Bulut Bilişim'de Kişisel Verilerin Güvenli Saklanması ve Mahremiyet Nasıl Sağlanabilir? N. Tuğbagül ALTAN AKIN XIX. Türkiye'de İnternet Konferansı 27-29 Kasım 2014 Yasar Üniversitesi İzmir
İçindekiler: Bulut Bilişim Neden Bulut Bilişim? Bulut Bilişim de Güvenlik ve Mahremiyet Çalışmanın Amacı Önceki Çalışmalar ve Değerlendirmeler Teknik Alanda Öneriler Hukuksal ve Sosyal Alanda Öneriler İleriki Çalışmalar 2
Bulut Bilişim Bulut Bilişim, kullanıcılarına çeşitli hizmetler sunan çevrimiçi bir sistemdir. Bulut Bilişim yeni bir teknoloji olarak gözükse de 1960 lı yıllarda geliştirilmeye başlanmıştır [1]. Bulut bilişim sektöründe yapılan yatırımlar azımsanamayacak ölçülerdedir. Örneğin ABD nin Bulut hesaplama uygulamaları için yapacağı harcamaların 2020 yılına kadar on milyar doları geçeceği bildirilmektedir [2]. [1] Lori, M. "Data security in the world of cloud computing." Co-published by the IEEE Computer And reliability Societies (2009): 61-64. [2] US Federal Cloud Computing Market Forecast 2010 2015, tabular analysis, publication: 05/2014. 3
Neden Bulut Bilişim? Bulut Bilişim, uygulama çalıştırma, veri iletme alma, depolama gibi birçok işlemin yapılmasına olanak sunar. Sahip olduğu özellikler, Bulut Bilişim in kullanımının yaygınlaşmasına olanak sağlamıştır. En önemli özellikleri: Ölçeklenebilir (Servis sağlama kapasitesi- kullanıcı sayısı), Çevrimiçi çalışma, Bağımsız olma, Ekonomik olma. 4
Özellikle son zamanlarda verinin kolay saklanabilir olması ile de ilgili olan artan özçekim miktarları, her anı fotoğraflama, kameraya alma ve saklama gibi isteklerin çoğalması kişisel bilgisayarların bellek miktarlarını yetersiz bırakmaktadır. Son zamanlarda, kişisel verilerin saklanması için gerekli olan bellek miktarı, çevrimiçi çalışan ve ekonomik olarak tercih edilebilir olan Bulut Bilişim kullanılarak karşılanmaya çalışılmaktadır.
Bulut Bilişim de Güvenlik ve Mahremiyet Limitsiz depolama, kolay paylaşım imkânına sahip olması ve bunun gibi kullanıcıyı etkileyen birçok cazibesi bulunan Bulut Bilişim üzerinde gizlilik, güvenlik ve güvenilirlik gibi oldukça elzem konular üzerinde düşünülmesi gerekir [3]. Bulut Bilişim de güvenlik ve mahremiyet konuları benzer taraflara sahip farklı konulardır. Örneğin, Bulut sistemde paylaşılan bir verinin o veri olup olmadığının kontrol edilmesi Güvenlik. Bulut sisteme yüklenen verinin kimler ile paylaşıldığından emin olunması- Mahremiyet. [3] Nergiz, M. E., Atzori, M., C. Chris, Hiding the presence of individuals from shared databases,sigmod '07 Proceedings of the 2007 ACM SIGMOD international conference on Management of data, Pages 665-676. 6
Bulut Bilişim de Güvenlik ve Mahremiyet Bulut Bilişim üzerinde güvenlik ve mahremiyet üzerinde kullanıcılar bir takım sorunlar ile karşılaşmış ve karşılaşmaktadır. Bu nedenle araştırmacılar, Bulut Bilişim kullanıcılarına güven eksikliklerini giderme konusundaki çalışmalara daha çok yönlenir olmuştur [4]. Teknolojik gelişimler, kullanıcılara yeterince yardımcı olmaz ise Bulut sisteminde giderilmesi ümit edilen sisteme güvenilirlik ve gizlilik gibi konularda oluşan sorunlar çözülemez, toplumlarda endişe oluşur ve kullanıcılar bazı sistemleri kullanmaktan vazgeçebilirler. [4] Rakesh Agrawal and Ramakrishman Srikant, Privacy- preserving data mining, In Proc. Of ACM Management of Data (SIGMOD), 2000, PP. 439-450. 7
