Kurumsal Bilgi Güvenliği Siber Güvenlik Enstitüsü Nesrin KAMIŞ Siber Güvenlik Enstitüsü
Gündem Genel bilgi güvenliği prensipleri Kullanıcı kimlik tespiti ve şifre güvenliği Bilgisayarda donanım ve yazılım değişiklikleri yapma Dizüstü bilgisayar kullanımı Yazıcı kullanımı Taşınabilir medya kullanımı Virüsten korunma İnternet erişim güvenliği 5651 sayılı kanun E-posta güvenliği Yedekleme Sosyal mühendislik Dosya erişim ve paylaşımı Bilgisayar güvenlik olayları ihbarı
Değişik Formdaki Bilgi İstemci Dizüstü bilgisayar Kablosuz ağlar Medya Sunucu Yazıcı çıktıları Radyo-televizyon yayınları Dokümanlar Kurum çalışanları Veri olgulara dayanır, özellikle analiz ve bir sonuç çıkarmak için kullanılır. Kendi başına verinin bir manası yoktur. Ancak yorumlandığı zaman bilgiye dönüşür. Bilgi işlenmiş, analiz edilmiş ve belli bir sonuca varılmış veridir. Kurumun kimliğidir. Bilgi diğer bütün kurum varlıkları gibi organizasyon için değeri olan ve aralıksız olarak uygun bir şekilde korunması gereken bir varlıktır. Bilgi somut bir varlık değildir. Cep telefonları, PDA’lar Fotoğraf makineleri Yazılımlar
Bilgi Güvenliğinden Herkes Sorumludur Herkes bilgi işlem servislerine büyük oranda bağlı ... Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzde ise kullanıcıya bağlı. ABD’de meydana gelen bilgisayar olaylarının türlerine göre dağılımı
Bilgi Güvenliğinden Herkes Sorumludur Sorumlu herkes: Bilginin sahibi Kullanıcılar Bilgi sistemini yönetenler En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. Çoğunlukla en zayıf halka insandır.
BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar Bilginiz başkalarının eline geçebilir Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum) Donanım, yazılım, veri ve kurum çalışanları zarar görebilir Önemli veriye zamanında erişememek Parasal kayıplar Vakit kayıpları Can kaybı!
Kullanıcı Bilincinin Önemi Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.
Bazı Yanlış Düşünceler Güvenlikten bilgi işlem sorumludur. Antivirüs yazılımımız var, dolayısıyla güvendeyiz! Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! Bilgimin kopyasını alıyorum, güvenlikten bana ne! Bir çok güvenlik saldırısı kurum dışından geliyor!
Kullanıcı Kimlik Tespiti Bilgisayarınıza girerken şifrenin başkaları tarafından görülmemesi sağlanmalıdır. Kullanıcı isminizi ve kullanıcı haklarınızı kullanarak başka bir kimsenin işlem yapmasına izin verilmemelidir. Şifrelerinizi korumazsanız başkalarının günahını da üstlenmek zorunda kalabilirsiniz … Şifre paylaşımı: hvkk savcı ile konuşma
Bilgisayarı Kullanırken Şifre korumalı ekran koruyucusu ayarlanmalıdır. Bilgisayar başından kalkarken ekran kilitlenmelidir. Evden çıkarken kapıyı açık bırakıyor musun?
Şifre Güvenliği - 1 En önemli kişisel bilgi şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız.
Şifre Güvenliği - 2 En az sekiz karakterli olmalıdır. Rakam ve özel karakterler (?, !, @ vs) içermelidir. Büyük ve küçük harf karakteri kullanılmalıdır. Örnek güçlü bir şifre: AG685kt?!
Şifre Güvenliği - 3
Şifre Güvenliği - 4 Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü, doğum günü vs.). Sisteme erişimde kullandığınız şifreler oyun siteleri, bilgilendirme siteleri gibi yerlerde kullandığınız şifrelerle aynı ya da benzer olmamalıdır. Farklı sistemler için aynı şifre kullanılmamalıdır.
Şifreler - Kötü Şifre Örnekleri Kullanıcının adı ve soyadı alicelik İçerisinde kullanıcı ismi ve soyismi geçiyor. Ali_celik1234 Kelimenin türevi Kalem111 Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kalem Özel isim Mercedes Çok kullanılan karakter sıraları. Qwerty123 Doğum tarihi ya da önemli bir tarih. 13nisan1967 Araç plakası. 34bg356 Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. antalya Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. ali123 Kullanıcının soyismi. 8 karakterden az. Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. celik
Şifreler - Kötü Şifre Örnekleri
Şifreler - Düzenli Olarak Değiştirin Parola değiştir i manuel olarak göster (bu şekildeki tüm işlemleri laptoptan göster)
Şifreler - Güvenli Muhafaza Edin - 1
Şifreler - Güvenli Muhafaza Edin - 2 19 19
Şifreler - Güvenli Muhafaza Edin - 3 20 20
Şifreler - Son Söz Şifreler sakız gibidir ... Taze olduklarında işe yararlar. Grup tarafından değil de, bireysel olarak kullanılmalıdırlar. Etrafa atıldıklarında, büyük yapışkan sorunlar çıkarırlar.
Yazılım Yükleme - Güncelleme Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. Güvenilir olmayan sitelerden indirilen yazılımlar indirilmemeli ve kullanılmamalıdır.
Donanım Ekleme İnternet’e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır. Bilgisayarlara modem takılmamalıdır. Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır.
Dizüstü Bilgisayar Kullanımı Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. Şifre güvenliği sağlanmış olmalıdır. İçinde kurumsal veri olmamalıdır. Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir.
Taşınabilir Medya Güvenliği Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir.
Yazıcı Kullanımı Gizli bilgi içeren dokümanların çıktıları alınırken, Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır.
Zararlı Programlar - Virüsler Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. Antivirüs programı kapatılmamalıdır. Dosyalar virüs taramasından geçirilmelidir. Uzantısı exe, scr, zip, rar olan dosyalara özel dikkat göstermelidir.
Zararlı Programlar - Truva Atları Bulaşma Şekilleri E-posta eklentileri Sohbet programları İnternet sayfaları Paylaşımlar Giriş Saldırgan Kurban
Zararlı Programlar - Spyware - 1 Spyware (Casus Yazılım) saldırısının belirtileri şunlardır: Bitmek bilmeyen pop up pencereleri Tarayıcımızda istem dışında kurulan araç çubukları Web tarayıcımızda giriş sayfasının değişmesi Tab tuşu gibi bazı özel tuşların çalışmaması Rastgele karşımıza gelen hata mesajları Bilgisayarla çalışırken karşılaştığımız aşırı yavaşlık
Zararlı Programlar - Spyware - 2 İstem dışı kurulan spyware yazılımlarından korunmak için, Karşınıza çıkan pop-up pencerelerindeki bağlantılara tıklanmamalıdır. Pop-up pencerelerini kapatırken, pencere içindeki kapat tuşunu kullanmak yerine, pencerenin sağ üst köşesinde bulunan “X” işareti kullanılmalıdır. Karşınıza çıkan pencerelerde beklemediğiniz bir soru çıktığında, doğrudan “Evet” seçeneği seçilmemelidir. Spyware ile mücadele için kullanılan bir çok yazılım da aslında başlı başına casus yazılımdır. Sistem yöneticisine danışmadan bu tip yazılımlar kurulmamalıdır. Ücretsiz yazılımlara dikkat edilmelidir.
Eğer Spyware Bulaştıysa … Internet’i kullandığınızda arkanızda saldırganlar için önemli izler bırakırsınız ...
Zararlı Programlar - Şüpheleniyorsanız …
Zararlı Programlar - Şüpheleniyorsanız … Şüpheli durumlarda bilgi işlem merkezine haber vermekte tereddüt etmeyiniz.
Zararlı Programlar - Son Söz Onu göremeseniz de... O size yine de zarar verebilir. Antivirüs yazılımınızı güncel tutun!
HTTP ve FTP Erişimleri HTTP ve FTP veri alışverişini sağlayan erişim protokolleridir. Spyware, arkakapı (backdoor) programları genellikle HTTP veya FTP erişimleri ile bilgisayara girer. Güvenilmeyen web ve FTP siteleri ziyaret edilmemelidir. Şifreli iletişimlerde (SSL) pencerede çıkan sertifika kontrol edilmelidir. Şifrenizin değişmesi gerektiği ile ilgili gelen web sayfaları ya da e-posta mesajlarının kaynağı gerektiğinde bilgi sistemlerine danışarak kontrol edilmelidir.
5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1: Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usülleri düzenlemektir. 36
Uygulama Güvenliği - Ofis Uygulamaları
Yedekleme Kurumsal dokümanlar yedeği alınan dizinin altına konumlandırılmalıdır. Yedeklenmesi gereken tüm dokümanlar bu dizinde olmalıdır. Diğer dizinlerdeki dosyaların yedeklerini alma kullanıcı sorumluluğundadır.
E-posta Güvenliği Sistemin güvenliğinin kullanıcı adı ve şifreye dayandığını unutmayınız. Şifrenizi başkasının öğrenmesi durumunda sizin e-postalarınızı okuyabileceğini, sizin adınıza kurum içindeki ve dışındaki kişilere e-posta gönderebileceğini ve bunun kurum açısından ve sizin açınızdan doğuracağı sakıncaları aklınızda bulundurunuz. İnternet kafe ve diğer genel yerlerden yapacağınız bağlantılarda sistemden çıkmayı unutmayınız, gizli olduğunu düşündüğünüz ekleri açmayınız.
E-posta Güvenliği Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. Spam e-postalara cevap verilmemelidir. E-posta adres bilgisi güvenilir kaynaklara verilmelidir. Toplu eposta yerine kişisel olarak posta gönderin. Kurum politikası olmalı. Çalışmalar devam ediyor
E-postalar - Spam E-posta Örneği E-posta’nın kimden bölümündeki adres yanlış. E-posta’nın kime bölümündeki adres E- postanın geldiği kişiye ait değil. İlgi çekici bir konu. Genellikle her spam E-postada olan üyelik sildirme bölümü.
E-postalar - Spam’den Nasıl Korunulur? Bilmediğiniz haber ve e-posta gruplarına üye olmayınız. Kişisel dosyaları fıkra, karikatür, ses dosyası vs. kurumun size tahsis ettiği posta adresinizden yollamayınız. Çoğu Spam’ın sonunda bulunan üyelik sildirme formu kullanılmamalıdır.
E-postalar - Taklit E-postalar
E-postalar - Taklit E-postalar
Sosyal Mühendislik Bu teknikte öncelikli amaç güven sağlamaktır.Güven sağladıktan sonra gerekli bilgi yavaş yavaş alınır. Kötü niyetli kişi, her konuşmada küçük bilgi parçaları elde etmeye çalışabilir. Konuşmalar daha çok arkadaş sohbeti şeklinde geçer. Bu konuşmalarda önemli kişilerin adları, önemli sunucu bilgisayarlar veya uygulamalar hakkında önemli bilgiler elde edilir. Sosyal mühendislik için en etkin yol telefondur. Sosyal mühendislik her zaman telefonla olmaz, bunun dışında kuruma misafir olarak gelen kötü niyetli kişiler bilgisayarların klavye veya ekran kenarlarına yapıştırılan kullanıcı adı ve şifre kağıtlarını da alabilirler. Kurumun çöplerini attığı yerleri karıştırabilirler. Bu nedenle çöplerinize kurumsal bilgi içeren kağıtlar atmayınız.
Sosyal Mühendislik Örnekleri Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırılarından bazı örnekler … 1. kayıt: 2. kayıt: 3. kayıt:
Sosyal Mühendislik - Alınacak Tedbirler Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır.
Dosya Erişim ve Paylaşımı Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir. Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır. Kazaa’dan ofis programı diye indirdiğin yazılım aslında bir trojan olabilir.
Güvenlik Olayı Bildirme Aşağıdaki durumlarda bilgi sistem personeline başvurunuz. Bilgisayarınızda gereksiz bir yavaşlama durumunda, Sizin müdahaleniz olmadan bir bilgi kaybı veya değişikliği ile karşılaştığınızda, Kontrol dışı programların çalışması durumunda, Kontrol dışı web sayfalarının açılması durumunda, Virüs tespit ajanlarının çalışmadığını fark ettiğinizde.
Sonuç – Bilgi Güvenliğinin Kurumsallaşması Tüm bu anlatılan maddeler “BİLGİ GÜVENLİĞİ POLİTİKASI” olarak kurum yönetimi tarafından uygulatılmalıdır. Kullanıcı sorumlulukları bu politika içerisinde ifade edilmelidir. Ayrıca bilgi işlem personelinin görevleri de politikada yer almalıdır. Kullanıcı bilinçlendirme çalışmaları düzenli olarak tekrar edilmelidir. İç Denetim biriminin düzenli olarak uygulamayı denetlemesi gerekmektedir. Bilgi Güvenliği Politikası’nın uygulanması ve gözden geçirilmesi Kurum Yönetimi tarafından sağlanmalıdır.
Sonuç – Bilgi Güvenliğinin Kurumsallaşması İrtibat: tolga.mataracioglu@tubitak.gov.tr 0312 427 73 66 / 120