Kurumsal Bilgi Güvenliği ve Siber Güvenlik
Değişik Formdaki Bilgi İstemci Sunucu Dizüstü bilgisayar Kablosuz ağlar Medya Dokümanlar Kurum çalışanları Yazıcı çıktıları Radyo-televizyon yayınları Yazılımlar Cep telefonları, PDA lar Fotoğraf makineleri 2
Kullanıcı Bilincinin Önemi Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir. 3
Bazı Yanlış Düşünceler Güvenlikten bilgi işlem sorumludur. Antivirüs yazılımımız var, dolayısıyla güvendeyiz! Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! Bilgimin kopyasını alıyorum, güvenlikten bana ne! Bir çok güvenlik saldırısı kurum içinden geliyor! 4
Bilgisayarı Kullanırken Bilgisayar başından kalkarken ekran kilitlenmelidir. Bilgisayarınıza girerken şifrenin başkaları tarafından görülmemesi sağlanmalıdır. Kullanıcı isminizi ve kullanıcı haklarınızı kullanarak başka bir kimsenin işlem yapmasına izin verilmemelidir. Şifre korumalı ekran koruyucusu ayarlanmalıdır. 5
Şifre Güvenliği - 1 En önemli kişisel bilgi şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız. 6
Şifre Güvenliği - 2 En az sekiz karakterli olmalıdır. Rakam ve özel karakterler (?,!, @ vs) içermelidir. Büyük ve küçük harf karakteri kullanılmalıdır. Örnek güçlü bir şifre: AG685kt?!
Şifre Güvenliği - 3
Şifre Güvenliği - 4 Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü, doğum günü vs.). Sisteme erişimde kullandığınız şifreler oyun siteleri, bilgilendirme siteleri gibi yerlerde kullandığınız şifrelerle aynı ya da benzer olmamalıdır. Farklı sistemler için aynı şifre kullanılmamalıdır.
Şifreler - Kötü Şifre Örnekleri celik Kullanıcının soyismi. 8 karakterden az. Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. alicelik Kullanıcının adı ve soyadı Ali_celik1234 ali123 antalya 34bg356 İçerisinde kullanıcı ismi ve soyismi geçiyor. Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. Araç plakası. 13nisan1967 Qwerty123 Mercedes Kalem Doğum tarihi ya da önemli bir tarih. Çok kullanılan karakter sıraları. Özel isim Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kalem111 Kelimenin türevi 10
Şifreler - Kötü Şifre Örnekleri 11
Şifreler - Düzenli Olarak Değiştirin 12
Yazılım Yükleme - Güncelleme Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. Güvenilir olmayan sitelerden yazılım indirilmemeli ve kullanılmamalıdır. 13
Donanım Ekleme İnternet e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır. Bilgisayarlara modem takılmamalıdır. Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır. 14
Dizüstü Bilgisayar Kullanımı Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. Şifre güvenliği sağlanmış olmalıdır. İçinde kurumsal veri olmamalıdır. Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir. 15
Taşınabilir Medya Güvenliği Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir. 16
Yazıcı Kullanımı Gizli bilgi içeren dokümanların çıktıları alınırken, Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. 17
Zararlı Programlar - Virüsler Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. Antivirüs programı kapatılmamalıdır. Dosyalar virüs taramasından geçirilmelidir. Uzantısı exe, scr, zip, rar olan dosyalara özel dikkat göstermelidir. 18
Zararlı Programlar - Truva Atları 19
Zararlı Programlar - Spyware - 1 Spyware (Casus Yazılım) saldırısının belirtileri şunlardır: Bitmek bilmeyen pop up pencereleri Tarayıcımızda istem dışında kurulan araç çubukları Web tarayıcımızda giriş sayfasının değişmesi Tab tuşu gibi bazı özel tuşların çalışmaması Rastgele karşımıza gelen hata mesajları Bilgisayarla çalışırken karşılaştığımız aşırı yavaşlık 20
