BT Güvenliği Güncel Durum ve Eğilimler Mert ÜNERİ Baş Uzman Araştırmacı

Benzer belgeler
TREND ANALİZİ MAYIS 2018 NÜKLEER SİBER GÜVENLİK

TR-BOME KM (Türkiye Bilgisayar Olayları Müdahale Ekibi - Koordinasyon Merkezi) Mehmet ERİŞ eris at uekae.tubitak.gov.tr Tel: (262)

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

Venatron Enterprise Security Services W: P: M:

e-dönüşüm TÜRKİYE Bilgi Güvenliği Projeleri Mert ÜNERİ Başuzman Araştırmacı

Finansal Hizmetler Sektöründe Güvenlik Trendleri Türkiye ve Dünyadaki Son Çalışmalar. Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri

Mobil Güvenlik ve Denetim

Kurumsal Ağlarda Web Sistem Güvenliği

Bilgisayar Güvenliği ve Internet

E-DEVLET ve SİBER GÜVENLİK: ULUSLARARASI DEĞERLENDİRME M.Yasir ŞENTÜRK ECE 581 1

Sibergüvenlik Faaliyetleri

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

> The Human dimension. Bilgi guvenliginde insana dair

AĞ ve SİSTEM GÜVENLİĞİ

Risk Analizi. Hazırlayan: Gürsoy DURMUŞ

İletişim Ağlarında Güvenlik

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

BASKI GÜVENLİĞİ ZORUNLULUĞU

Bilgi Güvenliği Farkındalık Eğitimi

Veritabanı Güvenliği ve Savunma Algoritmaları

KKB Kredi Kayıt Bürosu

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

KASPERSKY LAB BUGÜNÜ KORUR, GELECEĞİ GÜVENCE ALTINA ALIR

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

T. C. KAMU İHALE KURUMU

Enerji ve İklim Haritası

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

Bilgi, bir kurumun önemli değerlerinden biridir ve sürekli korunması gerekir. ISO 17799:1999

Dijital Dönüşüm Araştırması

Artış. Ocak-Haziran Oranı (Yüzde) Ocak-Haziran 2014

Yeni Nesil Siber Güvenlik Operasyon Merkezleri. Halil ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş.

ULUSAL BİLGİ SİSTEMLERİ GÜVENLİK PROGRAMI

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Siber Güvenlik Ülkemizde Neler Oluyor?

BT Satın Alımındaki Sismik Kayma

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

İşletim Sistemleri. Hazırlayan: M. Ali Akcayol Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

CISSP HAZIRLIK EĞĠTĠMĠ

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Dünya Enerji Görünümü Dr. Fatih BİROL Uluslararası Enerji Ajansı Baş Ekonomisti Ankara, 25 Aralık 2012

Geleceğin güçlü Türkiye'si için Türkiye'nin Geleceğine Öneriler

Internet te Veri Güvenliği

Türk Akreditasyon Kurumu -TÜRKAK

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

2016 Yılı Ücret Artış Bütçeleri ve Asgari Ücret Artışının Etkileri

Akıllı Şebekede Siber Güvenlik Standardizasyonu

BĠR E-ÖĞRENME UYGULAMASI: BĠLGĠ GÜVENLĠĞĠ BĠLĠNÇLENDĠRME Asım Gençer GÖKCE Uzman Araştırmacı

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

İŞ SÜREKLİLİĞİ POLİTİKASI

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

Güvenlik Seviyenizi Arttırmak için Şifreleme Teknolojisinden Yararlanın

Beyin Gücünden Beyin Göçüne...

AKDENİZ ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ

Alparslan KULOĞLU. Pazarlama ve İş Geliştirme Direktörü BEWARE SİBER TEHDİTLERE BE AWARE HAZIR MIYIZ? 1/19

Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

BİLGİ SİSTEMLERİ GÜVENLİĞİ

YOLSUZLUK ALGI ARAŞTIRMASI

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

Üniversite Öğrencilerinin Sosyal Ağ Bilgi Güvenlik Farkındalıkları

Genel Kısım ISO 9001:2015 ISO 14001:2015 BS OHSAS 18001:2007 ISO 10002:2004. Sertifikasyon Prosedürü

HATAY KHB BILGI İŞLEM BİRİMİ

Ekonomik Gündem. İmalat sanayi dışı endeks ise Haziran ayındaki seviyesi olan 53.7'den 53.9 seviyesine çıktı.

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

VERİ GÜVENLİĞİ. Özer Çelik Matematik-Bilgisayar Bölümü

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

DOK-004 BGYS Politikası

İSG (OHSAS 18001) İSE Faktörleri ve Şartlar

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved.

