Bilgi İşlem Dairesi Başkanlığı. Bilgi Güvenliği

Transkript

1 Bilgi İşlem Dairesi Başkanlığı Bilgi Güvenliği

2 GİRİŞ Tanışma & Eğitimden Beklentiler Bilgi İşlem Dairesi Başkanlığı 2

3 Bilgi Nedir? BİLGİ GÜVENLİĞİ En kısa tanımıyla bilgi, işlenmiş veri dir. Veri, olguların harf, sayı, renk gibi sembollerle ifade edilmesi iken, bilgi, herhangi bir konu ile ilgili verilerin bir araya gelmesi ile oluşan açıklayıcı ifadeler bütünüdür. Ahmet, 1976, Ankara gibi ifadeler veri iken, bunların kullanıldığı Ahmet, 1976 Ankara doğumludur. şeklinde bir ifade bilgidir. Bilgi İşlem Dairesi Başkanlığı 3

4 Bilgi Nedir? BİLGİ GÜVENLİĞİ BİLGİ Oluşturulabilir, Saklanabilir, İşlenebilir, Kullanılabilir, Aktarılabilir, Zedelenebilir, Kaybedilebilir, Yokedilebilir Bilgi İşlem Dairesi Başkanlığı 4

5 Bilgi Güvenliği Nedir? BİLGİ GÜVENLİĞİ Güvenlik, iç ve dış kaynaklı, kasıtlı veya kasıtsız olabilecek tehditlerin kabul edilebilir seviyeye çekilmesidir. Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma, veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir. Bilgi İşlem Dairesi Başkanlığı 5

6 Bilgi Güvenliğinin Unsurları BİLGİ GÜVENLİĞİ Bilgi güvenliği üç temel unsurdan oluşur: Gizlilik:Bilginin yetkisiz kişilerin eline geçmemesidir Bütünlük:Bilginin yetkisiz kişiler tarafından değiştirilmemesidir Erişilebilirlik:Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır Bilgi İşlem Dairesi Başkanlığı 6

7 BİLGİ GÜVENLİĞİ Bilgi Güvenliğinden Kim Sorumludur?? Bilgi İşlem Dairesi Başkanlığı 7

8 BİLGİ GÜVENLİĞİ Bilgi Güvenliğinden Kim Sorumludur? - BİLGİNİN SAHİBİ - BİLGİYİ KULLANAN - BİLGİYİ YÖNETEN HERKES SORUMLUDUR. Bilgi İşlem Dairesi Başkanlığı 8

9 Bilgi Güvenliğinin Seviyesi Bilgi sistemlerini bir zincir gibi düşündüğümüzde bu zincirin en zayıf halkası çoğunlukla sistemin kullanıcılarıdır. BİLGİ GÜVENLİĞİ Unutulmamalıdır ki bir zincir en zayıf halkası kadar sağlamdır." Bilgi İşlem Dairesi Başkanlığı 9

10 Bilgi Güvenliğinin Seviyesi BİLGİ GÜVENLİĞİ Güvenlik açıklıklarının çoğu (yaklaşık %80 i) kullanıcı hatalarından kaynaklanmakta, bilinçli ya da bilinçsiz olarak yapılan yanlışlar bilgi kaybına neden olmaktadır. Bu nedenle bilginin korunmasında bilinçli kullanıcı büyük öneme sahiptir. Bilgi İşlem Dairesi Başkanlığı 10

11 Bilgi Güvenliğinin Seviyesi BİLGİ GÜVENLİĞİ Saldırganlar çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalabilmektedir. Bilgi İşlem Dairesi Başkanlığı 11

12 Bazı Yanlış Düşünceler BİLGİ GÜVENLİĞİ Güvenlikten bilgi işlem sorumludur. Antivirüs yazılımlarımız var, dolayısıyla güvendeyiz! Kurumumuz güvenlik duvarı (firewall) vb. cihazlar ve yazılımlar kullanıyor, dolayısıyla güvendeyiz! Bilgimin yedeğini alıyorum, güvenlikten bana ne! Bir çok güvenlik saldırısı kurum dışından geliyor! Bilgi İşlem Dairesi Başkanlığı 12