Bireysel Güvenlik ve Mahremiyet ile ilgili Kanunlar Anayasa Madde 20 : Kişisel bilgilerin korunması Hakkı ile ilgili olurken, 5237 Sayılı Türk Ceza Kanunu, Madde 135, 136 ve 137 hukuk dışı kişisel verilerin ele geçirilmesi, kaydedilmesi, çoğaltılması, yayılması şeklinde, o kişinin ceza çeşidi ve mesleki konumuna göre alacağı ceza miktarını içeren maddelerdir. 8
Hukuksal yaptırımların değiştirilmesi ya da hukuksal alanda yeni düzenlemeler yapılması ile birlikte teknik açıdan kişisel verilerin gizli kalması konusu, üzerinde düşünülen ve üzerinde çeşitli araştırmalar yapılan güncel bir konu olma özelliğini korumaktadır. 9
Çalışmanın Amacı: Bu çalışmada, Bulut Bilişim özel verileri depolama ya da paylaşma amaçlı kullanıldığı zaman, bu özel verilerin güvenlik, mahremiyet ve verilerin korunması prensiplerine uygun bir şekilde saklanması için alınabilecek önlemler bulunmakta ve bu konuda araştırmacılara bir fikir verilmesi amaçlanmaktadır. 10
Önceki Çalışmalar ve Değerlendirmeler Bulut ta güvenlik probleminin aşılması için birçok yöntem geliştirilmiştir. Bu yöntemler: Ağ yapıları, Veri tabanı, İşletim sistemleri, Sanallaştırma, Kaynak ayırma, Bellek yönetimi ve Veri iletimi esnasında şifreleme gibi farklı başlıklar altında yer alan yöntemlerdir. 11
Önceki Çalışmalar ve Değerlendirmeler Genel olarak, Bulut ta gizlilik yönetimi çalışmaları, her senaryo için kullanılır olmamıştır (örnek [5]). Bulut sisteminde güvenlik ile ilgili Bulut sistemin altyapısı ile yapılan çalışmalar standartlaştırılamamıştır (örnek [6] ). Bulut sisteminde, kimlik doğrulama üzerine protokol tanımlanan yaklaşımlar, teorik olarak doğru tasarlandığı gösterilmiş olsa da, gerçek sistem üzerinde test edilmemiştir ( örnek [7]). [5] Miranda & Siani, A Client-Based Privacy Manager for Cloud Computing, COMSWARE 09, 2009, Dublin, Ireland. [6] Wassim Itani, Ayman Kayssi, Ali Chehab, Privacy as a Service- Privacy-Aware Data Storage and Processing in Cloud Computing Architectures, IEEE Conference-2009.pp. 711-716. [7] Ning, H., Xiong, Q., Yang, L.T., Shared Authority Based Privacy-preserving Authentication Protocol in Cloud Computing, Parallel and Distributed Systems, IEEE Transactions on (Volume:PP, Issue: 99 ), pp.1., (2014). 12
Önceki Çalışmalar ve Değerlendirmeler Bulut mimarisi üzerinde yapılan güvenlik çalışmaları ise entegratörlerden bağımsız düşünülememiştir (örnek [8]). Sanallaştırma teknoloji kullanılması bir bakıma güvenli gözükse de, saldırı arayüzünü artırmıştır. Kullanıcıların güvenlik, gizlilik tehditleri ile karşı karşıya kalmalarını engellemek için geliştirilen modeller içinde yeterli derecede beklentileri karşılayan bir standart geliştirilememiştir [9]. [8] Sen, J. (2013). Security and Privacy Issues in Cloud Computing. In Mart ınez, A. R., Marin-Lopez, R., and Pereniguez-Garcia, F., editors, Architectures and Protocols for Secure Information Technology Infrastructures, pages 1 45. IGI Global. [9] F.B. Shaikh and S. Haider, Security Threats in Cloud Computing, 6th International Conference on Internet Technology and Secured Transactions, IEEE, Dec 2011, pp. 214-219. 13
