Iscturkey All Papers

14,929
-1

Published on

Uluslararasi Katilimli Bilgi Güvenligi ve Kriptoloji Konferansı 2008 Tüm Bildiriler

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
14,929
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
82
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Iscturkey All Papers

  1. 1. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Ülke Bilgi Güvenliği Yılmaz VURAL, Şeref SAĞIROĞLU Özet— Kiúisel ve kurumsal düzeyde stratejik bilgileri içeren ülke bilgi sistemleri, güvenlik tehditlerine karúÕ korunmalÕdÕr. AyrÕca geliútirilen yeni uygulamalarÕn da beraberinde yeni Ülke bilgi sistemlerimizde bilgilerin üretilmesi, iúlenmesi, güvenlik tehditlerini getirdi÷i düúünüldü÷ünde bilgi iletilmesi, depolanmasÕ ve paylaúÕlmasÕna ba÷lÕ olarak oluúabilecek güvenlik ihlallerini en aza indirgemek için kiúisel ve güvenli÷inin sa÷lanmasÕnÕn her geçen gün daha da zorlaútÕ÷Õ kurumsal seviyede alÕnmasÕ gereken güvenlik önlemleri her anlaúÕlacaktÕr. geçen gün artmaktadÕr. Bu çalÕúmada, ülke bilgi güvenli÷inin Kamu veya özel kuruluúlara ait a÷ destekli bilgi yüksek seviyede sa÷lanmasÕ için kurumsal ve kiúisel bilgi sistemlerinin birbirleriyle etkileúimi her geçen gün artmakta güvenli÷inin önemi, en zayÕf halka olan insan faktörünün ve bu sistemler ülke bilgi sistemlerinin altyapÕsÕnÕ iyileútirilmesi için e÷itimin önemi ve güvenlik süreçlerinin oluúturmaktadÕr. Ülke bilgi sistemleri ülke güvenli÷i açÕsÕndan iyileútirilmesini sa÷layan güvenlik testleri incelenmiútir. Son olarak ülke bilgi güvenli÷i hakkÕnda genel de÷erlendirmeler önemli olan stratejik ülke bilgilerinin, ilgili kurumlarÕn kendi yapÕlarak öneriler yapÕlmÕútÕr. içinde veya baúka kurumlar arasÕnda paylaúÕlmasÕnÕ ve kullanÕlmasÕnÕ sa÷ladÕ÷Õndan ülke bilgi sistemlerinin Anahtar— Bilgi güvenli÷i, kiúisel bilgi güvenli÷i, kurumsal güvenli÷inin yüksek seviyede sa÷lanmasÕ ülke güvenli÷i bilgi güvenli÷i, güvenlik testleri, ülke bilgi güvenli÷i açÕsÕndan önemlidir. Kiúilerin ve kurumlarÕn sahip olduklarÕ önemli bilgilerin yer Summary— National Information Systems that consist of aldÕ÷Õ ülke bilgi sistemleri istihbarat veya terör amaçlÕ strategic information at personal and enterprise level must be yapÕlabilecek siber saldÕrÕlara karúÕ yüksek seviyede protected against threats. Personal and enterprise level security precautions are increasing day by day in order to decrease korunmasÕ gerekmektedir. Ülke bilgi güvenli÷ini tehdit eden probable security threats that occur as a result of information unsurlar sadece elektronik ortamlarda yapÕlan saldÕrÕlarla being produced, processed, transferred, stored and shared on sÕnÕrlÕ de÷ildir. ønsan hatalarÕ, yangÕn, sel, deprem, terör national information systems. In this paper, importance of saldÕrÕlarÕ, sabotaj gibi istenmeyen olaylar veya do÷al personal and enterprise information security in order to provide felaketler sonucunda da bilgiler ve bilgi sistemleri tamamen ya national information security, importance of information da kÕsmen zarar görmektedir. AyrÕca korunmasÕzlÕ÷Õn yanÕnda security education and awareness in order to improve human factor which is the weakest link of security life cycle and security korunma seviyesinin iyi belirlenememesi ve etkin güvenlik tests supplying improvements of security processes have been önlemlerinin alÕnamamasÕ da beraberinde maliyet, performans examined. Finally some evaluations about national information ve verimsizlik gibi önemli di÷er sorunlara yol açmaktadÕr. security have been performed. Günümüzde elektronik ortamlarda meydana gelen güvenlik ihlâllerinden hemen hemen her gün bahsedilmektedir. Bu Keywords— Information security, enterprise information ihlallerden bir tanesi olan ve ülke bilgi güvenli÷i açÕsÕndan security, personal security, security testing, national information önemli bir örnek olan “EstonyanÕn ülke bilgi sistemlerine security karúÕ yapÕlan da÷ÕtÕk temelli hizmet aksattÕrma saldÕrÕlarÕ” I. GøRøù sonucunda 1,3 milyonluk nüfusa sahip Estonya'daki kamu, banka ve medya internet siteleri, Rusya kaynaklÕ yüz binlerce B ilgi sistemlerinin kurumsal veya kiúisel düzeyde kullanÕmÕnÕn yaygÕnlaúmasÕ sonucunda hayatÕmÕz kolaylaúÕrken güvenli÷i yüksek seviyede sa÷lanan bilgi bilgisayardan yapÕlan geniú kapsamlÕ, eúgüdümlü ve uzun süreli saldÕrÕlar sonucu çökertilmiú ve Estonyada hayat durma noktasÕna gelmiútir [2]. Bu saldÕrÕ devletler arasÕnda yaúanan sistemlerine duyulan ihtiyaçlar da aynÕ oranda artmaktadÕr [1]. ilk siber so÷uk savaú olarak tarihe geçmiútir. A÷ destekli bilgi sistemleri üzerinden haberleúen, sayÕlarÕ ønternet güvenlik úirketi McAfee firmasÕnÕn 2007 yÕlÕ hÕzla artan ve geniú kitlelerce ülke çapÕnda kullanÕlan sonunda hazÕrladÕ÷Õ raporda gelecek on yÕlda dünyada uygulamalar üzerinde tutulan bilgilerin de÷eri güvenli÷e iliúkin en büyük tehditlerden birinin, ülkeler düúünüldü÷ünde bilgi güvenli÷inin sa÷lanmasÕnÕn önemi daha arasÕnda bilgi sistemleri üzerinde yaúanacak siber so÷uk iyi anlaúÕlacaktÕr. savaúlarÕn oldu÷u belirtilmiútir. Raporda yaklaúÕk 120 ülkenin, mali piyasalar, resmi bilgisayarlar sistemleri ve kamu ù. SAöIROöLU, Gazi Üniversitesi Mühendislik MimarlÕk Fakültesi, hizmetleri alanÕnda interneti kullanmak için çözümler Bilgisayar Mühendisli÷i Bölümü, Ankara, ss@gazi.edu.tr geliútirdi÷ini ve istihbarat örgütlerinin di÷er devletlerin ülke bilgi sistemlerini sürekli sÕnayarak zayÕf noktalarÕnÕ bulmak Y. VURAL, STM A.ù., Ankara, yvural@stm.com.tr için yeni teknikler geliútirildi÷i vurgulanmÕútÕr [3]. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 3
  2. 2. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bu ve benzeri siber tehditlerden ülke düzeyinde etkilenmeyi destekli bir ortamda birlikte çalÕúabilirlik kabiliyeti kazanacaktÕr. en aza indirmek için kurumsal ve kiúisel düzeyde alÕnmasÕ Sistemlerin sistemi, birbirinden farklÕ sistemlerin tek gereken önemli güvenlik tedbirleri vardÕr. Ülke bilgi baúlarÕna gerçekleútiremeyecekleri iúlevleri yapabilmek için güvenli÷inin aúamalarÕnÕ oluúturan kurumsal ve kiúisel bilgi a÷ destekli ortamlarÕ kullanarak birbirleriyle uyumlu ve etkin güvenli÷inin yüksek düzeyde sa÷lanmasÕ, ülke bilgi güvenli÷i úekilde çalÕúabilmesiyle oluúan sistemler kümesi olarak politikalarÕnÕn oluúturulmasÕ, yapÕlmasÕ gerekenler arasÕnda ilk tanÕmlanmaktadÕr [9]. Sistemlerin sistemine verilebilecek en sÕrada gelmektedir. KullanÕcÕlarÕn kiúisel bilgi güvenli÷i güzel örnek Internet’dir. ønternet yÕllar içinde geliúmiú, konusunda bilinçli olmalarÕ gerekirken, kurumlarÕn kurumsal yaygÕnlaúmÕú ve günümüzde dünyaya yayÕlmÕú bir bilgi bilgi güvenli÷i konusunda önlemler almalarÕ ise yapÕlmasÕ sistemleri toplulu÷u haline gelmiútir. gereken önemli görevler arasÕndadÕr [4]. Ulusal bilgi sisteminin bu yaklaúÕm çerçevesinde Bu çalÕúmada takip eden bölümlerde stratejik ülke oluúturulmasÕ sonucunda kazanÕlacak bir çok olumlu bilgilerinin yer aldÕ÷Õ ülke bilgi sistemleri açÕklanmÕú, ülke kabiliyetin yanÕnda güvenlik, performans ve yönetim gibi bilgi sistemlerinin güvenli÷inin sa÷lanmasÕnda önemli temel sorunlarÕnda dikkate alÕnmasÕ ve çözümlenmesi aúamalar olan kiúisel ve kurumsal bilgi güvenli÷i konularÕ ayrÕ gerekmektedir. Tüm bu sorunlarÕn çözümünde ise bilgi baúlÕklar altÕnda ele alÕnmÕú ve takip eden bölümlerde güvencesi (information assurance) kavramÕ ön plana güvenlik testleri ve e÷itimin önemi üzerinde durulmuútur. Son çÕkmaktadÕr. olarak ülke bilgi güvenli÷i konusunda de÷erlendirmeler Bilgi güvencesi bilginin güvenli÷i, performansÕ ve yönetimi yapÕlmÕú ve öneriler sunulmuútur. gibi temel konularÕn birlikte çözümlenmesini sa÷layan çözümler kümesi olarak tanÕmlanmaktadÕr [10]. Bilgi II. ÜLKE BøLGø SøSTEMLERø güvencesi sayesinde ülke bilgi sistemlerinin a÷ ve bilgi Bilgi genellikle, bireyler veya kurumlar tarafÕndan bir altyapÕlarÕnÕn bütünleúmesi sa÷lanacaktÕr. Bilgi güvencesi sorunun çözümü, herhangi bir çalÕúmanÕn baúlatÕlmasÕ ya da kurumsal bilgi sistemlerinin birlikte çalÕútÕ÷Õ ülke bilgi bitirilmesi gibi faaliyetler sonucunda ortaya çÕkarÕlan sistemlerinin tamamÕnda