13 Bazı Yanlış Düşünceler BİLGİ GÜVENLİĞİ Güvenlikten bilgi işlem sorumludur. (Güvenlikten herkes sorumludur.) Antivirüs yazılımlarımız var, dolayısıyla güvendeyiz! (Antivirüs yazılımları tek başına yeterli bir çözüm değildir) Kurumumuz güvenlik duvarı (firewall) vb. cihazlar ve yazılımlar kullanıyor, dolayısıyla güvendeyiz! (Güvenlik yazılımları ve donanımları tak çalıştır cihazlar değildir. Belirli aralıklarla kontrol edilmesi ve kurallarının gözden geçirilmesi gerekir.) Bilgimin yedeğini alıyorum, güvenlikten bana ne! (Genelde bir dosyanın güncelliği daha önemlidir, yedeğini almanız tam bir çözüm olmayabilir.) Bir çok güvenlik saldırısı kurum dışından geliyor! (Amacına ulaşan bir çok güvenlik saldırısı aslen kurum içerisinden gelir.) Bilgi İşlem Dairesi Başkanlığı 13

14 TS ISO/IEC BİLGİ GÜVENLİĞİ TS ISO/IEC Bilgi Güvenliği Yönetim Sitemi Bilgi güvenliği yönetim sistemi, bilginin gizliliği, bütünlüğü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir yılından itibaren Başkanlığımızda Bilgi Güvenliği Yönetim Sistemi (BGYS) uygulanmaktadır. Bilgi İşlem Dairesi Başkanlığı 14

15 Mevzuat BİLGİ GÜVENLİĞİ 5651 sayılı «İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun» 11/04/2012 tarihli ve 565 sayılı «Bilgi ve Sistem Güvenliği Yönergesi» Bilgi İşlem Dairesi Başkanlığı 15

16 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Bilgisayar Fiziksel Güvenlik Bilgi İşlem Dairesi Başkanlığı 16

17 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Bilgisayar Fiziksel Güvenlik Bilgisayarınızı korumak, bilgisayar içinde sakladığınız bilgileri korumak adına çok önemlidir. Fiziksel erişimi engellemek için; bilgisayar ve/veya işletim sistemine şifre tanımlamalı (mümkünse BIOS erişimi şifrelenmeli ) bilgisayar başından kalkarken mutlaka oturum kilitlenmeli Bilgi İşlem Dairesi Başkanlığı 17

18 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Bilgisayar Fiziksel Güvenlik Bilgisayar belirli bir süre kullanılmadığı zaman otomatik olarak şifre ile oturum açılmasını gerektirecek şekilde ayarlanmalıdır. Kullanıcı adı ve kullanıcı haklarınızı kullanarak başka bir kimsenin işlem yapmasına izin verilmemelidir. Bilgi İşlem Dairesi Başkanlığı 18

19 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Dizüstü Bilgisayar Kullanımı Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. Şifre güvenliği sağlanmış olmalıdır. İçinde kurumsal veri olmamalıdır. Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir. Bilgi İşlem Dairesi Başkanlığı 19

20 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Taşınabilir Medya Kullanımı Harici Disk, Usb Bellek, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. Bilgi İşlem Dairesi Başkanlığı 20

21 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Taşınabilir Medya Güvenliği Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Bilgi İşlem Dairesi Başkanlığı 21

22 Şifre Güvenliği BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Şifrelerinize dişfırçanız gibi muamele edin. Başkasının kullanmasına izin vermeyin ve her 6 ayda bir yenisiyle değiştirin. Bilgi İşlem Dairesi Başkanlığı 22

23 Şifre Güvenliği BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Şifre en önemli kişisel bilgidir. Hangi makam, yetki ve rolde olursa olsun kimseyle herhangi bir şekilde paylaşılmamalıdır. (Sistem yöneticileri şifre talep etmez!) Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşünülen mekanlarda kurumsal şifre kullanmayı gerektirecek uygulamalar kullanılmamalıdır. Bilgi İşlem Dairesi Başkanlığı 23

