Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bilgi Güvenliği Temel Eğitim

3,452 views

Published on

Bilgi Güvenliği Temel Eğitim

Published in: Education
  • Be the first to comment

Bilgi Güvenliği Temel Eğitim

  1. 1. Cahide ÜNAL ARALIK 2012 1
  2. 2. 2 Kültürel Değişim SANAL DÜNYADA BİLGİ MİKTARI  Bilgi ve iletişim teknolojileri hızla gelişmiş ve tüm dünya çapında yayılmıştır. 2.27 milyar internet kullanıcısı – Günlük 247 milyar e-posta  Tüm iş ve işlemler elektronik ortama aktarılmış/aktarılmaktadır 240 milyon internet adresi, 19.2 milyar internet sayfası, 1.6 milyar resim, 50 milyon ses-görüntü dosyası  Kişisel, kurumsal ve ulusal açıdan hayati önem taşıyan pek çok bilgi elektronik ortamda olmaktadır.
  3. 3. Yeni İnternet Kullanım Trendleri 2010 yılı, OECD ülkeleri • e-posta gönderme ya da telefon açma: yetişkin kullanıcıların % 67’si • mal ve hizmetlerini internet yoluyla sipariş edilmesi: yetişkin kullanıcıların % 35’i • internet bankacılığı: yetişkin kullanıcıların % 40’u • sipariş verme: OECD ortalamasına göre çalışan sayısı 10 ya da daha fazla olan işletmelerin % 43’ü • Satış Yapma: Bahsi geçen işletmelerin %27 si 3
  4. 4. Yeni İnternet Kullanım Trendleri İnternet vasıtasıyla gerçekleştirilen faaliyetler; •Postalama, •Bilgi Paylaşımı •Taştışma Platformları •Telefon açma, •Alışveriş yapma, •Pazarlama •Bankacılık, •Müzik ve oyun Sosyal Medya • Youtube • Facebook • Twitter • Skype • RSS • Google • Tolk • Blog • Linkedin 4
  5. 5. İNTERNET ETİĞİ İnternetin günümüzde yaygın bir iletişim aracı olarak kullanılması, beraberinde dikkat edilmesi gereken bazı kuralları da getirmektedir. İnternet üzerinde kabul edilebilir ya da edilemez davranışları tanımlayan kurallar " internet etiği " olarak adlandırılır. İnternet etiği olarak adlandırılan bu kurallar, internet kullanılırken diğer insanların haklarına saygılı olmak için ne yapılıp ne yapılamayacağına ilişkindir. Kullanıcı sayısı arttıkça etik anlamda kirlenme ve olumsuzlukların artacağı düşünülürse, internette sorunsuz olarak iletişim kurmak için internet etik kurallarının bilinmesi ve uygulanması gerekmektedir. 5
  6. 6. İnternette sohbet ederken dikkat edilmesi gereken kurallar: • Konuşma odalarında veya birebir sohbet ettiğiniz yerlerde karşınızda bulunanların özel yaşamlarına müdahale edecek davranışlarda bulunmamalı, diğer sohbet edenlere karşı saygılı olmalısınız. • Eğer birisi size karşı saygısızca davranıyorsa o kişiyi engellenmiş kişiler listesine ekleyerek onunla tartışmalara girmemelisiniz. Eğer böyle bir kişi ile tartışmaya girerseniz bu davranışınızın onun daha çok hoşuna gideceğini bilmelisiniz. • Eğer ilk defa bir sohbet kanalına girmiş iseniz, sohbete katılmadan önce orada olup bitenleri takip etmelisiniz. Eğer odadaki sohbet hoşunuza gitmediyse o sohbet odasını terk edebilirsiniz. 6