sa÷lanmalÕdÕr. Ülke bilgi anlamlandÕrÕlmÕú verilerin bütününü ifade etmektedir. Bilgi güvenli÷inin yüksek seviyede sa÷lanabilmesi için kurumsal kelimesinin menúei, Latincedeki herhangi bir úeye úekil bilgi güvenli÷inin ülke genelinde yeterli koruma seviyesinde vermek anlamÕna gelen “informare” kelimesinden gelmektedir sa÷lanmasÕ önemlidir. Bundan dolayÕ takip eden bölümde [5]. Sözlük anlamÕyla bilgi; “Ö÷renme, araútÕrma ve gözlem kurumsal bilgi güvenli÷inin yüksek seviyede sa÷lanmasÕna yoluyla elde edilen her türlü gerçek, malumat ve kavrayÕúÕn yönelik açÕklamalar yapÕlmÕútÕr. tümü” olarak tanÕmlanmaktadÕr [6]. Bilgi sistemleri donanÕmlar, yazÕlÕmlar, iletiúim teknolojileri ve insan gibi alt III. KURUMSAL BøLGø GÜVENLøöø bileúenlerden meydana gelmektedir. Bilgiler, bilgi sistemleri Kurumsal bilgi, kurum içinde üretilen veya kuruma aracÕlÕ÷Õyla üretilmeye, iúlenmeye, taúÕnmaya ve depolanmaya dÕúarÕdan gelen, o kurumla ilgili kayÕtlÕ ya da kayÕtsÕz her türlü baúladÕkça güvenlik tehditleri ve alÕnmasÕ gereken önlemler bilgiyi ifade etmektedir. Kurumsal bilgi, bireysel bilgilerin ise artarak farklÕlÕk göstermeye baúlamÕútÕr. toplamÕnÕn yanÕ sÕra, di÷er kurumlar tarafÕndan kolayca taklit Ülke bilgi sistemleri bireylerden kurumlara kadar de÷iúik edilemeyecek úekilde insan, teknoloji ve yönetim ilkeleri seviyelerde a÷ destekli ortamlarda bilginin yönetilmesi, iú arasÕnda üretilen bilgi kaynaklarÕnÕ ifade etmektedir [11]. verimlili÷in ve bilgi akÕúlarÕnÕn hÕzlandÕrÕlmasÕ, bireyler ve Bilgiye sürekli olarak eriúilebilirli÷in sa÷landÕ÷Õ bir kurumlarla daha hÕzlÕ iletiúimin kurulabilmesini sa÷layan ortamda, bilginin göndericisinden alÕcÕsÕna kadar gizlilik ulusal ve uluslararasÕ kullanÕmÕ olan sistemlerdir [7]. Ülke içerisinde, bozulmadan, de÷iúikli÷e u÷ramadan ve baúkalarÕ Bilgi Sistemleri sayesinde a÷ destekli ortamlarda bilginin tarafÕndan ele geçirilmeden bütünlü÷ünün sa÷lanmasÕ ve üretilmesi, iúlenmesi, taúÕnmasÕ ve saklanmasÕ sa÷lanarak güvenli bir úekilde iletilmesi süreci bilgi güvenli÷i olarak bilgiye mekândan ba÷ÕmsÕz olarak istenilen ortamlardan tanÕmlanmaktadÕr [12]. Kurumsal bilgi güvenli÷i ise, eriúilmesi ve paylaúÕlmasÕ sa÷lanmÕútÕr. Nüfus VatandaúlÕk kurumlarÕn bilgi varlÕklarÕnÕn tespit edilerek zafiyetlerinin ødaresi MERNøS, Maliye ønternet Vergi Dairesi, Sosyal belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunmasÕ Güvenlik Kurumu Bilgi Sistemi, Meteoroloji Bilgi Servisleri, amacÕyla gerekli güvenlik analizlerinin yapÕlarak önlemlerinin Co÷rafi Bilgi Sistemleri ve Banka Bilgi Sistemleri ülke bilgi alÕnmasÕ ve güvenlik süreçlerinin standartlara göre sistemlerimize ilk bakÕúta örnek olarak gösterilebilir. yönetilmesidir [13]. Ülke bilgi sistemlerimizin birlikte çalÕúabilece÷i Ulusal Kurumsal bilgi güvenli÷i, ülke bilgi güvenli÷inin Bilgi Sistemi ile ilgili çalÕúmalara ülkemizde devam sa÷lanmasÕnda önemli bir aúamadÕr. Kurumsal bilgi güvenli÷i edilmektedir. Ulusal Bilgi Sistemi ülke yönetimine yönelik sa÷lanmadÕkça, ülke bilgi güvenli÷i sa÷lanamayacaktÕr. stratejik bilgilerin ilgili kurumlar arasÕnda iliúkilendirilmesi, Kurumsal Bilgi güvenli÷inin sa÷lanmasÕ, planlanmasÕ, paylaúÕlmasÕ ve yönetilmesini amaçlayan ülke bilgi sistemleri tasarlanmasÕ, gerçekleútirilmesi, iúletilmesi, izlenmesi, toplulu÷udur [8]. Ulusal Bilgi Sisteminin kurulmasÕyla birlikte denetlenmesi, sürdürülmesi ve geliútirilmesi için, iú riski kurumsal bilgi sistemleri sistemlerin sistemi yaklaúÕmÕyla a÷ yaklaúÕmÕna dayalÕ tüm yönetim sisteminin bir parçasÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 4
  3. 3. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Kurumsal Bilgi Güvenli÷i Yönetim Sistemi (KBGYS) olarak IV. øNSAN FAKTÖRÜ (KøùøSEL BøLGø GÜVENLøöø) tanÕmlanmaktadÕr [14]. ÇalÕúma kapsamÕnda incelenen, bilgi güvenli÷iyle ilgili Kurumlar açÕsÕndan önemli bilgilerin ve bilgi sistemlerinin yapÕlan raporlar, anketler, kitaplar ve makalelerde bilgi korunabilmesi, risklerin en aza indirilmesi ve süreklili÷inin güvenli÷inin sa÷lanmasÕndaki en zayÕf halkanÕn insan faktörü sa÷lanmasÕ, KBGYS’nin kurumlarda hayata geçirilmesiyle oldu÷u gösterilmiútir [17-23]. mümkün olmaktadÕr. KBGYS’nin kurulmasÕyla; olasÕ risk ve ønsan faktöründen kaynaklanan zafiyetlerin saldÕrganlar tehditlerin tespit edilmesi, güvenlik politikalarÕnÕn tarafÕndan kullanÕlmasÕ, teknolojik olarak tüm güvenlik oluúturulmasÕ, denetimlerin ve uygulamalarÕn kontrolü, uygun tedbirlerinin alÕnmasÕna ra÷men bilgi güvenli÷i ihlallerinin yöntemlerin geliútirilmesi, örgütsel yapÕlar kurulmasÕ ve yaúanmasÕna neden olacaktÕr. Bu ihlaller ülke bilgi güvenli÷i yazÕlÕm/donanÕm fonksiyonlarÕnÕn sa÷lanmasÕ gibi bir dizi açÕsÕndan önemli sorunlara yol açacaktÕr. denetimin birbirini tamamlayacak úekilde gerçekleútirilmesi Kiúisel bilgi güvenli÷ini tehdit eden, insan faktöründen anlamÕna gelmektedir. kaynaklanan hatalar ve alÕnmasÕ gereken önlemlerden bazÕlarÕ Sadece teknik önlemlerle (güvenlik duvarlarÕ, atak tespit aúa÷Õda baúlÕklar halinde özetlenmiútir. sistemleri, antivirüs yazÕlÕmlarÕ, anticasus yazÕlÕmlar, Güvenlik politikalarÕ ihlali: Bilgi Sistemlerindeki bilgilere úifreleme, vb.) kurumsal bilgi güvenli÷inin sa÷lanmasÕ eriúim hakkÕ olan her kullanÕcÕnÕn yöneticiler tarafÕndan mümkün de÷ildir. KBGYS; insanlarÕ, süreçleri ve bilgi onaylanan Bilgi Güvenli÷i politikalarÕna uymasÕ sistemlerini içine alan ve üst yönetim tarafÕndan desteklenen gerekmektedir. Güvenlik politikalarÕ son kullanÕcÕlar bir yönetim sistemidir. Kurumsal bilgi güvenli÷i insan, e÷itim, tarafÕndan ço÷u zaman bilerek veya bilmeyerek ihlal teknoloji gibi birçok faktörün etki etti÷i yönetilmesi zorunlu edilmektedir. Güvenlik politikalarÕnÕn ihlal edilme olan karmaúÕk süreçlerden oluúmaktadÕr. sebeplerinin baúlÕcalarÕ, kullanÕcÕ alÕúkanlÕklarÕ, Kurumsal Bilgi Güvenli÷i sadece teknoloji problemi olarak uygulanamayacak yaptÕrÕmlar, bilinçsizlik olarak tespit de÷il aynÕ zamanda insan ve yönetim problemi olarak edilmiútir. Politika ihlallerinin önüne geçebilmek için de÷erlendirilmelidir [15]. Kurumlarda insan ve yönetim kullanÕcÕlarÕn genel bilgi güvenli÷i konusunda e÷itilmesi ve hatalarÕndan kaynaklanan güvenlik ihlallerinin sebeplerine güvenlik politikalarÕnÕn uygulanabilir ifadeler içermesi bakÕldÕ÷Õnda son kullanÕcÕlardan üst yönetime kadar farklÕ gerekmektedir. kademelerde çalÕúan insanlarÕn ortak eksikliklerinin e÷itim ve Bilgi aktarÕmÕ: ønsanlar genellikle tanÕmadÕklarÕ kiúilere bilinçlendirme oldu÷u görülür. Kurumun stratejik hedeflerini sohbet esnasÕnda birçok önemli bilgiyi farkÕnda olmaksÕzÕn belirleyen en üst seviyedeki yönetim kademelerinin kurumsal iletmektedir. Hiçbir kullanÕcÕ ortam fark etmeksizin (e-posta, bilgi güvenli÷inin sa÷lanmasÕ için verecekleri destek çok telefon, faks, yüzyüze, vb.) kimli÷inden emin olmadÕ÷Õ önemlidir. Bilgi güvenli÷inin sa÷lanmasÕ için gerekli olan kimselere hiçbir konuda bilgi vermemelidir. Örne÷i hiçbir idari ve mali kararlarÕn verilebilmesi amacÕyla yönetim teknoloji kullanÕlmadan bir kurum çalÕúanlarÕndan alÕnacak tarafÕndan bilgi güvenli÷i birimi kurulmalÕdÕr. Bu birim bilgilerle tüm kurumsal bilgi güvenli÷i kontrollerinin tarafÕndan güvenlikle ilgili stratejik kararlar zamanÕnda ve aúÕlabilece÷i hiçbir zaman unutulmamalÕdÕr. BaúlangÕçta do÷ru bir úekilde alÕnmalÕdÕr. Yönetim tarafÕndan bilgi önemsiz gibi görünen küçük bilgiler bir araya geldi÷inde, güvenlik biriminin kurulmasÕ ve etkin bir yapÕda çalÕúmasÕ içinde gizli bir bilgiyi barÕndÕran ciddi bir güvenlik açÕ÷Õna yönetimin kurumsal bilgi güvenli÷ini sahiplendi÷inin ve dönüúebilece÷ine dair örnekler her geçen gün artmaktadÕr. destekledi÷inin önemli bir göstergesidir. Bilinmeyen kiúilere bilgi aktarÕlmamasÕ için kullanÕcÕlarÕn Kurumsal bilgi güvenli÷inin üst seviyede sa÷lanmasÕna özellikle sosyal mühendislik konusunda e÷itilmesi yönelik süreçlerinin oluúturulmasÕ, yönetilmesi ve gerekmektedir. yapÕlandÕrÕlmasÕ amacÕyla yapÕlan standartlaúma çalÕúmalarÕ ùifrelerin kâ÷Õtlara yazÕlmasÕ: ùifreleme politikalarÕ, dünyada ve ülkemizde hÕzla sürmektedir. Standartlaúma kÕrÕlmasÕ güç olan úifrelerin kullanÕcÕlar tarafÕndan konusuna öncülük eden øngiltere tarafÕndan geliútirilen BS– kullanÕlmasÕnÕ ve düzenli aralÕklarla bu úifreleri 7799 standardÕ, ISO tarafÕndan kabul görerek önce ISO– de÷iútirilmesini zorunlu kÕlmaktadÕr. ùifrelerin güçlü olmasÕ, 17799 sonrasÕnda ise ISO–27001:2005 adÕyla dünya genelinde içerdi÷i karakterlerin karmaúÕklÕ÷Õyla do÷ru orantÕlÕdÕr. Güçlü bilgi güvenli÷i standardÕ olarak kabul edilmiútir [16]. úifrelerin kullanÕlmasÕyla birlikte kullanÕcÕlarÕn bu úifreleri Kurumsal bilgi güvenli÷inin sa÷lanmasÕ ülke bilgi hatÕrlama problemleri ortaya çÕkmaktadÕr. KullanÕcÕlar, bu güvenli÷inin yüksek seviyede sa÷lanmasÕ için önemli bir durumda úifrelerini hatÕrlayabilmek amacÕyla görebilecekleri aúama olmasÕna ra÷men tek baúÕna yeterli de÷ildir. Ülke bilgi bir yere úifrelerinin yazÕlÕ oldu÷u kâ÷ÕdÕ asmaktadÕr. Bu durum güvenli÷inin yüksek seviyede sa÷lanmasÕ için ülke bilgi ilgili kullanÕcÕ úifresinin kötü niyetli baúka bir kiúi tarafÕndan sistemlerini kullanan son kullanÕcÕlarÕn güvenli÷i yani kiúisel okunarak kullanÕlmasÕyla güvenlik ihlalinin oluúmasÕna sebep bilgi güvenli÷i de sa÷lanmalÕdÕr. Bundan dolayÕ takip eden olacaktÕr. Bu durumlarÕn meydana gelmemesi için bölümde kiúisel bilgi güvenli÷inin yüksek seviyede kullanÕcÕlara úifre seçimi ve hatÕrlanmasÕyla ilgili e÷itimler sa÷lanmasÕna yönelik açÕklamalar yapÕlmÕútÕr. verilmelidir. Güvenilir olmayan yazÕlÕmlarÕn kullanÕmÕ: Güvensiz yazÕlÕmlar illegal olarak kopyalanmÕú veya internetteki Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 5
  4. 4. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION güvenilir olmayan sitelerden indirilmiú, lisanssÕz yazÕlÕmlar posta eklerini virüs taramasÕndan mutlaka geçirmesi, e-posta olup içerisinde bilgisayara zarar verebilecek virüs, truva atÕ, aracÕlÕ÷Õyla kiúisel gizli bilgilerini (internet bankacÕlÕ÷Õ hesap tuú kaydedici ve her türlü kötü amaçlÕ yazÕlÕmlarÕ bilgilerini, kimlik bilgileri, kullanÕcÕ hesap bilgileri) kimseye barÕndÕrabilen programlardÕr. Güvenilir olmayan yazÕlÕmlar, vermemesi gibi e-posta kullanÕmÕnda dikkat edilmesi gereken ziyaret edilen web sitelerinin kayÕtlarÕnÕ tutarak baúkalarÕna hususlar konusunda kullanÕcÕlar bilinçlendirilmeli ve gönderen, istenmeyen reklâm pencerelerinin gelmesini e÷itilmelidir. Bu e÷itimler sonucunda e-posta kullanÕmÕndan sa÷layan, bilgisayar içerisinde yer alan kiúisel dosyalarÕ kaynaklanacak zafiyetler en aza indirgenecektir. baúkalarÕna gönderebilen, bilgisayarÕn performansÕnÕ düúüren Genel anlamda bilgi güvenli÷inin sa÷lanmasÕnda en zayÕf ve internet eriúimini gereksiz yere meúgul eden istenmeyen halka olan insan faktöründen meydana gelen zafiyetlerin yazÕlÕmlardÕr. Güvenilir olmayan yazÕlÕmlarÕn kullanÕmÕ giderilmesinde e÷itim önemli bir rol oynadÕ÷Õndan ülke bilgi sonucunda, birçok güvenlik ihlali meydana gelmektedir. Bu güvenli÷inin sa÷lanmasÕnda e÷itimin önemi ayrÕntÕlÕ olarak tür ihlallerin önüne geçebilmek için kullanÕcÕlara güvenilir takip eden bölümde incelenmiútir. olmayan yazÕlÕmlarÕn ne oldu÷u ve bu yazÕlÕmlardan nasÕl korunulaca÷Õ konusunda e÷itimler verilmelidir. V. EöøTøM BilgisayarlarÕn fiziksel güvenli÷inin sa÷lanmamasÕ: Ülke bilgi güvenli÷inin sa÷lanmasÕ açÕsÕndan önemli olan Genellikle kullanÕcÕlar koruma önlemi almaksÕzÕn e÷itimler ve bilinçlendirmeler farklÕ yöntemlerle ülke bilgi bilgisayarlarÕnÕn baúÕndan ayrÕldÕ÷Õnda kötü niyetli insanlar bu sistemlerini her seviyede kullanan kiúilere düzenli olarak durumu de÷erlendirerek bilgisayarÕ zararlÕ amaçlar için verilmelidir. Bu yöntemler bilinçlendirmeler, toplantÕlar, web kullanmakta ve güvenlik ihlalleri meydana gelmektedir. üzerinden e÷itimler, e-posta yoluyla kullanÕcÕlara bildirimler, Fiziksel güvenlik zafiyetinden faydalanarak bilgisayarÕ yazÕlar ve duyurular, seminerler, bültenler ve güvenlik kullanan kötü niyetli kiúi gizli bilgiler içeren dosyalarÕ posterleri úeklinde olabilir. dÕúarÕya e-posta aracÕlÕ÷Õyla gönderebilir, bilgisayar üzerindeki ønsana ba÷lÕ güvenlik riski hiçbir zaman tamamen yok bilgileri silebilir, de÷iútirebilir ve o anki kullanÕcÕnÕn yetkisi edilemese de iyi planlanmÕú bilgi güvenli÷i e÷itimleri riskin ölçüsünde birçok iúlemi kötücül amaçlar için yapabilir. kabul edilebilir bir seviyeye indirilmesine yardÕmcÕ olacaktÕr. BilgisayarlarÕn fiziksel güvenli÷inin sa÷lanmasÕyla ilgili FarklÕ bilgi seviyesindeki insan gruplarÕnÕn, bilgiyi ve bilgi olarak; kullanÕcÕlar bu konuda bilinçlendirilmeli kaynaklarÕnÕ koruma konusunda üzerilerine düúen bilgisayarlarÕn baúÕndan ayrÕlan kullanÕcÕlarÕn en azÕndan sorumluluklarÕ anlamasÕ ve yerine getirmesi, bilgi parola korumalÕ ekran koruyucusu kullanmalarÕ bilgisayarlara güvenli÷inin sa÷lanmasÕ ve insan faktöründen kaynaklanan fiziksel olarak yapÕlabilecek saldÕrÕlarÕn en aza zafiyetlerin en aza indirgenmesi açÕsÕndan kritik bir öneme indirgenebilmesi açÕsÕndan önem arz etmektedir. sahiptir. BilgisayarlarÕn yönetici hakkÕyla açÕlmasÕ: KullanÕcÕlar Bilgi güvenli÷i e÷itimlerinin temel hedefi, bilgi kurum içerisinde kendilerine tahsis edilmiú olan kiúisel kaynaklarÕnÕn gizlilik, bütünlük ve eriúilebilirli÷in sa÷lanmasÕ bilgisayarlarÕnÕ, herhangi bir kÕsÕtlama olmaksÕzÕn kullanmak konusunda yapmasÕ gereken görev ve sorumluluklar amacÕyla genellikle yönetici haklarÕna sahip olan hesaplarla konusunda insanlarÕ e÷itmektir. Bilgi güvenli÷i e÷itimleriyle kullanmaktadÕrlar. Bu durum, bilgi güvenli÷inin insanlar sadece bilginin korunmasÕ konusunda nasÕl katkÕ sa÷lanmasÕnda önemli ilkelerden biri olan “en az yetki” sa÷layabileceklerini de÷il aynÕ zamanda bilginin neden prensibinin (principle of least privilege) ihlali anlamÕna korunmasÕ gerekti÷ini de ö÷renmelidir. ÇalÕúanlar hatalÕ gelmektedir. Yönetici haklarÕna sahip bir hesapla bir davranÕúlarÕnÕn ülke bilgi güvenli÷i üzerinde yaratabilece÷i kullanÕcÕnÕn bilgisayarÕnda oturum açÕlmasÕ, güvenlik ihlali etkiyi e÷itimler aracÕlÕ÷Õyla açÕkça anlamalÕdÕr. KullanÕcÕ meydana geldi÷inde bilgisayar üzerinde yönetici iúlemlerini bilinçlendirme çalÕúmalarÕ, güvenlik ihlallerinin maliyetini yapma yetkisine sahip olaca÷Õndan güvenlik ihlalinin etkisi azaltmaya ve kontrollerin kurumun tüm bilgi kaynaklarÕ çok daha büyük olacaktÕr. Bu tür ihlallerin etkisini azaltmak üzerinde dengeli uygulanmasÕna yardÕmcÕ olacaktÕr. için kullanÕcÕlarÕn ihtiyaçlarÕnÕ karúÕlayacak kÕsÕtlÕ haklara Güvenlik farkÕndalÕk e÷itimlerinin amacÕ, güvenlik ve sahip olan hesaplar tanÕmlanmalÕ ve bu hesaplarla güvenlik kontrollerinin önemi hakkÕnda ülke bilgi sistemleri kullanÕcÕlarÕn oturum açmalarÕ zorunlu hale getirilmelidir. Bu kullanÕcÕlarÕnda ortak bir bilinç oluúturulmasÕdÕr [24]. önleme ek olarak kullanÕcÕlara yönetici haklarÕna sahip Bilinçlendirme mesajlarÕ basit ve açÕk olmalÕ, bilinçlendirme hesaplarla oturum açmalarÕnÕn gereksizli÷i ve zararlarÕ e÷itimleri insan gruplarÕnÕn anlayabilece÷i basit bir formatta anlatÕlarak, kÕsÕtlÕ haklara sahip olan hesaplarÕ kullanmalarÕ verilmelidir. yönünde özendirici ve bilgilendirici e÷itimler verilmelidir. Ço÷u kurumda güvenli÷in sa÷lanmasÕ için yapÕlmasÕ Bilinçsiz e-posta kullanÕmÕ: Kurum çalÕúanlarÕ tarafÕndan gereken kÕsÕtlamalarÕn kullanÕcÕlarÕn alÕúkanlÕklarÕyla ters kullanÕlan iletiúim araçlarÕnÕn baúÕnda e-posta gelmektedir. düúmesinden dolayÕ güvenlikle ilgili yaptÕrÕmlarÕn Günümüzde kötücül yazÕlÕmlar ço÷unlukla e-postalar uygulanmasÕnda geç kalÕnmaktadÕr. Güvenlik uygulamalarÕ aracÕlÕ÷Õyla yayÕldÕ÷Õndan, e-posta kullanÕmÕnÕn önemi baúÕndan itibaren uygulanamadÕ÷Õndan zamanla her artmÕútÕr. Bilinçsiz e-posta kullanÕmÕ sonucunda bilgi kullanÕcÕnÕn, güvenli÷e dikkat etmeksizin farklÕ kullanÕm güvenli÷i ihlalleri meydana gelmektedir. KullanÕcÕlarÕn alÕúkanlÕklarÕ edindi÷i görülmüútür. Bu durum bilgi güvenli÷i tanÕmadÕ÷Õ kiúilerden gelen úüpheli e-postalarÕ açmamasÕ, e- Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 6
