İNTERNET DOLANDIRICILIĞI

Transkript

1 Mustafa DEMİRCİ Adli Bilişim Uzmanı Bilgi Nedir? En kısa tanımıyla bilgi, işlenmiş veri dir. Veri (data): Olguların harf, sayı, renk gibi sembollerle ifade edilmesidir. Bilgi: Herhangi bir konu ile ilgili verilerin bir araya gelmesi ile oluşan açıklayıcı ifadeler bütünü olarak tanımlanabilir. Veri Tipi (string) Veri Tipi (date) Mustafa 1970 Mustafa 1970 Doğumludur ifadesi bilgidir. Aşağıda sayısal dijit (binary) kod olarak gösterilen verinin (datanın) nasıl anlamlı bilgiye dönüştüğü gösterilmiştir. Data Bilgi- O S Y M BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği; bilgilerin izinsiz erişimlerden, izinsiz kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar görmesinden koruma işlemidir. İşleyişi bozabilecek her türlü risk bilgi güvenliği için tehdit oluşturmaktadır. Bu risklerin olabildiğince azaltılması sistem ve bilgi güvenliğinin artmasını sağlamaktadır. Ancak alınacak önlemlerin; kullanımı zorlaştırmaması, işlevselliği etkilememesi, güvenilir ve maliyeti etkin olması gerekmektedir. Bilgi güvenliğine ilişkin uluslararası standartlar bilgiyi bir kurumun önemli değerlerinden biri olarak tanımlamakta ve sürekli korunmasını istemektedir. Bilginin korunması gereken temel nitelikleri olarak: o Gizli yanının açığa çıkarılmaması, o Bütünlüğünün bozulmaması, o Kullanımına ihtiyaç duyulduğunda ulaşılabilir olması şeklinde tarif edilebilir. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. ISO 27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC Bilgi Güvenliği Yönetim Sistemi standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. BGYS sisteminin oluşabilmesi için üç fonksiyonun (gizlilik, bütünlük ve erişilebilirlik) döngüsel olarak bir metodoloji ile sistemsel görevlerini yapabilmesi gerekmektedir. Bu döngüsel işleve kısaca PUKO (planla, Uygula, Kontrol et, Önlem al) şeklinde tarif edilebilir. Gizlilik : Yetkisiz erişimlerin engellenmesidir Bütünlük :Yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasıdır. Erişilebilirlik: ihtiyaç halinde kolay ulaşılabilir olmasıdır. Bilgi odak noktasında olmak şartıyla gizlilik, bütünlük ve erişebilirlik, fonksiyonun PUKO (Planla, Uygula, Kontrol Et, Önlem Al) Sistemi nde bilgi güvenliği yönetim sisteminin omurgasını oluşturur. 1

2 korunmasına yardımcı olur. o Uzun yıllar boyunca iş sürekliliği garanti eder. o Bir felaket halinde, işe devam etme yeterliliğine sahip olunmasını sağlar. o Her kademede bilgi güvenliğinin sağlandığını gösterir. Şekil-1 PUKO döngüsü o Yasal takipleri önlemeye yardımcı olur. o Kurumun itibarını artırır. KURUMSAL BİLGİ GÜVENLİĞİ Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. 1- Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. 2- Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. 3-Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Kurumsal bilgi güvenliği: Kurumların bilgi varlıklarının tespit edilerek 1-Zafiyetlerinin belirlenmesi 2-İstenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak 3- Önlemlerinin alınması olarak düşünülebilir. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN KURUMSAL FAYDALARI o Kişisel verilerin korunmasını sağlar. o Değerli bilgi varlıklarının yönetilmesine ve o o En küçük güvenlik ihlali bile gayet yüksek maliyetli durumlara yol açabileceği için bu kontrollerin uygulaması ile bu maliyetler aza indirgenir. o Kurumsal veri bütünlüğü sağlayarak veri güvenliğini artırır. Çalışanların motivasyonunu arttırır. İNTERNET DOLANDIRICILIĞI İnternet teknolojilerinin kullanımı gün geçtikçe artmaktadır. Özellikle 2013 yılının ikinci yarısından itibaren masa üstü internet kullanımı yerini mobil cihazlara bıraktığını görüyoruz. İnternetin toplum hayatından yer alışı ile beraber klasik suç işleme yöntemlerinde de değişiklik olmuş ve siber suç oranları artmıştır. Siber suç (cybercrime) Herhangi bir suçun elektronik ortam içerisinde işlenebilme imkanı bulunuyor; ve bu ortam içerisinde gerçekleştirilen fiil genel olarak hukuka aykırı veya suç olarak tanımlanabiliyorsa bu suçları siber suç olarak tanımlayabilir. Dünyada internet 2

