BT Güvenliği Güncel Durum ve Eğilimler Mert ÜNERİ Baş Uzman Araştırmacı Tel: 0 312 468 53 00 / 2902 e-posta: uneri@uekae.tubitak.gov.tr
Gündem BT Güvenlik Tehditleri ABD, İngiltere, Avustralya BT Güvenlik Araştırmaları Güvenlik Olayları Sayıları ve Kaynakları Güvenlik Seviyeleri Türkiye de Kamu Kurumları BT Güvenlik Durumu Öneriler 2
BT Güvenlik Tehditleri (1/3) Maddi kayıplar, Hassas bilgilerinizin çalınması, üzerinde değişiklik yapılması veya silinmesi, Bilgi sisteminlerinizin çalışmaması nedeniyle yaşadığınız iş günü kaybı, üretiminizin durması Sorunu çözmek için harcadığınız para, insan gücü 3
BT Güvenlik Tehditleri (2/3) Yasal yükümlülükler, Saldırganlar sisteminize erişim hakkı kazandıktan sonra, izlerini silmekte ve siz farkına varmadan sisteminizi başka saldırılar düzenlemek için kullanmaktadır. Korumanız gereken kişisel bilgilerin açığa çıkması yasal yaptırımlarla karşı karşıya getirebilir. 4
BT Güvenlik Tehditleri (3/3) Prestij kayıpları, Medya hacker olaylarına son derece ilgilidir. Saldırıya uğrayan bir çok organizasyon güven kaybı yaşamamak için olayı duyurmamaktadır. Bu nedenle saldırganların kanuni takibi yapılamamaktadır. Saldırganlar sisteminize erişim hakkı kazandıktan sonra, izlerini silmekte ve siz farkına varmadan sisteminizi başka saldırılar düzenlemek için kullanmaktadır. 5
CERT/CC ye Bildirilen Açıklık Sayısı 6000 5000 4000 3000 2000 1000 0 1995 1997 1999 2001 2003 2005 Açıklık Sayısı CERT/CC: Computer Emergency Response Team Coordination Center 6
Saldırı Düzenlemek için Gerekli Bilgi Düzeyi Saldırı Gelişmişliği Yüksek Saldırgan Bilgi Düzeyi Saldırı Gelişmişliği Alçak back doors disabling audits self-replicating code password guessing packet spoofing sweepers burglaries exploiting known vulnerabilities password cracking sniffers hijacking sessions stealth / advanced scanning techniques denial of service DDOS attacks www attacks automated probes/scans GUI network mgmt. diagnostics 1980 1985 1990 1995 2000 Araçlar Saldırganlar 7
Karşı Kalınan Tehlike Her yıl bilgi sistemlerinde tespit edilen açıklık sayısı artmaktadır. Saldırı düzenlemek için ihtiyaç duyulan bilgi birikimi azalmış, gelişmiş saldırı araçları ile etkili saldırılar düzenlemek mümkün olmuştur. Kurumlar Bilgi Teknolojilerine bağımlılığı gün geçtikçe artmaktadır. 8
ABD, İngiltere ve Avustralya Güvenlik Olayları Araştırmaları 9
Güvenlik Olayı ile Karşılaşmış Kurumlar (1/3) 80 70 60 50 40 30 ABD İngiltere Avustralya 20 10 0 1999 2000 2001 2002 2003 2004 2005 2006 Kaynaklar: ABD CSI/FBI 2005 Computer Crime and Security Survey İngiltere DTI 2006 Information Security Breaches Survey Avustralya 2005 Computer Crime and Security Survey 10
Güvenlik Olayı ile Karşılaşmış Kurumlar (2/3) İNGİLTERE Güvenlik olayları 1999 yılından itibaren 2003 yılına kadar artma eğilimi göstermiştir. ABD Yıllara göre yüzde 50 ve yetmiş arasında değişiklik göstermektedir. AVUSTRALYA Güvenlik ihlali yaşamış kurumların oranı yüzde 50 ile yüzde 35 ler arasında bulunmaktadır. 11
Güvenlik Olayı ile Karşılaşmış Kurumlar (3/3) Güvenlik Olayları ile ilgili bilgi sahibi olmayan kurum yüzdeleri ABD ve İngiltere için yüzde 10, Avustralya için yüzde 4 civarlarındadır. 12