  5. 5. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION bilinçlendirme e÷itiminin uygulanmasÕnÕ zorlaútÕrarak, edildi÷i teknik testlere ek olarak teknik olmayan testler de kullanÕcÕlarda güvenlik uygulamalarÕna karúÕ direnç yapÕlmalÕdÕr. Teknik olmayan güvenlik testlerinin baúÕnda oluúmasÕnÕ sa÷lamaktadÕr. Çünkü sadece kullanÕcÕlarÕ e÷itmek sosyal mühendislik testleri gelmektedir. Sosyal mühendislik, de÷il aynÕ zamanda eski alÕúkanlÕklarÕndan kurtarmak yalan söyleme ve ikna etme üzerine kurulan inandÕrma ve gerekmektedir. bilgi toplama sanatÕdÕr [25]. Sosyal mühendislik testlerinden KullanÕcÕlara göre kurum güvenlik önlemleri olmaksÕzÕn sonuç alabilmek için farklÕ yöntemler kullanÕlmaktadÕr. Bu bugüne kadar gayet iyi çalÕúmÕútÕr ve hiçbir sorunla yöntemlerden en çok kullanÕlanÕ telefon yoluyla taklit ve ikna karúÕlaúmamÕútÕr. Yeni güvenlik önlemleri hayatÕ zorlaútÕrÕcÕ yöntemidir. gereksiz de÷iúiklikler olarak görülür. Bilinçlendirme Güvenlik testlerinin yapÕlmasÕnda dünyada yaygÕn olarak e÷itimleri güvenlikle ilgili bilgi vermenin yanÕnda kullanÕcÕ bilinen birçok açÕk kaynak standart ve kÕlavuzlar (OSSTMM, alÕúkanlÕklarÕndan nasÕl kurtarÕlaca÷Õ göz önüne alÕnarak NIST, OWASP, v.b.) vardÕr. Güvenlik testleri yapÕlÕrken bu hazÕrlanmalÕ akÕcÕ ve e÷lenceli bir içerikle kullanÕcÕlara kaynaklarÕn kullanÕlmasÕ güvenlik testlerinin baúarÕsÕ sunulmalÕdÕr. açÕsÕndan önemlidir. ÇalÕúma kapsamÕnda yapÕlan araútÕrmalarda ço÷u kurumda Bu çalÕúmada ülkemizde güvenlik testlerinin henüz güvenlik bilinçlendirme programÕnÕn olmadÕ÷Õ görülmüú, olan yaygÕnlaúmadÕ÷Õ ve kurumlar tarafÕndan kurumsal bilgi kurumlarda ise genellikle kullanÕcÕlarÕ bilgi güvenli÷inin güvenli÷inin sa÷lanmasÕnda önemli bir bileúen oldu÷unun neden önemli oldu÷u konusunda e÷itmeyi baúaramadÕ÷Õ tespit bilinmedi÷i tespit edilmiútir. Bu durum güvenlik testlerinin edilmiútir. E÷itimin baúarÕlÕ olabilmesi için kullanÕcÕlarÕn kurumlara katkÕlarÕnÕn, sa÷layaca÷Õ farkÕndalÕ÷Õn ve güvenlik kafasÕndaki neden sorusunun cevabÕ kullanÕcÕyÕ ikna edecek seviyesinin artÕrÕlmasÕna katkÕsÕnÕn ülkemizde pek úekilde verilmelidir BaúarÕlÕ bir e÷itim sonrasÕnda bilinmedi÷inin ve yeterince önem verilmedi÷inin kullanÕcÕlarÕn úifreleme politikasÕna sahip çÕkarak yeni göstergesidir. politikanÕn uygulanmasÕnda gayretli olacaklarÕ görülecektir. Pek çok kullanÕcÕ, bilgi ve bilgi kaynaklarÕnÕn korunmasÕnÕn VII. SONUÇLAR VE DEöERLENDøRMELER önemi konusunda yeterli bilgiye sahip de÷ildir. øyi tasarlanmÕú Ülke bilgi sistemleri, e-devlet uygulamalarÕ aracÕlÕ÷Õyla ve sonuçlandÕrÕlmÕú bilinçlendirme ve e÷itim çalÕúmasÕ kiúisel veya kurumsal ihtiyaçlar do÷rultusunda kurumsal güvenlik zincirinin en kÕrÕlgan halkasÕ olan insan faktörünün biliúim altyapÕlarÕnÕ kullanarak hizmet vermektedir. Geçmiú güçlendirilmesine büyük katkÕ sa÷layacaktÕr. yÕllarda saldÕrÕlar hedef gözetmeksizin yapÕlmaktayken Ülke Bilgi Güvenli÷inin sa÷lanmasÕndaki kurumsal ve günümüzde nokta hedefi gözeten ve ülke bilgi sistemlerini kiúisel bilgi güvenli÷i aúamalarÕndan sonra insan faktöründen hedef alan bilinçli saldÕrÕlar yapÕlmaktadÕr. Ülke bilgi kaynaklanan zafiyetleri en aza indirgeyen e÷itim unsuru güvenli÷ini zaafa u÷ratmaya hatta yÕkmaya çalÕúan, bireyler ve üzerinde durulmuútur. Ülke bilgi güvenli÷i süreçlerinin kurumlar üzerinde maddi manevi büyük zararlara yol açan iúlerli÷inin kontrol edilebilmesi için güvenlik testlerine ihtiyaç bilgi güvenli÷i tehditlerinin engellenmesi için kiúisel ve duyuldu÷undan güvenlik testleri takip eden bölümde kurumsal seviyede bilgi güvenli÷i sa÷lanmalÕdÕr. Ülke bilgi açÕklanmÕútÕr. sistemlerinin bilgi güvenli÷i süreçleri uluslararasÕ standartlara göre yönetilmelidir. VI. GÜVENLøK TESTLERø Ülke bilgi sistemleri ülkeler açÕsÕndan kritik bilgiler Ülke Bilgi Güvenli÷inin sa÷lanmasÕnda temel unsurlar olan barÕndÕrmaktadÕr. Bu kritik bilgilerin bilgi güvenli÷inden insan faktörü ve e÷itim önceki bölümler içerisinde alt baúlÕklar kaynaklanan zafiyetlerden dolayÕ siber saldÕrÕlara u÷ramasÕ halinde incelenmiútir. Bilgi güvenli÷ine etki eden unsurlarÕn sonucunda ülkeler açÕsÕndan telafisi mümkün olmayan bir bütün olarak saldÕrgan gözüyle sÕnanmasÕ, zafiyetlerin durumlarla karúÕlaúÕlabilir. Bir barajÕn kapaklarÕnÕn yetkisiz tespit edilerek giderilmesi için yapÕlacak düzeltmelerin ve bir úekilde istenmeyen bir zamanda açÕlmasÕ, sivil veya askeri sÕkÕlaútÕrmalarÕn belirlenmesi, güvenlik testlerinin ülke bilgi haberleúme sistemlerinin aksatÕlmasÕ, elektrik ve do÷algaz güvenli÷inin sa÷lanmasÕndaki önemini özetlemektedir. santrallerinin kullanÕlmaz hale getirilmesi, bankacÕlÕk, sa÷lÕk Güvenlik testleri, bilgi sistemlerinin baúÕna olumsuz bir ve e÷itim sektörlerine ait bilgi sistemlerinin çökertilmesi ülke durum gelmeden önce, sistem açÕklarÕnÕ sÕnayarak belirlemek güvenli÷ini tehdit eden bilgi sistemleri odaklÕ saldÕrÕlara örnek ve alÕnabilecek karúÕ tedbirlerin önceden düúünülmesinde olarak gösterilebilir. Ülke güvenli÷ini tehdit eden bilgi kullanÕlan önemli bir erken uyarÕ sistemidir. Güvenlik sistemleri odaklÕ saldÕrÕlardan korunmak için ülke güvenlik testlerinin baúarÕlÕ olabilmesi için bilgi sistemlerinin politikalarÕ oluúturulmalÕ ve bu politikalara göre ülke bilgi güvenli÷ine etki eden faktörlerinin a÷ÕrlÕklarÕ dikkate alÕnarak güvenli÷i sa÷lanmalÕdÕr. sistemlere özgü farklÕ senaryolar geliútirilmesi gereklidir. Bilginin gizlili÷ine, bütünlü÷üne, eriúilebilirli÷ine karúÕ Güvenlik testleri için geliútirilen senaryolar kullanÕlan yapÕlan saldÕrÕlar ciddi ve giderilemeyecek kayÕplara yol teknolojilere, kullanÕcÕlarÕn bilgi düzeylerine, bilgi güvenli÷i açmaktadÕr. Bu kayÕplarÕ tamamen yok etmek mümkün seviyesine, bilgi güvenli÷i bileúenlerinin dozuna göre farklÕlÕk de÷ildir. Ancak yapÕlacak güvenlik testleriyle kayÕplarÕ en aza gösterebilir. indirmek mümkündür. Ülke bilgi sistemlerine yönelik Bilgi güvenli÷i ihlallerinin kontrollü bir úekilde tespit yapÕlacak güvenlik testlerinin ulusal bir otorite tarafÕndan Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 7
  6. 6. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION oluúturulan güncel ulusal güvenlik politikalarÕna uygun olarak [11] Bhatt, G. D., “Knowledge Management in Organizations: Examining the Interaction between Technologies, Techniques and People”, Journal of yapÕlmasÕ gerekmektedir. Ülkemizde güvenlik testlerini Knowledge Management, 5 (1):71, (2001) ücretsiz yapan devlet destekli merkezler oluúturulmalÕ ve [12] Vural, Y., Sa÷Õro÷lu, ù., Kurumsal Bilgi Güvenli÷i: Güncel Geliúmeler, güvenlik testlerine yönelik milli yazÕlÕmlar geliútirilerek ISC Turkey UluslararasÕ KatÕlÕmlÕ Bilgi Güvenligi ve Kriptoloji Konferansi, Ankara, 191-199, AralÕk 2007 kullanÕlmalÕdÕr. [13] Vural, Y., Sa÷Õro÷lu, ù., Gazi Üniv. Müh. Mim. Fak. Der. 23(2), 507- Bilgi güvenli÷inde “güvenli÷iniz en zayÕf halkanÕz 522, (2008) kadardÕr” ilkesi gözönüne alÕndÕ÷Õnda ülke bilgi güvenli÷ini [14] Türk StandardlarÕ Enstitüsü, “Bilgi güvenli÷i yönetim sistemleri”, TSE- oluúturan halkalar içerisinde en zayÕf halka olan insan TS 1779- 2, Ankara, 3, (2005). [15] Mitnick, K. D., Simon, L. W., Wozniak, S., “The Art of Deception: faktöründen kaynaklanan zafiyetlerin giderilmesi için bilgi Controlling the Human Element of Security”, Wiley Publishing, New güvenli÷i e÷itimi ve bilinçlendirmesi, ilkö÷retimden York, 17-18 (2003) üniversiteye kadar e÷itimin her aúamasÕnda verilmelidir. [16] ønternet: Wikipedia, “ISO/IEC 27001”, http://en.wikipedia.org/wiki/ISO_27001 (09.11.2008) Burada özellikle sivil toplum kuruluúlarÕna, Milli E÷itim [17] ønternet: CERT “Historical Statistics” BakanlÕ÷Õna ve üniversitelere büyük görevler düúmektedir. http://www.cert.org/stats/historical.html (09.11.2008) Ülke güvenli÷ini tehdit eden siber saldÕrÕlarÕn bilinmesi, [18] Dunlevy, J. C., “Information Security Strategies: A New Perspective”, CERT, Pittsburgh, 15, (2006) bilgi güvenli÷inin sa÷lanmasÕna yönelik ülke stratejilerinin [19] Internet: World Stats “Top 20 Countries With The Highest Number Of geliútirilmesinde önemli bir role sahiptir. Bilgi sistemlerine Internet Users” http://www.internetworldstats.com/top20.htm yönelik olarak yapÕlan planlÕ saldÕrÕlar incelendi÷inde; (17.03.2007) saldÕrÕlarÕn kiúi düzeyinden ülke düzeyine kadar çok geniú bir [20] Symantec Corp., “Symantec Internet Security Threat Report Trends for July–December 07” Symantec Volume XII, Cupertino, 24-64 (2008). yelpazede geliúmiú teknikler kullanÕlarak yapÕldÕ÷Õ tespit [21] Gordon, L. A., Loeb, M. P., Lucyshyn, W., Richardson, R., “CSI/FBI, edilmiútir. Ülke bilgi güvenli÷inin sa÷lanmasÕ amacÕyla, Computer Crime and Security Survey”, FBI Computer Security Institute, saldÕrÕ türlerinin takip edilmesi, saldÕrganlarÕn kullandÕ÷Õ 1- 26, (2005). [22] Koç.net Haberleúme Teknolojileri ve øletiúim Hizmetleri A.