SlideShare a Scribd company logo

Siber Güvenlik: Büyük Riskler Sessiz Tehditler

K
Koryak Uzan

Tıbbın Ustaları dergisinde yayınlanan Büyük Riskler Sessiz Tehditler başlıklı siber güvenlik farkındalığı makalem.

1 of 6
Download to read offline
BÜYÜKRSKLER SESSZTEHDTLERSESSZTEHDTLER
KoryakUZAN INVICTUS A.Ş. Yönet c Ortağı koryak.uzan@ nv ctuseurope.com
Tek cümle le açıklayacak olursak, s ber güvenl ğ “k ş ve kurumların yürüt- mekte olduğu faal yetler ve b lg varlıklarını, d j tal ortamlardan geleb lecek tehl kelere karşı korumalarıdır” şekl nde özetlemem z mümkün. Pek çok k ş pekâlâ bu tanımı yapab lecek durumda olmasına karşın “d j tal dünyadan ge- leb lecek tehl keler” fades ne yazık k halen anlaşılamıyor. Günümüzde, ne- redeyse tüm operasyonumuz d j talleşm ş olmasına karşın yüzleşeb leceğ - m z r skler n boyutu halen gözardı ed l yor. Sırtını sorgulamaksızın bu alanda oluşturulan (Ancak günümüz tehd t ve metotlarının oldukça ger s nde kalan) uluslararası b lg güvenl ğ standartlarına dayayan kurumlar aslında almakta oldukları r sk n halen farkına varamıyor. S ber güvenl k özell kle son yılların en popüler konuları arasında yer alıyor. Bu popülerl k öneml b r farkındalık yaratıyor olsa da, herkes n aklında c dd b r b lg k rl l ğ olduğunu söylemeden geçemey z. Sık sık, kamu ve özel sektörün yaşadığı s ber saldırılar, farklı ülke ve gruplarca desteklenen s ber olaylar veya devletler arasında süregelen s ber savaşlar g b konular kulağımıza çalınıyor olsa da, halen b rçok nsan bu yoğun b lg bombardımanı net ces nde “ney n ne olduğunu” gerçek anlamıyla kavramakta zorluk çek yor. Bu noktada s ber güvenl k le lg l temel kavramların anlaşılması ve farklı sektörler n ne tür teh- d tler le yüzleşeb leceğ n n anlaşılması özell kle farmasöt kal çözümler gel ş- t ren herkes yakından lg lend r yor.
YAZ TIBBIN USTALARI 157 Ney Korumak İst yoruz? Öncel kle tek b r hususun bu noktada anlaşılması çok öneml . S ber r skler yalnızca barındırdığımız b lg ler de- ğ l, sürdüregeld ğ m z tüm faal yetler lg lend r yor. Bu alanda kr t k altyapılar ç n çözüm sağlayıcı olarak fa- al yet gösteren b zler n her şeyden önce sorduğu soru en öneml etken olarak öne çıkıyor: “Ney korumamız gerek yor?” Halen pek çok k ş ve ku- rum s ber güvenl ğ yalnızca web s tes le l şk lend r - yor. Oysa, tüm operasyonu- muz farklı d j tal çözümler tarafından yönet l yor. Üs- tüne-üstlük, dayandığımız tüm bu s stemler n kurum dışına (Internete) er ş mler bulunuyor. IP kameraların- dan telekonferans s stemler ne, g r ş/çıkış turn keler n- den veya yüz tanıma s stemler nden kurum ç proje yönet m yazılımımıza kadar b r çok şey doğrudan dış dünyaya açık veya dış dünyaya açık olan s stemler le l şk lend r lm ş ken, s ber güvenl k r skler n n değer- lend r lmes nde yok sayılıyor. Tümbus stemler ngü- vende olduğu ve güvenl şek lde yapılandırıldığı “farz ed l yor” ve bu s stemler n n üret c ler n n b lg güvenl ğ nden de y anladığı farz ed l yor. Ancak gerçek, bu varsayımlardan çok daha farklı. Bunu düşünmek; b r doktorun müth ş b r yakın dö- vüş uzmanı veya asker olduğunu varsaymaya benz yor. D ğer yandan, b r s stem kuran ve gel şt ren le o s stem- de zaf yet arayan k ş ler n çok farklı perspekt flere sah p olduğunu özell kle bel rtmem z gerek yor. Zaten tam da bu sebeple, dünyada yüz b nlerce IT f rması bulunur ken ş n gereğ nce yapan s ber güvenl k f rması sayısı 1000’ geçm yor. Farklı sektörler nasıl mücadele ed yor? Farklı alan- larda h zmet eden sektörler n b rb r nden farklı güven- l k ht yaç ve öncel klend rmeler söz konusu. Örneğ n b r e-t caret f rması veya b r havayolu ş rket sürekl “er ş leb l r” olması ç n alması gereken önlemlere yatı- rım yapar ken; b r ar-ge laboratuvarı ver ler n n çalınma r sk ne karşı alması gereken önlemlere daha fazla kay- nak ayırıyor. Bankalar g b hem er ş leb l r olması, hem de barındırdığı ver n n güvenl ğ n ön planda tutması gereken yapıların se s ber güvenl k yatırımları d ğer tüm sektörler n ötes nde. Örneğ n, ortağı olduğum ku- rum havacılık, b yomed kal, enerj , telekomün kasyon, ödeme s stemler g b 7 farklı kr t k endüstr ye h zmet ver yor olsa da, yoğunluğumuzun %50’den fazlası 15 bankacılık kurumu le f nans sektöründen gel yor. Sağlık sektörünün s ber güvenl k olgunluğu: Sağ- lık sektörünün gerek farkındalık, gerekse mücadele