24 Şifre Güvenliği BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ En az sekiz karakterli olmalıdır. Rakam ve özel karakterler vs) içermelidir. Büyük ve küçük harf karakteri kullanılmalıdır. Örnek güçlü bir şifre: AG685.kt? Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü, doğum günü vs.). Bilgi İşlem Dairesi Başkanlığı 24

25 Şifre Güvenliği BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Sisteme erişimde kullandığınız şifreler sosyal siteler, oyun siteleri, forum siteleri gibi yerlerde kullandığınız şifrelerle aynı ya da benzer olmamalıdır. Farklı sistemler için aynı şifre kullanılmamalıdır. Sistem tarafından verilen şifreler mutlaka ilk fırsatta değiştirilmelidir. Şifreler düzenli aralıklarla değiştirilmelidir. Bilgi İşlem Dairesi Başkanlığı 25

26 Şifre Güvenliği BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Uzunluk: 7 karakter Küçük harf: 4 saat Küçük harf ve büyük harf: 23 gün Küçük ve büyük harf, rakamlar, semboller: 4 yıl Uzunluk: 8 karakter Küçük harf: 4 gün Küçük harf ve büyük harf: 3 yıl Küçük ve büyük harf, rakamlar, semboller: 463 yıl Uzunluk: 9 karakter Küçük harf: 4 ay Küçük harf ve büyük harf: 178 yıl Küçük ve büyük harf, rakamlar, semboller: 44,530 yıl Bilgi İşlem Dairesi Başkanlığı 26

27 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Yazılım Yükleme ve Güncelleme Günümüzde bilgisayar sistemleri üzerinde ciddi boyutlarda hasara neden olan zararlı programlar mevcuttur. Virüs, casus yazılım ve solucan gibi isimler alan bu tip zararlı yazılımlara karşı önlem almak zorunludur. Bilgi İşlem Dairesi Başkanlığı 27

28 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Yazılım Yükleme ve Güncelleme Bu yazılımların bilgisayarınıza bulaşma yollarından birisi bilgisayarınıza kurduğunuz güvenli olmayan bir yazılım olabilir. Güvenli olmayan yazılımlar denilince akla gelenler şunlardır; korsan müzik ve film dosyaları, kırılmış (crack) programlar ve yazılımlar ile kaynağını bilmediğiniz yerden edindiğiniz herhangi bir program. Bilgi İşlem Dairesi Başkanlığı 28

29 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Yazılım Yükleme ve Güncelleme Bu yazılımların nereden geldiklerini, kaynaklarını bilmek korunmak açısından kritik olmaktadır. e-posta mesajlarınızda dikkatsiz davranarak; e-postadaki bir dosya ekini kontrol etmeden açmak e-posta içerisindeki kaynağı şüpheli bir bağlantıyı kontrol etmeden tıkladığınızda, Güvenli olmayan web sitelerinden yazılım indirmek, Bir yerde bulunan ve ne olduğu bilinmeyen CD,USB bellek, Farklı bilgisayarlara takılan USB belleği, güncel anti-virüs programlar ile kontrol etmeden kullanmak, vb. durumlar Bilgi İşlem Dairesi Başkanlığı 29

30 Yazılım Güncelleme BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Yazılım Yükleme ve Güncelleme Saldırılar en çok; Bir güvenlik açıklığının yayınlanması ile ilgili güncellemenin yayınlanıp uygulanması arasında geçen kısa sürede gerçekleşir. Bu nedenle yazılımlarımızı(özellikle İşletim sistemi) düzenli ve sürekli olarak güncelleştirmek önemlidir. Bilgi İşlem Dairesi Başkanlığı 30

31 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Dosya Erişim ve Paylaşım Güvenliği Paylaşılan bir klasöre ya da dosyaya herkesin, bütün haklarla ve kullanıcı sınırı olmadan erişmesine izin vererek; Ağdaki bir kişi paylaşılan dosyalara erişebilir, değiştirebilir hatta silebilir. Paylaşılan dosya gizliliği ortadan kalkar. Başka birinin bilgisayarına bulaşmış bir virüs, paylaşım yapan bilgisayarlara kolaylıkla bulaşabilir. Bilgi İşlem Dairesi Başkanlığı 31

