BÜRO TEKNOLOJİLERİ - Ünite 6: Bilgi Güvenliği ve Yönetimi Özeti :
PAYLAŞ:Ünite 6: Bilgi Güvenliği ve Yönetimi
Ünite 6: Bilgi Güvenliği ve Yönetimi
Giriş
İnternetin yaygınlaşması, bilginin paylaşılmasını ve dolayısıyla bilgi güvenliğini yepyeni boyutlara taşımıştır. Bilgi güvenliği bütün iş hayatı için önemli bir konudur. Bilgi güvenliğini sağlamak işletmeyi gizli iş bilgilerinin kötüye kullanılmasına, İnternet’ten gelen virüs ya da casus yazılım gibi kötü amaçlı saldırılara karşı korur. Bilgilerin güvenliğini sağlamaya yönelik faaliyetleri “bilgi güvenliği yönetimi” adı altında inceleyebiliriz. Bu ünitede bilgi güvenliği konusundaki kavramlar ele alınacak ve bu kavramlara neden önem verilmesi gerektiğinin üzerinde durulacaktır. Bilgisayar ile işlenen suçlar ve bunlardan korunma yollarına yer verilecektir.
Bilgi Güvenliği
İşletmeler, bilgisayar sistemlerine, fiziksel ve sanal ortamlarda tutulan program ve dosyalarına, yetkisiz kişilerin girmesini ve bunları kendi amaçları için kullanmasını engellemek isterler. Bilgi güvenliğinin amacı bilgiyi ve bilgi sistemlerini izinsiz olarak gerçekleştirilebilecek erişim, kullanım, bozma, değiştirme, okuma veya yok etme ve benzeri işlemlerden korumaktır. Bilgi güvenliğinin üç temel amacı vardır:
Gizlilik: Verilerin izni olmayan kişiler tarafından kullanılmasını engellemektir.
Bütünlük: Tüm bilgi sistemlerinin fiziksel sistemlerle uyumlu ve tutarlı olmasıdır.
Kullanıma hazır tutma: Veri ve bilgilerin ihtiyaç duyulduğu anda erişime hazır tutulmasıdır.
Bilgi güvenliği bilgi sistemlerinin yetkisiz kullanımına engel olunması ve herhangi bir güvenlik ihlalinden sonra işletmenin yoluna devam edebilmesinin sağlanmasıdır.
Bilgi Etiği ve Gizliliği
Etik kavramı Türkçe Sözlükte hem ahlaklı olmak, hem de “çeşitli meslek kolları arasında tarafların uyması veya kaçınması gereken davranışlar bütünü” olarak tanımlanmaktadır. Bilginin nasıl toplandığı ve kullanıldığı, bireyin neyi doğru neyi yanlış kabul ettiği ile ilgilidir. Etik olarak belirgin olmayan durumlar da mevcuttur ve böyle durumlarda kişi ne yapacağından emin olamayabilir. Etik yönden en fazla karşılaşılan durumlardan bir tanesi yazılımların kopyalanması ve kullanılmasında ortaya çıkmaktadır. Yazılım, fikri mülkiyetin bir çeşididir. Bu mülkiyet, fiziksel olmayan bir çalışmanın fiziksel bir forma dönüştürülmesidir. Yazılımlar, romanlar, müzik eserleri ve tablolar fikri mülkiyetin bir örneğidir ve Telif Hakları Yasası ile korunmaktadır. Kişinin isteği olmadan hakkında bilgi toplanması “bilgi gizliliği” konusunda değerlendirilebilir. Microsoft tarafından bilgi gizliliğini korumak için önerilen yöntemler şunlardır.
Kişisel bilgileri paylaşmadan önce düşünülmesi gerekenler:
Genele açık hale getirmek istemediğiniz hiçbir şeyi yayınlamayın.
Hakkınızda belirten ayrıntıları en aza indirin.
Hesap numaralarınızı, kullanıcı adlarınızı ve şifrelerinizi gizli tutun.
Asıl e-posta adresinizi veya Anlık Mesajlaşma (IM) adınızı sadece tanıdığınız kişilerle veya itibarlı kuruluşlarla paylaşın.