Güvenlik Olayları Sayısı Güvenlik olayı ile karşılaşmış kurumlardan beşten daha fazla güvenlik olayı yaşamış kurum yüzdeleri: 40 35 30 25 20 15 ABD Avustralya 10 5 0 1999 2000 2001 2002 2003 2004 2005 Kaynaklar: ABD CSI/FBI 2005 Computer Crime and Security Survey Avustralya 2005 Computer Crime and Security Survey 13
Güvenlik Olayları Sayısı İngiltere güvenlik olayları ortalaması 2005 yılında 8 olay 2003 yılında 5 olay 14
Kurum Personelinden Kaynaklanan Olaylar ABD, CSI/FBI raporuna göre içeriden gerçekleşen saldırı sayısı ile dışarıdan gerçekleşenleri sayısı yaklaşık olarak eşittir. 70,00% 60,00% 50,00% İngiltere, Sanayi ve Ticaret Bakanlığı raporunda ise dışarıdan gelen saldırı oranı yüzde 68, içeriden gelen saldırı oranı yüzde 32 dir. 40,00% 30,00% 20,00% ABD İngiltere Avustralya 10,00% Avustralya da ise her üç saldırıdan biri içeri kaynaklı geri kalan ikisi dışarı kaynaklıdır. 0,00% İçeri Kaynaklı Saldırılar Dışarı Kaynaklı Saldılar 15
ABD, Avustralya, İngiltere BT Güvenlik Seviyeleri 16
Güvenlik Teknolojilerinin Kullanımı Güvenlik Duvarı AV Yazılımı Saldırı Tespit Sistemi Saldırı Önleme Sistemi VPN Avustralya İngiltere ABD PKI Yeniden Kullanılabilir Şifre Dosya Şifreleme 0 20 40 60 80 100 % 17
Güvenlik Durumu - ABD Kurumların yüzde 82 si BT Denetlemesi gerçekleştiriyor. Kurumların yarısında kurumun BT güvenlik bilinci ve eğitimine yeterince yatırım yapıldığı düşünülüyor. 18
BT Güvenlik Durumu - Avustralya Avustralya da herhangi bir BT Güvenlik Standardı kullanan kurumların oranı 70 60 50 40 30 20 10 0 2003 2004 2005 19
Güvenlik Durumu - Avustrulya Güvenlik profesyonellerinin yarısı 5 yıl veya daha fazla tecrübeye sahip BT Güvenlik Sertifikasyon oranı yüzde 40 civarlarında Üst yönetimin yüzde 80 i BT güvenlik bilinçlendirme ve eğitim konularında daha fazla çaba sarfetmek gerektiğini düşünüyor. 20
BT Güvenlik Durumu - İngiltere Yazılı ve resmi onaylı bilgi güvenliği politikasına sahip kurumların sayısı artıyor. Kurumların yüzde 43 ünde BT Güvenlik Bütçesi bir önceki yıla göre daha fazla. 45 40 35 30 25 20 15 10 5 0 1999 2001 2003 2005 Güvenlik Politikası Yüzdeleri 21
BT Güvenlik Harcamaları ABD BT Güvenlik Bütçesinin BT Bütçesine Oranı 25 20 15 10 5 ABD - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%1 %1-2 %3-5 %6-7 %8-10 >%10 22
BT Güvenlik Harcamaları İngiltere BT Güvenlik Bütçesinin BT Bütçesine Oranı 50 40 30 20 10 Ortalama % 4 5 arasında Risk yönetimi uygulayan kuruluşlar ortalama % 7 Risk yönetimi uygulamayan kuruluşların ortalama %4 İngiltere - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%1 %2-10 %11-25 >%25 23
BT Güvenlik Harcamaları Ortalama % 4 5 arasında Risk yönetimi uygulayan kuruluşlar ortalama % 7 Risk yönetimi uygulamayan kuruluşların ortalama %4 24
BT Güvenlik Harcamaları 60 50 40 30 20 10 Avustralya - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%5 %5-10 %10-15 %15-20 %20-25 >%25 25
ABD, İngiltere ve Avustralya - Güvenlik Olayları Araştırmaları Sonuç İstatistikler ABD, İngiltere ve Avustralya da güvenlik olaylarında geçmiş senelerde gözlenen artışının artık durduğunu göstermektedir. Bu gelişmenin başlıca nedenleri: Güvenlik bilincinin artıyor olması, Güvenlik harcamalarının artması Kurumlarda kullanılan güvenlik teknolojilerinin artması Güvenlik standartlarını uygulayan kurumların artması 26