32 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Dosya Erişim ve Paylaşım Güvenliği Film, müzik veya yazılım paylaşmak amacıyla kullanılan Dosya paylaşım yazılımları (Kaza, emule, Bittorent, LimeWire gibi) Zararlı yazılımların yayılmasına olanak sağlayabilir, Kötü niyetli kişilerin bilgisayara erişimini ve hatta kişisel bilgi ve dosyaları görebilmesini sağlıyor olabilir, Telif Haklarıyla ilgili yasal sorunlar ortaya çıkarabilir. Bilgi İşlem Dairesi Başkanlığı 32

33 BİLGİSAYAR VE ERİŞİM GÜVENLİĞİ Dosya Erişim ve Paylaşım Güvenliği Önemli dosyalar kolay elde edilebilir ortamlarda (Taşınabilir Medya,E-Posta,İnternet Sayfaları, Dizüstü Bilgisayarlar vb.) bulundurulmamalıdır veya paylaşılmamalıdır. Eğer zaruri ise; Kolay kırılamayan kriptolama yöntemleriyle (SHA256, SHA512 gibi) ve güçlü bir şifreyle kriptolanmalıdır. (Burada şifre unutulduğunda dosyaya tekrar erişilemeyeceği unutulmamalıdır.) Bilgi İşlem Dairesi Başkanlığı 33

34 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlar Zararlı Programlar Neler Yapabilir? Bilgi İşlem Dairesi Başkanlığı 34

35 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlar Bilgisayardaki bilgileri çalabilir ve başkalarına gönderebilirler (Eposta hesapları, Banka şifreleri, ve diğer kişisel bilgiler gibi ) İşletim sistemi veya diğer programların çalışmamasına, hatalı çalışmasına neden olabilirler. Bilgisayardaki verileri silebilir, kopyalayabilir, yerlerini değiştirebilir veya yeni veriler ekleyebilirler. Klavyede yazılanları ve ekran görüntüsünü kaydedebilir, mikrofon ve kamera verilerini alabilirler. Bilgi İşlem Dairesi Başkanlığı 35

36 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlar Diski silebilir/biçimlendirebilirler. Saldırganların kullanması için güvenlik açıklıkları oluşturabilirler, başka zararlı programların bulaşmasını sağlayabilirler ve bilgisayar üzerinden başka sistemlere saldırabilirler. Ekranda can sıkıcı veya kötü amaçlı web sitelerine yönlendiren açılır pencereler oluşturabilirler. Bilgisayarınızın ya da internetin kaynaklarını kullanır, yavaşlamalara neden olabilirler. Bilgi İşlem Dairesi Başkanlığı 36

37 E-posta ekleri ile TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlar Nasıl Bulaşır? İnternetten indirilen ya da paylaşılan program ve dosyalar ile Usb (taşınabilir) bellekler ile Paylaşım ortamlarındaki dosyalar aracılığı ile İnternet tarayıcısının güvenlik seviyesinin yeterli olmaması nedeniyle İnternette çıkan açılır pencerelere tıklanmasıyla Bilgi İşlem Dairesi Başkanlığı 37

38 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri Bilgi İşlem Dairesi Başkanlığı 38

39 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri : Virüs Bilgisayara bulaşmak için dosyalara tutunan ve kendini çoğaltabilen programlardır. Virüsler çoğalarak yayılmak ve bulaştıkları sistemlerde çalışarak zarar vermek için oluşturulur. Virüslerin aktif olabilmesi için bir şekilde kullanıcı tarafından çalıştırılmaları gerekir. Bilgisayardaki otomatik çalıştır (Autorun) özelliği virüslerin aktif olmalarını kolaylaştırır. Özellikle uzantısı exe, scr, zip, rar olan dosyalarda virüs bulunma ihtimali fazladır. Bilgi İşlem Dairesi Başkanlığı 39