konusunda olması gereken olgunluğun çok ger s n- de olduğunu söylemek yanlış olmayacaktır. Pek tab ; bu konuda söz gel m b r sağlık kurumu, b yomed kal f rması veya laç ş rket n n faal yet gösterd ğ ülken n son derece öneml b r etken olduğunu söylemel y z. Bu konuda İng ltere, Amer ka ve İsv çre’n n farklı faal - yet türler ç n şart koştuğu farklı düzenlemeler var. Bu şartlar, beraber nde öneml b r farkındalık ve güvenl k okur yazarlığı get r yor. D ğer yandan, sağlık sektörü ve bağlı bulunduğu farklı sektörlerden dünya devler ne ev sah pl ğ yapan b r çok ülke halen s ber güvenl ğe b r “araç muayenes ” gözüyle bakıyor. “Geçer not bulunan raporumuzu alalım, dosyamıza koyalım, b ts n-g ts n” şekl nde örnekleyeb leceğ m z bu yaklaşım her geçen gün farklı kurumlara m lyonlarca dolar zarar ett rse de zararlar sümen-altı ed lmeye devam ed yor. F nans sektörü; am r standartların b rer “asgar ” ge- reks n m olduğunu anlamış ve devamlı daha karmaşık atak senaryolarına karşı farklı test ve h zmetler alıyor ken sağlık g b son derece öneml ver ler n şlend ğ b r sektörün bu olgunluktan uzak olması şaşkınlık ver c b r durum. Bu noktada, sürdürülen mücadelen n bambaş- ka b r savunma parad gması olduğunun, s ber güvenl k
r sk n n, b r dolandırıcılık r sk , personel ver ml l ğ r sk veya loj st k kayıpları r sk g b alışılagelm ş “ ç/dış dene- t m”mantığı ledüşürülemeyeceğ n nkes nolarak drak ed lmes salık ver l yor. Dolayısı le, özell kle sağlık endüstr s ndek k ş ve kurumların artık sırtlarını temeldüzenlemelere,asıluzmanlıkalanıs bergü- venl kolmayandenetç raporlarına,ISO27001,ISO 27799 g b ver emn yet (güvenl ğ değ l!) stan- dartlarına değ l gerçek anlamda “tekn k” know- how sah b çözümlere dayaması gerek yor. S ber saldırganların dünyası: Öncel kle nasıl IT yö- net c l ğ , r sk yönet c l ğ ya da güvenl k uzmanlığı b r meslek ve kazanç kapısı se, s ber yer altında “hacker”- lığın da b r meslek olduğunu b lmel y z. B zlere gerek medya, gerekse Hollywood tarafından portre ed len asosyal, ev n n bodrum katında yaşayan, yalnız ve “kay- betm ş” b lg sayar korsanı prof l h çb r şek lde gerçeğ yansıtmıyor. Öyle k ; s ber dünyanın yer altında bam- başka b r “karanlık pazar" söz konusu. Sırf ego ç n b lg s stemler ne g r p zaf yet arayan, zarar veren veya b lg kaçıran k ş ler olduğu g b bunu b r kazanç kapısı hal ne get renler de var k bu k ş ler henüz y rm l yaşlarında m lyonlarca dolarlık servetler kontrol ed yorlar. Üstel k sayıları, yüzler ve hatta b n- ler le ölçülüyor. K m ler farklı f nans grupları, k m ler farklı örgütler, devletler veya bas t şek lde “rak pler” ta- rafından desteklenen bu k mseler n b lg düzey sanıla- nın çok ötes nde. B rçoğu kr t k altyapının b r güvenl k önlem olarak kurup bıraktığı güvenl k duvarlarını, An- t V rus yazılımlarını gözler kapalı baypas edeb len bu k ş ler, benzer ne az rastlanır saldırı senaryoları tasarla- yarak uygulayab l yor. Üstel k bahsedegeld ğ m z bu s ber yeraltında her- hang b r et k çek nce de söz konusu değ l. Örneğ n b r laç f rması, rak b n n gel şt rmekte olduğu lacın FDA onayı ç n gerçekleşt rd ğ süreçlere l şk n raporları ele geç rtmek üzere m lyonlarca dolar harcayarak bu k ş le- r n h zmetler nden faydalanab l yor. Veya bas t şek lde b r sağlık kuruluşu, rak b n n rezervasyon ve hasta b lg portalının uzun b r sürel ğ ne er ş lmez hale gelmes n sağlayab l yor ya da çok daha kötüsü, “akıllı” hastaneler- dek “akıllı” odaların aklını karıştırarak hastanede nf al ortaya koyab l yor. Esp yonaj, sabotaj ve daha n celer . Endüstr yel es- p yonaj veya sabotaj g b farklı tehd t türler nden bah- setm ş ken b r de tehd tler n kaynağına l şk n akıl yü- rütmekte fayda var. Örneğ n b zler, b r kurumun s ber güvenl k sev yes n gerçekç saldırı s mülasyonları ve tatb katları le test ett ğ m z durumlarda “ ç tehd tler” ve “dış tehd tler” olmak üzere k farklı başlıkta değerlend - r yoruz. Aslen “penetrasyon test ” veya “sızma test ” ded ğ - m z bu h zmetler n “ ç sızma test ” ded ğ m z fazında; b r ş rket çalışanının b lg sayarından veya ş rket ağına hal hazırda bağlı bulunan b r aygıttan hareketle kuru- munuzda nelere er ş leb l r, neler dışarı çıkab l r, nasıl casusluk senaryoları devreye sokulab l r veya steme- den, ne tür saldırganların çer ye yerleşmes n n yolu açı- lab l r g b vaka örnekler üzer nden