Olay:
ÖSYM web sitesi altında bulunan aday işlemleri modülü 19 Nisan 2011 tarihinden başlayarak iki gün boyunca hizmet kesintisine uğradı. Medyada çıkan haberlerde ÖSYM kurumsal web sitesinin bir hacker (saldırgan) tarafından saldırıya uğradığı yönünde iddialar öne sürüldü. İlk akla gelen nokta “Sınav soruları internet üzerinden çalınmış olabilir mi?” sorusuydu.ÖSYM’nin aday işlemleri sistemini hack’lediğini iddia eden Vedat Odabaşı isimli bir saldırgan, medya kuruluşlarına gönderdiği mailde;
Sistemden sınav sorularının çalınması pek de zaman almayacak kadar basit bir durum güvenlik sistemi tam teşkilatlı değil ösym gibi bir kurumun böyle basit sistemler kullanması düşündürücü doğrusu..” ifadesinde bulundu.
Bu iddialara karşın ÖSYM tarafından birkaç gün açıklama yapılmaması, sonrasında açıklamanın geç gelmesi de akıllarda soru işareti yarattı.
ÖSYM Tarafından Gelen Geç Açıklama
ÖSYM de çıkan bu haberler karşısında geç gelen bir açıklamada bulundu.
“Bir süredir sayfamızın yayında olmamasının sebebi, tamamen teknik bir savunma ve yenilenme nedeniyledir. ÖSYM’nin internete açık olan Bilgi İşlem Sistemi üzerinden sınavlarda sorulacak soruların bulunduğu sisteme erişmek asla mümkün değildir. Bu nedenle, sorulara erişildiği bilgisi kesinlikle yalandır.”
İddialara göre hacklenen aday işlemleri sisteminde bulunan açıklardan faydalanan saldırgan bu sunucu ve buna ait veritabanı üzerinde yetkisiz işlemler yapmış olabilir. Fakat yapıldığı iddia edilen bu yetkisiz erişim, sınav sorularının çalınması anlamına gelmemektedir. Gerekli güvenlik açıkları ve koşulları sağlandığında sistemlere erişilebilirliği söz konusu olabilir.
• Hack’lendiği iddia edilen aday bilgi sistemi ile sınav sorularının aynı sunucu veya veritabanı üzerinde yer alması,
• Sınav sorularının başka bir sunucuda yer aldığı durumda ise, aday bilgi sistemi ile soruların bulunduğu sunucu arasında bağlantısının olması ve varsayılan bir açıktan faydalanan saldırganın o sunucu üzerinde yetkisiz erişimler yapabilmesi gerekmektedir.
Bu senaryoların dışında ÖSYM aday bilgi sistemindeki açıktan faydalanan bir saldırganın bu tip bir bilgiyi sızdırması mümkün olmayacaktır.
Bu tip kritik bilgi içeren sistemlerin güvenliğinin sağlanması için katmanlı güvenlik anlayışı politikaları benimsenmelidir. Ancak olayın gelişiminden ve açıklanan mevcut durumdan böyle bir erişim olduğuna dair bir bilgi edinilmemektedir.
Çıkarılabilecek Dersler
Kurumsal İletişim Yönetiminin Önemi
Sızma (Penetrasyon) Testlerinin Önemi
Bu tip kritik bilgi içeren kurumların gizliliğinin, kullanılabilirliğinin ve bütünlüğünün korunabilmesi oldukça önemlidir. Bu yüzden bilişim sistemlerine bir saldırgan (hacker) gözüyle mümkün olabilecek açıklardan faydalanarak, denenerek sızılması olarak adlandırılan sızma testlerinin (penetration testing) periyodik olarak yaptırılması önem teşkil etmektedir.