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

City Security Group OKUL GÜVENLİĞİ ARAŞTIRMASI

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Türkiye İstatistik Kurumu (TÜİK), Türkiye de Ar-Ge ve İnovasyon Faaliyetlerinde Son Durum. Güncel

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Yaşınız kaç diye sorduk;

BİLGİ GÜVENLİĞİ. Temel Kavramlar

BUĞDAY RAPORU

İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ

Türkiye de Güvenli İnternet ve Uygulamaları

Transkript:

BT Güvenliği Güncel Durum ve Eğilimler Mert ÜNERİ Baş Uzman Araştırmacı Tel: 0 312 468 53 00 / 2902 e-posta: uneri@uekae.tubitak.gov.tr

Gündem BT Güvenlik Tehditleri ABD, İngiltere, Avustralya BT Güvenlik Araştırmaları Güvenlik Olayları Sayıları ve Kaynakları Güvenlik Seviyeleri Türkiye de Kamu Kurumları BT Güvenlik Durumu Öneriler 2

BT Güvenlik Tehditleri (1/3) Maddi kayıplar, Hassas bilgilerinizin çalınması, üzerinde değişiklik yapılması veya silinmesi, Bilgi sisteminlerinizin çalışmaması nedeniyle yaşadığınız iş günü kaybı, üretiminizin durması Sorunu çözmek için harcadığınız para, insan gücü 3

BT Güvenlik Tehditleri (2/3) Yasal yükümlülükler, Saldırganlar sisteminize erişim hakkı kazandıktan sonra, izlerini silmekte ve siz farkına varmadan sisteminizi başka saldırılar düzenlemek için kullanmaktadır. Korumanız gereken kişisel bilgilerin açığa çıkması yasal yaptırımlarla karşı karşıya getirebilir. 4

BT Güvenlik Tehditleri (3/3) Prestij kayıpları, Medya hacker olaylarına son derece ilgilidir. Saldırıya uğrayan bir çok organizasyon güven kaybı yaşamamak için olayı duyurmamaktadır. Bu nedenle saldırganların kanuni takibi yapılamamaktadır. Saldırganlar sisteminize erişim hakkı kazandıktan sonra, izlerini silmekte ve siz farkına varmadan sisteminizi başka saldırılar düzenlemek için kullanmaktadır. 5

CERT/CC ye Bildirilen Açıklık Sayısı 6000 5000 4000 3000 2000 1000 0 1995 1997 1999 2001 2003 2005 Açıklık Sayısı CERT/CC: Computer Emergency Response Team Coordination Center 6

Saldırı Düzenlemek için Gerekli Bilgi Düzeyi Saldırı Gelişmişliği Yüksek Saldırgan Bilgi Düzeyi Saldırı Gelişmişliği Alçak back doors disabling audits self-replicating code password guessing packet spoofing sweepers burglaries exploiting known vulnerabilities password cracking sniffers hijacking sessions stealth / advanced scanning techniques denial of service DDOS attacks www attacks automated probes/scans GUI network mgmt. diagnostics 1980 1985 1990 1995 2000 Araçlar Saldırganlar 7

Karşı Kalınan Tehlike Her yıl bilgi sistemlerinde tespit edilen açıklık sayısı artmaktadır. Saldırı düzenlemek için ihtiyaç duyulan bilgi birikimi azalmış, gelişmiş saldırı araçları ile etkili saldırılar düzenlemek mümkün olmuştur. Kurumlar Bilgi Teknolojilerine bağımlılığı gün geçtikçe artmaktadır. 8

ABD, İngiltere ve Avustralya Güvenlik Olayları Araştırmaları 9

Güvenlik Olayı ile Karşılaşmış Kurumlar (1/3) 80 70 60 50 40 30 ABD İngiltere Avustralya 20 10 0 1999 2000 2001 2002 2003 2004 2005 2006 Kaynaklar: ABD CSI/FBI 2005 Computer Crime and Security Survey İngiltere DTI 2006 Information Security Breaches Survey Avustralya 2005 Computer Crime and Security Survey 10

Güvenlik Olayı ile Karşılaşmış Kurumlar (2/3) İNGİLTERE Güvenlik olayları 1999 yılından itibaren 2003 yılına kadar artma eğilimi göstermiştir. ABD Yıllara göre yüzde 50 ve yetmiş arasında değişiklik göstermektedir. AVUSTRALYA Güvenlik ihlali yaşamış kurumların oranı yüzde 50 ile yüzde 35 ler arasında bulunmaktadır. 11

