E-DÖNÜŞÜM M UYGULAMALARI: GÜVENLİK K SORUNLARI VE ÇÖZÜM ÖNERİLERİ Bilge KARABACAK bilge@uekae.tubitak.gov.tr 6 HAZİRAN 2008
Gündem 1. Durum tespiti: Vatandaşların kritik bilgilerinin yayınlanması E-dönüşüm uygulamalarında sorgulama özgürlüğü Zayıf kimlik doğrulama sistemleri 2. Daha iyiye gitmek için: Neler yapılıyor? Neler yapılmalı? 2
3 Sektör Dergisinden Bir Haber
4 Site Başka, Haber Aynı
Program Kamu kurumu web sayfası TC KİMLİK NO ADRES 5
6 TC Kimlik No E-Dönüşüm Adres
Bilgi güvenliği farkındalığı? E-dönüşüm farkındalığı? Mahremiyet? Gizlilik? 7 Haberlere Geri Dönelim...
8 Konuya Geri Dönelim...
TC Kimlik Numarası mı Lazım? 400 240 9
TC Kimlik Numarası mı Lazım? 1861 231 10
TC Kimlik Numarası mı Lazım? 600 11
TC Kimlik Numarası mı Lazım? 43 12
TC Kimlik Numarası mı Lazım? 57 1 13 + 3433
Daha Fazla TC Kimlik Numarası mı Lazım? Adı Soyadı Cinsiyeti Doğum yılı İl-ilçe Baba adı Anne Adı TC Kimlik No 14
Arayalım 1363 Adı ve soyadı gg.aa.yyyy doğum tarihi Doğum yeri Ana ve baba adı 15 Adı Soyadı Cinsiyeti Doğum yılı İl-ilçe Baba adı Anne Adı TC Kimlik No
E-dönüşüm Uygulamalarında Sorgulama Özgürlüğü Adı Baba adı Doğum yılı Doğum yeri (il/ilçe) Doğum tarihi (YYYY) Vergi kimlik no 16 Soyadı Adı Baba adı Doğum yeri Doğum tarihi
E-dönüşüm Uygulamalarında Sorgulama Özgürlüğü İlk soyadı SSK Sicil no TC kimlik no Anne Adı Doğum yeri Doğum Tarihi (GG.AA.YYYY) Hizmet dökümü Karne no 17 Bağkur no Baba adı TC kimlik no Doğum tarihi Nüfus ili Meslek ili Vergi no Mesleğe giriş tarihi Banka ismi ve şubesi Borç durumu / ödeme bilgisi vs. vs.
E-dönüşüm Uygulamalarında Sorgulama Özgürlüğü Üniversite bilgisi Baba adı Kredi no/katkı no/burs no vs. Banka ve şube bilgileri Ödeme/borç bilgileri 18
19 Zayıf Kimlik Doğrulaması
20 Zayıf Kimlik Doğrulaması
Problemlerin Özeti Problem - 1: Vatandaşların kritik bilgilerinin yayınlanması gov.tr, org.tr, bel.tr, edu.tr Problem - 2: E-dönüşüm uygulamalarında sorgulama özgürlüğü Kullanma zorunluluğu olmayan uygulamalar Sorgu sonucunda gereğinden fazla bilgi olması Sorgu formlarında tüm alanların zorunlu olmaması Zorunlu alanların kolay tahmin edilebilir olması Adı, soyadı, baba adı Yığın sorgulama yapılabilmesi Problem - 3: Zayıf kimlik doğrulama sistemleri İş/sınav başvuruları 21