ABD, İngiltere ve Avustralya - Güvenlik Olayları Araştırmaları Sonuç Olay sayısındaki artış durmuş görünmektedir. Fakat Olay sayılarının azalması, risklerin azaldığı anlamına gelmemektedir. Elimizde olayların kurumlarda sebep olduğu zararın miktarı ile ilgili sağlıklı veri bulunmamaktadır. Kurumların her geçen gün BT bağımlılığının artıyor olması güvenlik olaylarının maliyetlerinin artıyor olmasını gerektirmektedir. Kurum iş süreçlerinin BT bağımlılığı her geçen gün artmakta dolayısı ile güvenlik olaylarından kaynaklanabilecek kayıplar daha büyük olmaktadır. 27
28 Ülkemizde BT Güvenliği
Ülkemiz Kamu Kurumlarında BT Güvenliği E-dönüşüm 2005 Eylem Planı 5 ve 33 no lu maddeleri çerçevesinde Kamu Kurumları Bilgi Güvenliği Analizi çalışmaları yapılmıştır. Çalışmalarda Anket Çalışmaları ve Kurum Ziyaretleri gerçekleştirilmiştir. 39 Kurum Anket Çalışmalarına cevap vermiştir. 10 Kamu Kurumu ziyaret edilmiştir. 29
Ülkemiz Kamu Kurumlarında BT Güvenliği BT Güvenlik Politikası Yazılı ve resmi onaylı BT güvenlik politikası bulunan kurum yüzdesi %22 Yetki ve Sorumluluklar Bilgi Güvenliği için Roller ve Sorumluluklar Dokümanı bulunan kurum yüzdesi % 32 30
Ülkemiz Kamu Kurumlarında BT Güvenliği BT Risk Yönetimi Risk yönetimi gerçekleştirdiğini belirten kurum yüzdesi %35 Risk yönetimi alt faaliyetlerini gerçekleştiren kurum yüzdesi %27 Risk yönetimi destekleyici dokümantasyonu bulunan kurum yüzdesi %15 dir. 31
Ülkemiz Kamu Kurumlarında BT Güvenliği Erişim Kontrolü ve Gözetlenmesi Anket sonuçlarına göre kamu kurumlarının; yüzde 38 inde erişim konrolü (Bilgilere ve Sistemlere Erişim Kontrolü Politikası) ve erişim gözetlenmesi (Sistem Erişiminin ve Kullanımının Gözlenmesine Dair Esaslar) yüzde 13 ünde sadece erişim konrolü (Bilgilere ve Sistemlere Erişim Kontrolü Politikası) yüzde 21 inde sadece erişim gözetlenmesi (Sistem Erişiminin ve Kullanımının Gözlenmesine Dair Esaslar) ile ilgili genel kurallar belirlenmiştir. Geri kalan 28 inde ise bu konularla ilgili genel kurallar geliştirilmemiştir. 32
Ülkemiz Kamu Kurumlarında BT Güvenliği Bilgisayar Güvenlik Olaylarına Müdahale Bilgisayar Güvenlik Olaylarına Müdahale Talimatı bulunan kurum yüzdesi % 19 Acil Durum Planı (İş Sürekliliği Planı) Acil Durum Planı (İş Sürekliliği Planı) bulunan kurum yüzdesi % 24 Veri Yedeklemesi ve Geri Döndürülmesi Prosedürü bulunan kurum yüzdesi % 59 33
Sonuç Tehlike Artıyor Sürekli yeni açıklıklar çıkıyor Saldırı düzenlemek kolaylaşıyor BT bağımlılığımız artıyor Dünyada meydana gelen güvenlik olayları ve güvenliğin sağlanması için yapılan çalışmaların ölçüldüğü çok sağlıklı çalışmalar yok. Elimizde ABD, İngiltere, Avusturalya ülkelerinde yapılan çalışmalar mevcut. 34
Sonuç ABD, İngiltere, Avusturulya ülkelerinde, Güvenlik Standartlarının Kullanımı Güvenlik Bilinçlendirilmesi Dış ve İç Denetim Sertifikalı Ürün Kullanımı Konularında çalışmalar sayesinde güvenlik olayları sayısı sabit kalmış durumda. Ülkemizde kamu kurumlarını kapsayan çalışmaları gerçekleştirdik. Özel sektörü de kapsayan çalışmalar için desteğinize ihtiyacımız bulunmakta. 35
36 Teşekkürler