  7. 7. • Koyu, kalın veya büyük harflerle yazı tipini bütün cümlelerde kullanmamalısınız. Çünkü büyük harf ya da koyu ve kalın yazı yazmak, dikkat çekmek, ya da kızgınlık anlamına gelmektedir. • Sık sık yapılan tekrarlamalar, mesela saçma olan cümleler, aynı veya farklı karakterleri defalarca tekrarlamak veya tek olarak alt alta postalamak ya da yazmak insanları rahatsız edebilir. Bu tür davranışlardan kaçınılmalıdır. • Sohbetteki birinin rumuzunu (Nick Name) kötü söz içerecek şekilde rumuz olarak kullanmamalısınız. Rumuz olarak tartışma yaratan isimler seçmemelisiniz. • Sohbet odasında yönetici, moderatör olmadığınız hâlde başkalarına olduğunuzu söyleyip kandırma yolunu seçmemelisiniz. Zaten bu şekilde davrandığınızda gerçek yöneticiler tarafından sizin IP (bilgisayarınızın numarası) adresiniz kilitlenecek ve mesaj yollamanız engellenecektir. İnternette sohbet ederken dikkat edilmesi gereken kurallar: 7
  8. 8. • Sohbet esnasında başkalarını rahatsız edecek şekilde ırk, din, dil, seks, siyaset gibi konular hakkında açıklamalarda bulunmamalı ve diğerlerini de bu yolla rencide etmemelisiniz. • Kanuna, ahlâka ve kamu düzenine aykırı mesaj içeriği göndermek, uygunsuz, yalan ve/veya iftira içerik ya da mesaj ve bilgileri göndermek, tehdit etmek, küfür, vb. fiilleri işlemek, kişi ve/veya kuruluşların gizli bilgilerini yayınlamak, reklam ve internet sitesi tanıtımını yapmak doğru bir davranış değildir. • Tüm sohbet sunucuları giriş bilgileriniz üzerinden IP adresinizi (bilgisayarınızın numarası) ve hangi ISS (internet servis sağlayıcı) üzerinden internete girdiğinizi tespit edebilir. ISS de ise sizin ile ilgili bir çok bilgiler bulunmaktadır. IP adresiniz tespit edilebileceği için bilgisayarınızı başkalarının kullanması durumunda sorumluluğun size ait olduğunu unutmayınız. İnternette sohbet ederken dikkat edilmesi gereken kurallar: 8
  9. 9. İNTERNET ETİĞİ • İnternet'i insanlara zarar vermek için kullanmayacaksın. • Başkalarının İnternet'te yaptığı çalışmalara engel olmayacaksın. • Başkalarının gizli ve kişisel dosyalarına girmeyeceksin. • İnternet yoluyla çalmayacaksın. • İnternet'i yalancı şahit olarak kullanmayacaksın. • Parasını ödemediğin yazılımları kopyalayıp kendi malın gibi kullanmayacaksın. • Başkalarının elektronik iletişim kaynaklarını izinsiz kullanmayacaksın. • Başkalarının entelektüel ürünlerini kendi malınmış gibi sunmayacaksın. • Tasarımladığın programların doğuracağı toplumsal sonuçları önceden düşüneceksin. • Elektronik iletişim ortamını başkalarının haklarına saygı göstererek kullanacaksın 9
  10. 10. GÜNCEL GELİŞMELER WIKILEAKS • Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek • ABD’nin sanal savaş denemesi • Kendisini/diğer ülkeleri nasıl etkileyecek • Geliştirilen teknolojileri test etme • Facebook ve Google gibi teknolojilerini ne kadar iyi kullanabiliyor testi • İnternet ne kadar kontrol edebilir / edilemez.. 10
  11. 11. • Mükemmel bir arama motoru • En çok tercih edilen arama motoru • Mükemmel hizmetler veriyor • Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, …… • Değeri 200 Milyar Dolar • FAKAT… GÜNCEL GELİŞMELER GOOGLE 11
  12. 12. • Dünyanın en iyi casus yazılım sistemi • Dünyanın bilgisini topluyor.. • Ülkesine hizmet eden en iyi yazılımlardan birisi.. • Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor.. • Kelime/Cümle/Resim/Ses araması yapabiliyor.. • İstihbarat için vazgeçilmez bir ortam.. • Tabii ki bu sistemi iyi kullananlar için.. • encrypted.google.com hizmete giriyor.. • Güvenlik açığı oluşturabilecek hususları kapatıyor.. GÜNCEL GELİŞMELER GOOGLE 12
