Gerçekleştirmesi planlanan sunumda web ve mobil bankacılık uygulamalarında sıklıkla karşılaşılan güvenlik açıklıklarından ve bu açıklıkların doğurduğu risklerden bahsedilecektir.
Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Stratejilerinin Oluşumu
Geçtiğimiz on yıl içerisinde siber güvenliğin hızlı bir şekilde ülkelerin milli güvenlik politikalarının önemli bir unsuru haline gelmiştir. 2003 yılında ABD ilk kez ulusal siber güvenlik stratejisini yayınlayan ülke olmuştur. 35 farklı ülke de ABD’yi izleyerek siber güvenlik strateji dökümanı hazırlamış ve yayınlamışlardır. Askeri siber operasyonlar, siber suçlarla mücadele, siber casusluk, kritik alt yapı güvenliği, siber diplomasi ve İnternet yönetişimi stratejik siber güvenliğin çeşitli alanları olarak değerlendirilmiştir. Hazırlanan sunumda Hollanda, İngiltere, ABD ve Türkiye’nin siber güvenlik stratejileri incelenerek, her bir ülkenin stratejisini hangi alan üzerine inşa ettiği incelenmiştir.
Mass surveillance, dinlenmeler, yasadışı yetkisiz erişimler gibi konularla çalkalandığımız bu dönemde mahremiyet ve güvenlik giderek insanların dikkat etmeye çalıştığı bir konu haline geldi. Bu sunumda, Internet ve sosyal medya'nın dogğurdugu mahremiyet ihlalleri ve özel olarak geliştirdiğimiz sosyal medya aracılığı ile istihbarat ve mahremiyet ihlali yöntemleri açıklanacaktır. Artık "geçen yaz ne yaptığınız"dan daha fazlasını, sabah ilk kahvenizi kiminle içtiğinizden, favori mekanlarınıza ve günlük rutinlerinize kadar tüm mahremiyetiniz ifşa oluyor.
Gerçekleştirmesi planlanan sunumda web ve mobil bankacılık uygulamalarında sıklıkla karşılaşılan güvenlik açıklıklarından ve bu açıklıkların doğurduğu risklerden bahsedilecektir.
Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Stratejilerinin Oluşumu
Geçtiğimiz on yıl içerisinde siber güvenliğin hızlı bir şekilde ülkelerin milli güvenlik politikalarının önemli bir unsuru haline gelmiştir. 2003 yılında ABD ilk kez ulusal siber güvenlik stratejisini yayınlayan ülke olmuştur. 35 farklı ülke de ABD’yi izleyerek siber güvenlik strateji dökümanı hazırlamış ve yayınlamışlardır. Askeri siber operasyonlar, siber suçlarla mücadele, siber casusluk, kritik alt yapı güvenliği, siber diplomasi ve İnternet yönetişimi stratejik siber güvenliğin çeşitli alanları olarak değerlendirilmiştir. Hazırlanan sunumda Hollanda, İngiltere, ABD ve Türkiye’nin siber güvenlik stratejileri incelenerek, her bir ülkenin stratejisini hangi alan üzerine inşa ettiği incelenmiştir.
Mass surveillance, dinlenmeler, yasadışı yetkisiz erişimler gibi konularla çalkalandığımız bu dönemde mahremiyet ve güvenlik giderek insanların dikkat etmeye çalıştığı bir konu haline geldi. Bu sunumda, Internet ve sosyal medya'nın dogğurdugu mahremiyet ihlalleri ve özel olarak geliştirdiğimiz sosyal medya aracılığı ile istihbarat ve mahremiyet ihlali yöntemleri açıklanacaktır. Artık "geçen yaz ne yaptığınız"dan daha fazlasını, sabah ilk kahvenizi kiminle içtiğinizden, favori mekanlarınıza ve günlük rutinlerinize kadar tüm mahremiyetiniz ifşa oluyor.
Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır. Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.
Her ne kadar yazılımların saldırı vektörleri çok fazla olsa da aslında güvenli yazılım geliştirme adına yapılacak pratik çözümler ile çok sayıda uygulama güvenliği problemi ortadan kaldırılabilir. Bu sunum içeriği; güvenli yazılım geliştirme adına yapılması gereken en yaygın 10 pratik çözümü ve örneklerini içeriyor olacaktır.