Kayıt sırasında ve diğer formlarda sadece girilmesi zorunlu olan bilgileri - genelde bir yıldız işaretiyle (*) belirtilir - girin.
Profilinizi veya bloğunuzu özelleştirin: Tarayıcı veya web sitesi ayarlarını veya seçeneklerini, çevrimiçi profil veya fotoğraflarınızı kimlerin görebileceğini, insanların sizi nasıl arayabileceklerini, yayınladıklarınızla ilgili kimlerin yorumda bulunabileceklerini ve başkalarının istenmeyen erişimlerini nasıl engelleyebileceğinizi yönetecek şekilde değiştirin.
Başkalarının neler yayınladıklarını izleyin:
En az iki arama aracı kullanarak Internet üzerinde adınızı aratın. Bir web sitesinde kendinizle ilgili hassas bilgiler bulmanız halinde web sitesinin irtibat bilgilerini bulun ve bu hassas bilgilerin kaldırılması talebinde bulunun.
Başkalarının bloglar ve sosyal ağ sitelerinde hakkınızda neler yazdıklarını düzenli olarak inceleyin. Başkalarının web sitelerinde yayınlanmış bilgiler veya fotoğraflar gibi materyallerden rahatsızlık duyarsanız bunların kaldırılmasını isteyin.
Bilgi Güvenliği İhlalleri
Elektronik olarak bilgi gizliğini ihlal eden kişiler bilgisayar korsanları, iş arkadaşları ya da diğer kişiler olabilir. İşletmeler çalışanları ve müşterileri hakkında bilgilere ihtiyaç duyarlar. Ama genellikle insanlar, özel hayatlarıyla ilgili bilgileri, başkaları da ulaşabilecekse, vermek istemezler. İşletmeler bu bilgileri
\1. “Pazarlama” amaçlı olarak kullanabilecekleri gibi,
\2. Çalışanlarını izleme amaçlı da kullanabilirler.
Pazarlama amaçlı kullanımda; müşteriler işletmelerin kendilerini tanımalarını ister ancak aynı zamanda onları rahatsız etmemelerini de ister.
Pazarlama amacıyla kullanılan araçlar:
Çerez (Cookie): Web siteleri tarafından bilgisayarınıza kaydedilen metin dosyasıdır. Çerez dosyası bilgisayarda ziyaret edilen sitelerde kullanılan kullanıcı adı ve şifreleri saklayarak web sitelerinde her girdiğinizde doğrulama yapmanıza gerek kalmamasını sağlarlar.
İstenmeyen E-Posta (SPAM): Pazarlama amacıyla izinsiz bir şekilde çok sayıda kişiye gönderilen e-postalara “istenmeyen e-posta” adı verilir. “İşe yaramaz e-posta”, “çöp mesaj”, “önemsiz eposta”, “reklam amaçlı mesaj” gibi isimler de istenmeyen e-posta yerine kullanılmaktadır.
Reklam Program (Adware: Advertising Supported Software) ve Casus Program (Spyware): Reklam içeren bilgisayar programlarına “Reklam Program”, kullanıcının bilgisi dışında kişisel bilgiler toplayan bilgisayar programlarına ise “Casus Program” adı verilir.
Kimlik Hırsızlığı: Bilgi etiği ve gizliliği konusundaki en önemli ihlallerden biri de kimlik hırsızlığıdır. Kimlik hırsızlığı, dolandırıcılık amacıyla, bir başkasının kimliğini kullanmaktır. Bu dolandırıcılık türü genel olarak maddi kazanç sağlama amacıyla yapılmaktadır.
Kimlik avı dolandırıcılığının anlaşılması için dikkat edilmesi gereken hususlar:
Alarm veren iletiler ve hesap kapatma tehditleri.
Çok az çaba harcayarak veya hiç çaba harcamayarak para verme vaatleri.
Gerçek olamayacak kadar iyi olan teklifler.
Haberlerde bir doğal afetin yaşandığının belirtilmesinin ardından bir hayır örgütüne bağış talepleri
Kötü bir gramer ve imla hataları
Popüler dolandırıcılık yöntemleri:
Microsoft’un adını veya diğer iyi bilinen şirketlerin adlarını kullanan dolandırıcılıklar.
