Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

Transkript

1 Gelişen Tehdit Ortamı ve Senaryolaştırma İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

2 Siber tehditler sürekli artıyor!

3 Veri sızıntılarıyla dolu bir gün

4 07:30

5 12: kullanıcı verisi 438 üçüncü parti uygulama

6 18:00

7 19:00 3,7 milyon kişisel veri Müşteri adı, TCKN, Adres, Telefon Kasım 2018* Kurye Firma * Vakanın doğruluğu/ detayları araştırılmaktadır

8 20:30 Kulübün verileri sızdırıldı: İdman programları İdman performans verileri Raporlar Görüntüler, videolar Maç istatistikleri

9 Kurumlara Yönelik Başarılı Siber Saldırıların Sonuçları KPMG nin Mayıs 2018 tarihli Clarity on Cyber Security çalışmasından alınmıştır.

10 bu kadar mı?

11

12 Çok Daha Fazla Yaşayacağız Bugün bildiklerimizle 2060 lara, 70 lere kadar yaşayabilir miyiz?

13 Dünya Değişti ve Çok Daha Hızlı Değişecek..

14 ve Çok Daha Hızlı Değişecek.. Artırılmış Gerçeklik Müşteriyle temas Gerçek zamanlı raporlar, mesajlar Toplantılar

15 ve Çok Daha Hızlı Değişecek.. Endüstri 4.0 Akıllı Sistemler Yüksek Otomasyonlu Robotlar Işıksız fabrikalar: İnsan yok; dolayısıyla ışık, ulaşım vb. ihtiyacı yok Uzaktan Kontrol Edilebilir

16 ve Çok Daha Hızlı Değişecek.. Biyoteknoloji

17 ve Çok Daha Hızlı Değişecek.. Internet of Everything Her "şey", her yerde internete bağlı Hammaddeden geri dönüşüme kadar uçtan uca dijital süreçler Otomatize iletişim kurma, verinin analizi, hata tahmini, sorun giderme süreçleri Değişikliklere adaptasyon

18 ve Çok Daha Hızlı Değişecek.. Büyük Veri Yüzde Sadece 2000 yılında üretilen veri, son 25 yılda üretilenden daha fazlaydı. Son 2 yılda, insanlık tarihinin başından beri üretilen verinin %90 ı kadar veri üretilmiştir. Veri kaynakları: Kurumsal veri, sosyal medya, cihazlar, sensörler, robotlar vb yılında depolanan tüm bilginin %25 i dijital iken günümüzde bu bilgilerin %98'inden fazlasını elektronik ortamda bulunmaktadır Yıl 2018 %98

19 ve Çok Daha Hızlı Değişecek.. Yapay Zeka Yapay Zeka nın 2045 te insan beyni seviyesini yakalayıp 2075 te süper zeka seviyesini geçmesi bekleniyor.

20 Gelişen tehdit ortamına uyum sağlamak için Garanti Teftiş Kurulu olarak ne yapıyoruz?

21 Teftiş Kurulu Dönüşüm Yolculuğu

22 Agile Denetim

23 Agile! 23

24 Neden Agile Denetim?

25 Neden Agile Denetim? Paydaşların beklentileri değişiyor Beklenen değer Güvenilir Danışman Üst yönetime katma değeri yüksek ve proaktif stratejik danışmanlık desteği vermek Öngörü Sağlayan Öngörü Sağlayan Risk yönetimine katkı sağlamada daha proaktif bir role sahip olmak Güvence Veren Sorun Çözen Güvence Veren Sorun Çözen Güvence Veren Sorun Çözen Güvence Veren Üst yönetim tarafından doğru kararlar alınabilmesine imkan sağlayacak şekilde ortaya konan eksikliklerin kök neden analizini gerçekleştirmek Kurumun iç kontrol ortamının etkinliği hakkında objektif güvence vermek

26 Neden Agile Denetim? Francisco González Rodríguez (Former Chairman of BBVA)

27 Nasıl bir insan kaynağı?

28 IT ve Non-IT İş Gücü Entegrasyonu Single Profile!!! Ideal Situation Trend towards eliminating the concept of IT and non-it teams in TRANSACTIONAL audits Non-IT IT SP Current Situation

