Cihazlarınıza kaç tane uygulama yüklediniz? Günümüzde çevremizle iletişim kurmaktan alışveriş listemizi hazırlamaya kadar hemen hemen her şey için uygulamaları kullanıyoruz. Ancak bazı uygulamaların veri güvenliğinize ve gizliliğine ilişkin fark edilmeyen tehlikeleri olabilir. ESET’in Bilgi Güvenliği Başkanı Daniel Chromek ile birlikte, insanların yaygın olan uygulama hizmetleri yoluyla verilerini tehlikeye atma yollarını araştırdık. Karşımıza 7 tehlikeli uygulama türü çıktı.
Hangi tür verilerin korunması gerekir?
Günlük olarak kendi kişisel verilerimizle ve aynı zamanda işverenlerimizin, çalışanlarımızın, iş arkadaşlarımızın ve müşterilerimizin dijital bilgileriyle ilgileniriz. Halka açık verilere, onu arayan herkes kolayca erişebilirken, birçok dijital bilgi türünün dikkatli bir şekilde ele alınması ve korunması gerekir. Bunlardan bazıları şunlardır:
Kurum içi iletişim gibi kurum içi veriler
Kimlik numaraları gibi gizli veriler
Yasal olarak korunan veriler gibi kısıtlı veriler
Halka açık veriler ile hassas veriler arasındaki farkı anlamak, gizli kalması gereken dijital verileri tehlikeye atmaktan kaçınmanıza yardımcı olabilir. Ancak verilerin durumu kişisel, profesyonel ve hatta politik nedenlerle değişebilir, bu nedenle hiçbir tür dijital bilgiyi asla dikkatsizce kullanmayın.
Roe ve Wade Davası: Veri duyarlılığı beklenmedik şekilde arttığında
Chromek, oldukça hassas verileri paylaştığının farkında olmayan birini bilip bilmediği sorulduğunda Roe v. Wade davasına yönelik karardan sonra ABD’deki durumdan bahsediyor. Amerika’nın birçok eyaletinde kürtaj yasaklandığında kadınlara, regl dönemlerini veya cinsel hayatlarını belgelemeleri için regl takip uygulamalarını kullanmaları tavsiye edildi. Çeşitli kaynaklar, emniyet güçleri tarafından yasa dışı kürtajları ortaya çıkarmak için erişim sağlanırsa bu uygulamaların kullanıcılara karşı kullanılabileceğini göstermektedir. Örneğin, Washington Post’un da açıkladığı gibi kürtajın yasa dışı olarak gerçekleştirilmesi durumunda emniyet güçleri internet hizmet sağlayıcılarının yardımıyla IP adresleri ile kişileri takip edebileceğinden IP adresleri uygun bir veri olabilir. Bu durumda IP adresleri gibi önceden hiçbir endişe duyulmadan paylaşılan veriler birden hassas duruma gelmiştir.
En sık kullanılan uygulamalar ve beraberindeki riskler
Yeni bir uygulamayı kullanmadan ya da yeni bir hizmet için kayıt olmadan önce okunmaları epey tavsiye edilse de birçok kişi Kullanım Şart ve Koşulları’nı okumadan geçiyor. Bu özellikle sadece kendi kişisel verileriniz için değil aynı zamanda işle ilgili materyaller için de söz konusu uygulamayı kullanmayı planladığınızda gerçekleşiyor. Birçok uygulama o kadar yaygın bir şekilde kullanılmaktadır ki muhtemel dijital güvenlik etkileri üzerine hiç durup düşünmeyiz. Verilerinizin güvenliğini tehlikeye atabilecek bazı uygulamalara gelin bir göz atalım.
1) Ücretsiz çeviri uygulamaları
Çeviri uygulamaları, hedef metne çevirmek için çok fazla bilgiyi işlemek zorundadır. Chromek şunları aktarıyor: “Belli bir kelimeyi çevirmek sorun olmasa da bütün bir paragrafı veya belgeyi çevirmek söz konusu olduğunda sorun katlanarak artıyor. Örneğin, bir avukat hassas bir sözleşmenin içeriğini güvenilir olmayan bir çeviri uygulamasına girdiğinde GDPR veri ihlalinin yaşanması ve oldukça hassas kurumsal bilgilerin açığa çıkarılması gibi ciddi sonuçlar ortaya çıkabilir.” Çeviri uygulamalarına hangi verileri girdiğinize dikkat edin ve özellikle lisansı olmayan ücretsiz uygulamalara karşı dikkatli olun.
