Bir çok kurumumuzda bilgi güvenliği ile ilgili çok yanlış varsayımlar üzerine sistem kurulmaktadır.

1. Biz kurumumuz için firewall ve antivirüs yazılım satın aldık, bizim sistemimiz güvenli.

2. Bizim sistemimiz internete açık değil.

3. Biz personelimize güveniyoruz.

4. Bugüne kadar herhangi bir saldırı olmadı, bize kim neden saldırsın?

Bilgi Nedir?

Kurumsal bilgi; Kurum içinde üretilen veya kuruma dışarıdan gelen, o kurumla ilgili kayıtlı ya da kayıtsız her türlü bilgiyi ifade etmektedir. • Her değerli varlık gibi bilginin de korunması gerekmektedir. • Her bilgi değeri kadar korunmalıdır.

Bilgi Güvenliği Nedir?

Bilgi güvenliği; Bilginin izinsiz kullanıcılar tarafından çalınmasını, kullanılmasını ya da değiştirilmesini engellemektir.

Bilgi Güvenliği Bileşenleri; Kimlik Doğrulama (Authentication) Gizlilik (Data Confidentiality) Doğruluk-Bütünlük (Data Integrity) İnkar edilememe (Non-repudiation) Erişilebilirlik (Availability) Erişim Denetimi (Access Control)

Bilgi Güvenliğinin Önemi

Saldırı Tipleri ve Riskler Nelerdir?

Dinleme

Saldırgan siz fark etmeden hattı dinleyebilir, ele geçirdiği kimlik bilgisiyle sistemde oturum açıp verilerin bir kopyasını çıkartabilir. Örneğin belediyenin sistemine giren bir saldırgan imar planlarını ele geçirip kendisine rant sağlayabilir.

Kesme

Saldırgan sistemin çalışmasını durdurmak amaçlı saldırıda bulunabilir, burada amaç genellikle maddi zarar vermektir. Propaganda amaçlı da kullanılan bu saldırı yöntemi, herhangi bir oluşumun sesini duyurmak için sıkça kullandığı yöntemlerden biridir, fakat profesyonel saldırganlar genellikle sistemde bulundukları sürece iz bırakmadan çalışırlar, ne zaman ki amaçlarına ulaşıp işlerini bitirdiklerinde sistemden çıkarken böyle bir saldırı yaparak ayrılırlar.

Değiştirme

Saldırgan ele geçirdiği kimlik bilgisiyle sisteme girerek çeşitli veriler üzerinde değişiklik yapabilir. Örneğin bir öğrenci sistemdeki notları değiştirebilir, kötü amaçlı birisi tapu kayıtlarını değiştirebilir, vb. Bu saldırı tipi çok tehlikelidir, yapılan değişikliklerin sezilmesi ve anlaşılması çok zordur, sisteme bir saldırı olduğunun anlaşılması çok geç olursa kurtarmak neredeyse imkansızlaşır. Örneğin kötü amaçlı birilerinin bir şehrin tapu kayıtlarına girerek 10000 kişinin kayıtlarını çapraz değiştirse ve bu işlem 2 yıl sonra ortaya çıksa, yaratacağı olumsuz etkileri telafi etmek çok zor olacaktır.

Üretme

Saldırgan ele geçirdiği kimlik bilgisiyle siteme girerek yeni veriler üretebilir. Sosyal güvenlik sistemine giren bir saldırgan bir hastayı hayali olarak doktora gönderebilir, onun adına reçete düzenleyerek ilaç temin ederek rant sağlayabilir.

Kurumları Bekleyen Tehlikeler Nelerdir?

Ülkemiz İçin Bilgi ve İletişim Sistemleri İle İlişkili Risk Unsurları *

• Kamu kurumlarının ve özel kurumların birçoğunun sundukları hizmetleri İnternet üzerinden vermesi

• Kritik bilgi ve iletişim sistem altyapılarının birçoğunun İnternet’e bağlı olması

• Bilgi ve iletişim sistemlerinin sıklıkla güncellenmesi

• Bilgi ve iletişim sistemlerini kritik hizmetlerde kullanmak amacıyla hızla teknolojik projeler geliştirilmesi

• Kamu kurumlarının bilgi teknolojileri aracılığıyla verdiği hizmetlerin geniş halk kitlelerini etkilemesi

Tehdit ve Açıklar *

• Bilgi ve iletişim sistemleri güvenliği konusunda kurumların sadece bilgi işlem bölümlerinin sorumluluğunda görülmesi

• Kurumların üst yönetiminin yeterli düzeyde bilgiye sahip olmaması ve liderlik etmemesi

• Donanım ve yazılım olarak büyük oranda yurtdışına bağımlılık bulunması

• Kamu birim çalışanlarının yeterli bilgi seviyesine sahip olmaması

• Kurumsal ve kişisel planda yeterli bilinç seviyesinin yakalanamamış olması

• Özellikle kamu bilgi işlem birimleri yapılanmasının yetersiz olması

• Güvenliğin, bilgi ve iletişim sistemlerinin önemli bir unsuru olarak ele alınmaması.

İstatistikler *

• Geçtiğimiz yıl internette 127 milyon kişinin kişisel bilgileri çalındı ve kullanıcıların %63’ü aynı şifreyi kullanmaya devam ediyor.

• Milli Eğitim Bakanlığı (İLSİS) web sitesinden 687 bin öğretmenin kimlik bilgileri çalınıp, internette dosya paylaşım sitesi Rapidshare’e yüklendi.(12 Şubat 2009)

• 29 Mart 2009 yerel seçimlerinde Yüksek Seçim Kurulunun bilgi sistemlerine yetkisiz bilgisayarlardan oy girilmesi sonucu sistem çöktü.(İstanbul, İzmir, Hatay, Kütahya vb).

* Kaynaklar

• Ünal TATAR (Uzman Araştırmacı), Siber Savaş ve Sanal Ortam Savunma Politikası, Tübitak UEKAE, www.bilgiguvenligi.org.tr, Haziran 2009

• Cenk Ceylan, Ulusal Güvenliğin Zayıf Halkası E-Devlet, Turkish Forensic, www.bilgiguvenligi.org.tr, Haziran 2009 • Sabah Gazetesi, Küresel İnovasyon Raporu, 18 Ocak 2009

Kimlik Doğrulama Yöntemleri

Tek Faktör

Tek faktörlü kimlik denetiminde sistem sizi başkasının bilmediğini varsaydığı, sizin bildiğiniz bir bilginizle (something you know) tanır. Ancak tek faktörlü kimlik denetimli sistemlerde, kullanıcı ve sistem şifrenin çalındığını anlayamaz, yetkili bir kullanıcın kullanıcı adı ve parolasını öğrenen saldırgan sisteme kolayca girebilir.

İki Faktör

İki faktörlü kimlik denetiminde sistem sizi, bildiğiniz bir şey (something you know) ve sahip olduğunuz bir şey (something you have) ile tanır. Yani sistemde oturum açarken kullanıcı adı ve parolanın yanında bir de oturum anahtarına sahip olmanızı ister. İki faktörlü kimlik denetimi olan sistemlerde bir şekilde kullanıcı adı ve parola çalınsa bile oturum anahtarı olmadan bir işe yaramayacaktır, oturum anahtarı ile birlikte kullanıcı adı ve şifre çalındığında, gerçek kullanıcı kendisi sisteme giriş yapmak istediğinde oturum anahtarının olmadığını farkedecek ve bunu sistem yetkililerine bildirerek kaybedilmiş oturum anahtarının sistemden devre dışı bırakılmasını sağlayabilecektir.