2014 yılı sistem yöneticileri için kabus, hackerlar için rüya gibi bir yıldı. Geçtiğimiz yıl, Heartbleed, Shellshock, Sandworm, Schannel, POODLE, Drupal SQL enjeksiyonu gibi sıfır-gün ataklarının yanı sıra Dragonfly, Regin, Turla gibi devletlerin sponsor olduğu zararlı yazılım ataklarının adından söz ettirdiği ve Sony, HomeDepot ve Domino's Pizza gibi dev şirketlerin, hatta iCloud üzerinden ünlülerin hacklendiği bir yıl oldu.2014'te 15.000 civarında güvenlik açığı ortaya çıktı, fakat bunlardan sadece %5'inin sömürü kodu var. Peki, bu kadar az istismar kodu varken hackerlar nasıl bu kadar başarılı oluyor? IT departmanlarının korkulu rüyası herkese açık herkese açık istismar kodlarıyla yapılan saldırılar mı, sıfır-gün atakları mı, yoksa zararlı yazılım saldırıları mı? Bu saldırılardan nasıl korunabiliriz? Bütün bu soruların cevaplarını bu sunumda bulacaksınız.
Elektrik kesintisinden kredi kartı hırsızlığına, filmlerden dizilere; siber güvenlik başlığı haberler ve magazin gündeminde baş köşelere yerleşmeye başladı. Peki kurumlar ve devlet yönetimleri hangi alanlara odaklanmalı? Ya da bu başlığın tam adı ne olmalı ve kavram karmaşasına nasıl yaklaşmalıyız? Information Security Forum raporları ile son yıllarda Türkiye ve Dünya'daki kurumların gündeminde en ön sıralarda yer alan başlıklardan yola çıkarak hazırlanan bu sunumda, önümüzdeki yıllarda sadece siber güvenlik camiasının değil, kurum ve devlet yönetimlerinin de odaklanması gereken alanlara ışık tutulmaya çalışılacak.
Bilgi Güvenliği Farkındalık Eğitim Sunumu Özetidir. Eğitim konu başlıklarına http://www.slideshare.net/bgasecurity/bilgi-gvenlii-farkndalk-eitimi dokümanımızdan erişebilirsiniz.
Kisisel Saglik Verileri: Elektronik Saglik Kayitlarinda GuvenlikBedirhan Ustun
Kisisel Saglik Verileri; Electronic Health Records; Personal Health Records; EHR; PHR; Security; Privacy; Turkish Law; Turkish Constitution; European Court on Human Rights;
Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır. Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.
Her ne kadar yazılımların saldırı vektörleri çok fazla olsa da aslında güvenli yazılım geliştirme adına yapılacak pratik çözümler ile çok sayıda uygulama güvenliği problemi ortadan kaldırılabilir. Bu sunum içeriği; güvenli yazılım geliştirme adına yapılması gereken en yaygın 10 pratik çözümü ve örneklerini içeriyor olacaktır.
2014 yılı sistem yöneticileri için kabus, hackerlar için rüya gibi bir yıldı. Geçtiğimiz yıl, Heartbleed, Shellshock, Sandworm, Schannel, POODLE, Drupal SQL enjeksiyonu gibi sıfır-gün ataklarının yanı sıra Dragonfly, Regin, Turla gibi devletlerin sponsor olduğu zararlı yazılım ataklarının adından söz ettirdiği ve Sony, HomeDepot ve Domino's Pizza gibi dev şirketlerin, hatta iCloud üzerinden ünlülerin hacklendiği bir yıl oldu.2014'te 15.000 civarında güvenlik açığı ortaya çıktı, fakat bunlardan sadece %5'inin sömürü kodu var. Peki, bu kadar az istismar kodu varken hackerlar nasıl bu kadar başarılı oluyor? IT departmanlarının korkulu rüyası herkese açık herkese açık istismar kodlarıyla yapılan saldırılar mı, sıfır-gün atakları mı, yoksa zararlı yazılım saldırıları mı? Bu saldırılardan nasıl korunabiliriz? Bütün bu soruların cevaplarını bu sunumda bulacaksınız.
Elektrik kesintisinden kredi kartı hırsızlığına, filmlerden dizilere; siber güvenlik başlığı haberler ve magazin gündeminde baş köşelere yerleşmeye başladı. Peki kurumlar ve devlet yönetimleri hangi alanlara odaklanmalı? Ya da bu başlığın tam adı ne olmalı ve kavram karmaşasına nasıl yaklaşmalıyız? Information Security Forum raporları ile son yıllarda Türkiye ve Dünya'daki kurumların gündeminde en ön sıralarda yer alan başlıklardan yola çıkarak hazırlanan bu sunumda, önümüzdeki yıllarda sadece siber güvenlik camiasının değil, kurum ve devlet yönetimlerinin de odaklanması gereken alanlara ışık tutulmaya çalışılacak.