22 Bir Karşılaştırma Yaparak Durum Tespitini Bitirelim
23 Durum Tespiti Çözüm
24 Eğer Sadece Teknoloji İle Başbaşa Kalırsak...
25 Eğer Sadece Yasal Önlem Alırsak...
26 Hem Teknoloji, Hem Hukuk...
Teknoloji Çözüm Piramidi Problem 3 Uzun/orta vadeli teknik çözümler Ülke çapında düzenleme Vatandaşlık kartı projesi Elektronik kimlik doğrulama ve yönetimi Mevzuat ile desteklenmeli Problem 2 Kısa vadeli teknik çözümler Kurum gerçekleştirmeli Problem 2 Uygulama kullanılmıyorsa kapatılmalı Tüm alanların zorunlu hale getirilmesi Görsel doğrulama metotları kullanılmalı Sorgu sonuçlarının kısıtlanması Erişimler kayıt altına alınmalı ve incelenmeli 27
46 Numaralı Eylem Vatandaşlık Kartı; Pilot Uygulaması ve Yaygınlaştırılması Biyometrik unsurlar da içeren elektronik vatandaşlık kartının kimlik doğrulama için kullanımı sağlanacak ve tüm kimlik doğrulama fonksiyonları tek bir elektronik kartta toplanacaktır. Pilot uygulama sosyal güvenlik alanında hayata geçirilecek, yaygınlaştırma çalışmaları bu uygulamanın sonuçlarına göre yapılacaktır. Problem 2 Problem 3 28
Elektronik Kimlik Doğrulama ve Yönetimi Sistemi Uzun/orta vadeli teknik çözümler Ülke çapında düzenleme Vatandaşlık kartı projesi Elektronik kimlik doğrulama ve yönetimi Vatandaşlık Kartı MERNİS Veritabanı E-devlet kapısı
Vatandaşlık Kartı Projesi Mevzuat Desteği 30 4 Temmuz 2007 Tarih ve 26572 Sayılı resmi gazetede yayımlanan Vatandaşlık Kartı Projesi Konulu Başbakanlık Genelgesi http://mevzuat.dpt.gov.tr/genelge/2007-16.htm Vatandaşlık kartı: Nüfus cüzdanının yerini alacak E-dönüşüm eylem planı 46 nolu maddeye referans Yapılacak işler ve sorumluluklar: Pilot aşama Yaygınlaştırma aşaması
Proje Hakkında Bazı Bilgiler Pilot çalışmaların 2010 da tamamlanması öngörülmektedir. Bütün vatandaşlara yaygınlaştırılmasının 2015 te tamamlanması öngörülmektedir. Sağlık Bakanlığı, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Sosyal Güvenlik Kurumu ve UEKAE çalışmaktadır. 31
88 Numaralı Eylem Ulusal Bilgi Sistemleri Güvenlik Programı TR-BOME Sanal Ortam Savunma Merkezi (SOSAM) kurulumu Bilgi güvenliği kapısı (www.bilgiguvenligi.gov.tr) Bilgi güvenliği yönetim sistemi danışmanlığı Bilgi güvenliği eğitimleri 32 Bilgi sistemleri güvenliği dokümantasyonu
Tespit-1: Ceza Yasası Ne Yapılması Gerektiğini Söylemez Ceza yasamızda: Bilgi teknolojilerinin hedef olduğu suçlar Bu teknolojilerin araç olarak kullanıldığı suçlar 1. Türk Ceza Kanunu (5237) Madde...135, 142, 158, 243, 244, 245, 246... 2. 5651 Sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun 33
Tespit-2: Düzenleyici Mevzuat Eksikliği Ülkemizde bilgi güvenliği konusunda: Kurumların uyması gereken bilgi güvenliği kurallarının ve düzenlemelerinin Uymayanlara verilecek cezaların olduğu bir bilgi güvenliği mevzuatı yoktur. Kurumlar: Kamu kurumları Sivil toplum kuruluşları Özel şirketler 34
87 Numaralı Eylem Bilgi Güvenliği ile İlgili Yasal Düzenlemeler Problem 1 Ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenleme yapılacak ve uygulamaya konulacaktır. Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Taslağı yasalaştırılacaktır. Problem 2 Adalet Bakanlığı, 24 Nisan 2008 de TBMM ye sevk etmiştir. Kanunla kişisel verilerin otomatik olan veya olmayan yollarla işlenmesi konusu düzenlenmiştir. Kişisel Verileri Koruma Kurulu oluşturulması http://www.kgm.adalet.gov.tr/kisiselveriler.htm 35