Piyango dolandırıcılıkları. Microsoft piyangosunu veya çekilişlerini kazandığınızı iddia eden iletiler alabilirsiniz.
Sahte güvenlik yazılımı dolandırıcılıkları, güvenlik yazılımları olarak görünen ancak güvenlik sağlamayan ve gerçek olmayan işlemleri onaylamanız için kullanıcıları aldatmaya çalışan yazılımlardır. “Korkutma amaçlı yazılımlar” olarak da bilinmektedirler.
Kimlik hırsızlığı, spoofing (kimlik sahteciliği) olarak da bilinmektedir. Çevrimiçi kimlik hırsızlıkları “password”(şifre) ve “fishing”(balık tutma) kelimelerinin bir araya getirilmesiyle “phishing”(oltalama) adıyla kullanılmaktadır. Bir ağ (netwok) üzerindeki bilgiyi izinsiz olarak izleyen programlara ise paket dinleyici (sniffer) adı verilir. Bu programlar ağdaki önemli dosyalara ve verilere ulaşmak için korsanlar tarafından kullanılır.
Yemleme konusunda yöntemler:
Şeytan İkizler (ewil twins) yönteminde havaalanı, otel, alış veriş merkezi gibi halka açık alanlarda kablosuz bağlantı hizmeti sağlıyormuş gibi görünen kablosuz ağlardır. Kullanıcıların kişisel bilgilerini elde etmek amacıyla kullanılmaktadır.
DNS Tabanlı Yemleme (pharming): Kullanıcılarıın sahte web sitelerine yönlendirilmeleri yöntemiyle yapılmaktadır. İnternet servis sağlayıcısına (ISS) ulaşan korsanlar internet adresi bilgilerine erişip, adresi değiştirerek amaçlarına ulaşmaktadırlar.
Tıklama Hilesi (click fraud): Sitelerdeki reklamların tıklanmaları karşılığında ödenen parayı arttırmak için yapılan tıklama hilesi, yazılımlar aracılığıyla robot ağlar kullanılarak tıklanmaları ile gerçekleştirilir.
Bilgisayar Suçları
Bilgisayarlar hem dolaylı hem de doğrudan suç aracı olarak kullanılabilmektedir. Bunların içinde bilgi güvenliğine yönelik saldırılar da bulunmaktadır. Bu tip saldırıların amacı bilgi güvenliğini kasıtlı olarak tehdit etmek ve sistemin işleyişini bozmaktır.
İçsel (Dahili) Tehditler: İçsel tehditler, işletmenin kendi çalışanlarından (işletme çalışanları, danışmanlar, tedarikçiler, taşeronlar) kaynaklanan bilgi güvenliği sorunlarını ifade etmektedir.
Dışsal (Harici) Tehditler: Dışardan gelen saldırılar, maddi ve manevi gibi birçok sebeple yapılabilen ve çok sayıda çeşidi olan tehditlerdir. Bu saldırılarda birçok araç kullanılmaktadır.
Kullanılan Araçlar:
Virüsler**: Bilgisayarların çalışmasını engelleme, verileri çalma, bozma, silme ya da kendilerini internet üzerinden yayarak çeşitli sorunlara neden olma amacıyla tasarlanmış programlardır.
Solucan**: Otomatik olarak kendisini bir bilgisayardan diğerine kopyalamak ve bilgisayara başkalarının erişimini sağlamak amacıyla tasarlanmış bir programdır.
Trojan: Kendisini yararlı bir program olarak gösteren ancak birçok zarara yol açabilen zararlı bir yazılımdır.
Klavye kayıtçı (Keylogger): Klavyeden yapılan yazımları kaydedip, yazılımcısına gönderen programlardır. Truva atları ile beraber çalışırlar.
SQL Enjeksiyon (SQL injection): SQL Enjeksiyon web uygulamalarındaki en ciddi açıkların başında gelir. SQL (Structured Query Language: Yapılandırılmış Sorgulama Dili) veri tabanlarında veri çekme, silme ve değiştirme gibi işlemler için kullanılan basit yapılı bir dildir. Özellikle büyük veri tabanlarında birçok yerden yüzlerce kullanıcı veri girişi yaptığı için; bunların her biri SQL enjeksiyon saldırısı için fırsat yaratır.
