Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike 2.5 License. To view this license, visit The OWASP Foundation OWASP Day Turkey - Sep Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi Hayrettin Bahşi TÜBİTAK-UEKAE
OWASP Günü – Türkiye – Eylül Ajanda Bilgi Mahremiyeti Tanımı Mahremiyeti Sağlanması Gereken Bilgiler Kamu Kurumlarında Bilgi Kritiklik Seviyeleri Kamu Kurumlarında Tehdit Algılamaları Temel Web Uygulama Güvenliği Eksiklikleri Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri Yapılması Gerekenler
OWASP Günü – Türkiye – Eylül 2007 Bilgi Mahremiyeti Tanımı Bilgi mahremiyeti Bir organizasyonun ya da kişinin kendisine ait bilginin akışını kontrol edebilmesi Bilgi gizliliği Bilgiyi bilmesi gereken kişinin bilmesi (Need to know) Bilgi mahremiyetinde Mahremiyet doğrudan kişiyi ya da kurumu ilgilendirir, gizlilik ise bilgi ile doğrudan ilgilidir. “Kimin neyi bilmesi gerektiği” net değil, kişiden kişiye değişebilir Kanunlar sınırları çizmeye çalışıyor Mahremiyet bir sonuç, gizlilik bir ilke ya da güvenlik mekanizmasıdır
OWASP Günü – Türkiye – Eylül 2007 Mahremiyeti Sağlanması Gereken Bilgiler Vatandaşların kişisel bilgisi Kamu kurumu çalışanlarının kişisel bilgisi Özel şirketlere ait bilgiler Mali veriler Ticari veriler Diğer kamu kurumlarının bilgileri Denetim yapan kurumlarda diğer kurumların denetim raporları
OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri Bilgi varlıklarının tam tespit edilememesi “Hangi bilgi ne kadar kritik?” sorusunun ortak cevabının olmaması Kritikliğin belirlenmiş ortak bir ölçüsünün olmaması Ölçü varsa bile ölçüye göre bilginin kritikliğinin belirlenmemiş olması Kritikliğe göre bilginin ele alınış kurallarının belirlenmemiş olması Bilginin oluşturulma, taşınma, silme ve depolanma fazlarında uyulması gereken kurallar Örneğin, “Gizli bilgiler e-posta ile yollanmaz” “Gizli bilgi içeren kağıtların imhası yakılma ile olur”
OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Bilgi Kritiklik Seviyeleri (2) Yazılı dokümanlarda bile sınıflandırma eksikliği Mahremiyeti ilgilendirilen bilgiler hakkında “Kritiklik seviyesi nedir?” Nasıl korunmalıdır? sorularının cevaplarının olmaması
OWASP Günü – Türkiye – Eylül 2007 Kamu Kurumlarında Tehdit Algılamaları Yüksek bir dış tehdit algılaması İç tehdit algılamasında eksiklikler Bilgi güvenliği olaylarının takip edilememesi Bilgi güvenliği bilinç eksikliği İç tehdidin kapsamını genişletebilecek durumlar Farklı kamu kurumlarının birbirine doğrudan bağlı olması “Leased Line” hatlar Doğrudan yerel alan ağlar arasında bağlantılar Çoğu durumda bağlantılarda ağ erişim kontrolünün bile olmaması Ülkenin değişik yerlerinde şubeler
OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri Kurumların kendilerinin geliştirdiği web uygulamaları Çoğunlukla Intranet uygulamaları Hızlı geliştirilen küçük uygulamalar Geliştirici ve sistem yöneticilerinin web güvenliği konusundaki bilgi eksiklikleri Güvenli olarak uygulama geliştirme ile ilgili süreçlerinin oluşturulmaması Güvenlik gereksinimlerinin tam olarak belirlenmemesi Geliştirme sürecinde güvenlik denetim eksiklikleri
OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (2) Kurumların kendilerinin geliştirdiği web uygulamaları Ürünlerin yeterince test edilememesi Eski sistemlerin güncellenememesi İş gücü yetersizliği Güncellemeye gereken önemin verilmemesi Eski sistemlerin sahiplerinin bulunamaması! Canlı ortamda uygulama geliştirme Test ortamı eksiklikleri
OWASP Günü – Türkiye – Eylül 2007 Temel Web Uygulama Güvenliği Eksiklikleri (3) Taşerona verilen (outsource) uygulamalar Güvenlik gereksinimlerinin yeterli düzeyde ele alınmaması Erişim kontrol mekanizmalarında eksiklikler İş mantığında (business logic) eksiklikler Uygulama kayıt mekanizmalarındaki eksiklikler Sözleşmelerde güvenlikle ilgili maddelerde eksiklikler Ürünün güvenlik açısından kabulünün nasıl yapılacağı Tespit edilen açıklıkların kapatılmasının destek kapsamında ele alınmaması Canlı ortamda uygulama geliştirme
OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri Özellikle eski sistemlerde çok temel sql-injection, XSS açıklıkları İntranet web uygulamalarında ssl kullanılmaması Yetkilendirme (Authorization) eksiklikleri Yeterli erişim profilinin oluşturulmamış olması İşlem, parametre vs bazında yetkilendirme eksiklikleri Belirli bir hakka sahip olan kullanıcıların diğer kullanıcıların bazı haklarına sahip olabilmeleri SSL kullanılan uygulamalarda kuvvetli algoritmaların sunucu tarafından zorlanmaması
OWASP Günü – Türkiye – Eylül 2007 Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri (2) Yama yönetimi eksiklikleri Uygulama yönetim modüllerindeki kimlik doğrulama ve yetkilendirme eksiklikleri Parola kompleksliğinin zorlanmaması (özellikle intranet uygulamalarında) Kullanıcıya dönen hata mesajları
OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? Bilgi varlıkların envanterinin tutulması Bilgi varlıklarının kritiklik derecelerinin belirlenmesi Mahremiyeti sağlanması gereken bilgilerin kritiklik seviyesi Söz konusu bilgilerin nasıl korunacağı Bilgi güvenliği eğitimleri Güvenli web uygulama geliştirme Veritabanı güvenliği Uygulama geliştirme döngüsünde güvenlik
OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? (2) Uygulama geliştirme döngüsünde güvenlik Güvenlik gereksinimlerinin belirlenmesi Geliştirme aşamalarında yapılacak testler Gerekli ilkelere en azından bundan sonra uyma Web uygulamalarının güvenliğinin sertifikalandırılması Daha hızlı bir Ortak Kriter (Common Criteria) değerlendirmesi Periyodik güvenlik denetimleri Bağımsız denetimler İç denetimler
OWASP Günü – Türkiye – Eylül 2007 Neler Yapılmalı? Etkin bir teknik açıklık yönetimi İç tehdit algısının artırılması Kritik sistemler için test ortamları Denetim sonuçlarının değerlendirilmesi Taşerona verilen projelerin sözleşmelerinde güvenlik ile ilgili maddeler Uygulama geliştirme ortamlarının canlı sistemlerden ayrılması
OWASP Günü – Türkiye – Eylül 2007 Teşekkürler