g d l r. Bu noktada ş rket çer s ndek y ve kötü n yetl k mseler sebeb yle oluşab lecek r skler n neler olduğu anlaşılab l r. D ğer yandan, organ ze hacker gruplarının dünyanın ötek ucundan ağınıza sızdığı senaryoların r sk , tesp t ve önlenmes hedef yle gerçekleşt rd ğ m z dış sızma testler nde karşılaştığımız hmal ve know-how eks kl k- ler b zler hayrete düşürüyor. Ne yazık k halen, b lg gü- venl ğ “endüstr s n n” altın standart kabul ett ğ , ancak hacker’lar arasında kom k ölçüde kolay baypaslanab len metotlar le karşı karşıya kalıyor, çok kısa b r süre çer - s nde test ett ğ m z yapının ana sunucularında yetk s z şek lde tam yönet c yetk s ne yükseleb l yoruz. Pek tab tüm bunları b r s mülasyon olarak koord nel b - ç mde yürütüyor, tüm zaf yetler raporluyoruz. Bunun ötes nde çoğu zaman, test ett ğ m z s stemlerde, b zden önce aynı s steme sızmış kötü n yetl k ş ler n zler n ve arka kapılarını yakalayab l yoruz. Ters ne mühend sl k: Son yıllarda gözlemled ğ m z “nesneler n nternet ” akımından belk de en çok fay- dalanan endüstr lerden b r n n de b yomed kal sektörü olduğunu söyleyeb l r z. Neyse k , özell kle ürett ğ çö- zümler n k ş ler n hayatında doğrudan yer aldığı yen - l kç c haz ve çözümler n üret c ler mümkün olan tüm r skler n el m ne ed lmes konusunda hassas davranı- yor. Özell kle hastanın f z k durumunun (şeker, nabız, kalp sağlığı metr kler vb.) doğrudan nternet bağlantısı le merkez b r yapıya beslend ğ geleceğ n hasta tak p çözümler ne değ nmek gerek yor. Bu noktada b r çok ürün, İsv çre veya Türk ye of s m zde “ters ne mühen- d sl k” testler ne tab tutuluyor. Her ne kadar güvenl k araştırmacısı olan b zler n alanından uzak g b görünse de, bu tür çözümler n yolu doğrudan b zlerden geç yor. Z ra yaptığımız testlerde bu ürünler n okuduğu, gönder- d ğ ve aldığı ver ler n saldırganlarca değ şt r leb leceğ b r çok zaf yet tesp t ed lerek, ürün henüz gel şt rme aşamasında ken ortadan kaldırmak mümkün olab l - yor. Neler yapmalı? Özell kle s ber güvenl k önlemler ve prosedürler açısından en başarılı kurumların, üst yö-
net c ler n bu konu le çok daha ç- çe olduğu kurumlar olduğunu söylemek kes nl kle doğrudur. S ber saldırı, endüstr yel esp yonaj, d j tal sabotaj g b öğeler b rer b - l mkurgu senaryosu değ l, tüm kr t k altyapıların sık sık yüzleşt ğ b rer kötü tecrübe olmaya devam ed yor. Artık; hasta b lg ler ver tabanlarının satışa çıkarıla- b ld ğ , randevu s stemler n n er ş lmez hale get r leb l- d ğ , tetk k ve muayene kayıtlarının s l neb ld ğ , laç formüller n n çalınab ld ğ , p yasaların d j tal mecralar sayes nde man püle ed leb ld ğ yepyen b r dünyada yaşıyoruz. Bu dünyada sess z, görmed ğ m z ve sayısı yüzb nler aşan ler -düzey karşıt grup le mücadele et- mek ç n artık bu dünyanın ç nden gelen k ş ler le, bu yen dünyaya uygun çözümler üzer nde çalışmak gere- k yor. S ber güvenl ğ n, şaret konulup geç lmes gereken b r d ğer prosedürel zorunluluk değ l, anlık olarak mü- dahale ve tak p gerekt ren, y anlamak ve sürekl ken- d m z güncellemek le yükümlü olduğumuz b r konu başlığı olduğu asla unutulmamalı. Ne yazık k bu konu, güvenl k ürünler koyup, takıp çalıştırarak önüne geçe- b leceğ m z b r r sk değ l. Öyle k , kullandığımız güven- l k ürünler n n, b zler korumaktan öte, ağımıza açılan b r arka kapı olab leceğ ne l şk n onlarca makale ve kav- ram-kanıtlama yazısını b zzat b zler yayımladık. İlaç, tıp veya b yomed kal dah l, ancak bunlar le sınır- lı olmamak üzere sağlık sektörünün bu yarışta kapatması gereken açık düşündüğünden de fazla. Buradak en bü- yük yardımcıları se, perspekt f ve know-how sah b “tek- n k” uzmanlar. Öngörülemez hasarlara uğramamak adına kr t k ver şleyen tüm kurumların, kend ler n , gerçek s - ber dünyaya uygun senaryolar le test ett rmes , bunun yanında kurum genel ndek s ber güvenl k farkındalığını öneml ölçüde arttırması b r nc l öncel kler olarak kar- şımıza çıkıyor. Tak ben bu testler n raporlarındak tüm zaf yetler n g der lmes (k ş md ye kadar “Kr t k” zaf yet barındırmayan h çb r sağlık altyapısı le karşılaşmadık) ve her türlü d j tal yapılandırma ve gel şt rme sürec ne güvenl ğ n dah l ed lmes gerek yor. Tüm bunların daha kolay b r yolu ne yazık k mevcut değ l. Ve saldırganın onlarca denemes nden yalnızca b r nde başarılı olması, amacına ulaşması ç n yeterl olab l yor.