Güvenlik Olayı ile Karşılaşmış Kurumlar (3/3) Güvenlik Olayları ile ilgili bilgi sahibi olmayan kurum yüzdeleri ABD ve İngiltere için yüzde 10, Avustralya için yüzde 4 civarlarındadır. 12

Güvenlik Olayları Sayısı Güvenlik olayı ile karşılaşmış kurumlardan beşten daha fazla güvenlik olayı yaşamış kurum yüzdeleri: 40 35 30 25 20 15 ABD Avustralya 10 5 0 1999 2000 2001 2002 2003 2004 2005 Kaynaklar: ABD CSI/FBI 2005 Computer Crime and Security Survey Avustralya 2005 Computer Crime and Security Survey 13

Güvenlik Olayları Sayısı İngiltere güvenlik olayları ortalaması 2005 yılında 8 olay 2003 yılında 5 olay 14

Kurum Personelinden Kaynaklanan Olaylar ABD, CSI/FBI raporuna göre içeriden gerçekleşen saldırı sayısı ile dışarıdan gerçekleşenleri sayısı yaklaşık olarak eşittir. 70,00% 60,00% 50,00% İngiltere, Sanayi ve Ticaret Bakanlığı raporunda ise dışarıdan gelen saldırı oranı yüzde 68, içeriden gelen saldırı oranı yüzde 32 dir. 40,00% 30,00% 20,00% ABD İngiltere Avustralya 10,00% Avustralya da ise her üç saldırıdan biri içeri kaynaklı geri kalan ikisi dışarı kaynaklıdır. 0,00% İçeri Kaynaklı Saldırılar Dışarı Kaynaklı Saldılar 15

ABD, Avustralya, İngiltere BT Güvenlik Seviyeleri 16

Güvenlik Teknolojilerinin Kullanımı Güvenlik Duvarı AV Yazılımı Saldırı Tespit Sistemi Saldırı Önleme Sistemi VPN Avustralya İngiltere ABD PKI Yeniden Kullanılabilir Şifre Dosya Şifreleme 0 20 40 60 80 100 % 17

Güvenlik Durumu - ABD Kurumların yüzde 82 si BT Denetlemesi gerçekleştiriyor. Kurumların yarısında kurumun BT güvenlik bilinci ve eğitimine yeterince yatırım yapıldığı düşünülüyor. 18

BT Güvenlik Durumu - Avustralya Avustralya da herhangi bir BT Güvenlik Standardı kullanan kurumların oranı 70 60 50 40 30 20 10 0 2003 2004 2005 19

Güvenlik Durumu - Avustrulya Güvenlik profesyonellerinin yarısı 5 yıl veya daha fazla tecrübeye sahip BT Güvenlik Sertifikasyon oranı yüzde 40 civarlarında Üst yönetimin yüzde 80 i BT güvenlik bilinçlendirme ve eğitim konularında daha fazla çaba sarfetmek gerektiğini düşünüyor. 20

BT Güvenlik Durumu - İngiltere Yazılı ve resmi onaylı bilgi güvenliği politikasına sahip kurumların sayısı artıyor. Kurumların yüzde 43 ünde BT Güvenlik Bütçesi bir önceki yıla göre daha fazla. 45 40 35 30 25 20 15 10 5 0 1999 2001 2003 2005 Güvenlik Politikası Yüzdeleri 21

BT Güvenlik Harcamaları ABD BT Güvenlik Bütçesinin BT Bütçesine Oranı 25 20 15 10 5 ABD - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%1 %1-2 %3-5 %6-7 %8-10 >%10 22

BT Güvenlik Harcamaları İngiltere BT Güvenlik Bütçesinin BT Bütçesine Oranı 50 40 30 20 10 Ortalama % 4 5 arasında Risk yönetimi uygulayan kuruluşlar ortalama % 7 Risk yönetimi uygulamayan kuruluşların ortalama %4 İngiltere - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%1 %2-10 %11-25 >%25 23

BT Güvenlik Harcamaları Ortalama % 4 5 arasında Risk yönetimi uygulayan kuruluşlar ortalama % 7 Risk yönetimi uygulamayan kuruluşların ortalama %4 24

BT Güvenlik Harcamaları 60 50 40 30 20 10 Avustralya - BT Güvenlik Bütçesinin BT Bütçesine Oranı 0 Bilinmiyor <%5 %5-10 %10-15 %15-20 %20-25 >%25 25

ABD, İngiltere ve Avustralya - Güvenlik Olayları Araştırmaları Sonuç İstatistikler ABD, İngiltere ve Avustralya da güvenlik olaylarında geçmiş senelerde gözlenen artışının artık durduğunu göstermektedir. Bu gelişmenin başlıca nedenleri: Güvenlik bilincinin artıyor olması, Güvenlik harcamalarının artması Kurumlarda kullanılan güvenlik teknolojilerinin artması Güvenlik standartlarını uygulayan kurumların artması 26