Önceki Çalışmalar ve Değerlendirmeler Özellikle son zamanlarda üzerinde sıkça çalışılan, Bulut Bilişim de güvenli iletimi sağlamak için homomorfik şifreleme yaklaşımı önerilmektedir. (Kullanıcının Bulut a iletmek istediği veriyi şifreleyip iletmesi) Bu durum Bulut Bilişim de güvenlik ve mahremiyet problemlerinin giderilmesi için kullanıcı verisinin şifrelenmesi üzerinden modelleme yapılması gerektiği fikrini desteklemektedir. 14
Önceki Çalışmalar ve Değerlendirmeler Yapılan, literatür taraması sonucu, genel olarak Bulut Bilişim de güvenlik için önerilen yöntemlerin, çevrimiçi yöntemler olduğu gözlemlenmiştir. (Bulut sistemi içinde) Sistemin güvenliğini, sisteme bağlı çözümler arayarak sağlamak gerekli iken sisteme bağlı çözüm arayışları gizlilik için yeterli değildir. 15
Teknik Öneriler: Genelde, Bulut Bilişim de gizlilik ve güvenilirlik açısından alınan yöntemler, kullanıcıya sunulan sistemler üzerinden alınan önlemlerden oluşmaktadır. Ana aktör Bulut Hesaplama servisleridir. Oysaki sistemin güvenilirliğinden emin olmak isteyen taraf kullanıcıdır. Bu çalışma ile önerilen yöntem: Bulut Bilişim de bir veri saklanmak ya da paylaşılmak istenildiğinde, bu veriyi çevrimdışı çalışan bir şifreleme algoritmasından geçirdikten sonra Bulut Bilişim sistemine yüklenmesidir. Bulut ta, güvenlik ve mahremiyet konularında yapılacak çalışmalar sunucu temelli yerine istemci temelli olmalıdır. 16
Hukuksal ve Sosyal alanda öneriler: Bulut Bilişim in parçası olan tüm ülkelerde, Hukuksal yaptırımların işlenebilir ve güvenlik kaçaklarının hızlı tespiti için Bulut Bilişim sistemine gerekli standartların getirilmesinin zorunlu kılınması gerekir. Böylece, kaçaklardan sorumlu olduğu düşünülen kişiler, farklı ülkelerden bile olsalar teknik anlamda hızlıca tespit edilebilir ve takibe alınabilirler. Belirli standartlara uygun Bulut Bilişim sistemlerinin kullanımına destek verilmesi ve Hukuksal işlemlerin sürekli değişen sistemlerde yaptırım gücünü koruması için uzman kişilerden yardım alınarak gerekli yasal düzenlemelerin yapılması öneriler arasında yer almaktadır. 17
İleriki çalışmalar Önerilen çevrimdışı veri şifreleme algoritması tasarlanması, Bulut Bilişim kullanımı esnasında risk taşıyan konularda kullanıcıların kendilerini daha güvende hissetmelerini sağlayacak teknik, hukuksal ve sosyal alanda alınacak önlemlerin detaylandırılarak paylaşılması planlanmaktadır. Böylece, Bulut bilişime azalan güvenin tekrar artmasına yardımcı olmak amaçlanmaktadır. 18
İnsanın özgürlüğü; İstediği her şeyi yapabilmesinde değil, istemediği hiçbir şeyi yapmak zorunda olmamasındadır. Jean-Jacques Rousseau 19