Recommended

Siber Dayanıklılık Manifestosu
Siber Dayanıklılık ManifestosuSiber Dayanıklılık Manifestosu
Siber Dayanıklılık Manifestosu
Symantec
 
BILISIM GUVENLIGI
BILISIM GUVENLIGIBILISIM GUVENLIGI
BILISIM GUVENLIGI
Ahmet Pekel
 
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfSizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
contact32
 
Gy90
Gy90Gy90
Gy90
ezgi özcan
 
Gy 90
Gy 90Gy 90
Gy 90
HakanKk8
 
BT Haber Şubat 2010
BT Haber Şubat 2010BT Haber Şubat 2010
BT Haber Şubat 2010
Osman Coşkunoğlu
 
Guvenlik Yonetimi 115 (2).pdf
Guvenlik Yonetimi 115 (2).pdfGuvenlik Yonetimi 115 (2).pdf
Guvenlik Yonetimi 115 (2).pdf
YunusEmreKK1
 
Guvenlik Yonetimi 115.pdf
Guvenlik Yonetimi 115.pdfGuvenlik Yonetimi 115.pdf
Guvenlik Yonetimi 115.pdf
YunusEmreKK1
 

Recommended

Siber Dayanıklılık Manifestosu
Siber Dayanıklılık ManifestosuSiber Dayanıklılık Manifestosu
Siber Dayanıklılık Manifestosu
Symantec
 
BILISIM GUVENLIGI
BILISIM GUVENLIGIBILISIM GUVENLIGI
BILISIM GUVENLIGI
Ahmet Pekel
 
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfSizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
contact32
 
Gy90
Gy90Gy90
Gy90
ezgi özcan
 
Gy 90
Gy 90Gy 90
Gy 90
HakanKk8
 
BT Haber Şubat 2010
BT Haber Şubat 2010BT Haber Şubat 2010
BT Haber Şubat 2010
Osman Coşkunoğlu
 
Guvenlik Yonetimi 115 (2).pdf
Guvenlik Yonetimi 115 (2).pdfGuvenlik Yonetimi 115 (2).pdf
Guvenlik Yonetimi 115 (2).pdf
YunusEmreKK1
 
Guvenlik Yonetimi 115.pdf
Guvenlik Yonetimi 115.pdfGuvenlik Yonetimi 115.pdf
Guvenlik Yonetimi 115.pdf
YunusEmreKK1
 
BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017
Eylül Medya
 
guvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdfguvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdf
YunusEmreKK1
 
26 sayfalar.pdf
26 sayfalar.pdf26 sayfalar.pdf
26 sayfalar.pdf
YunusEmreKK1
 
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Ali Alkan
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
Alper Başaran
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
Okan YILDIZ
 
GY 12.sayi.pdf
GY 12.sayi.pdfGY 12.sayi.pdf
GY 12.sayi.pdf
YunusEmreKK1
 
GY 14.pdf
GY 14.pdfGY 14.pdf
GY 14.pdf
YunusEmreKK1
 
SIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGISIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGI
Ahmet Pekel
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
YunusEmreKK1
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
YunusEmreKK1
 
GY 8.sayi.pdf
GY 8.sayi.pdfGY 8.sayi.pdf
GY 8.sayi.pdf
YunusEmreKK1
 
guvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdfguvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdf
YunusEmreKK1
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
 
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdfGuvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
YunusEmreKK1
 
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdfBlm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
ankitsrivastava681882
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
HakanKk9
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
YunusEmreKK1
 