40 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri : Solucan (Worm) Kopyalanmak, yayılmak veya çalışmak için kullanıcıya ihtiyaç duymazlar. Ağ üzerinde ve bilgisayarlarda kaynak tüketimine ve bazı işlemlerin sona erdirilmesine neden olurlar. Bir tünel(backdoor) açarak saldırgan kişilerin veya diğer zararlı yazılımların bilgisayarımıza erişmesini sağlarlar. Bilgisayardaki yavaşlık solucan belirtisi olabilir. Virüsler gibi dosya silme işlemleri yapmazlar. İnternette çıkan uncu kişisiniz, ödül kazandınız, veya Amerika ya gitme şansı gibi dikkat çeken ekranlara tıklanmasıyla bilgisayara bulaşabilir. Bilgi İşlem Dairesi Başkanlığı 40

41 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri : Truva Atı (Trojan) Truva atı bilgisayar için yararlı gibi gözüken ve kullanıcının çalıştırması ile aktif olan zararlı yazılımlardır. İsmi efsanevi truva atından gelir çünkü çalışmaları için kullanıcının kendi isteği ile truva atını içeri (bilgisayara) alması gerekir. Kendilerini virüsler gibi kopyalayamazlar. Kullanıcı bilgisayara truva atı içeren programı yüklemedikçe zarar veremezler. Bilgi İşlem Dairesi Başkanlığı 41

42 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri : Tuş Kaydedici (Keylogger) Bilgisayarda yazılan her şeyi kaydedip saldırgan şahsa gönderen program ya da donanımlardır. Genel olarak şifrelerinizi ele geçirmek için kullanılırlar. Bilgi İşlem Dairesi Başkanlığı 42

43 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Program Çeşitleri : Casus yazılım (Spyware) Kullanıcıya ait bilgileri ele geçirmek amacı ile yazılan programlardır. Bitmek bilmeyen açılır pencerelere neden olabilirler. Tarayıcımızda istem dışında araç çubukları kurabilirler. Web tarayıcımızda ev sayfasının değişmesine neden olabilirler. Bilgi İşlem Dairesi Başkanlığı 43

44 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlardan Korunma: Yardımcı Araçlar Antivirüs programları bilinen virüslerle ilgili bilgileri içinde barındıran veritabanlarını kullanarak imza tanıma yöntemiyle zararlı programları tespit ederler. Ayrıca sistem aktivitelerini izleyerek bir programın zararlı program olup olmadığını da anlayabilmektedirler. Antispyware aynı şekilde spyware programlarını (casus yazılımları) engellemek için kullanılır. Güvenlik duvarları ise bilgisayarımıza yapılacak saldırıları ve izinsiz bağlanma isteklerini engelleyecektir. Bilgi İşlem Dairesi Başkanlığı 44

45 TEHDİTLER VE KORUNMA YÖNTEMLERİ Zararlı Programlardan Korunma: Bilinçli İnternet Kullanımı Şüphelenilen ve zararlı içerik barındırma ihtimali bulunan internet sayfaları ziyaret edilmemeli, Dosya indirilen internet sayfalarının güvenirliliğinden emin olunmalı, İnternet üzerindeki lisansı olmayan programlar(crackli) kullanılmamalı İnternetten indirdiğiniz antivirüs (virüsten korunma) ve antispyware (casus yazılımdan korunma) programlarının da birer virüs olma ihtimali unutulmamalı, lisanslı ürünler kullanılmalı. Kaynağı bilinmeyen E-Posta ve eklerine dikkat edilmeli Bilgi İşlem Dairesi Başkanlığı 45

46 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik Sosyal mühendisler: Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar. Etkileme ve ikna yöntemlerini kullanırlar. Sosyal Mühendislik: Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı. Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesi Kullandığı en büyük silahı, insan zaafiyetleri İnsan: Güvenliğin en zayıf halkası Bilgi İşlem Dairesi Başkanlığı 46