Yanıltıcı E-Posta: İnsanları korkutup, panikleterek zaman kaybı ve internet yavaşlamasına neden olan yanıltıcı (misleading) e-postalar olarak tanımlanırlar.
Hizmeti Engelleme Saldırıları: (DoS ve DDoS) İnternet siteleri ya da bilgisayar sistemlerinin işlevlerini ve hizmetlerini durdurmak amacıyla yapılan saldırılardır.
Bilgi Güvenliği Önlemleri
Sistemi ya da işletmeyi değişik tekniklerle savunmak için bir dizi önlem kullanılır. Bir çözüm başarısız olsa dahi, bir başkası çalışmaya devam ederek işletmeyi ve bilgileri çeşitli saldırılara karşı korur.
Bilgi güvenliğinin katkıları:
İçeriden ve dışarıdan saldırılara karşı koruma sağlar: Tehditler, işletmenin içinden ve dışından gelebilir. Başarılı bir güvenlik sistemi ağdaki bütün etkinlikleri izler ve sıra dışı durumları belirleyip gereken önlemi alır.
Her yerde her zaman tüm iletişimin gizliliğini sağlar: Çalışanlar, bilgisayar sistemine evlerinden veya hareket halindeyken, iletişimlerinin gizli ve koruma altında olacağı güvencesiyle erişebilir.
Kullanıcıları ve sistemlerini doğru bir şekilde tanımlayarak bilgilere erişimi denetler: İşletmeler, veri erişimiyle ilgili olarak kendi kurallarını oluşturabilir.
İşletmeyi daha güvenilir kılar: Güvenlik teknolojileri sistemi bilinen saldırılara karşı koruduğu ve yeni tehditlere adapte olduğu için çalışanlar, müşteriler ve iş ortakları, bilgilerinin güvenli olduğundan emin olurlar.
İnternette yüzde yüz bilgi güvenliğini tek başına sağlayabilecek bir teknik ya da teknolojinin olması mümkün değildir.
Güvenliği sağlayabilmek için alınabilecek önlemler:
Yedekleme: Oluşabilecek bilgi kayıplarının önüne geçebilmek için önemli verilerin sistemli bir şekilde çoğaltılmasıdır.
Anti Virüs Programları: Bilgisayara herhangi bir şekilde (CD, e-posta, taşınabilir bellek vb.) gelen her dosyayı otomatik olarak tarayan ve bu dosyaları karantinaya alıp, temiz olduğundan emin olduktan sonra kullanımına izin veren programlara “anti virüs programları” adı verilir.
Güvenlik Duvarı**: Güvenlik duvarı bir koruma engelidir. Güvenlik duvarı, bilgisayar ya da bilgisayar sistemine internetten erişimi kısıtlayarak, denetleyerek çalışan yazılım veya donanımdır.
Fiziksel Önlemler: Bilgi sistemlerine müdahalenin ve yetkisiz girişlerin önlenebilmesi için, bilgisayarlar güvenilir fiziksel bir alan içinde tutulmalı, buraya “işi olmayanlar girmemelidir.
Denetimli Erişim: Denetimli erişim başlığı altındaki önlemlerle anlatılmak istenen -adından da anlaşılabileceği gibi- bilgi sistemlerine erişimin denetim altında tutulmasıdır.
Erişimlerde denetim sağlanabilmesi amacı ile şifreleme yapılması gereklidir. Şifreleme yaparken dikkat edilmesi gereken unsurlar:
\1. Sistem elverdiği sürece en az 14 veya daha fazla karakter kullanın.
\2. Şifrenizdeki karakter çeşitliliği ne kadar fazlaysa, o kadar iyidir.
\3. Yalnızca en sık kullandığınız veya gördüğünüz harfleri ya da karakterleri değil, klavyenizin tamamını kullanın.
\4. Hatırlayabileceğiniz güçlü bir şifre oluşturun.