ù., “Türkiye geliúmiú yöntemlerin saptanmasÕ, ülkemizde ve dünyada bu ønternet Güvenli÷i AraútÕrma SonuçlarÕ 2005”, Koç.net, østanbul, 5- 12, konuda yapÕlan araútÕrmalarÕn, raporlarÕn ve çalÕúmalar ile (2005) tespit edilen açÕklarÕn yakÕndan takip edilmesi ve zamanÕnda [23] ønternet: “Information Security Awareness” http://www.massachusetts.edu/SecurityAwareness/securityawareness.ht giderilmesi gerekmektedir. ml (9.11.2008) Sonuç olarak; ülke bilgi güvenli÷inin sa÷lanmasÕna yönelik [24] Morales, L.; Dark, M., “Information Security Education and yapÕlan çalÕúmalarÕn ve alÕnmasÕ gereken önlemlerin yeterli Foundational Research”, System Sciences, HICSS 2007. 40th Annual Hawaii International Conference, Hawaii, 269 (2007). olmadÕ÷Õ, kiúisel ve kurumsal düzeyde bilgi güvenli÷i [25] Mitnick, K. D., Simon, W. L., “Aldatma SanatÕ”, Nejat Eralp Tezcan, bilincinin ve e÷itiminin toplumumuza tam olarak yerleúmedi÷i ODTÜ YayÕncÕlÕk, Ankara, 303, (2006). ve ülkemizde yüksek seviyede ülke bilgi güvenli÷inin sa÷lanamadÕ÷Õ dikkate alÕndÕ÷Õnda, bu çalÕúmada sunulan hususlara dikkat edilmesi ve yapÕlan önerilere uyulmasÕ gerekmektedir. KAYNAKLAR [1] Thow-Chang, L., Siew-Mun, K., and Foo, A., “Information Security Management Systems and Standards” Synthesis Journal, 2(2):5,8 (2001). [2] Sandham, D., “News”, Communications Engineer Publication 5(4):3-8, (2008). [3] ønternet: “McAfee Virtual Criminology Report” http://www.mcafee.com/us/research/criminology_report/default.html (09.11.2008) [4] Vural, Y., “Kurumsal Bilgi Güvenli÷i ve SÕzma Testleri”, Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 15-20, (2007). [5] Rocha, L. M., Schnell, S., “The Nature of Information-Lecture Notes”, Indiana University, Bloomington, 1, (2007). [6] ønternet: Türk Dil Kurumu “Güncel Türkçe Sözlük” http://www.tdk.gov.tr/TR/SozBul.aspx?F6E10F8892433CFFAAF6AA8 49816B2EF4376734BED947CDE&Kelime=bilgi [7] ønternet : “National Information Systems Advisory Panel- Computer- Based National Information Systems” http://govinfo.library.unt.edu/ota/Ota_5/DATA/1981/8109.PDF (09.11.2008). [8] ønternet: “Türkiye Ulusal Bilgi Sistemi:Genel Esaslar” www.hssgm.gov.tr/stratejikyonetim/egitim_dokumanlari/turkiye_ulusal_ bilgi_sistemi_esaslari.pdf (09.11.2008) [9] Krygiel, J., “Behind the Wizards Curtain: An Integration Environment for a System of Systems” DoD C4ISR Cooperative Research Program,Washington, 9-11 (1999). [10] ønternet: Wikipedia, “Information Assurance”, http://en.wikipedia.org/wiki/Information_assurance (09.11.2008) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 8
  7. 7. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION E-Devlet Güvenliği Ayşe İNALÖZ, Mustafa ÜNVER, Mustafa ALKAN Özet— Küreselleúme ile gelen hÕzlÕ de÷iúim içerisindeki t II. E-DEVLETøN GELøùøMø dünyada bilgi tabanlÕ ekonomi hem özel sektör hem de kamu Endüstrileúmiú ülkelerin popülasyonunun büyük bir yüzdesi sektörüne bazÕ zorluklarÕn yanÕ sÕra bazÕ fÕrsatlar da f web’e dayalÕ ekonomi ile iç içe yaúamaktadÕr. 2007 yÕlÕnda sunmaktadÕr. Bu makalede bilgi ve haberleúme teknolojilerinin Avrupa Birli÷i popülasyonunun %55’i ve ABD kamu sektöründe yarattÕ÷Õ reform olarak kabul edebilece÷imiz popülasyonunun %71’i internet eriúimine sahiptir. AralÕk Elektronik Devlet ya da kÕsaca “e-devlet” konusunun geliúimi 2007 sonu itibariyle ABD popülasyonunun % 78’i dünya irdelenmiú, e-devlet sistemleri için arttÕrÕlmÕú güvenlik çerçevesi kapsamÕnda E-Devlet Güvenlik Riskleri ve Risk Yönetimi popülasyonunun ise %69 ‘unun elektronik posta kullandÕ÷Õ Prosedürleri incelenmiútir. bildirilmektedir [2]. Bilgi ve haberleúme teknolojilerinin kullanÕmÕnÕn artmasÕ e-devlet oluúumunun geliúimini Anahtar Kelimeler—E-devlet, güven r hedefleri, güvenlik politikalarÕ úa÷Õda ùekil I’de gösterilen beú ana mektedir. I. GøRøù ùEKøL I DEVLET OLUùUMU Ça÷ÕmÕzda tüm dünyada gerçekleúe kamu sektöründe bilgi ve haber kullanÕlmasÕnÕn yaygÕnlaúmasÕ il rasyonalizasyonun do÷masÕna yol haberleúme teknolojileri araçlarÕnÕn ku iúlemleri ve fonksiyonlarÕnda dönü açmÕútÕr. Bilginin yönetimi belirl hükümetlerin ana görevlerinden birisi o “e-Devlet” kavramÕ, vatandaúlarÕn kurum ve kuruluúlarÕn kamu kurumlarÕ bilgi alÕúveriúi úeklindeki iliúki ve iúlem teknolojilerinin yardÕmÕyla e gerçekleútirilmesidir [1]. E-Devlet sadece vatandaúlar için hizmetler sa÷lamakla I.Aúama: Ortaya ÇÕkÕú kalmayÕp, kamu sektörünün de hükümet fonksiyonlarÕnda Hükümetin çevrimiçi varlÕ÷Õ bir web sayfasÕ ya da úeffaflÕk ve hesap verilebilirli÷in sa÷lanmasÕ, hükümet BakanlÕklar, e÷itim enstitüleri, sa÷lÕk, sosyal yardÕm, iú ve yönetiminde masraflarÕn azaltÕlmasÕnÕn sa÷lanmasÕ v.b. gibi finans kuruluúlarÕna ba÷lantÕlarÕ da içeren resmi bir web verimlilik amaçlarÕnÕn gerçekleútirilmesini sa÷lamaktadÕr [2]. sayfasÕndan oluúmaktadÕr. Bilgilerin ço÷u statiktir ve vatandaúlar ile etkileúim azdÕr. Bu makalenin I. Bölümünde E-Devlet oluúumunun aúamalarÕna de÷inilmiú, E-devlete hazÕrlÕk göstergeleri II. Aúama: Geliútirilmiú kapsamÕnda dünya geneli ve ülkemizdeki duruma ait bazÕ Hükümetler kamu politikasÕ ve yönetiúimle ilgili pek çok istatistiksel veriler sunulmuútur. II. Bölümde E-Devlet için bilgi sa÷larlar. Vatandaúlar için dokümanlar, formlar, raporlar, ArttÕrÕlmÕú Güvenlik Çerçevesi konusu incelenmiú, III. yasa ve düzenlemeler ve gazeteler v.b. gibi arúivlenmiú Bölümde E-Devlet Güvenlik Riskleri ve Risk Yönetim bilgilere eriúme imkanÕ sa÷larlar. Prosedürlerine de÷inilmiútir. IV. Bölümde ise Sistem Güvenli÷i AltyapÕsÕ konusu irdelenmiútir. III. Aúama: ønteraktif Hükümetler hizmetlerini vergi ödemeleri ve lisans yenileme Bilgi Teknolojileri ve øletiúim Kurumu, Maltepe, Ankara ainaloz@tk.gov.tr, munver@tk.gov.tr, malkan@tk.gov.tr uygulamalarÕ için indirilebilir formlar v.b. gibi çevrimiçi sunarlar. Buna ek olarak interaktif portalÕn ya da web sitesinin baúlangÕcÕ vatandaúlarÕn rahat etmesini sa÷lamaya yöneliktir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 9
  8. 8. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION IV. Aúama: øúlemsel Hükümetler kendileri ve vatandaú arasÕnda iki yönlü TABLO III etkileúim sa÷laya baúlarlar. Buna vergileri ödeme seçene÷i, E-DEVLET KULLANIM KAPASøTESø sayÕsal kimlik baúvurusu, nüfus ka÷ÕdÕ, pasaport baúvurusu dahil olmak üzere bu hizmetlere vatandaúlarÕn 7/24 çevrimiçi KullanÕm Yüzdesi I II III IV V olarak ulaúmasÕnÕ sa÷lamaktadÕr. Tüm iúlemler çevrimiçi Ülke Ortaya ÇÕkÕú Geliútirilmiú yapÕlÕr. Ba÷lantÕlÕ ønteraktif øúlemsel Toplam V. Aúama: Ba÷lantÕlÕ Hükümetler kendilerini vatandaúlarÕnÕn tüm ihtiyaçlarÕna karúÕlÕk veren ba÷lantÕlÕ bir varlÕk olarak görürler. Bu e-devlet % 34-%66 KullanÕm OranÕna Sahip Ülkeler- KullanÕm OranÕ (%) giriúimlerinin en sofistike aúamasÕdÕr ve aúa÷Õda yer alan Malta 100 92 63 40 44 65 Birleúik ba÷lantÕlara sahiptir. Arap 88 68 68 60 37 64 Emirli÷i Meksika 100 86 65 38 41 63 1.Yatay ba÷lantÕlar (Hükümet kuruluúlarÕ arasÕnda) øspanya 100 79 68 39 41 62 2.Dikey ba÷lantÕlar (Merkezi ve bölgesel hükümet kuruluúlarÕ Malezya 100 84 65 35 26 60 Avusturya 100 85 60 38 22 59 arasÕnda) øsrail 88 82 56 43 44 59 3.AltyapÕ ba÷lantÕlarÕ (Birlikte çalÕúabilirlik konularÕ) 0 84 53 32 4 53 4. Hükümetler ve vatandaúlar arasÕndak 0 75 56 21 33 52 5.Paydaúlar (Hükümet, özel sektör, 0 75 56 20 30 51 sivil toplum örgütleri) arasÕndaki ba÷la 0 82 58 11 19 50 0 78 50 11 19 47 70 44 27 26 46 Birleúmiú Milletlerin 2008 yÕlÕ E-Dev 0 79 48 2 37 46 üye ülkenin daha iyi kalitede hizme 0 72 49 14 22 46 vatandaúlarÕnÕn, iúletmelerinin ihtiyaçl 0 76 52 4 26 45 içermektedir. 