Güvenlik yönetimi 103
Güvenlik yönetimi 103Güvenlik yönetimi 103
Güvenlik yönetimi 103
YunusEmreKK1
 
GY 13 low.pdf
GY 13 low.pdfGY 13 low.pdf
GY 13 low.pdf
YunusEmreKK1
 

More Related Content

Similar to Siber Güvenlik: Büyük Riskler Sessiz Tehditler

BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017
Eylül Medya
 
guvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdfguvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdf
YunusEmreKK1
 
26 sayfalar.pdf
26 sayfalar.pdf26 sayfalar.pdf
26 sayfalar.pdf
YunusEmreKK1
 
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Ali Alkan
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
Alper Başaran
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
Okan YILDIZ
 
GY 12.sayi.pdf
GY 12.sayi.pdfGY 12.sayi.pdf
GY 12.sayi.pdf
YunusEmreKK1
 
GY 14.pdf
GY 14.pdfGY 14.pdf
GY 14.pdf
YunusEmreKK1
 
SIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGISIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGI
Ahmet Pekel
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
YunusEmreKK1
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
YunusEmreKK1
 
GY 8.sayi.pdf
GY 8.sayi.pdfGY 8.sayi.pdf
GY 8.sayi.pdf
YunusEmreKK1
 
guvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdfguvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdf
YunusEmreKK1
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
 
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdfGuvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
YunusEmreKK1
 
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdfBlm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
ankitsrivastava681882
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
HakanKk9
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
YunusEmreKK1
 
Güvenlik yönetimi 103
Güvenlik yönetimi 103Güvenlik yönetimi 103
Güvenlik yönetimi 103
YunusEmreKK1
 
GY 13 low.pdf
GY 13 low.pdfGY 13 low.pdf
GY 13 low.pdf
YunusEmreKK1
 

Similar to Siber Güvenlik: Büyük Riskler Sessiz Tehditler (20)

BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017BT Günlüğü Dergisi TEMMUZ 2017
BT Günlüğü Dergisi TEMMUZ 2017
 
guvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdfguvenlik_yonetim_69_sayfalar_low.pdf
guvenlik_yonetim_69_sayfalar_low.pdf
 
26 sayfalar.pdf
26 sayfalar.pdf26 sayfalar.pdf
26 sayfalar.pdf
 
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
Yapay Zeka Modern Zamanların Penisilini Olabilir mi?
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırıları
 
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik SaldırılarıSosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
 
GY 12.sayi.pdf
GY 12.sayi.pdfGY 12.sayi.pdf
GY 12.sayi.pdf
 
GY 14.pdf
GY 14.pdfGY 14.pdf
GY 14.pdf
 
SIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGISIBER TEHDITLER ve BILGI GUVENLIGI
SIBER TEHDITLER ve BILGI GUVENLIGI
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
 
Guvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_lowGuvenlik yonetimi dergisi_95_low
Guvenlik yonetimi dergisi_95_low
 
GY 8.sayi.pdf
GY 8.sayi.pdfGY 8.sayi.pdf
GY 8.sayi.pdf
 
guvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdfguvenlik yonetim 117 low (1).pdf
guvenlik yonetim 117 low (1).pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdfGuvenlik_Yonetimi_Dergisi_64_Ekim.pdf
Guvenlik_Yonetimi_Dergisi_64_Ekim.pdf
 
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdfBlm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
Blm A 40 puan Vaka almas Aada verilen vaka almasn okuy.pdf
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
 
Güvenlik yönetimi 103+
Güvenlik yönetimi 103+Güvenlik yönetimi 103+
Güvenlik yönetimi 103+
 
Güvenlik yönetimi 103
Güvenlik yönetimi 103Güvenlik yönetimi 103
Güvenlik yönetimi 103
 
