İNTERNET 31 Ekim 2017
16,8b OKUNMA     801 PAYLAŞIM

Yürütülen Bir Operasyonla İlgili Bilgileri Başkalarından Gizlemeyi Amaçlayan Aktiviteler Bütünü: OPSEC

Operations Security (OPSEC), Türkçesiyle "Operasyonel Güvenlik" konusuna dair Türkçe kaynak bulabilmek epey zor. Sözlük yazarı "opsectr", bu konuda aydınlanma yaşayacağınız bilgiler paylaşmış.
iStock


snowden dökümanları ile nsa'in yaptığı dinlemelerin ortaya çıkmasının ardından çok daha fazla önem kazanmıştır. opsec, sadece teknik gereçler ile başarılabilecek bir şey değildir. teknik araçlar ile birlikte kimliğinizin gizliliğini, nerede nasıl bilgisayar kullandığınızı, nasıl iletişime geçtiğinizi, kime/ne söylediğinizi de düşünmeniz gerekir.

opsec'in birinci kuralının susmak olduğunu belirtmek lazım. yaptığınız aktiviteleri kimse ile paylaşmayın ve gerçek hayatınızdaki insanlara bu konu hakkında hiçbir şey söylemeyin. aynı şekilde anonim olarak aktivitelerinizi yürüttüğünüz insanlarla da gerçek kimliğinizle yaptığınız şeylerden bahsetmeyin. buna genel olarak hücreselleşme (compartmentation) deniyor. hayatınızı bu şekilde hücreye ayırmalı, hücreler arasında hiçbir şekilde veri alışverişi olmamalı. bu hücreselleşmede bilgisayarlarınızı, telefonunuzu da dahil etmelisiniz ki tam anlamıyla bunu başarabilesiniz. yani anonim faaliyetlerinizi yürütürken kullandığınız bilgisayarı, günlük hayatınızda kullanmamalısınız.

işin teknik tarafında ise başkaları tarafından okunmasını istemediğiniz şeyleri şifrelemeniz gerekmekte. bunun için pgp güzel bir araç. bunların kullanım detaylarını da ilerleyen günlerde yazabilirim diye tahmin ediyorum.

illegal aktiviteleri bir kenara bırakırsak türkiye'de ve diğer baskıcı rejimlerde muhalif gazetecilerin opsec konusunda bilinçlenmesi gerekmekte. bu gazeteciler aktif olarak dinleniyor ve gizli servisler tarafından izleniyor.

öncelikle opsec bir operasyon biçimi, yani sizin nasıl davrandığınızdır. opsec bir teknolojik araç veya yazılım değildir. ikinci olarak opsec beraberinde bazı dezavantajlar getirir. bu dezavantajların önemli bir kısmı ise efektif olamamaktır. bu yüzden opsec yavaştır. son olarak, güvenliğinizi ve bu tutumunuzu uzun zaman boyunca korumak çok streslidir ve bu, profesyonel olarak eğitim almış ajanlar için bile çok zordur.

iyi bir opsec, güvenliğinizi en üst seviyede korumak için gerekli olan davranış değişkliklerini içselleştirmeyi gerektirir. operasyonel aktiviteler alışkanlıklara dönüşmeli zira en ufak bir ayrıntı bile önem arz etmektedir. bu ufak ayrıntıların biri yanlış yapıldığında güvenliğiniz tehlikeye girebilir. işleyen demir ışıldar. iyi bir opsec pratiği edinmenin tek yolu pratik yapmaktan geçer. yeni başlayanların yaptığı aptalca yanlışları başlarda yapın ki ilerleyen zamanlarda başınız yanmasın. bu konuda şu iki sözü hatırlayalım:

- amatörler doğru yapana kadar pratik yapar, ancak profesyoneller yanlış yapamayana dek çalışır.
- barış zamanında ne kadar yorulursanız, savaşta o kadar az kan kaybedersiniz.

güvenliğiniz için gerekli alışkanlıkları edindiğinizde, opsec konusundaki ikinci en büyük zorluk ise sabırlı olmayı öğrenmektir. opsec ne kadar derin olursa, efektif olması o kadar zor olacaktır. bu durum özellikle haberleşme esnasında kendisini gösterir. riskleri azaltmak için kullanılan opsec mekanizması haberleşmeye gecikme ekler. sonuç olarak, haberleşme daha uzun sürer. en nihayetinde bu zaman kısıtlaması olan operasyonlarda düşünülmesi gereken bir durum. zaman kısıtlaması olmayan operasyonlarda ise pek sorun olmayacaktır.

en büyük güvenlik riski ise operasyon içerisinde yer alan insanların birbiri ile haberleşmesi oluşturur. gizli operasyon yürüten cıa, mı6, dgse gibi örgütler, kendileri için çalışan insanların haberleşmelerinde barındırdıkları riskleri en aza indirmek için çalışırlar. en basitinden, bu riskleri azaltmak için operasyona başlamadan önce en az 2 veya 4 saat gözetim altında olup olmadıklarını kontrol ederler (gözetim kontrol yolu / surveillance detection route). bu rakamların en az olduğunu hatırlatalım. yüksek güvenlik gerektiren operasyonların planlanması haftalar/aylar alabilir ve gözetim kontrolü de 12 saate kadar çıkabilir.

bilgi güvenliğini sağlayan araçlar ve teknolojiler (şifreleme gibi) önemli olsa da bu yeterli değildir. hatta opsec için başlangıç noktası bile sayılmazlar. yine de şifreleme yazılımlarını düzgün ve doğru bir biçimde kullanmayı öğrenin ancak gizli yapacağınız aktiviteleri hücreselleştirmek ve operasyonel ortamınızı olabilecek sızmalara karşı biçimlendirmek, herhangi bir yazılımı kullanmaktan çok daha önemlidir. hücreselleşmek konusunda fikir sahibi olmak için bir önceki yazıya bakabilirsiniz

kaynaklar:
https://opsectr.wordpress.com/2014/10/19/opsec-uzerine-izlenimler/
https://grugq.github.io/blog/2013/10/21/observations-on-opsec/