Kişisel Verilerin Korunmasında Proaktif Yaklaşım

Transkript

1 Kişisel Verilerin Korunmasında Proaktif Yaklaşım Yunus ÇADIRCI

2 Hakkında Haberleşme Mühendisi/ Yıldır Telekomünikasyon Sektöründe Güvenli Yazılım Geliştirme Yaşam Döngüsü Kötü Kod Nasıl Yazılır

3 Program Kişisel Veri Nedir? Kişisel Veri İle İlgili Hukuki Durum Güvenlik Yönetimi Kişisel Verilerin Güvenliğinin Sağlanması Sistemler Uygulamalar Kişisel Veri İçeren Raporların Korunması İle İlgili Çözüm Önerisi

4 Kişisel Veri Nedir BTK Kişisel veri: Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri, NIST Personally Identifiable Information Information which can be used to distinguish or trace an individual's identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother s maiden name, etc. EU Personal Data Article 2a: 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

5 Kişisel Veri İle İlgili Hukuki Durum Anayasa Referandumu Özel Hayatın Gizliliği Madde 20 ye Ek Kanun Henüz Yok!! Bakanlar Kurulu nca 7 Nisan 2008 de Meclise sevkedildi Avrupa Birliği Uyum Komisyonu TCK Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme Tebliğ, Yönetmelik vs. Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik

6 Madde 20 (Ek fıkra: 12/9/ /2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

7

8 MADDE [1] Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. [2] Kişilerin siyasî, felsefî veya dinî görüşlerine, ırkî kökenlerine; hukuka aykırı olarak ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır. MADDE [1] Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

9 Güvenlik Yönetimi CIA Kuralı Variety of Security Methods Confidentiality: Gizlilik, bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesi, Identification Confidentiality Accountability Authentication Certification Integrity: Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesinin engellenmesi, Availability: Kullanılabilirlik, haklar çerçevesinde bilginin ihtiyaç duyulduğunda kullanıma hazır olması, Authorization Nonrepudiation Availability Bilgi Güvenliği Integrity Access Control Hashing Monitoring Intrusion Prevention Vulnerability Assessment Penetration

10 Güvenlik Yönetimi

11 Güvenlik Yönetimi Sunucular Sistemler Veritabanları Datacenter Firewall IPS Uygulamalar WAF XML Firewall Kullanıcılar Dolayısıyla Geniş Atak Yüzeyi Admin NAC IDS Loglama SIEM DLP PROSEDÜRLER (Korku!!!) DIŞ DÜNYA

12 Güvenlik Yönetimi Tehditler Virus, Trojan, Spyware Bilgi Sızması Önlemler Yazılım Açıkları Yetkilendirme Problemleri Network Saldırıları Kurumsal Antivirus Loglama Güvenli Yazılım Süreçleri Varlıklar Tehditleri Hakları Kötüye Kullanım Merkezi Kimlik Yönetimi Firewall Finansal Veriler Kişisel Veriler Kurum Prestiji Kullanıcı Uygulama Sunucu SPAM filtreleri Servis Dışı Bırakma Güvenlik Yönetimi oldukça karmaşık, Kişisel Verileri merkeze alan bir yaklaşım/çalışma grubu gerekli

13 Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama

14 Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama

15 Uygulamalardan Sızan Kişisel Veriler Google: Kişi Sorgulama

16 Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği

17 Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği

18 Uygulamadan Sızan Kişisel Veriler Dış Kaynaklı Uygulamaların Güvenliği

19 Uygulamadan Sızan Kişisel Veriler SIEM (Security Information and Event Management) Kim hangi raporu hangi parametrelerle aldı En çok rapor çeken kimler Sunucular Sistemler Anlık Uyarılar X sürede Y işlem yapan kişi için aksiyon al Kim mesai saatinde VPN ile uygulamaya erişti Uygulamalar SIEM Büyük Ölçekli Yapılarda Merkezi Log [Onur BAŞKAYA] Veritabanları Hazır Raporlar

20 Uygulamadan Sızan Kişisel Veriler Need-to-know Kim hangi ekranlara erişmeli? Uygulamanızda yetki aşımı var mı? Anne kızlık soyadının görülmesine gerek var mı? S O Y A D I M S A O Y O I Y M S D Y I

21 Çözüm İsteği Sistem tarafından oluşturulan raporların yetkisiz kişilerce erişimi nasıl engellenebilir?

22 Bir Çözüm Önerisi İhtiyaç Dökümanların lokasyondan bağımsız yetkisiz erişimi engellemek Kurum dışına çıkan dökümanların kim tarafından çıkarıldığını tespit etmek Gerektiğinde dökümana erişimi engelleyebilmek

23 PGP Bir Çözüm Önerisi Doküman Şifresi Şifre ele geçirildiğinde kontrol kaybediliyor IRM AD RMS AD ile ise merkezi yönetim Ekstra bir user management gerekmiyor Public SDK Mevcut WS geliştirimi yapıldı

24 AD RMS AD RMS - Rights Management Services Dokümanlara belirlenen kişiler tarafından belirlenen haklar ile erişim Hazır Profiller ayarlanabiliyor Name Read Print Copy Forward Reply All Reply Profil1 Yes No No No Yes Yes Profil2 Kurum Kurum Kurum Kurum No Kurum Profil3 Kurum no no no no no Profil4 Kurum Kurum Kurum Kurum Kurum Kurum Profil5 Kurum no no Kurum Kurum Kurum

25 AD RMS

26 Parametreler RMS WS AD RMS ile Tam entegrasyon Platform bağımsız tüm teknolojiler tarafından kullanılabilir WS Standartları İnit. RMS WS Uygulamalar Dökümanı Gönder Yetkili Kişi Yetkisiz Kişi Dökümanı Oluşturan

27

28 Özetle Yaptırımlar ağırlaşıyor Kişisel veriler saldırganların dikkatini çekmekte Kişisel verileri korumak için insiyatif alınmalı Teknolojiler sayesinde doküman fiziksel olarak kurum dışına çıksa dahi korunabiliyor RMS WS teknoloji bağımsız olarak kullanılabilir

29 Kullanılabilecek Kaynaklar Dokümanlarınızın Gizliliğini Nasıl Sağlıyorsunuz? MSDN > MCS Türkiye AD RMS Logging Dış Kaynaklı Uygulamaların Güvenliği Büyük Ölçekli Yapılarda Merkezi Log Onur Başkaya Siber Güvenlik Konferansı 2011

30 Teşekkürler