Bilgi Güvenliği Farkındalık Eğitim Sunumu Özetidir. Eğitim konu başlıklarına http://www.slideshare.net/bgasecurity/bilgi-gvenlii-farkndalk-eitimi dokümanımızdan erişebilirsiniz.
Kisisel Saglik Verileri: Elektronik Saglik Kayitlarinda GuvenlikBedirhan Ustun
Kisisel Saglik Verileri; Electronic Health Records; Personal Health Records; EHR; PHR; Security; Privacy; Turkish Law; Turkish Constitution; European Court on Human Rights;
Prof.dr. halit hami oz 03-sağlık kurumlarında bilgi sistemi-sağlık kayıtların...Prof. Dr. Halit Hami Öz
KAFKAS ÜNİVERSİTESİ
ATATÜRK SAĞLIK HİZMETLERİ MESLEK YÜKSEK OKULU
SAĞLIK KURUMLARI BİLGİ SİSTEMİ DERS NOTLARI ve SUNUMLARI
Prof.Dr. Halit Hami ÖZ
Kafkas Üniversitesi
Mühendislik Mimarlık Fakültesi
Bilgisayar Mühendisliği Bölümü
Bilgisayar Yazılımı Anabilim Dalı
Kars, Türkiye
3. Prof.Dr. Halit Hami OZ-03-Sağlık Kurumlarında Bilgi Sistemi-Sağlık Kayıtlarının İçeriği
Hastalar dijital dünyayı ne için ve ne zaman kullanıyorlar? Hastalar Hekim/Hastane bulmada nasıl bir yol izliyor? Hangi sağlık uygulamalarını tercih ediyorlar? Hastane içi kullanılan dijital araçlar ve Türkiyedeki uygulamaları sizler için topladık.
Elektronik Sağlık Kayıtlarında Hasta Mahremiyeti ve Etik SorunlarBedirhan Ustun
Issues about privacy, security and confidentiality of electronic health records in Turkey discussed in legal frameworks of Turkish Constitution and European Court of Human Rights
Prof.dr. halit hami oz 06-sağlık kurumlarında bilgi sistemi-veri̇ toplamanin ...Prof. Dr. Halit Hami Öz
KAFKAS ÜNİVERSİTESİ
ATATÜRK SAĞLIK HİZMETLERİ MESLEK YÜKSEK OKULU
SAĞLIK KURUMLARI BİLGİ SİSTEMİ DERS NOTLARI ve SUNUMLARI
Prof.Dr. Halit Hami ÖZ
Kafkas Üniversitesi
Mühendislik Mimarlık Fakültesi
Bilgisayar Mühendisliği Bölümü
Bilgisayar Yazılımı Anabilim Dalı
Kars, Türkiye
6. Prof.Dr. Halit Hami OZ-06-Sağlık Kurumlarında Bilgi Sistemi-VERİ TOPLAMANIN TEMEL KURALLARI
2. Medikal kayıt nedir?
Bir hastanın medikal geçmişinin, muayenelerinin ve tedavilerinin kayıtlardır.
Hizmet, bakım devamlılığı
Hasta güvenliği
Sağlayıcılar arasında iletişim
Adli tıp
Hak talepleri ve geri ödemeler
Hastanın faydalanması
Klinik araştırmalar
Neden ihtiyaç duyulur?
3. Medikal Bilgi Sistemleri
Tanı, tedavi, sağlık verilerinin toplanması ve yönetilmesi
Sağlık hizmetlerinin yönetilmesi ve geliştirilmesi için sunulan sistemlerdir.
Bu sistemler, bilgiyi değişik formlarda kullanırlar.
• Elektronik sağlık kayıtları (EHR - Electronic Health Records)
• Kişisel sağlık kayıtları (PHR - Personal Health Records)
5. Elektronik Sağlık Kayıtları
(EHR - Electronic Health Records)
Bilgi iletişim teknolojilerini (ICT)
kullanarak hasta bilgilerinin bir
arada elektronik ortamda
saklanmasından oluşur.
Hastanelerde, kliniklerde,
doktor ofislerinde sağlık çalışanları
tarafından kullanılır.
