Nedir Bu CIA Üçlüsü ?

30 Aralık 2024 onder Bilgi Güvenliği 0

Bilgi güvenliği alanında gizlilik, bütünlük ve erişilebilirlik, genellikle “CIA Üçlüsü” olarak bilinen üç temel prensiptir. Bunlar, bilgi güvenliğinin sağlanmasında kritik öneme sahiptir ve her biri farklı bir güvenlik boyutunu temsil eder:

Gizlilik (Confidentiality):

 

  • Tanım: Bilginin yetkisiz kişiler tarafından erişilmesini önlemeyi ifade eder. Sadece yetkili kişilerin bilgilere erişebilmesi sağlanmalıdır.
  • Örnek: Bir şirketin müşteri veritabanı, yalnızca belirli çalışanların erişebileceği şekilde korunmalıdır. Bu, şifreleme ve erişim kontrolü gibi yöntemlerle sağlanabilir. Örneğin, bir bankanın müşterilerinin hesap bilgileri yalnızca yetkili banka personeli tarafından görülebilir.

 

Yaşanmış bir gizlilik ihlali olayı örneği;

Equifax Veri İhlali (2017): ABD merkezli bir kredi raporlama şirketi olan Equifax, saldırganların 147 milyondan fazla kişinin kişisel bilgilerine eriştiği büyük bir veri ihlali yaşadı. Bu bilgiler arasında Sosyal Güvenlik numaraları, doğum tarihleri ve adresler gibi hassas veriler bulunuyordu. İhlalin nedeni, bir yazılım güvenlik açığının yamalanmamasından kaynaklanıyordu.

Bütünlük (Integrity):

 

  • Tanım: Bilginin doğru ve eksiksiz olmasını, yetkisiz değişikliklerden korunmasını ifade eder. Bilgilerdeki her türlü değişiklik tespit edilebilir olmalıdır.
  • Örnek: Bir e-ticaret sitesindeki ürün fiyatlarının ve stok bilgilerinin doğru kalmasını sağlamak, bütünlüğün korunmasını gerektirir. Bu, veritabanı yedeklemeleri ve değişiklik izleme sistemleri ile sağlanabilir. Eğer bir müşteri ürün satın alırken fiyatın yanlış gösterilmesi durumuyla karşılaşırsa, bu bütünlük ihlali olabilir.

 

Yaşanmış bir bütünlük ihlali örneği;

 

  • Stuxnet Solucanı (2010): Stuxnet, İran’ın nükleer tesislerindeki santrifüjleri hedef alan bir bilgisayar solucanıydı. Bu zararlı yazılım, endüstriyel kontrol sistemlerinin verilerini değiştirerek makinelerin kontrol dışı çalışmasına neden oldu. Bu, fiziksel donanımın bütünlüğünü bozarak, operasyonları etkiledi ve ciddi zararlara yol açtı.

 

Erişilebilirlik (Availability):

 

  • Tanım: Bilgi ve kaynakların ihtiyaç duyulduğunda erişilebilir olmasını ifade eder. Bilgiler, yetkili kullanıcılar tarafından gerektiği zaman erişilebilmelidir.
  • Örnek: Bir sağlık kurumunun hasta kayıt sisteminin sürekli çalışır durumda olması, doktorların ve hemşirelerin ihtiyaç duydukları bilgilere kesintisiz erişimini sağlamak için önemlidir. Bu, sunucu yedeklemeleri ve kesintisiz güç kaynakları gibi önlemlerle sağlanabilir. Eğer bir sistem çökmesi veya DDoS saldırısı nedeniyle hastane verilerine erişilemezse, bu erişilebilirlik sorununa örnek teşkil eder.

 

Yaşanmış bir erişilebilirlik ihlali örneği;

 

  • GitHub DDoS Saldırısı (2018): GitHub, 2018 yılında tarihteki en büyük Dağıtılmış Hizmet Reddi (DDoS) saldırılarından birine maruz kaldı. Saldırı, 1.35 Tbps hızında trafiği GitHub’ın sunucularına yönlendirerek hizmetlerinde kesintiye neden oldu. GitHub, bu saldırıya karşı hızlı bir şekilde yanıt vererek erişilebilirliği kısa sürede yeniden sağladı.

 

Bu üç unsur, bilgi güvenliği stratejilerinin temelini oluşturur ve herhangi bir bilgi sisteminin güvenliğini sağlamak için dengeli bir şekilde yönetilmelidir.

 

Tuna KÖKSAL

https://www.linkedin.com/pulse/nedir-bu-cia-%C3%BC%C3%A7l%C3%BCs%C3%BC-tuna-k%C3%B6ksal-u44qf/?trackingId=JdovqY9PDspMRKSiyVxtPg%3D%3D

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*