Uzun ve karmaşık şifre oluşturma önerileri için (S:150, Tablo 6.1)
Şifre belirlenirken kaçınılması gerekenler:
\1. Herhangi bir dildeki sözlük kelimeleri
\2. Tersten yazılan kelimeler, sık rastlanan yazım hataları ve kısaltmalar
\3. Diziler veya tekrarlanan karakterler. Örnekler: 12345678, 222222, abcdefg veya klavyenizdeki bitişik harfler (qwerty)
\4. Kişisel bilgiler. Adınız, doğum gününüz, sürücü ehliyetiniz, pasaport numaranız veya benzer bilgiler
Yama (patch): Yama, bilgisayar programlarında oluşan bir hatayı ya da programın içeriğindeki hatalı bir fonksiyonu düzelten bir programdır. Genelde bilgisayarlardaki en büyük güvenlik sorunlarından olan yazılım açıklarına müdahale amacıyla kullanılır.
Kablosuz Ağlarda Güvenlik**: Kablosuz ağların güvenli olması için sadece seçilen kişilerin ulaşabileceği şekilde tasarlanması gereklidir.
Kablosuz ağlarda güvenle çalışabilmek için:
SSID Saklama**: Kablosuz ağlarda erişim noktasının adını (SSID: Service Set Identifier) saklamak alınabilecek ilk temel güvenlik önlemidir.
Erişim Kontrolü: Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dahil olabilir.
Evinde kablosuz ağ kullananlar için temel seviyede güvenlik önlemi almak yeterlidir. Kullandığı erişim noktası cihazının adını değiştirmek gibi.
Şirket ağlarında kullanılan erişim cihazları kesinlikle yerel ağla direkt haberleştirilmemelidir. Araya bir güvenlik duvarı konularak kablosuz ağ istemcilerinin yerel ağa girişleri sınırlandırılarak olası saldırı girişimlerinde iç ağın etkilenmesi önlenir.
Sosyal Ağlarda Güvenlik: Türkiye’de internet kullanımında çocuk ve ailelere dönük önlemler almak için “Güvenli İnternet Hizmeti” hayata geçirilmiştir. Bu hizmetle “Çocuk Profili” ve “Aile Profili” olmak üzere iki seçenek sunmaktadır. Bu hizmet özellikle sosyal ağlar ile ilgili uyarılar içermektedir.
Kişisel bilgilerin herkesle paylaşılmaması
Paylaşılanların istenmeyen kişilere kapatılması
Tanınmayan kişilerin arkadaşlık isteklerinin reddedilmesi
Güçlü şifreler oluşturulması ve kimseyle paylaşılmaması
Suçlular
Bilişim suçları işleyenlere genel olarak “bilgisayar korsanı” denmektedir. Bilgisayar korsanları bilgisayar sistemlerini kıran bilgisayar kullanıcılarıdır. Bilgisayar korsanlarını aşağıdaki şekilde sınıflandırabiliriz.
Heyecan Düşkünü Bilgisayar Korsanları: Heyecan düşkünü bilgisayar korsanları (thrill seeker hacker) bilgisayar sistemlerini eğlence için kırarlar.
Etik Bilgisayar Korsanları: Etik bilgisayar korsanı bilişim suçları işleyen korsanların kullandıkları teknik ve yöntemleri bilen, korsanların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, kısacası bilgisayar dünyasının kötü adamları ile aynı bilgi ve beceriye sahip, iyi niyetli güvenlik uzmanıdır.
Kara Şapkalı Bilgisayar Korsanları: Sistemdeki açıkları bulup (insanları veya sistem yöneticilerini uyarmak yerine) o açıkları kötü amaçla kullanan bilgisayar korsanlarına “kara şapkalı bilgisayar korsanı” adı verilir (Black hat hacker). Bunlar eriştikleri bilgileri çalabilir, silebilir ya da istediği gibi kullanabilirler.
Sistem Kırıcılar: Yazılımlarda kopyalanma için geliştirilen önlemleri çeşitli yöntemlerle kaldıran kişilere “Sistem Kırıcı” (cracker) adı verilir.
Eylemci Bilgisayar Korsanları: Bilgisayar korsanlığını siyasi amaçlar için yapan kişilerdir. Hacktivist olarak da anılan eylemci korsan terimi, bilgisayar korsanı (hacker) ve eylemci (activist) sözcüklerinin birleşmesiyle üretilmiştir.