2) Dosya dönüştürme uygulamaları
Bir e-postaya sığması için daha önce bir belgeyi sıkıştırmanız gerekti mi? Ya da dosyayı PDF’e çevirmeye ihtiyacınız oldu mu? Bunu yapmanın en yaygın yollarından biri çevrim içi dosya dönüştürme uygulamaları kullanmaktır. Chromek sözlerini şöyle sürdürüyor: “Çeviri uygulamaları hakkında konuştuğumuz her şey dosya dönüştürme uygulamaları için de geçerlidir.” Bu hizmetlerin yüklenen belgelerdeki hassas verileri işlemesi gerekebilir. Bu yüzden her zaman yalnızca önceden onaylanmış uygulamaları kullanmaya dikkat edin.
3) Ortak takvimler
Chromek bu durumla ilgili şunları belirtiyor: “Ortak takvimlerde genellikle telefon rehberindeki kişiler bulunur. Biriyle programınızı paylaşmak için en azından o kişinin e-posta adresine ihtiyaç duyarsınız. Bu yüzden yeteri kadar güvenilir değillerse bu uygulamalar bir GDPR sorunu oluşturabilir.” Ayrıca bazı ortak takvimler kullanıcıları için oldukça kafa karıştırıcı olabilir. Bu yüzden kullanıcılar; hangi veriyi kimlerle paylaştıklarından, takvimlerini iş arkadaşları gibi sadece göndermeyi istedikleri kişilerle mi paylaşıp paylaşmadıklarından veya programlarını bir yabancıya açık hale getirip getirmediklerinden emin olamayabilir.
4) Not alma uygulamaları ve günlükler
Bu uygulamalar çoğunlukla bunları niçin kullanmak istediğinize bağlıdır. Not alma uygulamalarını sadece alışveriş listesi hazırlamak için kullanıyorsanız bu durum, söz konusu uygulamaları bir iş toplantısının notlarını almak için veya şifrenizi ezberlemek için kullanmanız kadar tehlikeli değildir. Ayrıca, şifrenizi ezberlemek için bir başka uygulama değil, bir şifre yöneticisi kullanmalısınız. Chrome sözlerine şunları ekliyor: “Bu uygulamaların bir başka veri sızıntısına yol açabilecek şekilde notlarınıza resim, video veya ses kaydı eklenmesine imkan tanımasına da ayrıca dikkat edilmesi gerekir.”
5) Halka açık dosya paylaşım uygulamaları
Hassas bilgilere erişim sağlayabilmelerinin yanı sıra halka açık birçok dosya paylaşım uygulaması bulut tabanlı çalışır. Söz konusu bulut hizmeti sağlayıcı ya da hesabınız bir ihlale maruz kalırsa bir veri sızıntısı yaşanabilir. Ancak bazı dosya paylaşım uygulamaları şeffaf şifreleme çözümleriyle birlikte kullanılabilir. Veri güvenliğinizi arttırmak için de bunu yapmanız tavsiye edilir.
6) Mesajlaşma uygulamaları
Mesajlaşma uygulamaları; dosya paylaşımı, telefon görüşmeleri, video görüşmeler, mesaj gönderimi ve ses kaydı gibi bir dizi eylemin yapılmasını sağlar. Sonuç olarak kameranıza, mikrofonunuza ve hafızanızdaki verilere erişim istenmesi de dahil olmak üzere mobil cihazınızda birçok iznin verilmesine ihtiyaç duyulur. Ayrıca bazı mesajlaşma uygulamaları topladıkları bilgileri şifrelemez. Bu yüzden bu uygulamalar ele geçirildiğinde saldırganlar, hassas bilgiler de dahil olmak üzere toplanmış tüm erişilebilir bilgilere ulaşır. Chromek bu konuya ilişkin şunları ekliyor: “Ayrıca şifreleme bakımından bu uygulamaların nasıl bir güvenlik sunduğuna ilişkin bir farklılık da bulunur. Çoğu mesajlaşma uygulaması, internet üzerinden yapılan bir aktarım sırasında verileri (hareket halindeki verileri) şifreler. Ancak bazı mesajlaşma uygulamaları ise uçtan uca şifreleme yöntemini kullanarak ekstra bir güvenlik sunar. Uçtan uca şifreleme yöntemi ile mesajlaşma uygulaması hizmet sağlayıcısı mesajları çözemezken sadece iletişimi kuran taraflar bunları çözebilir.