3 kullanıcılarının 2/3 nün ve bunlarında yılda %46 sının bilişim suçlarına maruz kaldığı bilinmektedir. Siber suçlular çok sayıda potansiyel kurbana, onları kandırmak, hile ile tuzağa düşürmek ve saldırmak için tasarlanmış elektronik posta iletileri göndermektedir. İnternette dolandırıcılık suçları genellikle rastgele kullanıcılara ya da Hacking Döngüsü keşif aşamasında sistemlerine sızmak istenen kurumun personeline aldatıcı e- posta iletileri göndermek suretiyle işlenmektedir. oltalama iletisi; kişileri kandırarak, aslı gibi görünen sahte bir siteye şifre, kredi kartı numarası veya banka hesap bilgileri girilmesini sağlamaktadır. Birçok aldatıcı oltalama girişimi; sahte e-posta iletileri kullanılarak başarılı bir şekilde gerçekleştirildiğinden, Siber Suçlular; posta sunuculardaki SMTP protokol açıklıklarından faydalanarak reklam içerikli spam adı verilen istenmeyen iletileri çok sayıda kullanıcıya göndermektedir. Siber suçlular spam postaları ne kadar çok insana ulaştırabilirlerse, o kadar çok insanın kurban olabileceğini bildikleri için gönderebildikleri kadar çok insana bu iletileri gönderirler. Ayrıca Kullanıcılara bankalarından, çevrimiçi alışveriş sitelerinden, ya da GSM operatörlerinden gerçek e-posta iletileriyle birebir örtüşen sahte e-posta iletileri gönderilmek suretiyle de kurbanların şüphe duyması engellenmektedir. Smishing veya SMS Phishing mobil telefon kullanıcılarını hedef alan bir saldırı türü olup özellikle güvenlik bilinci ve farkındalığı yeterli düzeyde olmayan kullanıcıların gizli ve kişisel bilgilerinin ele geçirilmesini sağlamaktadır. Genellikle, gelen kısa mesajda kullanıcıları ikna edecek ifadeler yer almakta kullanıcıdan mesaj içindeki URL adresine bağlanması suretiyle veya verilen bir telefon numarasını araması suretiyle saldırıya müdahil olması beklenmektedir. Gerçekte bağlanılacak URL adresi aldatıcı olup kimlik hırsızlığı amacıyla kullanılmaktadır. Aranacak telefon numarasının da kişisel bilgilerin kayıt edildiği bir telesekreter servisi ya da inandırıcılığı artırmak için sahte bir çağrı merkezi olmaktadır. BİLİŞİM SUÇLARININ HUKUKİ BOYUTUNU BİLİYOR MUYUZ? Yapılan araştırmalarda ülkemizdeki bilişim suçları araştırmalarında bu suçların aşağıdaki şekilde gruplandığını görüyoruz. Dolandırıcılık, (kredi kart veya kişisel bilgileri satma) Cinsel istismar, (pornografik pazarcılık) Stalking, (Taciz etme, sapıklık) Hakaret (Boşanma davaları, tehdit, şantaj vs.) Ulusal veya Uluslararası TERÖRİZM gruplanması TÜRK CEZA KANUNUNDA BİLİŞİM SUÇLARI Bilişim Suçları: Bilgisayar, çevre birimleri, pos makinesi, cep telefonu gibi her türlü teknolojinin kullanılması ile işlenen suçlardır. Peki bilişim suçlarına 5237 sayılı Türk Ceza Kanunu hangi cezai müeyyideleri öngörüyor? Şimdi bu cezaların bazılarını görelim: E-posta Ele Geçirme Cezası (1) Bir başkasının e-posta adresini ele geçirene TCK 'nın 243. maddesine göre: a) iki yıla kadar hapis yada b) Parasal cezai işlem uygulanır. (2) Ele geçirilen e-posta içeriğindeki bilgilerde eksiklik yada bir değişiklik varsa kesin olarak 243. maddenin üçüncü fıkrası uygulanıp para cezasını kaldırarak suçluya: 3