60 52 5 37 42 0 58 53 8 19 41 TABLO I Ülkelerin Sundu÷u ønteraktif 74 46 8 0 41 0 70 48 1 7 40 Ülke S 73 33 7 19 38 59 37 17 26 38 GSM Telefonlara Mesaj Gönderimi 0 74 35 4 4 37 14 WAP PDA Eriúimi 19 60 40 14 26 37 Güvenli Ba÷lantÕ 33 65 36 7 22 37 Güncellemeler øçin E-Posta KayÕt 58 Opsiyonu Hükümetlerin kayÕtlarÕn gizli ÇøN ARTTIRILMIù GÜVENLøK 29 kalaca÷Õna ait garantisi ÇERÇEVESø Elektronik ømza 19 vatandaúlarÕ ve iúletmelerinin Ülkemiz E-Devlet HazÕrlÕk Göstergesi 2008’de 76 nc ihtiyaçlarÕnÕ karúÕlamaya yönelik sunmuú olduklarÕ hizmetleri yer almaktadÕr (Bknz. Tablo II). Ülkemiz E-Devlet KullanÕm kendilerine uygun olan güvenli yer ve zamanlarda kapasitesi açÕsÕndan %33- % 66 lÕk Grupta yer almaktadÕr vermektedirler. E-Devlet internetin en önemli (Bknz. Tablo III). baúarÕlarÕndan biridir. E-Devlet güvenli÷i, e-Devlet TABLO II oluúumunun ileri aúamalarÕna ulaúÕlmasÕnÕ sa÷layan çok E-DEVLET HAZIRLIK GÖSTERGESø önemli faktörlerden biridir. E-Devletin baúarÕlÕ olarak uygulanmasÕ iúlemlerde yer alan tüm taraflar üzerinde bir Ülke Gösterge güvenlik seviyesini gerektirmektedir. E-Ticaret kapsamÕnda 1 øsveç 0.9157 geliútirilmiú olan bazÕ güvenlik teknikleri ve araçlarÕ 2 Danimarka 0.9134 3 Norveç 0.8921 bulunmaktadÕr. Ancak güvenli e-devlet sistemleri proje yaúam 4 ABD 0.8644 döngüsünden itibaren yürürlü÷e konulabilecek olan kapsamlÕ 5 Hollanda 0.8631 bir model gerektirmektedir. Bu makalede e-devlet sistemleri Kore için arttÕrÕlmÕú güvenlik çerçevesi modeli sunulmaktadÕr. Bu 6 0.8317 Cumhuriyeti tip bir güvenlik çerçevesi karar alÕcÕlar ve e-devlet sistemlerini 7 Kanada 0.8172 8 Avusturalya 0.8108 dizayn edenler tarafÕndan kullanÕlacak olan temel bir araçtÕr. f 9 Fransa 0.8038 10 øngiltere 0.7872 76 Türkiye 0.4834 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 10
  9. 9. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION E-Devlet için arttÕrÕlmÕú güvenlik çerçevesi güvenlik 2. Gizlilik: Sadece yetkilendirilmiú kiúiler sisteme eriúebilir. úartlarÕnÕn en üst düzeyde ifade edildi÷i ve e-devlet güvenlik Bilgi güvenli olarak depolanÕr ve yetkisiz kiúi ya da beyanlarÕna uzanan bir dokümandÕr. Bu çerçevenin amacÕ e- iúlemlere kapalÕdÕr. devlet hizmetleri ve iúlemlerinin güvenli÷ini sa÷lamak olup hükümet kurum ve kuruluúlarÕ ve iúletmeler tarafÕndan f 3. Güvenli Uygulamalar: E-Devlet hizmet ve uygulamalarÕnÕn kullanÕlan bir kÕlavuzdur. Sözkonusu çerçeve e-devlet web sa÷lam ve güvenli bir biçimde dizayn edilip geliútirilmesi sitelerinin güvenlik seviyesini ölçmede de kullanÕlabilir. ve uygulanmasÕdÕr. 4. Güvenli ùebeke: Bilgi ve iúlemlerin her türlü saldÕrÕdan ùEKøL II E-DEVLET GÜVENLøK ÇERÇEVESøNøN ANA BøLEùENLERø korunmasÕdÕr. 5. Güvenli Haberleúme: øúlemdeki bilginin tahrif ve ifúa f edilmeden korunmasÕ 6. Güven: øúlemlerin yetkilendirilmiú kiúilerce izlenebilir ve hesap verilebilir olmasÕ ve daha sonradan inkar edilememesi 7. Teminat: Güvenlik bileúenlerinin uygulanmasÕnda güvenin uú olan E-Devlet güvenlik çerçevesi güven ve itimat kazanmak isteyen anahtar bir kÕlavuz mahiyetindedir. gi bir E-devlet sisteminin güvenlik ek tehdit ve saldÕrÕlarÕ da analiz n bir yazÕlÕm risk analiz metodolojisini ama geliútirme ile bütünleúmiútir. ET GÜVENLøK RøSKLERø -devlet’in geliúimi ile úebekenin ÕklarÕ sebebiyle önemli güvenlik lmaktadÕr. tÕ÷Õ güvenlik riskleri aúa÷Õda “ønsanlar” bileúeni e-Devleti kull etmektedir. Hükümetler tarafÕndan e f 1. Bilginin Yolunun Kesilmesi (DurdurulmasÕ): ølgili e- güvenlik problemleri ve sonuçlarÕndan haberdar olmasÕnÕ devlet kullanÕcÕlarÕnÕn ya da saldÕrganlarÕn bilgileri sa÷layacak farkÕndalÕk programlarÕnÕn uygulanmasÕna ihtiyaç kullanÕcÕlardan ya da devletten çalmalarÕ ya da ele vardÕr. geçirmeleridir. “øúlemler” bileúeni E-Devlet kullanÕmÕnÕ sa÷layan güvenlik 2. Bilginin TahrifatÕ: ønternet saldÕrganlarÕnÕn bilgi politikasÕ ve prosedürleri tarafÕndan yönetilen uygulamalardÕr. f bütünlü÷ünün tahrip edilmesi amacÕyla orijinal bilgiyi çeúitli metotlar vasÕtasÕyla tahrif etmesi, bilgiye ekleme Teknoloji E-Devlet güvenli÷ini kuvvetlendirmek için ya da çÕkartma yapmasÕdÕr. kullanÕlÕr ancak en zayÕf halka kadar iyidir. Güvenli÷i arttÕrmak için kullanÕlacak teknoloji çok katmanlÕ olmalÕ ve 3. Hizmetlerin ønkar Edilmesi: ùebeke sisteminin yada her seviyede uygun úekilde uygulanmalÕdÕr [3]. sistemdeki sunucularÕn belirli bir periyot zarfÕnda f tamamen hükümsüz kÕlÕnmasÕdÕr. Ço÷unlukla hacker Teknolojinin ùekil ‘de yer alan altbileúenlerine aúa÷Õda saldÕrÕlarÕ ya da virüs ya da insan yapÕmÕ yÕkÕcÕ araçlar kÕsaca de÷inilmektedir. vasÕtasÕyla gerçekleútirilen saldÕrÕlardÕr. 1. Kimlik Denetimi: Sadece yetkilendirilmiú kiúiler sisteme 4. Sistem KaynaklarÕnÕn ÇalÕnmasÕ: ùebeke sistemi eriúebilmelidir. çevresinde sistem kaynaklarÕnÕn çalÕnmasÕ sÕk rastlanÕr bir durumdur. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 11
  10. 10. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 5. Bilginin Taklidi: saldÕrganlarÕn úebeke bilgisi A.3. Risk Kontrolü içerisindeki veri kurallarÕnÕ bilmesi ya da e-devlet bilgisinin kodunu çözdükten sonra yasal kullanÕcÕ gibi Risk kontrolü bazÕ risk kontrol metotlarÕnÕ seçerek riskin davranmasÕ ya da di÷er kullanÕcÕlarÕ aldatmak için yanlÕú kabul edilebilir bir seviyeye azaltÕlmasÕnÕn sa÷lanmasÕdÕr. bilgi vermesidir. Ana formlar kullanÕcÕlarÕn yasal Risk kontrolü risk yönetiminin en önemli adÕmÕdÕr. E-Devlet olmayan sertifikalarÕ, yanÕltÕcÕ e-postalarÕ almasÕnÕ da güvenlik risk kontrolünün amacÕ e-devlet projelerinin maruz içerir [5]. kalaca÷Õ risk derecesini azaltmaktÕr. A. Risk Yönetimi Prosedürleri øki çeúit risk kontrolü metodu bulunmaktadÕr. Risk yönetimi riskleri tanÕmlamak, analiz etmek ve risk Birincisi risk azaltÕmÕ, kaçÕnma ya da transfer etme ve kayÕp yönetimi planlarÕnÕ hazÕrlamayÕ içeren bir süreçtir. E-devlet yönetimi gibi risk kontrolü ölçüleridir. güvenlik risk yönetimi prosedürleri üç adÕmdan oluúmaktadÕr. Risk tanÕmlanmasÕ, Risk Analizi ve Risk Kontrolü økincisi risk telafisi için sigorta ya da riski kendilerinin üstlenmesi gibi fon önlemleridir. E-devlet güvenlik risk A.1.Risk TanÕmlamasÕ: ølgili çeúitli tehditlerin ve yönetiminde idareciler sigorta ya da riski kendilerinin çözümlerinin toplanmasÕna ve e-devlet sistemindeki muhtemel üstlenmesine dair hangi önlemi alacaklarÕna karar riskleri ve tehditlerin tanÕmlanmasÕna dayanmaktadÕr. vermelidirler. Risklerin belirlenmesini sa÷layan çeúitli metotlar V. SøSTEM GÜVENLøöø ALTYAPISI bulunmaktadÕr. Risklerin belirlenmesinin amacÕ úebeke içindeki, veri ya da veri alÕúveriúindeki var olan riskleri Kamu perspektifinden bakÕldÕ÷Õnda hükümet bir kuruluú tanÕmlamaktÕr. olarak kabul edilebilir. Bir devlet kuruluúunda oluúacak olan bir güvenlik problemi tüm hükümet iúlemlerinin baúarÕsÕzlÕ÷Õ Risklerin belirlenmesi tüm e-devlet sistemi risklerinin olarak görülebilir. Bu bakÕmdan tüm kamu kurum ve belirlenmesini sa÷layamaz. Risk belirlenmesi halihazÕrda kuruluúlarÕnda bilgi güvenli÷inin sa÷lanmasÕ ve korunmasÕ bir bilinen ya da bilinen risklerden kaynaklanabilecek muhtemel ana proje olarak kabul edilebilir [6]. riskleri bulabilir. BøLGø GÜVENLøöø YÖNETøM SøSTEMø (BGYS) Risk analizi ve risk kontrolü bilinmeyen riskleri azaltmak ya da çözmek için kullanÕlÕr. Kurum ve KuruluúlarÕn hassas bilgilerini yönetebilmek amacÕyla benimsenen sistematik bir yaklaúÕm olan Bilgi A.2. Risk Analizi: Analiz, karúÕlaútÕrma ve de÷erlendirme Güvenli÷i Yönetim Sistemi’nin (BGYS) amacÕ sistem gibi çeúitli nicel ve nitel yöntemler vasÕtasÕyla e-devlet çalÕúanlarÕ, iú süreçlerini ve bilgi teknolojileri (BT) risklerinin her faktörünün önemine karar vermek ve e-devlet sistemlerini kapsayan hassas bilgilerin korunmasÕdÕr. sistemi için muhtemel sonuçlarÕnÕ de÷erlendirmektir. Kurum ve KuruluúlarÕn fiziksel alan güvenli÷i, veri Tehdit kaynaklarÕ insan, do÷a v.b. her türlü çevre olabilir. güvenli÷i, donanÕm-yazÕlÕm güvenli÷i ve güvenilirli÷i ile personel güvenilirli÷inin sa÷lanmasÕ için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya TABLO IV ÇEùøTLø TEHDøT KAYNAKLARI azaltÕlmasÕna yönelik kullanÕlan bazÕ standartlar Tehdit Muhtemel Kaynak