29 Teknoloji: Derinlemesine Uzmanlık Doğrudan Teknoloji Riski ne ayrılan kaynak: %12 14 x Teknoloji Riski Uzmanı 3 x Data Scientist 30 x Data Specialist 12 x Certified Ethical Hacker (CEH) 12 x Certified Information Systems Auditor (CISA) 3 x Certified Information Security Manager (CISM) 2 x Certified in Risk and Information Systems Control (CRISC) 5 x ISO Information Security Management Auditor 2 x BS25999 Business Continuity Management Auditor

30 Bir Siber Güvenlik Denetim Pratiği: Senaryolaştırma

31 Geleneksel Yöntem: Zafiyet Tespiti Zafiyet 1 Zafiyet 5 Zafiyet 11 Zafiyet 4 Zafiyet 7 Zafiyet 2 Zaafiyet 10 Zafiyet 6 Zafiyet 3 Zafiyet 9

32 Senaryolaştırma Zafiyet 1 Zafiyet 5 Zafiyet 11 Zafiyet 4 Zafiyet 7 Saldırgan Profili Belirleme Zafiyet 2 Zaafiyet 10 ETKİ Zafiyet 6 Zafiyet 3 Zafiyet 9

33 Senaryolaştırma: Örnek Vaka Senaryo: Oltalama saldırısı ile personele zararlı Excel dokümanı gönderilmiş, zararlı yazılım tarafından çalıştırılan komutlar ile ortak alanda müşteri bilgileri bulunan dosya tespit edilmiş ve dosyanın e-posta ile saldırgana göndermesi sağlanmıştır. Personelin oltalama saldırılarına ilişkin farkındalık eksikliği bulunmaktadır. Zafiyet 2 Tüm personelin erişimi olan ortak alanlarda müşteri bilgilerinin bulunduğu dosyalar yer almaktadır. Zafiyet 4 Personel bilgisayarlarında Excel makroları aracılığıyla zararlı komutların çalıştırılması engellenmemiştir. Zafiyet 6 Veri Sızıntısı Engelleme Sistemi nde müşteri bilgilerinin e-posta ile kurum dışına çıkarılmasını engellemeye yönelik kurallar bulunmamaktadır. Zafiyet 9 ETKİ Müşteri bilgileri ele geçirilmiştir!

34 Senaryolaştırma: Gerçek Vaka (2016) Yurt Dışı Eğitim Programınız- Kişiye Özel

35 Personel Sayısı Senaryolaştırma: Gerçek Vaka (2016) "Yurt Dışı Eğitim Programınız- Kişiye Özel" Test Senaryosu Sonuçları ( %100) 124 (%80) ( %61) (%19) 0 E-posta Gönderilen Zararlı Yazılımı Etkinleştiren E-posta Gönderilmemesine Rağmen Zararlı Yazılımı Etkinleştiren Toplam Zararlı Yazılımı Etkinleştiren (E-posta Gönderilmeyenler Dahil) Başarı Oranı: %80

36 Senaryolaştırma: Gerçek Vaka (2016) Aksiyon 1: Sistemsel Zafiyetlerin Giderilmesi Aksiyon 2: Bilgi Güvenliği Farkındalık Programı Sürekli Oltalama Testleri E-Learning: Bilgi güvenliği temel kavramları Oltalama saldırılarından korunma yolları Veri gizliliği Yeni işe başlayan şube / Genel Müdürlük çalışanlarına yönelik sınıf içi eğitimler Özel ihtiyaçlara yönelik sınıf içi ve online eğitimler Bilgi Güvenliği Günleri

37 Senaryolaştırma: Gerçek Vaka (2016) Başarı: Bilgi Güvenliği Farkındalık Programı Sonrası Sonuçlar 100% 80% 80% 60% 40% 20% 30% 28% 23,90% 14% Oltalanma Oranı 0% 2016 Nis.17 Eyl.17 Şub.18 Nis.18

38 Öneri 1 Farkındalık için sürekli oltalama testleri!

39 Öneri 2 Siber tehditleri senaryolaştırarak kontrol altına al!

40 Öneri 3 Gelişen tehdit ortamına uyum sağlamak için çevik ol!

41 Teşekkürler