78 ICITS 2023 ÖZETLER KİTABI | PROCEEDING BOOK ICITS 16th INTERNATIONAL COMPUTER AND INSTRUCTIONAL TECHNOLOGIES SYMPOSIUM 26-28 October 2023 | ESKİŞEHİR OSMANGAZİ UNIVERSITY Bilişim Teknolojileri Eğitiminde Siber Güvenlik: Zafiyet Tarama ve Sızma Testlerinin Önemi Murat Artsın, Bilecik Şeyh Edebali Üniversitesi Hüseyin Parmaksız, Bilecik Şeyh Edebali Üniversitesi Özet Eğitim ortamlarında bilişim teknolojilerinin kullanımı konusunda birçok çalışmanın gerçekleştirildiği görülebilmek- tedir. Bu çalışmalar bir teknolojinin kullanım yeterliliği olabileceği gibi (Tarakçı ve Akyıldız, 2022) teknolojiye karşı tu- tumda olabilmektedir. Eğitim kurumları ve işletmelerde bilişim teknolojilerinin kullanımı vazgeçilmezdir. Günümüzde bilişim teknolojilerinin bulunmadığı herhangi bir öğrenme yada iletişim ortamını düşünmek çok zordur. İşletmelerde çalışanların bilişim teknolojilerindeki yetkinlikleri, bu yetkinliklerin kullanımı ve güncel teknolojilere adaptasyonu gibi sorunlar bulunmaktadır (Karahan ve Bürkerk, 2022). İşletmelerin bu tarz sorunların üstesinden gelebilmeleri için nitelikli eğitim almış çalışanları istihdam etmeleri gerekmektedir. Dolayısıyla da eğitim kurumları tarafından bilişim teknolojileri konusunda nitelikli öğrencilerin yetişebilmesi için gerekli altyapının sağlanması önemlidir. Bahsi geçen bu altyapı, bilişim teknolojileri konusunda gerekli olan teknolojik bileşenlerin yanı sıra söz konusu bu derslerin teorik konularını da kapsadığı ifade edilebilir. Bilişim teknolojileri eğitimi genel bir çatı olarak düşünüldüğünde bu çatı içe- risinde temel bilişim becerileri, programlama becerileri (Tahaei ve Vaniea, 2022), veri tabanı kullanımı ve yönetimi, web tasarımı ve geliştirme, proje yönetimi, ağ teknolojisi ve siber güvenlik yer almaktadır. Bu doğrultuda çalışmada bilişim teknolojileri eğitiminde önemli konulardan biri olan siber güvenlik ve beraberindeki güvenlik testlerindeki güncel yaklaşımlara yer verilecektir. Siber güvenlik, bilgi sistemlerini, verileri ve ağları korumak için tasarlanmış bir dizi uygulamayı ifade eder. Bu, kötü niyetli saldırılara karşı savunmayı ve potansiyel tehditlere karşı hazırlanmayı içerir. Kişisel gizliliğin korunması, veri bütünlüğünün sürdürülmesi ve hizmet kesintilerinin önlenmesi siber güven- liğin önemli hedefleri arasındadır. Avrupa Birliği’nin iş gücü değerlendirildiğinde, siber güvenlik konusunda uzman kişilere daha fazla ihtiyaç olduğu vurgulanmaktadır (Blažič, 2022). Bu açıdan bilgi teknolojileri eğitimi kapsamında siber güvenlik farkındalığının artırılması ve bu alanda nitelikli personel yetiştirilmesi kritik önem taşımaktadır. Siber güvenlik ve sızma testleri, gelecekte güvenli bir dijital dünyanın temellerinin atılmasında önemli bir ihtiyaçtır. Siber güvenlik eğitimi hem pratik deneyim hem de teorik bilgi gerektirmektedir.Uygulamalı (hands-on) sızma testi labo- ratuvarları (James et al., 2020), öğrencilerin teorik bilgileri pratik bir ortamda uygulamalarına olanak tanımaktadır. Bu tür laboratuvarlar, öğrencilerin siber güvenlik becerilerini geliştirmelerine ve gerçek dünyadaki tehditlere karşı daha hazırlıklı olmalarına yardımcı olmaktadır. Bu hazırlık sürecinde, zafiyet taraması ve sızma testleri sıklıkla tercih edilmektedir. Zafiyet taraması ve sızma (penetrasyon) testleri bilgi güvenliğinde kullanılan iki farklı yaklaşımdır. Za- fiyet tarama daha otomatize ve geniş çaplı bir güvenlik kontrolüdür, sızma testleri ise gerçek dünya senaryolarını si- müle eder ve insan odaklıdır (Ziaie Tabari, 2021). Zafiyet tarama, bir sistem, ağ veya uygulamadaki potansiyel güven- lik açıklarını belirlemeyi amaçlamaktadır. Sistemlerin ve yazılımların güncel olup olmadığını kontrol etmek, güvenlik açıklarını tespit etmek ve düzeltilmesi gereken sorunları bildirmek için kullanılır. Zafiyet taramalarında OpenVAS’ın ağ tarama, zafiyet tarama ve raporlama özellikleri açık kaynak kodlu ve ücretsiz olarak kullanılmaktadır. OpenVAS haricinde, Nessus, Nikto, Burp Suite, Acunetix, Nexpose, Wireshark (Wang et al., 2010), Nmap (Orebaugh & Pinkard, 2011) ve Metasploit (Kennedy et al., 2011) tercih edilmektedir. Bir ağ veya sistem üzerinde belirli güvenlik açıklarını tespit etmek ve bu açıkların ciddiyetini değerlendirmek için NVT’ler (Network Vulnerability Test) kullanılmaktadır. Bir bilgisayar güvenlik açığı veya zayıflığının ciddiyetini ve riskini değerlendirmek için kullanılan bir standart ve skor- lama CVSS (Common Vulnerability Scoring System)’dir (Mell et al., 2006). Zafiyetler tespit edilip gerekli önlemler alındıktan sonra sızma testleri ile sürecin değerlendirilmesi planlanır. Sızma testleri, bir bilgi sisteminin veya ağın güvenliğini değerlendirmek için kullanılan kontrollü saldırılardır. Bu testler potansiyel kusurları tespit etmek ve dü- zeltmek için kullanılır. Bilişim teknolojileri eğitiminin bir parçası olan sızma testleri, öğrencilerin güvenlik kusurlarına karşı savunmasızlıklarını belirlemelerine ve geliştirmelerine olanak tanır. Siber güvenlik, zafiyet taraması ve sızma testleri bilişim teknolojileri eğitiminin önemli konuları arasında yer almaktadır. Hem eğitim kurumlarının hemde iş- letmelerin bu konuda paydaşlarını yönlendirmeleri bilişim teknolojilerinin kullanımı konusunda güvenilir ortamların oluşmasını sağlayacaktır. Bu çalışmanın, eğitim kurumlarındaki tüm bilişim teknolojileri derslerinde kullanılabilecek önemli konuları özetleyen bir sentez çalışması olması nedeniyle Türkçe literatür için önemli bir kaynak olacağı ifade edilebilir. Bilişim teknolojileri derslerini hazırlayan öğretim elemanları ve bu derslere hazırlanan öğrenciler için yol gösterici bir kaynak olacağı düşünülmektedir. Çalışma, siber güvenlik, zafiyet taraması ve sızma testlerinin literatür- deki yeri ve işgücü piyasasındaki durumu hakkında bilgilendirici bir rehberlik sağlayacaktır. Anahtar kelimeler: Bilişim teknolojileri eğitimi, siber güvenlik, zafiyet tarama, sızma testi