47 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür. Sahte senaryolar uydurmak Güvenilir bir kaynak olduğuna ikna etmek (phishing) Truva atları Güvenilir bilgi karşılığında para, hediye, vs önermek Bilgi İşlem Dairesi Başkanlığı 47

48 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik Güven kazanarak bilgi edinmek Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak Bu nedenle çöplerinize kurumsal bilgi içeren kağıtlar atmayınız. Bilgi İşlem Dairesi Başkanlığı 48

49 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik Donanımsal Araçları Bilgi İşlem Dairesi Başkanlığı 49

50 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik- Alınacak Tedbirler Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır. Bilgi İşlem Dairesi Başkanlığı 50

51 TEHDİTLER VE KORUNMA YÖNTEMLERİ Sosyal Mühendislik- Örnek Video Örnek video Bilgi İşlem Dairesi Başkanlığı 51

52 İNTERNET VE AĞ GÜVENLİĞİ Güvenlik Duvarı ile Korunma Güvenlik duvarı dışarıdan gelebilecek tehditlere karşı koruma sağlayarak yetkisiz erişimleri engeller. Gelen ve giden ağ trafiğini kontrol ederek bilgisayar ve ağa çeşitli yollardan yetkisiz erişim sağlamasını engelleyen yazılım veya donanımdır. Güvenlik duvarının getirdiği sıkı trafik kontrolünden sıkılıp güvenlik duvarını kapatmak sıklıkla yapılan hataların başında gelir. Güvenlik duvarını kapatmak yerine kullanılan programlarla ilgili kural eklemek daha iyi bir yaklaşımdır. Bilgi İşlem Dairesi Başkanlığı 52

53 İNTERNET VE AĞ GÜVENLİĞİ Güvenlik Duvarı ile Korunma Bilgisayar solucanlarına karşı koruma sağlar. Bilgisayarınızı dış kullanıcılardan gizler ve Yetkisiz kişilerin bilgisayarınıza erişim yapmasını engeller. Kendisini faydalı bir yazılım gibi gösteren truva atlarına ve e-postalarla yayılan virüslere karşı herhangi bir güvenlik sağlayamaz. Bilgisayara zaten bulaşmış kötü amaçlı yazılımlara karşı herhangi bir koruma sağlayamamaktadır. Duvarın dışından gelen tehlikelere karşı bilgisayarı korur, ancak duvarın iç kısmından gelen tehlikelere karşı bir koruma sağlamaz. Bilgi İşlem Dairesi Başkanlığı 53

54 Web Güvenliği İNTERNET VE AĞ GÜVENLİĞİ İnternet üzerinden yaptığınız işlemler nelerdir? Bilgi İşlem Dairesi Başkanlığı 54

55 Web Güvenliği İnternet siteleri üzerinden gerçekleştirilen işlemler sırasında kullanılan bilgilere erişilmesi mümkündür. İnternet üzerinden hizmet verirken en azından bilgi girişi yapılması istenen kullanıcı adı, şifre gibi hassas ve kişisel bilgileri korumak gerekir. İNTERNET VE AĞ GÜVENLİĞİ Bilgi İşlem Dairesi Başkanlığı 55

56 Web Güvenliği İNTERNET VE AĞ GÜVENLİĞİ Yapılan çalışmaların sonuçlarında, Internet sitelerinde gezinti yaparken bilgisayara virüs ve tehlikeli yazılım bulaştırma ihtimali yüksek olan siteler genellikle şunlardır: çok fazla bilinmeyen siteler, bahis siteleri, uygunsuz içerikli siteler, korsan yazılım indirilen siteler Bilgi İşlem Dairesi Başkanlığı 56

57 İNTERNET VE AĞ GÜVENLİĞİ Web Güvenliği İnternet Üzerinde Güvenli İşlem İyi bilinen, güvenilir sitelerden işlem yapılmalı, Başka bir internet sayfası üzerindeki ya da e-posta ile gelen bağlantılardan değil de doğrudan internet adresi yazılarak alışveriş sitesine bağlanılmalı, Her türlü sahte site tehdidine karşı dikkatli olunmalı. İnternet kafe gibi internetin ortak kullanıldığı alanlar yerine kişisel bilgisayarlar kullanılmalı Bilgi İşlem Dairesi Başkanlığı 57