6. EHR avantajları:
Gelişmiş hasta emniyeti
El yazısından kaynaklanan hatalardan kurtulma
Olumsuz ilaç etkisini minimuma indirme
Hasta bilgilendirilmesinin daha iyi yapılması
Güncel ve doğru sağlık verisi
Mevcut bilginin hızlı sunulması
Uzun vadede oluşan maliyeti düşürmesi
7. Kişisel Sağlık Kayıtları
(PHR - Personal Health Records)
Bireylerin internet tabanlı
uygulamalarla kullandıkları
kişisel tıbbi verilerdir.
Hastalar tarafından kullanılır.
8. Rutin medikal testlerin tekrarlanmasından kurtarır.
Kişinin sağlığı hakkındaki bilgilere ulaşmasını sağlar.
Kişinin sağlığının yönetebilmesine olanak verir.
Hasta ile doktor arasındaki iletişimi güçlendirir.
Yönetim maliyetini azaltır.
PHR avantajları
10. Güvenlik Açıkları
Hırsızlık
• Yedekleme teybi ya da bilgisayar çalınabilir.
Teknolojinin zayıflığı yüzünden verinin
yayılması
• FTP siteleri gibi zayıf kontrollü teknolojiler
kullanılabilir.
Çalışan dikkatsizliği
Bulut bilişim kullanılması
11. Mahremiyet (Privacy)
Mahremiyet, hasta ile doktor arasında önemli bir husustur.
Hastaya ait tüm kişisel bilgiler sağlık kayıtlarında mevcuttur.
Her ne kadar sağlık kayıtlarının amacı tedavilerin kontrolü olsa da farklı
amaçlar için de kullanılabilir.
12. Hastaların kişisel sağlık verilerinin paylaşımı
konusundaki bakış açıları
Kişisel bilgiler,
• Kendi tedavileriyle ilişkili kişiler arasında
paylaşılmalı
• Doktorlar arasında paylaşılmalı
• İşverenleri, aileleri gibi üçüncü kişilerle
paylaşılmalı
13. MAHREMİYET TEHDİTLERi
Organizasyonel Sistematik
• İçeriden veya dışarıdan hasta
kayıtlarına uygunsuz olarak
erişmeye çalışmak
• Sisteme yasal olarak giriş yetkisi olan
kişilerin verileri sistematik olarak
başka amaçlar için kullanması
14. Organizasyonel Tehditler
Beş farklı bölümde sınıflandırılabilir:
1. Accidental disclosure: Sağlık personeli, kişisel sağlık verilerini dikkatsizlik ve
kaza sonucu istenmeyen kişilerle paylaşabilir.
2. Insider curiosity: Sağlık personeli verilere erişim yetkisini kişisel amacı ya da
merak nedeniyle kullanabilir.
3. Data breach by insider: Sağlık personeli kişisel çıkar ya da intikam için
sağlık verilerine erişip, verileri sistem dışındaki kişilerle paylaşabilir.
4. Data breach by outsider with physical intrusion: Saldırganlar fiziksel
güç kullanabilirler.
5. Unauthorized intrusion of network system: Sisteme ağ üzerinden
yetkisiz erişim sağlanabilir.
15. Sistematik Tehditler
Örneğin;
• Sigorta şirketlerinin sağlık verilerini hastaların tedavi masraflarını karşılamak için
kullanmasının yanı sıra, bu verileri analiz ederek kişilere ait sağlık risklerini
hesaplamak için kullanmaları
• İşverenlerin, adayları sağlık verilerine göre seçmesi
16.
17.
18. Mahremiyet Gereklilikleri
Hastalar kendi mahremiyet endişeleri hakkında geri bildirimlerde bulunabilmeli
Geri bildirimler sistemin düzenlenmesinde etkili rol oynamalı
Her bir hasta kendi bilgi akışını kontrol edebilmeli ve istenmeyen bilgi paylaşımları
düzenlenip, iptal edilebilmelidir.
Sistemin hastaları bilgi paylaşımı konusunda hiç kimseye güvenmesine gerek
kalmayacak şekilde inşa edilmeli
Medikal bilgi, hastaların genel profilini ve davranışlarını ortaya çıkarabilecek kadar
geniş kapsamlı olmamalı
19. Mahremiyet Koruma Katmanları
1. Mahremiyetin devlet tarafından kanun ve yasalarla güvence altına alınması
(HIPAA)
2. Organizasyonel seviyede koruma
3. Hastaların bilinçlendirilmesi
4. Kayıtların veri madenciliği yöntemleri ile toplanması sırasında
anonimleştirilmesi
20. HIPAA
Health Insurance Portability and Accountability Act
1996’da hayata geçirildi.
