İşletmeler veya çalışanlar çeviri uygulamaları, ortak takvimler veya mesajlaşma platformları gibi bir uygulamayı yükleyip kullanmadan önce bu uygulamaların güvenliğini kontrol etmelidir. Uygulamanın güvenli olduğundan nasıl emin olabilirsiniz? ESET Bilgi Güvenliği Başkanı Daniel Chromek, bir BT uzmanının uygulama güvenliği konusunda karar verirken sorması gereken en önemli soruları paylaştı.
1) Elimizde hazır bir kontrol listesi var mı?
Chromek bu soruyu şöyle açıklıyor: “Bir uygulama ya da hizmetin güvenli olup olmadığına karar vermeye çalışırken genellikle hazırlanmış bir kontrol listesi üzerinden hareket ederiz.” İki adet kontrol listesi hazırlamak da Chromek’in ilk tavsiyesi oluyor.
- Bunlardan biri, uygulamanın lisans sözleşmesinde veya hizmet anlaşması/kullanım şartlarında aramanız gerekenleri içeren bir liste olmalıdır.
- Diğeri ise uygulamanın kendisine ve kullanımına odaklanan bir liste olmalıdır.
İlk kontrol listesi ISO 27002 standartlarını, ikinci kontrol listesi ise kendi deneyimlerinize ek olarak OWASP (Açık Web Uygulamaları Güvenlik Projesi) mobil uygulama güvenlik doğrulaması standartlarını temel alabilir. Bu kontrol listeleri neleri içermelidir? Aşağıdaki sorular bu konuda size yardımcı olacaktır.
2) Anlaşmada bir gizlilik sözleşmesi var mı?
BT uzmanları herhangi bir uygulama için anlaşmanın bir gizlilik sözleşmesi (NDA) içerdiğinden emin olmalıdır. Chromek şöyle aktarıyor: “Hizmetler açısından bir NDA genellikle sadece belirsiz ifadelerden oluşur. Veri koruması ile ilgili çoğunlukla genel bir ifade bulabiliriz ama uygulamanın güvenli olup olmadığına karar vermek istersek derinlemesine bir araştırma yapmamız gerekebilir. Örneğin, uygulamanın güvenlik tanımına ya da SOC2 raporu gibi güvenlik denetleme raporlarına daha fazla bilgi eklenebilir.
Bunlar, BT uzmanlarına uygulamadaki verilere ne olduğu, verilerin şifrelenip şifrelenmediği gibi konular hakkında bir ipucu verebilir.” NDA söz konusu olduğunda dikkate alınması gereken bir diğer konu, uygulama kullanımının sona ermesinden sonra verilere ne olduğudur. ESET CIO’su şu sorulara dikkat çekiyor: “Veriler korunmaya devam edecek mi? Silinecekler mi? Yoksa şirket, verileri geri alabilecek mi? Bir uygulamanın güvenli olup olmadığına karar vermeden önce bunlar yanıtlanması gereken önemli sorulardır.”
Hizmet Kullanım Şartları: Okunmadı
Bu web sitesi (ve ilgili tarayıcı eklentisi), çeşitli uygulamaların hüküm ve koşullarına genel bir bakış sunar ve tıpkı okulda olduğu gibi bunları A’dan F’ye kadar derecelendirir. Site hem kullanıcılara hem de BT yöneticilerine yardımcı olabilir ve ana kaynak olarak görülmemesi gerekse de okuyucularına uygulamanın güvenliği hakkında daha iyi bir fikir verebilir.
3) Uygulama çalışmadığında ya da bir kesintiye uğradığında ne oluyor?
Chromek durumu şöyle açıklıyor: “Bir uygulamanın, başarısız olabilecek bir hizmete bağlı olabileceğini hatırlamamız gerekiyor. Bu yüzden şu soruyu sormalıyız: Hizmet çalışmadığında verilerimize ne olacak?” Bir BT uzmanı, sözleşmenin olası hizmet arızalarıyla nasıl başa çıktığını kontrol etmeli ve uygulamanın ne sıklıkta kesinti yaşadığını ve bunların genellikle ne kadar sürdüğünü gösteren istatistikleri gösteren raporları veya durum sayfalarını aramalıdır.
Bir hizmet anlaşması aynı zamanda bir hizmet çalışmadığında veya işlevsellik ve çalışmama oranları beklenen rakamların dışına çıktığında müşteriler için nasıl telafi yöntemleri uygulanacağını da belirtmelidir. Bir uygulama, kurum içi küçük bir sorundan OVHcloud veri merkezi yangını gibi büyük iş sürekliliği sorunlarına ve hatta savaş veya doğal afetlerden kaynaklanan “büyük enerji kesintilerine” kadar farklı nedenlerle çalışmayabilir. Belirlenen telafi şekilleri genellikle bu durumların her birinde farklı olacaktır ve yukarıda belirtilen senaryolardan bazıları sorumluluğun sınırlandırılması veya mücbir sebep paragraflarına dahil edilebilir.
2022 Atlassian kesintisi
Nisan 2022’de Avustralyalı bir yazılım şirketi olan Atlassian, müşterilerini haftalarca hizmetlerine erişimden mahrum bırakan bir kesinti yaşadı. Şirket, müşterilerinden konuyla ilgili mesajlar alıyordu, ancak günlerce sorun veya olası düzeltme hakkında yalnızca çok belirsiz bilgiler verdiler. Sonunda, bir dizi Atlassian müşterisi, yalnızca Atlassian hizmetleri için krediler/indirimlerle telafi edilen büyük kayıplarla baş başa kaldı. Bu durumda, telafi şeklinin müşteriler için uygun, hatta arzu edilir olup olmadığı tartışmalıdır.