  13. 13. SOSYAL AĞLAR • Sosyal çevre ile iletişim kurmayı sağlar • Anlık olarak neler yaptığımızı, nerelerde olduğumuzu paylaşmamızı sağlar • Duygu ve düşüncelerin daha geniş kitlelere ulaşmasını sağlar • Kişi/Topluluk Takibi 13
  14. 14. Ülkelere Göre Facebook Kullanımı • http://www.socialbakers.com/facebook-statistics/ 14
  15. 15. Sosyal Ağların Güvenlik Bileşenleri 15
  16. 16. Phishing ( Yemleme ) •Yemleme, yasadışı yollarla bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmeye denir. •"Yemleyici"diye tanımlanan şifre avcıları, genelde - posta vb. Yollarla kişilere ulaşır ve onların kredi kartı vb. ayrıntılarını sanki resmi bir kurummuş gibi isterler. 16
  17. 17. Güvenlik Önlemleri •Kişisel bilgilerinizi ve sorun oluşturabilecek resimlerinizi paylaşmayın. •İletişim bilgilerinizi paylaşmayın (Cep telf. , Adres vb.) •Gizlilik ayarlarınızı mutlaka kontrol edin. •Tanımadığınız kişilerden gelen arkadaşlık tekliflerini kabul etmeyin ! •Dahil olduğunuz uygulamaların sizin adınıza reklam ve yayın yapabileceğini unutmayınız Güvenlik Seçenekleri •HTTPS: Güvenli HTTP katmanıdır. Ağ tabanlı saldırıların önüne geçmek ve saldırı anında farkındalık kazanmak için mutlaka tercih edilmelidir. 17
  18. 18. TS ISO IEC 17799:2005 18 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. Bilgi Güvenliği
  19. 19. Bilgi Türleri • Kağıt üzerine basılmış, yazılmış • Elektronik olarak saklanan • Posta ya da elektronik ortama aktarılmış • Kurumsal videolarda gösterilen • Söyleşiler sırasında sözlü olarak aktarılan 19
  20. 20. Temel Güvenlik Nesneleri  Gizlilik (Confidentiality)  “Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada teslim edilmemesi gerekli veri ya da programların özelliği…” [Bilişim Sözlüğü, Bülent Sankur]  Bozulmamışlık (Integrity)  “Programların sistemin ve verilerin kötü niyetli olsun olmasın değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması…” [Bilişim Sözlüğü, Bülent Sankur]  Kullanırlık (Availability)  “Bir sistem yada özkaynağın gereksinildiğinde kullanıma elverişli olma derecesi…” [Bilişim Sözlüğü, Bülent Sankur] 20
  21. 21. Saldırıya Uğrayabilecek Değerler • Kurumun İsmi, güvenilirliği • Kuruma ait gizli bilgiler • İşin devamlılığını sağlayan bilgi ve süreçler • Üçüncü şahıslar tarafından emanet edilen bilgiler • Kuruma ait adli, ticari, teknolojik bilgiler 21
  22. 22. Görülebilecek Zararın Boyutu • Müşteri Mağduriyeti • Kaynakların Tüketimi • İşin yavaşlaması ya da durması • Kurumsak imaj kaybı • Üçüncü şahıslara yapılan saldırı mesuliyeti 22
  23. 23. Dahili Tehdit Unsurları • Bilinçsiz ve bilgisiz kullanım • Kötü niyetli hareketler 23
  24. 24. Harici Tehdit Unsurları Saldırı Yöntemleri • Hizmet aksatma saldırıları • Ticari Bilgi ve Teknoloji hırsızlıkları • Web sayfası içeriği değiştirme saldırıları • Kurum üzerinden farklı bir hedefe saldırmak • Virüs, worm, trojan saldırıları • İzinsiz kaynak kullanımı 24