4 a) İki yıl veya b)dört yıl arasında hapis cezası uygulanır. (3) Suçlu eğer bu e-postayı tehdit veya zoraki yoldan alırsa devreye TCK nın 107. maddesine göre 243. cezalara ek olarak: a) Bir yıldan üç yıla kadar hapis cezası ile b) Beşbin güne kadar parasal ceza işlemine karar verilir. (4) Ayrıca, e-posta adresi ele geçiren kişi bir kamu kuruluşunda çalışıyor ise bu sefer 243 ve 107. maddeye ek olarak 113. maddeye göre : «Bir yıldan üç yıla kadar hapis cezası» istemi ile cezalandırılır. Sahte Hesap Oluşturma Cezası (1) Bir kişi ve kurum adına açılan profil hesabında, o kişinin fotoğrafı, kimlik bilgileri, kişisel e-posta hesabı, meslek bilgileri yani o kişiyi tanımlamaya yarayacak birtakım kişisel bilgiler hukuka aykırı olarak kaydedilmiş ise TCK 135/1 e göre: «üç yıla kadar hapis cezası» verilebilecektir. (2) Kişisel bilgilerin yer aldığı bu profil hesapların veya grupların, hukuka aykırı olarak başka kişilere yayılmasını sağlayanlar TCK 136 gereği bir yıldan dört yıla kadar hapis cezasına çarptırılır. Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi Cezası (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye, BİLGİ GÜVENLİĞİNİ 657 SAYILI DEVLET MEMURLARI KANUNU ÇERÇEVESİNDE DEĞERLENDİRME Devlet Memurları Kanunu maddeleri açık bir şekilde bilgi güvenliği üzerinde durmasa da aslında bazı maddelerinde zımnî olarak bilgi güvenliğinin ne kadar önemli olduğunu anlayabilir. Mesele aşağıdaki maddelerini buna örnek olarak verebiliriz. Tarafsızlık ve Devlete Bağlılık madde-7 de siyasi ve ideolojik hiçbir şekilde beyanda ve eylemde bulunamazlar ve bu eylemlere katılamazlar. denilerek devlet memuru olan personelin kurumun itibarını zedeleyici herhangi bir beyan ve eylemde bulunamayacağını belirtmektedir. Madde-9 da ise, yurtdışında görevli olan personelin devletin itibarını zedeleyici faaliyetlerini yasaklarken, madde-14 de bilginin doğru ve güvenilir olması çerçevesinde mal bildiriminin doğru bilgiler içermesi gerektiğini düzenlemiştir. Ayrıca madde 125(C,D,E) fıkralarındaki cezalar irdelendiğinde ise devlet memurluğundan bile çıkarılabilecek hükümler düzenlenmiştir. KURUMUMUZDA BİLGİ GÜVENLİĞİ SEMİNERİ DÜZENLENDİ (2) Kişilerin siyasi, felsefi, veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel bilgileri kişisel veri olarak kaydeden kimse bir yıldan üç yıla kadar hapis cezası verilir. 4

5 Bilişim suçları, sosyal ağların kullanım durumları, bilişim suçlarının hukuki boyutları ve kamu kurumlarında siber güvenlik konsepti konularının derinlemesine ele alındığı ve kendi alanlarında son derece donanımlı Gazi Üniversitesi Adli Bilişim Ana Bilim Dalı öğretim üyesi, Askeri Yargıtay ve Türkiye Kamu Hastaneleri Kurumu Adli Bilişim Uzmanlarınca tarihinden düzenlenen BİLGİ GÜVENLİĞİ semineri Kurumumuz personeli dışında diğer kamu personeli ve özel sektör katılımı ile büyük ilgi görmüştür. m) Bilişim Güvenliğinde Ulusal Çalışmalar Ve Etkileri, m) Siber Savunma Ortamı, o) Konseptin Öngördüğü İhtiyaç, İmkân Ve Kabiliyetler Bilgi Güvenliği Seminer konuları aşağıdaki başlıklar altında ele alınarak işlenmiştir. Bilgi Güvenliği seminerinde özellikle bilişim araçlarının daha dikkatli kullanılması gerektiği, kurumsal veri tabanlarında kişisel Genel hatlarıyla seminer konuları aşağıdaki şekilde ele alınmıştır: a) Bilişim Suçlarının Sınıflandırılması, Bu Suçların İşleme Yöntemleri, b) İnternet Dolandırıcılığı, c) Şifreleme Kavramı ve Bireysel Kötücül Yazılımlar d) Kişisel Ve Kurumsal Bilgi Güvenliği Nasıl Alınmalı, e) Genel Hatlarıyla İSO/İEC Bilgi Güvenliği Yönetim Sistemi, g) Dünyada Ve Ülkemizde Sosyal Ağlar, h) Sosyal Ağlarda İşlenen Bilişim Suçları, i) Kurumsal Zafiyet Durumu, j) Bilişim Suçlarının Hukuki Boyutu, k) Bilişim Suçlarının 5237 Sayılı Türk Ceza Kanunundaki Yeri Ve 657 Sayılı Devlet Memurları Kanunu Çerçevesinde Bilişim Suçlarının Değerlendirilmesi, l)siber Savunma Konsepti, bilgilerin önemi, Türk ceza Kanunu çerçevesinde bilişim suçlarının ele alındığı konular dikkat çekici bulunmuştur. Gelecek sayımızda buluşmak dileğiyle 5