileri toplayıp kullanan, siber güvenlik anlamında önlem almayan hizmet sağlayıcılara bu konuda dava açılma hakkı yoktur.

Özetle, bulut sistemleri kullanılmadan önce, klasik depolama yöntemlerine göre risklerinin daha yüksek olduğunu unutmamak gerekir.
Genişletmek için tıkla ...
Ellerine saglik
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.