bulunmaktadÕr. KasÕtlÕ Tehditler Teröristler Organizasyondan memnun olmayan, Bilgi güvenli÷i yönetimi konusunda en yaygÕn olarak akÕl sa÷lÕ÷Õ yerinde olmayan insanlar Suçlular kullanÕlan standart, “ISO/IEC 27002:2005 Bilgi Güvenli÷i YabancÕ düúmanlarla iúbirli÷i yapan Yönetimi øçin Uygulama Prensipleri” standardÕdÕr. Bu iúbirlikçiler standart, iúletmeler içerisinde bilgi güvenli÷i yönetimini KasÕtlÕ olmayan Tehditler Sistem kullanÕcÕlarÕnÕn yanlÕú iúlemleri baúlatmak, gerçekleútirmek, sürdürmek ve iyileútirmek için Sistem koruyucularÕnÕn ya da sorumlularÕnÕn yanlÕú iúlemleri genel prensipleri ve yönlendirici bilgileri ortaya koyar. Do÷al Tehditler Deprem ISO/IEC 27002:2005 rehber edinilerek kurulan BGYS’nin Volkanik Patlama belgelendirmesi için “ISO/IEC 27001:2005 Bilgi Güvenli÷i Hortum Yönetim Sistemleri–Gereksinimler” standardÕ Sel kullanÕlmaktadÕr [7]. Bu standart, dokümante edilmiú bir YÕldÕrÕm Düúmesi Dolu BGYS’ni kurumun tüm iú riskleri ba÷lamÕnda kurmak, Güvenlik açÕklarÕ hakkÕndaki bilgilere mevki araútÕrmasÕ, gerçekleútirmek, izlemek, gözden geçirmek, sürdürmek ve personel araútÕrmasÕ, penetrasyon testi, ilgili dokümanlarÕn iyileútirmek için gereksinimleri kapsamaktadÕr. øú risklerini analizi ve di÷er açÕk bilgi kaynaklarÕndan ulaúÕlabilir. karúÕlamak amacÕyla ISO/IEC 27002:2005’te ortaya konan Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 12
  11. 11. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION kontrol hedeflerinin kurum içerisinde nasÕl uygulanaca÷Õ ve denetlenece÷i ISO/IEC 27001:2005’te belirlenmektedir [8]. Ülkemiz E-Devlet HazÕrlÕk Göstergesi 2008’de 192 ülke arasÕnda 76 ncÕ sÕrada yer almakta ve E-Devlet KullanÕm Her iki standardÕn Türkçe hali TSE tarafÕndan sÕrasÕyla TS kapasitesi olarak %34- %66 kullanÕm oranÕna sahip ülkeler ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile sÕnÕfÕnda bulunmaktadÕr. E-Devlet güvenli÷inin sa÷lanmasÕ, yayÕnlanmÕútÕr. makalenin I inci bölümünde kapsamlÕca anlatÕlan e-Devlet oluúumunun ileri aúamalarÕna ulaúÕlmasÕnÕ sa÷layan en önemli Pratik Uygulamalar: faktörlerin baúÕnda gelmektedir. Bu ba÷lamda ülkemizdeki e- Devlet oluúumunun ileri aúamalara ulaúabilmesi için E-Devlet Bilgi Teknolojileri ve øletiúim Kurumu tarafÕndan hazÕrlanan Güvenli÷inin sa÷lanmasÕna özel bir önem verilmesi yerinde 20 Temmuz 2008 tarih ve 26942 sayÕlÕ Resmi Gazetede olacaktÕr. Bu ba÷lamda makalenin II inci bölümünde yayÕmlanan ELEKTRONøK HABERLEùME GÜVENLøöø vurgulanan E-Devlet Güvenlik çerçevesinin belirlenerek, YÖNETMELøöø ile elektronik haberleúme güvenli÷ine iliúkin E-Devlet Güvenlik politikalarÕ ve güvenlik úartlarÕ usul ve esaslar düzenlenmektedir. oluúturulmasÕ, kullanÕcÕlar, iúlemler ve teknolojiyi bir arada göz önünde bulunduran bir E-Devlet Güvenlik sistemi Bu Yönetmelik, iúletmecilerin fiziksel alan güvenli÷i, veri kurulmasÕ yerinde olacaktÕr. E-Devlet Güvenlik sisteminin güvenli÷i, donanÕm-yazÕlÕm güvenli÷i ve güvenilirli÷i ile kurulmasÕnÕn en önemli safhasÕnÕ kamu kurum ve personel güvenilirli÷inin sa÷lanmasÕ için tehditlerden ve/veya kuruluúlarÕnÕn hassas bilgilerini yönetebilmesi, bilgi zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya güvenli÷inin sa÷lanmasÕ ve korunmasÕ oluúturmaktadÕr. azaltÕlmasÕna iliúkin olarak alacaklarÕ tedbirlere yönelik usul Kamu Kurum KuruluúlarÕnÕn kendi Bilgi Güvenli÷i Yönetim ve esaslarÕ kapsamaktadÕr. Yetkilendirilen iúletmeciler Sistemlerini kurmalarÕ ve bu konuyla ilgili olarak Elektronik yetkilendirme tarihinden itibaren bir yÕl içerisinde Elektronik Haberleúme Güvenli÷i Yönetmeli÷i ile yetkilendirilen haberleúme güvenli÷ini sa÷lama kapsamÕnda TS ISO/IEC iúletmecilerin halihazÕrda uygunlu÷u sa÷lamakla yükümlü 27001 veya ISO/IEC 27001 standardÕna uygunlu÷u kÕlÕndÕklarÕ TS ISO/IEC 27001 veya ISO/IEC 27001 sa÷lamakla yükümlü kÕlÕnmÕúlardÕr. sertifikasyonlarÕnÕ almalarÕ devlet bünyesinde bir sistemati÷in oluúturulmasÕnÕ sa÷layacaktÕr. AyrÕca ISO bünyesinde 27001 Bilgi Güvenli÷i sertifikasÕ kapsamÕnda; bilgi sürdürülen ISO/IEC 27012 – Bilgi Teknolojileri-Güvenlik envanterinin hazÕrlanmasÕ ve bilgilerin sÕnÕflandÕrÕlmasÕ, Teknikleri-E-Devlet için Bilgi Güvenli÷i Yönetim Sistemleri Zaafiyet – SÕzma Test ve Analizlerinin yapÕlmasÕ, Risk KÕlavuzu’nun hazÕrlanmasÕ faaliyetlerinin dikkatle takip Analizinin yapÕlmasÕ ve Güvenlik Önlemlerinin tespit edilmesi, Ülkemiz E-Devlet Güvenlik sistemi kurulmasÕ edilmesi, Bilgi Güvenli÷i Politika, Prosedür, Talimat ve çalÕúmalarÕnda katkÕ sa÷layacaktÕr. FormlarÕnÕn OluúturulmasÕ, TS ISO/IEC 27001 Ek dokümanlarÕnÕn hazÕrlanmasÕ, TS ISO/IEC 27001 Sertifikasyonu kapsamÕnda de÷erlendirilmesi gereken KAYNAKLAR konulardÕr. [1] C. Can Aktan, “Etkin Devlet”, Çizgi Kitabevi, 2003 [2] David S. Evans, “ Antitrust Issues Raised by the emerging global ønternet AyrÕca ISO bünyesinde ISO/IEC 27012 – Bilgi Economy” , Copyright 2008 by Northwestern University School of Law Vol. 102Northwestern University Law Review Colloquy Teknolojileri-Güvenlik Teknikleri-E-Devlet için Bilgi [3] “UN e-Government Survey”, United Nations, New York, 2008 Güvenli÷i Yönetim Sistemleri KÕlavuzu’nun hazÕrlanmasÕ [4] Walid Al-Ahmad and Reem Al-Kaabi,, “An Extended Security çalÕúmalarÕ sürdürülmektedir. ISO/IEC 27012’nin ilk tasla÷Õ Framework for E-Government”,ISI 2008, June 17-20, 2008, Ocak 2009 tarihinde yayÕnlanacak olup Nisan 2009 tarihine Taipei, Taiwan, 2008 IEEE [5] Zhitian Zhou, Congyang Hu, “Study on the E-government Security kadar kamuoyu görüúlerine açÕlacaktÕr [9]. Risk Management”, IJCSNS International Journal of Computer Science and Network Security, VOL.8 No.5, May 2008 VI. SONUÇ [6] Stephen Smith, “Key Factors in E-Government Information System Security”, 18th Bled eConference eIntegration in Action Bled, Slovenia, ønternet günümüzde hem bilgi hem de tehditlerin kayna÷Õ June 6 - 8, 2005 [7] Fikret Ottekin Ulusal Elektronik ve Kriptoloji durumuna gelmektedir. Bu makalede güvenli e-devlet hizmet AraútÕrma Enstitüsü ISO/IEC 27001 Denetim Listesi, ve uygulamalarÕnÕn ana bileúenlerini adresleyen kapsamlÕ bir Sürüm 1.00, 21.02.2008 güvenlik çerçevesi ortaya konulmuútur. Bu çerçeve [8] Dinçer Önel, Ali Dinçkan, Ulusal Elektronik ve Kriptoloji hükümetlerin güvenli÷i e-Devlet sistemlerine tüm anahtar AraútÕrma Enstitüsü, Bilgi Güvenli÷i Yönetim Sistemi Kurulumu, Sürüm 1.00, 28.08.2007 güvenlik bileúenlerini göz önünde bulundurarak etkin bir [9] http://www.iso27001security.com/html/27012.html úekilde dahil etmelerinde yardÕmcÕ olacaktÕr. E-devletin karúÕlaútÕ÷Õ güvenlik riskleri risk yönetimi prosedürleri yardÕmÕyla azaltÕlabilir. Etkin ve elveriúli risk kontrolü metotlarÕndan biri riski azaltmak üzere bütüncül bir güvenlik planÕ hazÕrlamak, güvenlik garantisi olarak bazÕ temel teknolojilere hakim olmak ve özel güvenlik kazalarÕ oldu÷unda hükümetin kabul edebilece÷i çözümler hazÕrlamaktÕr. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 13
  12. 12. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Security of Critical Information Infrastructures: E-Governance and Standardization Serap ATAY, Marcelo MASERA ƒ ƒ ƒ ƒ Keywords — Communication system security, Goverment information systems, Internet, Security. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 21
  13. 13. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 22
  14. 14. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION ƒ ƒ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 23
  15. 15. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 24
  16. 16. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION ƒ ƒ ƒ ƒ ƒ ƒ ƒ ƒ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 25
  17. 17. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 26