Zararlı Programlar - Spyware - 2 İstem dışı kurulan spyware yazılımlarından korunmak için, Karşınıza çıkan pop-up pencerelerindeki bağlantılara tıklanmamalıdır. Pop-up pencerelerini kapatırken, pencere içindeki kapat tuşunu kullanmak yerine, pencerenin sağ üst köşesinde bulunan X işareti kullanılmalıdır. Karşınıza çıkan pencerelerde beklemediğiniz bir soru çıktığında, doğrudan Evet seçeneği seçilmemelidir. Spyware ile mücadele için kullanılan bir çok yazılım da aslında başlı başına casus yazılımdır. Sistem yöneticisine danışmadan bu tip yazılımlar kurulmamalıdır. Ücretsiz yazılımlara dikkat edilmelidir. Antivirüs yazılımınızı güncel tutun! 21
HTTP ve FTP Erişimleri HTTP ve FTP veri alışverişini sağlayan erişim protokolleridir. Spyware, arkakapı (backdoor) programları genellikle HTTP veya FTP erişimleri ile bilgisayara girer. Güvenilmeyen web ve FTP siteleri ziyaret edilmemelidir. Şifreli iletişimlerde (SSL) pencerede çıkan sertifika kontrol edilmelidir. Şifrenizin değişmesi gerektiği ile ilgili gelen web sayfaları ya da e-posta mesajlarının kaynağı gerektiğinde bilgi sistemlerine danışarak kontrol edilmelidir. 22
5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1: Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usülleri düzenlemektir. 24
Yedekleme Kurumsal dokümanlar yedeği alınan dizinin altına konumlandırılmalıdır. Yedeklenmesi gereken tüm dokümanlar bu dizinde olmalıdır. Diğer dizinlerdeki dosyaların yedeklerini alma kullanıcı sorumluluğundadır. 25
E-posta Güvenliği Sistemin güvenliğinin kullanıcı adı ve şifreye dayandığını unutmayınız. Şifrenizi başkasının öğrenmesi durumunda sizin e- postalarınızı okuyabileceğini, sizin adınıza kurum içindeki ve dışındaki kişilere e-posta gönderebileceğini ve bunun kurum açısından ve sizin açınızdan doğuracağı sakıncaları aklınızda bulundurunuz. İnternet kafe ve diğer genel yerlerden yapacağınız bağlantılarda sistemden çıkmayı unutmayınız, gizli olduğunu düşündüğünüz ekleri açmayınız. 26
E-posta Güvenliği Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. Spam e-postalara cevap verilmemelidir. E-posta adres bilgisi güvenilir kaynaklara verilmelidir. 27
E-postalar - Spam E-posta Örneği E-posta nın kimden bölümündeki adres yanlış. E-posta nın kime bölümündeki adres E- postanın geldiği kişiye ait değil. İlgi çekici bir konu. Genellikle her spam E-postada olan üyelik sildirme bölümü. 28
E-postalar - Taklit E-postalar 29
E-postalar - Taklit E-postalar 30
Sosyal Mühendislik Bu teknikte öncelikli amaç güven sağlamaktır.güven sağladıktan sonra gerekli bilgi yavaş yavaş alınır. Kötü niyetli kişi, her konuşmada küçük bilgi parçaları elde etmeye çalışabilir. Konuşmalar daha çok arkadaş sohbeti şeklinde geçer. Bu konuşmalarda önemli kişilerin adları, önemli sunucu bilgisayarlar veya uygulamalar hakkında önemli bilgiler elde edilir. Sosyal mühendislik için en etkin yol telefondur. Sosyal mühendislik her zaman telefonla olmaz, bunun dışında kuruma misafir olarak gelen kötü niyetli kişiler bilgisayarların klavye veya ekran kenarlarına yapıştırılan kullanıcı adı ve şifre kağıtlarını da alabilirler. Kurumun çöplerini attığı yerleri karıştırabilirler. Bu nedenle çöplerinize kurumsal bilgi içeren 31 kağıtlar atmayınız.
Sosyal Mühendislik Örnekleri 32
Sosyal Mühendislik - Alınacak Tedbirler Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da 33 yapacaktır.
Dosya Erişim ve Paylaşımı Oluşturulan dosyaya erişecek kişiler ve hakları bilmesi gereken prensibine göre belirlenmelidir. Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. Güvensiz dosya paylaşım yazılımları kullanılmamalıdır. 34
Sonuç Bilgi Güvenliğinin Kurumsallaşması Tüm bu anlatılan maddeler BİLGİ GÜVENLİĞİ POLİTİKASI olarak kurum yönetimi tarafından uygulatılmalıdır. Kullanıcı sorumlulukları bu politika içerisinde ifade edilmelidir. Ayrıca bilgi işlem personelinin görevleri de politikada yer almalıdır. Kullanıcı bilinçlendirme çalışmaları düzenli olarak tekrar edilmelidir. İç Denetim biriminin düzenli olarak uygulamayı denetlemesi gerekmektedir. 35