GY 13 low.pdf
GY 13 low.pdfGY 13 low.pdf
GY 13 low.pdf
 

Siber Güvenlik: Büyük Riskler Sessiz Tehditler

  • 2. KoryakUZAN INVICTUS A.Ş. Yönet c Ortağı koryak.uzan@ nv ctuseurope.com
  • 3. Tek cümle le açıklayacak olursak, s ber güvenl ğ “k ş ve kurumların yürüt- mekte olduğu faal yetler ve b lg varlıklarını, d j tal ortamlardan geleb lecek tehl kelere karşı korumalarıdır” şekl nde özetlemem z mümkün. Pek çok k ş pekâlâ bu tanımı yapab lecek durumda olmasına karşın “d j tal dünyadan ge- leb lecek tehl keler” fades ne yazık k halen anlaşılamıyor. Günümüzde, ne- redeyse tüm operasyonumuz d j talleşm ş olmasına karşın yüzleşeb leceğ - m z r skler n boyutu halen gözardı ed l yor. Sırtını sorgulamaksızın bu alanda oluşturulan (Ancak günümüz tehd t ve metotlarının oldukça ger s nde kalan) uluslararası b lg güvenl ğ standartlarına dayayan kurumlar aslında almakta oldukları r sk n halen farkına varamıyor. S ber güvenl k özell kle son yılların en popüler konuları arasında yer alıyor. Bu popülerl k öneml b r farkındalık yaratıyor olsa da, herkes n aklında c dd b r b lg k rl l ğ olduğunu söylemeden geçemey z. Sık sık, kamu ve özel sektörün yaşadığı s ber saldırılar, farklı ülke ve gruplarca desteklenen s ber olaylar veya devletler arasında süregelen s ber savaşlar g b konular kulağımıza çalınıyor olsa da, halen b rçok nsan bu yoğun b lg bombardımanı net ces nde “ney n ne olduğunu” gerçek anlamıyla kavramakta zorluk çek yor. Bu noktada s ber güvenl k le lg l temel kavramların anlaşılması ve farklı sektörler n ne tür teh- d tler le yüzleşeb leceğ n n anlaşılması özell kle farmasöt kal çözümler gel ş- t ren herkes yakından lg lend r yor.
  • 4. YAZ TIBBIN USTALARI 157 Ney Korumak İst yoruz? Öncel kle tek b r hususun bu noktada anlaşılması çok öneml . S ber r skler yalnızca barındırdığımız b lg ler de- ğ l, sürdüregeld ğ m z tüm faal yetler lg lend r yor. Bu alanda kr t k altyapılar ç n çözüm sağlayıcı olarak fa- al yet gösteren b zler n her şeyden önce sorduğu soru en öneml etken olarak öne çıkıyor: “Ney korumamız gerek yor?” Halen pek çok k ş ve ku- rum s ber güvenl ğ yalnızca web s tes le l şk lend r - yor. Oysa, tüm operasyonu- muz farklı d j tal çözümler tarafından yönet l yor. Üs- tüne-üstlük, dayandığımız tüm bu s stemler n kurum dışına (Internete) er ş mler bulunuyor. IP kameraların- dan telekonferans s stemler ne, g r ş/çıkış turn keler n- den veya yüz tanıma s stemler nden kurum ç proje yönet m yazılımımıza kadar b r çok şey doğrudan dış dünyaya açık veya dış dünyaya açık olan s stemler le l şk lend r lm ş ken, s ber güvenl k r skler n n değer- lend r lmes nde yok sayılıyor. Tümbus stemler ngü- vende olduğu ve güvenl şek lde yapılandırıldığı “farz ed l yor” ve bu s stemler n n üret c ler n n b lg güvenl ğ nden de y anladığı farz ed l yor. Ancak gerçek, bu varsayımlardan çok daha farklı. Bunu düşünmek; b r doktorun müth ş b r yakın dö- vüş uzmanı veya asker olduğunu varsaymaya benz yor. D ğer yandan, b r s stem kuran ve gel şt ren le o s stem- de zaf yet arayan k ş ler n çok farklı perspekt flere sah p olduğunu özell kle bel rtmem z gerek yor. Zaten tam da bu sebeple, dünyada yüz b nlerce IT f rması bulunur ken ş n gereğ nce yapan s ber güvenl k f rması sayısı 1000’ geçm yor. Farklı sektörler nasıl mücadele ed yor? Farklı alan- larda h zmet eden sektörler n b rb r nden farklı güven- l k ht yaç ve öncel klend rmeler söz konusu. Örneğ n b r e-t caret f rması veya b r havayolu ş rket sürekl “er ş leb l r” olması ç n alması gereken önlemlere yatı- rım yapar ken; b r ar-ge laboratuvarı ver ler n n çalınma r sk ne karşı alması gereken önlemlere daha fazla kay- nak ayırıyor. Bankalar g b hem er ş leb l r olması, hem de barındırdığı ver n n güvenl ğ n ön planda tutması gereken yapıların se s ber güvenl k yatırımları d ğer tüm sektörler n ötes nde. Örneğ n, ortağı olduğum ku- rum havacılık, b yomed kal, enerj , telekomün kasyon, ödeme s stemler g b 7 farklı kr t k endüstr ye h zmet ver yor olsa da, yoğunluğumuzun %50’den fazlası 15 bankacılık kurumu le f nans sektöründen gel yor. Sağlık sektörünün s ber güvenl k olgunluğu: Sağ- lık sektörünün gerek farkındalık, gerekse mücadele konusunda olması gereken olgunluğun çok ger s n- de olduğunu söylemek yanlış olmayacaktır. Pek tab ; bu konuda