Kaynak: The Pragmatic Engineer, 2022.
4) Sızma testi yapabilir miyiz?
Kullanım şartları uygun görünse bile hizmet güvenliğinin mevcut teknik durumu iyi olmayabilir. Birçok uygulama ve hizmet, güvenlik raporlarında güvenlik testi ile ilgili bir bilgiye yer vermez. Ayrıca genellikle kullanım şartları ve koşulları, yetkisiz erişimin denenmesi veya kimlik doğrulamasının atlatılması gibi testin bir parçası olan eylemleri de yasaklar. Bununla birlikte, hizmetin müşterilerin verilerini etkili bir şekilde koruyup korumadığını belirlemek için sızma testleri gerekli olabilir. BT uzmanları usulüne uygun olarak uygulamanın geliştiricileri ile iletişime geçmeye çalışmalı, ya uygulama için daha önce gerçekleştirilen test sonuçlarına ilişkin daha fazla bilgi almaya ya da sızma testinin yapılmasına izin veren ayrı bir sözleşme oluşturmaya çalışmalıdır.
5) Uygulama güvenli bir şekilde geliştirilip çalıştırılıyor mu?
Yalnızca bir uygulama yükleyerek farklı bir hizmeti kullanıyor olabileceğiniz gerçeğine geri dönersek, BT uzmanları yalnızca uygulamanın kendisinin güvenli olup olmadığını belirlememeli, aynı zamanda uygulamanın güvenli bir şekilde geliştirilip çalıştırıldığından da emin olmalıdır. BT uzmanları bu bilgiye ulaşmak için ya SOC2 raporu gibi mevcut denetleme raporlarına bakmalı ya, da yeni satıcıyı denetlemelidir.
6) Satıcının güvenlik olayı müdahale planı nedir?
Zaman zaman yaşanan kesinti sorunlarının yanı sıra bir uygulama, veri ihlalleri gibi diğer ciddi sorunlarla da karşılaşabilir. Chromek bu konuda şunları belirtiyor: “Bu durum yaşandığında satıcının bizi bilgilendireceğinden emin olmalıyız. İşletmelerin müşterilerine, ortaklarına ve çalışanlarına karşı sorumlulukları olduğu için herhangi bir olaya hızla müdahale etmeleri gerekiyor.” Hizmetler kişisel verileri işliyorsa ihlal bildirimini GDPR veya CCPA gibi yönetmelikler gerekli kılabilir.
OWASP uygulama güvenlik doğrulaması standardı sizin için ilham kaynağı olabilir.
Söz konusu proje web uygulama güvenliği için temel prensipleri sağlasa da Daniel Chromek’in açıkladığı gibi bunlar çok genel ifadeler olup bazı kısımları “zengin istemci uygulamaları” için tekrar kullanılabilir. BT uzmanları bunu ilham verici bir kaynak olarak kullanabilir ve işleriyle en ilgili olduğuna inandıkları bazı konuları seçebilir.
7) Uygulama fikri mülkiyeti nasıl ele alıyor?
Kontrol edilen uygulamanın fikri mülkiyet konusunu nasıl değerlendirdiğine özellikle dikkat edilmesi gerekiyor. Chromek bu konuda şunları ifade ediyor: “İlgili anlaşma, DMCA kapsamında olabileceği gibi uygulamanın hizmet sağlayıcılarını telif hakları davalarına karşı korumak için indirilen içeriklere karşı bir sorumluluğu olmadığını belirtebilir. Ayrıca, bazı içeriklerin uygulama tarafından “hizmet iyileştirmeleri” gibi belirli amaçlar için kullanılabileceğini ve bunun da rakip ürünlerin geliştirilmesine yol açabileceğini belirtebilir. Tüm bu detaylara dikkat edilmesi gerekir.”
8) Uygulamanın yetkileri nelerdir?
Örneğin, mesajlaşma uygulamaları söz konusu olduğunda bu uygulamaların mesaj ve medya göndermesi, görüşmeleri kaydetmesi ve konum göndermesi gibi birçok farklı eylemi sağlaması gerekir. Ancak bazı uygulamaların bu kadar çok yetkiye ihtiyacı yoktur. Chromek bu konuya ilişkin şunları ifade ediyor: “Örneğin, çevrim içi etkinliklere odaklanan bir uygulamanız varsa ve bu uygulama konumunuza ve telefon görüşmelerinize erişmeyi ve SMS göndermeyi istiyorsa bu hiç anlaşılabilir bir durum değildir. Uygulamayı niçin kullandığınızı düşünün ve uygulamanın makul yetkileri aşıp aşmadığını kontrol edin.”
Altta yatan anlamı keşfedin
ESET Bilgi Güvenliği Başkanı Daniel Chromek sözlerini şöyle noktalıyor: “Bir uygulama ya da hizmet niçin kullanıldığını saklayarak çalışmaya devam edemez. Veri topluyor veya bilgilerinizi başka şirketlerle paylaşıyorsa bunlar hizmet kullanım şartlarında yer almalıdır. Ancak bazı durumlarda uygulamalar, önemli bilgilerin üstünü genel ifadeler, detaylı hususlar veya küçük detaylarla örtmeye çalışabilir.
Kullanım şart ve koşullarını detaylı bir şekilde okumak ve aynı zamanda rapor gibi diğer kaynaklara göz atmak her zaman sizin yararınıza olur.”
7 tehlikeli uygulama türü
2022’de kimlik avı saldırılarına bir bakış