  25. 25. Bilgi Güvenliği • Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak. • Koruma sırasında gerekli olan kontroller ve ölçümlerin tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak. 25
  26. 26. TS ISO IEC 27001 • Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur. • Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar. 26
  27. 27. Siber Dünya Günümüzde hayat her yönüyle sayısallaşmamış olsa da süreçte varılacak nokta istisnasız her şeyin sayısallaştığı, uluslar arası protokollerin ve standartların hayatın tüm evrelerine nüfuz ettiği SİBER DÜNYA olacaktır. 27
  28. 28. Siber Saldırı/Siber Savaş • Hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılara 'siber saldırı' deniyor. Bunlar, ticari, politik veya askerî amaçlı olabiliyor. • Aynı saldırıların ülke veya ülkelere yönelik yapılmasına ise 'siber savaş' deniyor. • Bu tanımlara göre, Anonymous isimli grubun Türkiye'deki bazı kurumlara yönelik eylemine siber saldırı, Wikileakes'in yaptığına ise siber savaş demek mümkün. 28
  29. 29. Siber Savaşlar  CIA başkanı Leon Panetta, “ Savaş bitti ama teknoloji savaşları başladı.”  Eski ABD Savunma Bakanı Albright’a ait şu sözler siber-savaşın ciddiyetini de anlatıyor: “Siber saldırılar NATO ya karşı 3 tehditten biri olarak kabul edilecektir.” 29
  30. 30. Siber Saldırılar  Casusluk  Manipülasyon  Propaganda  İletişim  Virüs  Truva atları  Sistem bozma  Siber bombalarla sabotaj  Bilgi kirliliği  Sistem kilitleme  Dolandırıcılık 30
  31. 31. 31 Siber Tehdit Araçları • Hizmetin engellenmesi saldırıları (DoS, DDoS) • Bilgisayar virüsleri • Kurtçuk (worm) • Truva atı (trojan) • Klavye izleme (key logger) yazılımları • İstem dışı ticari tanıtım (adware) yazılımları • Casus / köstebek (spyware) yazılımlar • Yemleme (phishing) • İstem dışı elektronik posta (spam) • Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)
  32. 32. 32 Siber Tehditlerin Amaçları  Sisteme yetkisiz erişim  Sistemin bozulması  Hizmetlerin engellenmesi  Bilgilerin değiştirilmesi  Bilgilerin yok edilmesi  Bilgilerin ifşa edilmesi  Bilgilerin çalınması
  33. 33. 33 Araştırmalar & Veriler • Britanya’da geçen yıl siber saldırıların ülke ekonomisine maliyeti 27 milyar pound’u buldu. • Yılda 100 binden fazla siber saldırının yaşandığı ABD’de ise bu rakam tahmini olarak 100 milyar dolar civarında. • I Love You virüsü dünya çapında yaklaşık 45 milyon bilgisayara bulaşmış ve yaklaşık 10 milyar USD’lik maddi kayba yol açmıştır. • Nimda kurtçuğunun dünya çapında yaklaşık 3 milyar USD’ lik, • Love Bug’ın ise 10 milyar USD’ lik kayba yol açmıştır • MyDoom adlı truva atının yol açtığı maddi zarar 4,8 milyar USD civarında Kaynak: Schjølberg, S., Hubbard, Lemos, R., Hahn, R.W
  34. 34. 34 Neler Yapılmalı ??? Bilgi güvenliği konusu, salt teknik – mühendislik bir konu olmayıp, farklı boyutları bulunmaktadır  Yasal boşluk giderilmeli (1999’dan beri sürüncemede)  Yetkili kurum tespit edilmeli  Ulusal Strateji hazırlanmalı  Düzenleyici çerçeve oluşturulmalı  Farkındalık oluşturulmalı  Eğitim müfredatına ilave edilmeli  ………………………… Siber Güvenlik