58 İNTERNET VE AĞ GÜVENLİĞİ Web Güvenliği İnternet Üzerinde Güvenli İşlem Ödeme sayfasının güvenli (https protokolü ile) site olduğu mutlaka kontrol edilmeli Ödeme yaparken kişisel bilgiler (Kullanıcı adı, hesap numarası veya şifre gibi) veya kredi kartı bilgilerini girerken sanal klavye kullanılmalı İnternet bankacılığı için kullandığınız parolanızı banka çalışanları dahil hiç kimseyle paylaşılmamalı Bilgi İşlem Dairesi Başkanlığı 58

59 E-Posta Güvenliği İNTERNET VE AĞ GÜVENLİĞİ Bizim için iletişim anlamına gelen e-posta, saldırganlar için Bize ve yakınlarımıza erişim, reklam ve zararlı program yayma fırsatı demektir. Toplu e-posta gönderme işleminin kolaylığı ve teknolojik gelişmeler düşünüldüğünde saldırganların tek ihtiyaçları e-posta adresi ve bir an için dikkatsiz davranılmasıdır. Bilgi İşlem Dairesi Başkanlığı 59

60 E-Posta Güvenliği İNTERNET VE AĞ GÜVENLİĞİ **E-posta kritik ve kişisel bilgiler açısından güvenli bir gönderim aracı değildir.** **Bir eposta gönderildiğinde, sunucular üzerinde izleyeceği yol boyunca mesajın içeriğine erişilebilir.** Bilgi İşlem Dairesi Başkanlığı 60

61 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Spam Bir e-postanın talepte bulunmamış, birçok kişiye birden, zorla gönderilmesi durumunda, bu e- postaya istenmeyen e-posta denir. E-posta adresini herkese açık yerlerde yayınlamamak. Açıktan yayınlamak gerekirse, adresi maskeleyerek yayınlamak Örneğin deneme@posta.com adresini, deneme(at)posta[nokta]com olarak veya metin yerine resim kullanarak yayınlamak. Bilgi İşlem Dairesi Başkanlığı 61

62 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Spam Birden çok kişiye veya bir gruba e-posta gönderirken kişilerin e-posta adreslerini gizli karbon kopya (BCC) bölümüne yazmak. Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek. İstenmeyen e-postalara hiç bir şekilde cevap yazmamak. Kullanım amacına göre farklı e-posta adresleri kullanmak. (Resmi ve Özel ayırt edilmeli) Bilgi İşlem Dairesi Başkanlığı 62

63 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Taklit / Oltalama (Phishing) Taklit (oltalama) e-postası, kimlik bilgilerini çalmak amacı ile, istenmeyen e-posta veya açılır pencere yoluyla yapılan bir aldatma yöntemidir. Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e-postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs) ele geçirmeye çalışır. Bilgi İşlem Dairesi Başkanlığı 63

64 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Taklit / Oltalama (Phishing) Kişisel ve mali bilgilerini tanınan kişiler dâhil hiç kimseye e-posta yoluyla gönderilmemeli E-posta mesajlarındaki internet bağlantılarına tıklanmamalı** Zararlı programlara karşı korunma programları (Anti-virus, anti-spyware, güvenlik duvarı) gibi güvenlik yazılımları kullanılmalı ve bu programlar sık sık güncellenmeli Bilgi İşlem Dairesi Başkanlığı 64

65 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Aldatmaca (Hoax) Merhaba, benim adım MIA HEYNS. 19 yaşındayım ve ileri düzeyde akciğer kanseri hastasıyım. Bunun yanı sıra beynimde de büyük bir tümör var. Doktorlar hemen müdahale edilmezse yakında öleceğimi söylüyorlar ve ailem de faturaları karşılayamıyor. Make-A-Wish yardımlaşma derneği bu mesaj her gönderildiğinde R7 bağışlayacağını bildirdi. Bu mesajı ileten kişilere çok teşekkür ederim. Lütfen, duyarlı davranın ve bu mesajı iletin. LÜTFEN CEVAP VER DÜĞMESİNE DEĞİL İLET DÜĞMESİNE BASIN SAYGILARIMLA, MIA HEYNS Bilgi İşlem Dairesi Başkanlığı 65