ABD, İngiltere ve Avustralya - Güvenlik Olayları Araştırmaları Sonuç Olay sayısındaki artış durmuş görünmektedir. Fakat Olay sayılarının azalması, risklerin azaldığı anlamına gelmemektedir. Elimizde olayların kurumlarda sebep olduğu zararın miktarı ile ilgili sağlıklı veri bulunmamaktadır. Kurumların her geçen gün BT bağımlılığının artıyor olması güvenlik olaylarının maliyetlerinin artıyor olmasını gerektirmektedir. Kurum iş süreçlerinin BT bağımlılığı her geçen gün artmakta dolayısı ile güvenlik olaylarından kaynaklanabilecek kayıplar daha büyük olmaktadır. 27

28 Ülkemizde BT Güvenliği

Ülkemiz Kamu Kurumlarında BT Güvenliği E-dönüşüm 2005 Eylem Planı 5 ve 33 no lu maddeleri çerçevesinde Kamu Kurumları Bilgi Güvenliği Analizi çalışmaları yapılmıştır. Çalışmalarda Anket Çalışmaları ve Kurum Ziyaretleri gerçekleştirilmiştir. 39 Kurum Anket Çalışmalarına cevap vermiştir. 10 Kamu Kurumu ziyaret edilmiştir. 29

Ülkemiz Kamu Kurumlarında BT Güvenliği BT Güvenlik Politikası Yazılı ve resmi onaylı BT güvenlik politikası bulunan kurum yüzdesi %22 Yetki ve Sorumluluklar Bilgi Güvenliği için Roller ve Sorumluluklar Dokümanı bulunan kurum yüzdesi % 32 30

Ülkemiz Kamu Kurumlarında BT Güvenliği BT Risk Yönetimi Risk yönetimi gerçekleştirdiğini belirten kurum yüzdesi %35 Risk yönetimi alt faaliyetlerini gerçekleştiren kurum yüzdesi %27 Risk yönetimi destekleyici dokümantasyonu bulunan kurum yüzdesi %15 dir. 31

Ülkemiz Kamu Kurumlarında BT Güvenliği Erişim Kontrolü ve Gözetlenmesi Anket sonuçlarına göre kamu kurumlarının; yüzde 38 inde erişim konrolü (Bilgilere ve Sistemlere Erişim Kontrolü Politikası) ve erişim gözetlenmesi (Sistem Erişiminin ve Kullanımının Gözlenmesine Dair Esaslar) yüzde 13 ünde sadece erişim konrolü (Bilgilere ve Sistemlere Erişim Kontrolü Politikası) yüzde 21 inde sadece erişim gözetlenmesi (Sistem Erişiminin ve Kullanımının Gözlenmesine Dair Esaslar) ile ilgili genel kurallar belirlenmiştir. Geri kalan 28 inde ise bu konularla ilgili genel kurallar geliştirilmemiştir. 32

Ülkemiz Kamu Kurumlarında BT Güvenliği Bilgisayar Güvenlik Olaylarına Müdahale Bilgisayar Güvenlik Olaylarına Müdahale Talimatı bulunan kurum yüzdesi % 19 Acil Durum Planı (İş Sürekliliği Planı) Acil Durum Planı (İş Sürekliliği Planı) bulunan kurum yüzdesi % 24 Veri Yedeklemesi ve Geri Döndürülmesi Prosedürü bulunan kurum yüzdesi % 59 33

Sonuç Tehlike Artıyor Sürekli yeni açıklıklar çıkıyor Saldırı düzenlemek kolaylaşıyor BT bağımlılığımız artıyor Dünyada meydana gelen güvenlik olayları ve güvenliğin sağlanması için yapılan çalışmaların ölçüldüğü çok sağlıklı çalışmalar yok. Elimizde ABD, İngiltere, Avusturalya ülkelerinde yapılan çalışmalar mevcut. 34

Sonuç ABD, İngiltere, Avusturulya ülkelerinde, Güvenlik Standartlarının Kullanımı Güvenlik Bilinçlendirilmesi Dış ve İç Denetim Sertifikalı Ürün Kullanımı Konularında çalışmalar sayesinde güvenlik olayları sayısı sabit kalmış durumda. Ülkemizde kamu kurumlarını kapsayan çalışmaları gerçekleştirdik. Özel sektörü de kapsayan çalışmalar için desteğinize ihtiyacımız bulunmakta. 35

36 Teşekkürler

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim