Söyleşi: ICterra, Ürünlerinin Güvenliğini Ortak Kriterle Arttırıyor – MSI Dergisi: Türk Savunma ve Havacılık Sanayisinin Güncel Referans Bilgi Kaynağı ve Yenilik Habercisi

Söyleşi: ICterra, Ürünlerinin Güvenliğini Ortak Kriterle Arttırıyor

15 Aralık 2017

ICterra yetkilileri ile yapılan ve MSI Dergisi’nin 150’nci sayısında yayımlanan söyleşi, derginin İnternet sitesinde paylaşılmıştır:

 

Sektöre sunduğu ürünlerin kalitesini daha da yükseklere taşımak için çalışmalarına ara vermeden devam eden ICterra, son olarak Akıllı Tehdit İzleme Sistemi (ATES) için Ortak Kriterler (Common Criteria) Sertifikası aldı. Bu sertifika  ve belgelendirme süreci hakkında, ICterra  yetkililerinden bilgi aldık.

 

Ortak Kriterler standardı nedir; ne işe yarar? Kısaca açıklayabilir misiniz?

Ortak Kriterler (OK), uluslararası bir standart. Akıllı kart gibi, veri tabanı gibi, yönlendirici ve güvenlik duvarı gibi “hack” edilmemesi gereken bilişim teknolojileri (BT) ürünlerinin güvenliğini sağlamak üzere düşünülmüş. Özellikle çok sayıda ülkede kullanılan ürünler, belli bir güvenlik standardını sağlasın; tekrar tekrar test edilmesin diye. En yoğun kullanıldığı alan, akıllı kartlar. OK portalında (http://www.commoncriteriaportal.org/), sertifikalı ürünlerin listesini ve standartları bulabilirsiniz.

 

Ürününüze Ortak Kriterler Sertifikası almak nereden aklınıza geldi?

Siber güvenlik alanında da ürün ve çözüm geliştiren bir firmayız. TÜBİTAK TEYDEB desteği ile gerçekleştirdiğimiz Akıllı Tehdit İzleme Sistemi (ATES) projesini planlarken bu sertifikayı almayı, ilave bir kazanım olarak kurgulamıştık. Kalitemizi kullanıcıya göstermek ve “yerli ürünün nitelikleri yetersiz” algısını kırmak için bu hedefi koymuştuk. Dünyada bizimkine benzer saldırı tespit ve engelleme sistemlerinin bir kısmı, OK sertifikalıdır.

OK Sertifikası nereden alınıyor?

Türkiye’de sertifikayı veren makam, Türk Standartları Enstitüsü (TSE). Her ülkede sertifikayı verebilen tek bir makam var ve bu makamların da kendi aralarında imzaladığı sertifika tanıma anlaşması var. Ama işin teknik boyutunu, değerlendirme laboratuvarı yapıyor. TürkAK’a akredite, yani tarafsızlığını ve yetkinliğini ispatlamış; TSE’nin de kabul ettiği OK değerlendirme laboratuvarı ile yoğun şekilde çalışılıyor. Süreçte, TSE’nin de ziyaretleri, denetlemeleri oluyor. Türkiye’de ilk olarak, TÜBİTAK UEKAE çatısı altında, OK değerlendirme laboratuvarı kurulmuştu. Şimdi, özel değerlendirme laboratuvarları da var. Yenilerinin de kurulduğunu duyuyoruz.

 

Sertifika almak zor mu?

Standardı iyi bilmek gerekiyor. Gereklerini yerine getirmezseniz sertifikayı alamazsınız. İşin en başından itibaren, iş gücünü, proje takvimini ona göre planlamak lazım. Projenin başından itibaren, üretilmesi gereken kayıtlar var. Değerlendirme laboratuvarı ve TSE ile koordinasyonu iyi sağlamak lazım ki süreçte sarkmalar yaşanmasın.

ICterra siber güvenlik proje grubu SANS Enstitüsü’nden “Kötücül Yazılım Tersine Mühendislik” eğitimi aldı.

Standardı herkes öğrenebilir mi? Bu konuda çalışmak için birikim gerekiyor mu?

Eğitim alabilirsiniz; danışmanla çalışabilirsiniz. Bilgi güvenliğinin kurumsal kapsamda sağlanması konusunda, Türkiye’de, ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, azımsanmayacak bir kitle tarafından tanındı. OK standardı da ISO 27001’e benziyor. Mantık aynı, kapsam değişik. ISO 27001’de kurum ölçeğinde yaptıklarınızı, OK’de ürün ölçeğinde yapıyorsunuz. Tabii bu işi yapacak insanların, belli bir yazılım mühendisliği geçmişi olması lazım. Bilgi güvenliğinin genel mantığını bilmesi lazım. Bütün güvenlik süreçlerinde olduğu gibi, burada da işe risk analizi ile başlanıyor. “Risklerim neler? Bana yönelen hangi tehditler var? Ben bunları nasıl durdururum?” gibi soruların cevapları aranıyor. Bu konularda, bir kurumda açıklar varsa bunları; politikayla kapatırsınız, eğitimle kapatırsınız; başka önlemler alarak, sistemler kullanarak kapatırsınız. OK’de ise hem politikayla hem de geliştirdiğiniz ürünün içinde, bazı güvenlik işlevlerini gerçekleştirerek kapatıyorsunuz. OK standardının ikinci cildinde, güvenlik işlevleri kataloğu var. Belli bir metodoloji kapsamında, geliştirdiğiniz sistemde bulunacak işlevleri oradan seçiyorsunuz. Öğrenilmeyecek bir şey değil. Hatta biz yazılımcıların hoşuna gittiğini bile gözledik.

 

Sertifikalandırılacak ürünü geliştirirken dikkat edilmesi gereken şeyler neler?

OK sertifikasyon süreci, risk analizi ile başlıyor ve çalışmanın sonucu, Güvenlik Hedefi Dokümanı olarak kaydediliyor. Sonra tüm süreç boyunca, Güvenlik Hedefi’nin üstüne koya koya gidiyorsunuz. Dolayısı ile temelin sağlam olması gerekir. Sürece, kendi ürününüze benzer ürünlerin Güvenlik Hedefi dokümanlarını gözden geçirerek başlamak çok mantıklı. Güvenlik Hedefi dokümanları da portalde yayınlanıyor; oradan indirilip değerlendirebilir. Aynı ürün pazarına çıkacağınıza göre, rakiplerden çok fazla veya çok az güvenlik işlevi gerçekleştirmek mantıklı olmaz. Benzer ürünlerin özelliklerine bakılacak, orası kesin. Gerisi, kurumsal stratejinize bağlı.

 

Sizin ürününüzde ne gibi güvenlik işlevleri var?

Bilgi güvenliğinde, erişim kontrolü olmazsa olmazdır. Kullanıcı tipleri ve bunların görebileceği ve  göremeyeceği bilgiler, kayıtlar, yapabilecekleri ve yapamayacakları işlemler, bir matris şeklinde tanımlanıyor. Buna, Erişim Kontrol Politikası deniyor. Biz, bunun üstüne, “Görevler Ayrılığı” prensibini de koyduk. Sistem yöneticisi, kendi yaptığı işlemlere ilişkin olay kayıtlarını silemez. “Tetkikçi” rolü var; bu kayıtları tetkikçi inceler, yönetime rapor eder, gerektiğinde siler, yer açar. Tetkikçi de sistem yöneticisinin yaptığı işlemleri yapamaz. Böylece, sistem yöneticisinin yetkilerini suistimal etmesi engellenmiş oluyor. Bilgi güvenliğinde, görevler ayrılığının tanımı da budur zaten: “Kurum varlıklarının kasıtlı ya da kasıtsız kötüye kullanımını engellemek üzere görev ve sorumlulukların ayrılması…” Bu bağlamda, kullanıcıya güzel bir örnek göstermek istedik.

 

OK sertifikasyonu çok fazla dokümantasyon yükü getiriyor mu?

Güvenlik Hedefi Dokümanı’na ilave olarak; Tasarım, Yaşam Döngüsü, Destek ve Test Dokümanları var. Tasarımcının ve testçinin kendine aşırı güvenmemesi; bu dokümanlara her şeyi detaylı olarak yazması gerekiyor. “Laboratuvar anlar” deyip geçmemek gerekiyor. Kurumun kendi kalite süreçleri, zaten bir takım dokümantasyon yükümlülükleri getirecektir. Mesela bizde, zaten CMMI 3 var. Dokümanların şekli, içeriği biraz değişiyor o kadar. Sonunda elinizde, gerektiğinde dönüp bakabileceğiniz başvuru dokümanları kalıyor. Değerlendirme laboratuvarı, bütün dokümanları inceler. Dokümanlar arasında tutarlılık arar; standarda uyum arar. EAL 4 güvence seviyesinden itibaren, yazılım kaynak kodu da veriliyor. Biz, bu çalışmaların faydalı olduğuna inanıyoruz.

 

Bu çalışma sonucunda ne gibi kazanımlarınız oldu?

Proje yönetimine de yazılım ekibine de kattığı ciddi bir deneyim var. Disiplin var. Sistemli çalışmak zorundasınız. Geliştirme altyapınızı ve araçlarınızı, doğru şekilde kullanmak zorundasınız. Bunların hepsi kazanımdır. Değerlendirme laboratuvarının çalışmaları, “Açıklık Analizi” ile tamamlanıyor. Ürüne, formal işlevsel testlerin ötesinde; geliştiricinin düşünemeyeceği, bir kısmını kendi ortamında yapamayacağı, “Man in the Middle” ve benzeri çeşit çeşit saldırılar uygulanıyor. Açıklar çıkıyor orada. Bunların ortaya çıkması ve kapatılması, tabii ki ürüne değer katıyor. Bütün bunların, kullanıcı tarafından da takdir edileceğini düşünüyoruz.

 

Benzer ürünler geliştiren firmalara OK sertifikasyonunu önerir misiniz?

Bazı durumlarda, kullanıcı talep ediyor zaten. Karar, firmanın kendisine kalmışsa ve firmanın zaten yazılım geliştirme süreci varsa; proje de başlangıç aşamasındaysa olabilir. Bu şartlar geçerli değilse sertifikasyon süreci, zorlu ve maliyetli oluyor. Biz, bu şartlarla başlandığında, projeye çok fazla maliyet getirmediğini gördük. Kazandırdıkları ise tartışılmaz.

289 toplam görüntüleme, 4 bugünkü görüntüleme