Temel Çerçeve Problem 1 Problem 2 36 Problem 5 Problem N İçerik: Yasaklamak, iptal etmek, kapatmak, ceza vermek İçerik: Düzenlemek, yöntem belirlemek, yön çizmek, ne yapılması gerektiğini söylemek Yeni kurumlar, kurumlarda yeni birimler Herkes için görevler, rol ve sorumluluklar Herkesin Katkısı Kamu Kurumları Hastaneler, Belediyeler Sivil Toplum Kuruluşları Özel Şirketler Problem 3 Problem 4
Örnek: E-imza için Düzenleyici Mevzuat KANUN 5070 Sayılı Elektronik İmza Kanunu YÖNETMELİK Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Sertifika Mali Sorumluluk Sigortası Yönetmeliği GENELGE Kamu Sertifikasyon Merkezi Oluşturulması Genelgesi Kamu Sertifikasyon Hizmetlerine İlişkin Usul ve Esaslar Hakkında Başbakanlık Genelgesi TEBLİĞ Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ 37
Bilgi Güvenliği için Düzenleyici Mevzuat KANUN TÜZÜK YÖNETMELİK GENELGE 1. Bilgi Sistem ve Ağları için Güvenlik Kültürü 2. Birlikte Çalışabilirlik Esasları Rehberi 38
Birikim ve Bilgi Güvenliği Kanunu E-dönüşüm Eylem Planı 87 numaralı madde Yapılmış çalışmalar Kurumların katkısı 39
Tekerleği Yeniden Keşfetmeyelim Diğer ülkeler/uluslararası organizasyonlar ne yapmışlar? 40 Yasal olarak ne yapmışlar? Düzenleyici kanunları neler? Cezalar neler? Teknolojik olarak ne yapmışlar? Kurumsal olarak ne yapmışlar? Hangi kurumlar var? Kurumlar arası rol ve sorumluluklar nasıl dağıtılmış?
ABD deki Düzenleyici Yasalar 7 Bilgisayar suçları ve ağ güvenliği 9 E-ticaret 4 E-imza ve kriptografi 28 4 Mahremiyet ve Veri Koruma Çalışanları ve bilgi teknolojilerini koruma 41 + 7 59 İletişim (Telekomünikasyon)
42 YCDO = You Can t Do Online!!!
43 Eğer Şifren Varsa...
44 Amerikalı Adresini Değiştirmek İstiyor - 1. Aşama
45 Amerikalı Adresini Değiştirmek İstiyor - 2. Aşama
46 Amerikalı Adresini Değiştirmek İstiyor - 3. Aşama
47 Belli Saatlerde Kullanım
48 Sadece Ölülerin Bilgileri Var
Özet Çözümler Teknik çözümler Kısa vadeli Orta/Uzun vadeli Mevzuat ile ilgili çözümler Bilgi güvenliği mevzuatı (kanun, tüzük, yönetmelik, genelge) 49
Sonsöz Amacım: herhangi bir kamu kurumunu eleştirmek değil. Sorunlar: Kurumlardan ziyade Ülkemizin sorunları Amacım: farkındalığa katkıda bulunmak, çalışmalar konusunda bilgilendirmek 50
Sunumda Adı Geçen Mevzuat Kişisel Verilerin Korunması Hakkında Kanun Tasarısı http://www.kgm.adalet.gov.tr/kisiselveriler.htm Bilgi Sistem ve Ağları için Güvenlik Kültürü Genelgesi http://www.oecd.org/dataoecd/37/34/36406374.pdf Birlikte Çalışabilirlik Esasları Rehberi Genelgesi http://www.bilgitoplumu.gov.tr/mevzuat/36_20050804_genelge_ 200520.pdf Bilgi Toplumu Stratejisi Eylem Planı (2006-2010) http://www.bilgitoplumu.gov.tr/btstrateji/eylem_plani.pdf Vatandaşlık Kartı Projesi Konulu Başbakanlık Genelgesi http://mevzuat.dpt.gov.tr/genelge/2007-16.htm E-imza ile İlgili Düzenleyici Mevzuat http://www.e-imza.gen.tr/index.php?page=mevzuat Türk Ceza Kanunu http://www.tbmm.gov.tr/kanunlar/k5237.html 5651 Sayılı Kanun http://www.tib.gov.tr/kanun_detay1.htm 51
Teşekkürler Sorular? Bilge KARABACAK bilge@uekae.tubitak.gov.tr