66 İNTERNET VE AĞ GÜVENLİĞİ E-Posta Güvenliği - Saldırı Yöntemleri : Aldatmaca (Hoax) Gelen e-postayı başkalarına göndermeni ya da herhangi başka bir eylemde bulunmanı sağlamak amacı ile, içinde aldatmaya ve kandırmaya yönelik ilginç bir konu (ölümcül hastalık, hediye, acil haber, uyarı, komplo teorisi) geçen e-postalardır. E-Posta adresi toplamak veya markaları karalamak için oluşturulan yalan haber içeren e- postalardır. Bilgi İşlem Dairesi Başkanlığı 66

67 İNTERNET VE AĞ GÜVENLİĞİ Modem ve Kablosuz Ağ Güvenliği Kablosuz modemlerin kullanılmadığı zaman kapatılması son derece etkili bir tedbirdir. Bir çok ADSL modem için ön tanımlı olarak gelen web yönetim arayüzü parolaları internette kolayca bulunabileceğinden mutlaka değiştirilmelidir. Bilgisayar ile ADSL modem arasındaki iletişimin şifrelenmesi (WPA / WPA2). Modemdeki güvenlik duvarını aktif hale getirme Kullanılmayan servisler kapatılmalı MAC adres filtrelemesi Bilgi İşlem Dairesi Başkanlığı 67

68 Kişisel Veri Nedir? KİŞİSEL VERİLER? Bilgi İşlem Dairesi Başkanlığı 68

69 Kişisel Veri Nedir? KİŞİSEL VERİLER Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü veri olarak tanımlanmaktadır. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, hobiler, tercihler, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bilgi İşlem Dairesi Başkanlığı 69

70 Kişisel Verilerin Korunması KİŞİSEL VERİLER Kişilerin üçüncü taraflarca görülmemesi gereken kişisel verilerinin (T.C. kimlik numarası, anne-baba adı, iletişim bilgileri vb.) herkese açık bir şekilde yayımlanmalı, Atama, yer değiştirme gibi sonuçların toplu listelerde yayımlanmaması; yayımlanması zorunluysa üçüncü taraflarca görülmemesi gereken kişisel verilere (T.C. kimlik numarası, anne-baba adı, iletişim bilgileri vb.) yer verilmemeli, Bilgi İşlem Dairesi Başkanlığı 70

71 Kişisel Verilerin Korunması KİŞİSEL VERİLER Gizlilik içeren ve üçüncü taraflarca görülmemesi gereken resmi yazılar ve içerikler yayımlanmamalıdır, Bilgi sorgulama ekranı olması durumunda; sadece T.C. kimlik numarası ile sorgunun yapılmaması; en düşük güvenlik düzeyinde kişiye özel (nüfus cüzdanı seri no, sıra no, aile sıra no, şifre vb.) ek bilgilerden en az ikisinin istenmesi, sorgu sonucunda gelen bilgilerde sadece kişinin kendisine ait bilgilerin yer alması gerekmektedir, Bilgi İşlem Dairesi Başkanlığı 71

72 Kişisel Verilerin Korunması KİŞİSEL VERİLER İstatistiksel bilgilerde kişisel verilerin bulundurulmaması, - Kurum tarafından geliştirilen modüllerin, yetkisiz erişimi ve güvenlik açıklıklarını önlemeye yönelik gerekli tüm tedbirler alınmadan yayımlanmaması (sql injection, XSS vb.), - Kişisel verilerin korunmasına yönelik gösterilecek hassasiyetin basılı ortamlarda da dikkate alınması Bilgi İşlem Dairesi Başkanlığı 72

73 Soru ve Öneriler TEŞEKKÜRLER Bilgi İşlem Dairesi Başkanlığı 73