Siber Teröristler: Siyasi ve sosyal kurumlara ve kişilere gözdağı vermek, baskı oluşturmak amacıyla resmi kurumların bilgisayarlarına ve bilgi sistemlerine saldıran kişilere “siber terörist” adı verilir.
Amatörler: Bilgisayar korsanı olmak isteyen ancak bu konuda fazla teknik bilgisi olmayan kişiler “amatör bilgisayar korsanı” olarak adlandırılabilir (script kiddies, script bunnies).
Ulusal ve Uluslararası Düzenlemeler
Ülkeler bilgi güvenliği hakkındaki mevzuatı sürekli olarak yeni ortaya çıkan sorunlara göre güncellemektedir. Birçok ülkenin farklı uygulamalar benimsediği günümüzde, ülkemizde 2011 yılından bu yana uygulanan “Güvenli İnternet Hizmeti” ile koruma amaçlı alternatif internet erişim sistemi kullanılmaktadır. Aile ve çocuk profili olarak iki seçeneği olan sistemin önerileri aşağıdaki şekildedir.
Ailemizin yeni üyesini tanıyın
Olası tehlikeleri öğrenin
Bilmeleri gerekenleri öğretin
Önce siz örnek olun
Sosyal ağlara dikkat edin
Bilgi Güvenliği Standartları
Uluslararası Standartlar Örgütü (ISO) ve Uluslararası Elektronik Komisyon (IEC) tarafından hazırlanan ISO/IEC 27000 serisi standartlar “Bilgi Yönetim Sistemi” kapsamında bilgi güvenliği, riskler ve denetimler konusunda iyi uygulama örnekleri sağlayan oldukça geniş kapsamlı bir standartlar serisidir.
Örnek Ülke Önlemleri:
Avrupa Birliği (AB):
Elektronik ortamda depolanan, işlenen ve iletilen bilginin kazara veya kasıtlı tehditlere karşı uygun şekilde korunması
Konu ile ilgili uluslararası standartların kabul edilmesi
Konu ile ilgili üye devletlerde gerekli düzenlemelerin yapılmasının gerekliliği
Bilgi sistemlerinin güvenliği için kullanıcı ve servis sağlayıcılara düşen görevlerin tanımlanması
Her kesimden kullanıcının bilgilendirilmesi ve bilinçlendirilmesi için bilgi ve veri güvenliği ile mahremiyetin korunması eğitimlerine önem verilmesi gerektiği vurgulanmıştır
İngiltere: İngiltere’de kimlik bilgilerinin çalınmasına karşı mücadele etmek üzere sivil toplum kuruluşu sıfatıyla CIFAS (UK Fraud Prevention Service, İngiltere Dolandırıcılık Önleme Hizmetleri) adı altında bir örgüt kurulmuştur.
ABD: 2000’li yılların başında FBI tarafından Carnivore isimli elektronik izleme sistemi geliştirilmiştir.
Almanya: Elektronik ortamda gerçekleştirilebilecek saldırılara karşı almakta olduğu önlemler, Federal İçişleri Bakanlığı tarafından hazırlanan “Enformasyon Altyapı Savunması İçin Uusal Plan” adlı belgede tanımlanmıştır.
Fransa: Elektronik ortamda gerçekleştirilebilecek saldırılarla mücadeleden sorumlu tek bir birim bulunmamakta; suçun niteliğine göre farklı birimlere sorumluluk verilmektedir.
İtalya: İtalya’da telekomünikasyon ve bilgi işlem sistemlerini kapsayan konular Telekomünikasyon Bakanlığı ile Yenilikler ve Teknoloji Bakanlığı’nın yetki alanlarına girmektedir.
Kanada: Kanada Devleti, çocukların İnternet kullanılarak istismar edilmesini önlemek amacıyla, 2003 yılında çocuk pornografisinin kullanıldığı web sitelerinin izlenmesi için Microsoft Firması’yla ortak bir çalışma yaparak; CETS (Child Exploitation Tracking System, Çocuk İstismarı İzleme Sistemi) adlı sistemi kurup işletmeye başlamıştır.