Hastaların medikal kayıtlarının güvenliğini, gizliliğini korumak üzere tasarlanmıştır.
21. HIPAA standartları
1. İdari Tedbirler
• Konu ile ilgili idari sorumlunun tanımlanması,
• Organizasyonun uyması gereken prosedürlerin tanımlanması,
• Elektronik ortamdaki bilgileri seviyelendirerek kimlerin, nelere ulaşabileceğinin
tanımlanması,
• Organizasyon dışı yüklenici firmaların bu standartlar çerçevesinde rolünün
tanımlanarak, sözleşme yapılması,
• Acil durumların tanımlanarak, yapılacakların tanımlanması ve
• Veri bütünlük kontrollerinin yapılandırılmasın
22. 2. Fiziksel Tedbirler:
• Sağlık bilgilerini içeren ortamlara olan fiziksel erişimlerin, dikkatlice kontrol
edilmesi ve izlenmesinin sağlanmasını içermektedir.
3. Teknik Tedbirler:
• Sağlık Sistemi içerisindeki bilgi kaynaklarına yapılacak siber saldırılara karşı
korunması, izlenmesi ve kayıt altına alınması.
• Veri iletimlerinde gelişmiş şifreleme metotlarının kullanılması,
• Verinin bütünlüğünün garanti edilmesi,
• Düzenli risk analizlerinin gerçekleştirilerek, organizasyon risk yönetiminin
belgelenmesi
23.
24.
25. ‘Community Health System’ İhlali
5.4M hasta verisi (Sosyal Güvenlik Numaraları, Telefon No, Adresler vs.)
Maliyet: $75 milyon ve $150 milyon arasında
Hacker lar (advanced persistent threat (APT) group) VPN kimliklerine ulaşabilmek
için Heartbleed hatasını kullandılar.
Hata Nisan ayında bildirildi, Haziran’da da veriler çalınmaya devam edildi.
26. Güvenliği yükseltmek için
Sisteme ulaşım konusunda HIPAA hakkında bilgilendirilmeler
• Hasta verileri sadece sağlık hizmeti amacıyla kullanılmalı
• Kötü niyetli hedeflerden uzak tutulmalı
Antivirüs, firewall, şifreler kullanılmalı
Kimlik doğrulama
28. Parola ile Kimlik Doğrulama
Tek fazlı kimlik doğrulama yöntemi
• Kullanıcı numarası ve parolası kullanılmaktadır.
• Kullanıcı numaraları şifrelenmemesine rağmen, PIN ya da parolalar veri
tabanında şifrelenirler.
İki fazlı kimlik doğrulama yöntemi
• Bir diğer faz eklenir.
o Örneğin, ilk faz olarak parola ile kimlik doğrulama yöntemi, ikinci faz olarak
biyometrik kimlik doğruma yöntemleri
o Ya da ikinci faz olarak tek kullanımlık şifre üreten akıllı cihazlar
29. Biyometrik Kimlik Doğrulama
Yüz şekli, parmak izi, avuç izi, ses ve
iris gibi anatomik özellikler ve yürüyüş biçimi,
hal ve hareketler, imza gibi
davranış biçimleri kullanılır.
Güvenlidir ve yapay değildir.
İnkâr edilemez bir kimlik doğrulama
yöntemidir.
Kimlik doğrulama süresini kısaltır.
31. Referanslar
C.E. Aladağ, E. Kurtarangil, Ş. Bahtiyar. Medikal Bilgi Sistemlerinde Güvenlik,
Mahremiyet ve Kimlik Doğrulama
F. Ay. Elektronik Hasta Kayıtları: Güvenlik, Etik Ve Yasal Sorunlar, Anadolu
Üniversitesi Bilim Ve Teknoloji Dergisi, Cilt:9-Sayı:2, 2008
N. Turğut, E. Karaarslan, A. M. Ergin, Ö. Kılıç. Elektronik Sağlık Kayıtlarının Gizlilik ve
Mahremiyeti
Security threats categories in healthcare information systems, Health Informatics
Journal, Eylül 2010
http://www.healthcareitnews.com/news/5-security-vulnerabilities-could-mean-
trouble
https://securityintelligence.com/4-5-million-patient-records-stolen-in-chs-data-
breach-whats-next/