7) Uzaktan erişim uygulamaları
İşyerindeyken köpeğinizi mi kontrol etmeniz gerekiyor? Ya da eve gitmeden önce ısıtma sistemini mi açmak istiyorsunuz? Uzaktan erişim uygulamaları bunları yapabilmenizi sağlar. Ancak bu uygulamalar tam tersi şekilde de çalışabilir ve kimin kimi yönettiğini hiçbir zaman bilemeyebilirsiniz. Chromek bu durum hakkında şu uyarıda bulunuyor: “Uzaktan erişim hizmetleri, dışarıdaki suçluların cihazınıza girip bunu yönetmesi ve cihazınızda muhafaza edilen verileri çalması için bir portal görevi görebilir.” Yukarıda bahsedilen uygulamaların çoğunda aynı risklerin bulunduğu görülüyor. İlk olarak bu uygulamaların verileri muhafaza etmek için kullandığı bulut hizmetleri güvenli olmayabilir. Kişisel verileri muhafaza ettikleri için söz konusu bulut hizmetleri birdenbire sadece tedarikçiniz değil aynı zamanda GDPR veri işlemcileriniz de olur. Bazı uygulamaların arka planda hizmetler kullandığını da hatırlatmamız gerekiyor. Bu yüzden her zaman hizmetlerin çalışmama riski bulunur. Son olarak uygulamaların işlevsel olması için bu uygulamalara bazı ücretler ödenmesi gerekir. Ücretsiz uygulamaların sunduğu özellikleri finanse etmesi için sadece birkaç seçeneği vardır. Reklam verilmesi, bağış alınması, verilerin ticari amaçlar için kullanılması veya diğer hizmetlere verilerinizin satılması bunlardan bazılarıdır. Bunlar ise sadece sizin onay vermenizle gerçekleşir. Veri paylaşımı ihtimali ise birçok kişinin okumadan geçtiği genellikle Kullanım Şartları ve Koşulları kısmında bahsedilmiştir.
Hizmet Kullanım Şartları: Okunmadı
Bu internet sitesi ve ilgili tarayıcı eklentileri, çeşitli uygulamaların Kullanım Şart ve Koşulları’na A’dan F’ye kadar bir puan verir. Uygulamanın güvenliğiyle ilgili kapsamlı bir değerlendirme sunmasa da söz konusu internet sitesi, güvenlik açısından bir uygulamadan neler beklenebileceği konusunda okuyuculara bir fikir verebilir.
Daima BT veya güvenlik uzmanlarınıza danışın
Kısacası uygulamalar hem günlük hem de profesyonel hayatımızda faydalı olsa da beraberinde riskler de getirmektedir. BT alanında bir deneyiminiz yoksa bu uygulamaların potansiyel tehditlerinin ciddiyetini tam olarak anlayamayabilirsiniz. Bu yüzden kullanmayı düşündüğünüz yeni bir uygulama konusunda BT ve/veya güvenlik ekibinizle iletişime geçmeniz her zaman tavsiye edilir. Bu, profesyonel nedenlerle kullanmak istediğiniz uygulamaların yanı sıra eğlence veya rahatlama için kullanmayı düşündüğünüz ancak işle ilgili dosyalarınızla aynı cihazda depolanacak uygulamaları da içerir. BT ekibiniz, uygulamanın şirket için güvenir olup olmadığına karar vermenize ya da size daha güvenli başka bir seçenek bulmanıza yardımcı olabilir.
Uygulama güvenliği: İşte unutmamanız gereken 8 nokta