  18. 18. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Cryptanalysis of Strengthened Magenta Orhun KARA Abstract—In this paper we mount a reflection attack on a its extremely simple key-schedule algorithm. We strengthen modified version of Magenta. Magenta was one of the block Magenta by double encryption and by adding two more rounds ciphers submitted for the AES contest. Indeed, Magenta has in order to foil the attack in [2]. It is also interesting that slide been already broken during the AES contest and hence has been disqualified. We first strengthen Magenta by double encryption attacks and related-key attacks are probably not applicable and by adding two more rounds. We call this new cipher as to the strengthened version. On the other hand, we mount a MagentaP2. We claim that MagentaP2 is strong against any reflection attack on the strengthened version. attack including the attack mounted on Magenta, except refection It is quite unusual that increasing the number of rounds type attacks. may cause weaknesses in terms of reflection analysis in some One prevalent adoption in crypto community is that increasing the number of rounds of a block cipher enhances the security cases. Magenta is strong against reflection analysis. However, level. In fact, we give a counter example against this adoption. reflection attack works quite well on MagentaP2, having more Magenta stands well against reflection attacks whereas Magen- rounds. The attack exploits extremely large number of the fixed taP2 is vulnerable to reflection attacks even though its number of points produced by the encryption function of Magenta. The rounds is more than twice the number of original Magenta. The workloads are , and encryptions with at most workloads of our attack are , and encryptions with at most known plaintexts for 128-bit, 192-bit and 256-bit key known plaintexts for 128-bit, 192-bit and 256-bit key lengths, lengths, respectively. respectively. Keywords Index Terms—Block Cipher, Round Function, Round Key, Key Organization. We give a brief description of the algorithm Schedule, Cryptanalysis, Self-similarity. Magenta in section II and then describe the modified version MagentaP2 in the forthcoming section. After giving prelimi- I. I NTRODUCTION nary results for the attack in Section IV, we explain the attack in Section V. Then, we conclude the paper. In this paper we mount a reflection attack on a fortified version of Magenta by means of increasing its round numbers and double encryption. The reflection attack is a new type II. A B RIEF D ESCRIPTION OF M AGENTA of self-similarity attack and the attack idea has been first Magenta is a block cipher submitted for the AES contest by appeared in [13]. The first applications with extensions have Deutsche Telekom AG [10]. It is a Feistel cipher with 128 bit been presented in FSE 2007 [14] and in INDOCRYPT 2008 block size and 128, 192 or 256 bit key sizes. In this section [12]. we give a high level description of Magenta and construct Apart from reflection attacks, there are two more generic a distinguisher for the whole cipher. This distinguisher does attack types exploiting some degree of self-similarity among not assist key recovering. We modify Magenta and call it round functions: One of them is the slide attack [5], [6]. The MagentaP2 (meaning Magenta Plus 2). MagentaP2 is double typical slide attack can be applied if the sequence of round encryption of Magenta plus two more rounds. The modified keys has a short period. The other attack type is the related- Magenta is expected to be more secure than Magenta against key attacks proposed by Biham [1]. Unlike slide attacks and most of the attack methods including the attack in [2] on related-key attacks, reflection attack exploits similarities of Magenta. However, it is surprising that MagentaP2 is weaker some round functions of encryption process with those of than Magenta itself in terms of reflection attacks. decryption. This is the main difference from the previous self-similarity attacks, which exploit the similarities among We give a short description of Magenta. We do not enter round functions only in encryption process. Consequently, into details of round function since we do not exploit it in some ciphers resistant to related-key attacks or slide attacks cryptanalysis. Magenta is a Feistel network where the last can be vulnerable to reflection attacks. swap operation is included unlike DES. When the key length Magenta was one of the candidate algorithm for AES during of Magenta is of 128, 192 or 256 bits then it is divided into NIST-AES contest and has been broken immediately after the two, three or four equal parts as , or commencement of the contest [2]. The major pitfall of the , respectively. The encryption functions are algorithm was not a weakness of the round function but was if key size is 128, The author is supported in part by the European Commission through the if key size is 192, project FP-7 ICE under the project grant number 206546. if key size is 256. O. KARA , TÜBİTAK UEKAE National Research Institute of Electronics and Cryptology, Gebze 41470 Kocaeli/Turkey, orhun@uekae.tubitak.gov.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 27
  19. 19. 3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Each round function is defined as the studies were focused on algebraic properties of DES per- mutations and their short cycles rather than developing a key recovery attack [8], [19], [11], [18]. The following corollary (1) points out the opposite direction of this old phenomenon. where is the “XOR” operation. Corollary 1: Assume that each round key determines a Magenta was cryptanalyzed during the AES conferences round function randomly. Let be encrypted by Biham et. al. [2] and hence eliminated. The attack is a and be its encryption stream. Assume that divide and conquer type attack. One can extract the outer keys, the round number is even, , and independently from the inner key. The complexity is . Let be the cardinality of the pre-image encryptions for a known plaintext attack where is the key set, . Then, length. and III. D ESCRIPTION OF M AGENTA P2 The modified Magenta, which we call MagentaP2, is a Proof: Assume that the round function is random. Then, double encryption of Magenta including two more rounds. Let the probability that is given as and denote the encryption functions of Magenta and MagentaP2, respectively. Then, MagentaP2 encryption is defined as since it is equal to (2) where is the round function of Magenta and if key size is 128, if key size is 192, Note that since . if key size is 256. On the other hand, by Proposition 1. Hence, we conclude that is cyclic rotation to left by bits where can be chosen any positive integer less than 64. The new cipher depends on , but we call all the ciphers simply as “MagentaP2” by abuse of terminology. IV. P RELIMINARY W ORK FOR THE ATTACK We give a general framework of the reflection attack on Feistel networks as a preliminary section for the next section The following theorem illustrates the property exploited to where the attack is described. The extensions of the statements mount an attack on a Feistel network with palindromic round in this section can be found in [12]. keys. Let a plaintext be given as Theorem 1: Assumptions are as in Corollary 1. Then the . The Feistel structure can be equality implies that the equation stated as a recursive function defined as with the initial conditions given by . The (4) function is the encryption is true with probability function. The -th round operation is defined as (3) for . In general, the swap operation is excluded in the Proof: Assume that . Then by Corollary 1, we last round and is the corresponding ciphertext. With have with probability some abuse of terminology, is also called the round function. We call the stream the encryption stream of with respect to . Proposition 1: For a given natural number , assume Thus the equality is true with probability that . Let be encrypted and be its encryption stream. If , then by Proposition 1. On the other hand . Conversely, if and Thus, the probability that is for some , then . Proposition 1 has already been known during the studies on cycle structures of DES (see [8], [19]). Hence, the notion of the fixed points of the weak keys of DES is well known. However, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 28

×