söz gel m b r sağlık kurumu, b yomed kal f rması veya laç ş rket n n faal yet gösterd ğ ülken n son derece öneml b r etken olduğunu söylemel y z. Bu konuda İng ltere, Amer ka ve İsv çre’n n farklı faal - yet türler ç n şart koştuğu farklı düzenlemeler var. Bu şartlar, beraber nde öneml b r farkındalık ve güvenl k okur yazarlığı get r yor. D ğer yandan, sağlık sektörü ve bağlı bulunduğu farklı sektörlerden dünya devler ne ev sah pl ğ yapan b r çok ülke halen s ber güvenl ğe b r “araç muayenes ” gözüyle bakıyor. “Geçer not bulunan raporumuzu alalım, dosyamıza koyalım, b ts n-g ts n” şekl nde örnekleyeb leceğ m z bu yaklaşım her geçen gün farklı kurumlara m lyonlarca dolar zarar ett rse de zararlar sümen-altı ed lmeye devam ed yor. F nans sektörü; am r standartların b rer “asgar ” ge- reks n m olduğunu anlamış ve devamlı daha karmaşık atak senaryolarına karşı farklı test ve h zmetler alıyor ken sağlık g b son derece öneml ver ler n şlend ğ b r sektörün bu olgunluktan uzak olması şaşkınlık ver c b r durum. Bu noktada, sürdürülen mücadelen n bambaş- ka b r savunma parad gması olduğunun, s ber güvenl k
  • 5. r sk n n, b r dolandırıcılık r sk , personel ver ml l ğ r sk veya loj st k kayıpları r sk g b alışılagelm ş “ ç/dış dene- t m”mantığı ledüşürülemeyeceğ n nkes nolarak drak ed lmes salık ver l yor. Dolayısı le, özell kle sağlık endüstr s ndek k ş ve kurumların artık sırtlarını temeldüzenlemelere,asıluzmanlıkalanıs bergü- venl kolmayandenetç raporlarına,ISO27001,ISO 27799 g b ver emn yet (güvenl ğ değ l!) stan- dartlarına değ l gerçek anlamda “tekn k” know- how sah b çözümlere dayaması gerek yor. S ber saldırganların dünyası: Öncel kle nasıl IT yö- net c l ğ , r sk yönet c l ğ ya da güvenl k uzmanlığı b r meslek ve kazanç kapısı se, s ber yer altında “hacker”- lığın da b r meslek olduğunu b lmel y z. B zlere gerek medya, gerekse Hollywood tarafından portre ed len asosyal, ev n n bodrum katında yaşayan, yalnız ve “kay- betm ş” b lg sayar korsanı prof l h çb r şek lde gerçeğ yansıtmıyor. Öyle k ; s ber dünyanın yer altında bam- başka b r “karanlık pazar" söz konusu. Sırf ego ç n b lg s stemler ne g r p zaf yet arayan, zarar veren veya b lg kaçıran k ş ler olduğu g b bunu b r kazanç kapısı hal ne get renler de var k bu k ş ler henüz y rm l yaşlarında m lyonlarca dolarlık servetler kontrol ed yorlar. Üstel k sayıları, yüzler ve hatta b n- ler le ölçülüyor. K m ler farklı f nans grupları, k m ler farklı örgütler, devletler veya bas t şek lde “rak pler” ta- rafından desteklenen bu k mseler n b lg düzey sanıla- nın çok ötes nde. B rçoğu kr t k altyapının b r güvenl k önlem olarak kurup bıraktığı güvenl k duvarlarını, An- t V rus yazılımlarını gözler kapalı baypas edeb len bu k ş ler, benzer ne az rastlanır saldırı senaryoları tasarla- yarak uygulayab l yor. Üstel k bahsedegeld ğ m z bu s ber yeraltında her- hang b r et k çek nce de söz konusu değ l. Örneğ n b r laç f rması, rak b n n gel şt rmekte olduğu lacın FDA onayı ç n gerçekleşt rd ğ süreçlere l şk n raporları ele geç rtmek üzere m lyonlarca dolar harcayarak bu k ş le- r n h zmetler nden faydalanab l yor. Veya bas t şek lde b r sağlık kuruluşu, rak b n n rezervasyon ve hasta b lg portalının uzun b r sürel ğ ne er ş lmez hale gelmes n sağlayab l yor ya da çok daha kötüsü, “akıllı” hastaneler- dek “akıllı” odaların aklını karıştırarak hastanede nf al ortaya koyab l yor. Esp yonaj, sabotaj ve daha n celer . Endüstr yel es- p yonaj veya sabotaj g b farklı tehd t türler nden bah- setm ş ken b r de tehd tler n kaynağına l şk n akıl yü- rütmekte fayda var. Örneğ n b zler, b r kurumun s ber güvenl k sev yes n gerçekç saldırı s mülasyonları ve tatb katları le test ett ğ m z durumlarda “ ç tehd tler” ve “dış tehd tler” olmak üzere k farklı başlıkta değerlend - r yoruz. Aslen “penetrasyon test ” veya “sızma test ” ded ğ - m z bu h zmetler n “ ç sızma test ” ded ğ m z fazında; b r ş rket çalışanının b lg sayarından veya ş rket ağına hal hazırda bağlı bulunan b r aygıttan hareketle kuru- munuzda nelere er ş leb l r, neler dışarı çıkab l r, nasıl casusluk senaryoları devreye sokulab l r veya steme- den, ne tür saldırganların çer ye yerleşmes n n yolu açı- lab l r g b vaka örnekler üzer nden g d l r. Bu noktada ş rket çer s ndek y ve kötü n yetl