  35. 35. 35 • Güvenlik zincirinde en zayıf halkası bireyler olduğundan bireylere ve KOBİ’lere öncelik verilmesi • Kullanıcılara yönelik siber güvenlik farkındalığı programları sunulması • Özel şirketlerde güvenlik kültürü geliştirilmesinin teşvik edilmesi • Sivil topluma yönelik destek programları sunulması (Ebeveynlere yönelik dersler, eğitimcilere yönelik destek malzemeleri, çocuklara yönelik gelişim kitapları veya oyunlar gibi) • Kapsamlı bir ulusal farkındalık programının tesis edilmesi (Personelin eğitilmesi, yaygın kabul gören güvenlik sertifikasyonlarının alınması gibi) Farkındalığın Artırılması
  36. 36. Türkiyeye Yapılan Saldırılar • Cumhurbaşkanlığı • TBMM • Başbakanlık • İçişleri/Dışişleri/Ulaştırma vb. Bakanlıklar • Genel Kurmay Başkanlığı/MIT/Emniyet/BTK/TİB vb. Kurum ve Kuruluşlar • Anonymous BTK'yı Hack'ledi! • İnternetin bilinen hacker gruplarından Anonymous, Bilgi Teknolojileri ve İletişim Kurumu’nu hack’ledi. Ele geçirilen tüm bilgiler internette yayınlandı. • Bilinmeyenler.? 36
  37. 37. • Casus yazılım sayısı artıyor. • Farklılaşıyorlar. • Kendilerini saklayabiliyorlar, görünmez olabiliyorlar. • Silseniz bile tekrar kopyalayabiliyorlar • Belirli bir süre var olup sonra kendilerini yok edebiliyorlar. • Türkiyede yaklaşık 2000 server köle SALDIRILAR 37
  38. 38. “İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDADIR” 4 Mayıs 2007 5651 NO’LU KANUN 38
  39. 39. Bilişim Suçları ve Cezalar Suçun Adı Kanuni Dayanağı Ceza Durumu Bilişim Sistemine Girme TCK Md. 243 1 ila 2 Yıl arası hapis Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme TCK Md. 244 1 ila 6 yıl arası hapis Banka ve Kredi Kartlarının Kötüye Kullanılması TCK Md. 245 3 ila 8 yıl arası hapis Ticari Sır, Bankacılık Sırrı veya Müşteri Sırrı Niteliğindeki Bilgi veya Belgelerin Açıklanması TCK Md.239 1 ila 7 yıl arası hapis Devletin Güvenliği veya İç veya Dış Siyasal Yararları Bakımından, Niteliği İtibarıyla, Gizli Kalması Gereken Bilgiler TCK Md. 327, Md. 328, Md. 329 3 ila 20 yıl arası hapis(Savaş durumunda müebbet hapis) Verilerin Kaydedilmesi TCK Md. 135 6 ay ila 3 yıl arası hapis Verilerin yok edilmesi TCK Md. 138 6 ay ila 1 yıl arası hapis Haberleşmenin gizliliğini ihlal TCK Md. 132 6 ay ila 3 yıl arası hapis Haberleşmenin engellenmesi TCK Md. 124 6 ay ila 5 yıl arası hapis Dolandırıcılık TCK Md.158 3 yıl ila 7 yıl arası hapis 39
  40. 40. Bilişim Sistemleri Aracı Kılınarak İşlenen Suçlar Suçun adı Kanuni dayanağı Hapis Cezası Aralığı İntihara Yönlendirme TCK Md. 84 2 ila 10 yıl arası hapis Hakaret TCK Md. 125 3 ay ila 2 yıl arası hapis Hırsızlık TCK Md. 142 3 ila 7 yıl arası hapis Müstehcenlik TCK Md. 226 3 ila 7 yıl arası hapis Kumar Oynanması İçin Yer ve İmkân Sağlama TCK Md. 228 1 yıla kadar hapis Şantaj TCK Md. 107 1 ila 3 yıl arası hapis Tehdit TCK Md. 106 6 ay ila 5 yıl arası hapis Çocukların Cinsel İstismarı TCK Md. 103 3 ila 8 yıl arası hapis Uyuşturucu veya Uyarıcı Madde Kullanılmasını Kolaylaştırma TCK Md. 190, 191 2 ila 5 yıl arası hapis Sağlık İçin Tehlikeli Madde Temini TCK Md. 194 6 ay ila 1 yıl arası hapis Fuhuş TCK Md. 227 4 ila 10 yıl arası hapis Atatürk Aleyhine İşlenen Suçlar 5816 sayılı Kanun 1 ila 3 yıl arası hapis 40
  41. 41. cerpolat@meb.gov.tr Teşekkür ederim… 41

×