k mseler sebeb yle oluşab lecek r skler n neler olduğu anlaşılab l r. D ğer yandan, organ ze hacker gruplarının dünyanın ötek ucundan ağınıza sızdığı senaryoların r sk , tesp t ve önlenmes hedef yle gerçekleşt rd ğ m z dış sızma testler nde karşılaştığımız hmal ve know-how eks kl k- ler b zler hayrete düşürüyor. Ne yazık k halen, b lg gü- venl ğ “endüstr s n n” altın standart kabul ett ğ , ancak hacker’lar arasında kom k ölçüde kolay baypaslanab len metotlar le karşı karşıya kalıyor, çok kısa b r süre çer - s nde test ett ğ m z yapının ana sunucularında yetk s z şek lde tam yönet c yetk s ne yükseleb l yoruz. Pek tab tüm bunları b r s mülasyon olarak koord nel b - ç mde yürütüyor, tüm zaf yetler raporluyoruz. Bunun ötes nde çoğu zaman, test ett ğ m z s stemlerde, b zden önce aynı s steme sızmış kötü n yetl k ş ler n zler n ve arka kapılarını yakalayab l yoruz. Ters ne mühend sl k: Son yıllarda gözlemled ğ m z “nesneler n nternet ” akımından belk de en çok fay- dalanan endüstr lerden b r n n de b yomed kal sektörü olduğunu söyleyeb l r z. Neyse k , özell kle ürett ğ çö- zümler n k ş ler n hayatında doğrudan yer aldığı yen - l kç c haz ve çözümler n üret c ler mümkün olan tüm r skler n el m ne ed lmes konusunda hassas davranı- yor. Özell kle hastanın f z k durumunun (şeker, nabız, kalp sağlığı metr kler vb.) doğrudan nternet bağlantısı le merkez b r yapıya beslend ğ geleceğ n hasta tak p çözümler ne değ nmek gerek yor. Bu noktada b r çok ürün, İsv çre veya Türk ye of s m zde “ters ne mühen- d sl k” testler ne tab tutuluyor. Her ne kadar güvenl k araştırmacısı olan b zler n alanından uzak g b görünse de, bu tür çözümler n yolu doğrudan b zlerden geç yor. Z ra yaptığımız testlerde bu ürünler n okuduğu, gönder- d ğ ve aldığı ver ler n saldırganlarca değ şt r leb leceğ b r çok zaf yet tesp t ed lerek, ürün henüz gel şt rme aşamasında ken ortadan kaldırmak mümkün olab l - yor. Neler yapmalı? Özell kle s ber güvenl k önlemler ve prosedürler açısından en başarılı kurumların, üst yö-
  • 6. net c ler n bu konu le çok daha ç- çe olduğu kurumlar olduğunu söylemek kes nl kle doğrudur. S ber saldırı, endüstr yel esp yonaj, d j tal sabotaj g b öğeler b rer b - l mkurgu senaryosu değ l, tüm kr t k altyapıların sık sık yüzleşt ğ b rer kötü tecrübe olmaya devam ed yor. Artık; hasta b lg ler ver tabanlarının satışa çıkarıla- b ld ğ , randevu s stemler n n er ş lmez hale get r leb l- d ğ , tetk k ve muayene kayıtlarının s l neb ld ğ , laç formüller n n çalınab ld ğ , p yasaların d j tal mecralar sayes nde man püle ed leb ld ğ yepyen b r dünyada yaşıyoruz. Bu dünyada sess z, görmed ğ m z ve sayısı yüzb nler aşan ler -düzey karşıt grup le mücadele et- mek ç n artık bu dünyanın ç nden gelen k ş ler le, bu yen dünyaya uygun çözümler üzer nde çalışmak gere- k yor. S ber güvenl ğ n, şaret konulup geç lmes gereken b r d ğer prosedürel zorunluluk değ l, anlık olarak mü- dahale ve tak p gerekt ren, y anlamak ve sürekl ken- d m z güncellemek le yükümlü olduğumuz b r konu başlığı olduğu asla unutulmamalı. Ne yazık k bu konu, güvenl k ürünler koyup, takıp çalıştırarak önüne geçe- b leceğ m z b r r sk değ l. Öyle k , kullandığımız güven- l k ürünler n n, b zler korumaktan öte, ağımıza açılan b r arka kapı olab leceğ ne l şk n onlarca makale ve kav- ram-kanıtlama yazısını b zzat b zler yayımladık. İlaç, tıp veya b yomed kal dah l, ancak bunlar le sınır- lı olmamak üzere sağlık sektörünün bu yarışta kapatması gereken açık düşündüğünden de fazla. Buradak en bü- yük yardımcıları se, perspekt f ve know-how sah b “tek- n k” uzmanlar. Öngörülemez hasarlara uğramamak adına kr t k ver şleyen tüm kurumların, kend ler n , gerçek s - ber dünyaya uygun senaryolar le test ett rmes , bunun yanında kurum genel ndek s ber güvenl k farkındalığını öneml ölçüde arttırması b r nc l öncel kler olarak kar- şımıza çıkıyor. Tak ben bu testler n raporlarındak tüm zaf yetler n g der lmes (k ş md ye kadar “Kr t k” zaf yet barındırmayan h çb r sağlık altyapısı le karşılaşmadık) ve her türlü d j tal yapılandırma ve gel şt rme sürec ne güvenl ğ n dah l ed lmes gerek yor. Tüm bunların daha kolay b r yolu ne yazık k mevcut değ l. Ve saldırganın onlarca denemes nden yalnızca b r nde başarılı olması, amacına ulaşması ç n yeterl olab l yor.