Bir çok kurumumuzda bilgi güvenliği ile ilgili çok yanlış varsayımlar üzerine sistem kurulmaktadır.
1. Biz kurumumuz için firewall ve antivirüs yazılım satın aldık, bizim sistemimiz güvenli.
2. Bizim sistemimiz internete açık değil.
3. Biz personelimize güveniyoruz.
4. Bugüne kadar herhangi bir saldırı olmadı, bize kim neden saldırsın?
Bilgi;
Kişi, kurum ve kuruluşlar için değerli bir varlıktır.
|
|
Kurumsal bilgi;
Kurum içinde üretilen veya kuruma dışarıdan gelen, o kurumla ilgili kayıtlı ya da kayıtsız her türlü bilgiyi ifade etmektedir.
• Her değerli varlık gibi bilginin de korunması gerekmektedir.
• Her bilgi değeri kadar korunmalıdır. |
|
Bilgi güvenliği; Bilginin izinsiz kullanıcılar tarafından çalınmasını, kullanılmasını ya da değiştirilmesini engellemektir.
Bilgi Güvenliği Bileşenleri;
- Kimlik Doğrulama (Authentication)
- Gizlilik (Data Confidentiality)
- Doğruluk-Bütünlük (Data Integrity)
- İnkar edilememe (Non-repudiation)
- Erişilebilirlik (Availability)
- Erişim Denetimi (Access Control)
|
|
- Kurumların yatırımları ?
- Meydana
gelebilecek zararlar !
- Hızla artan
bilgi trafiği, yoğunluk.
- Gelişen
saldırı teknikleri.
- Erişim
imkanlarının artması
- Saldırırının
nereden gelebileceğinin bilinememesi
|
|
Saldırgan siz fark etmeden hattı dinleyebilir, ele geçirdiği kimlik bilgisiyle sistemde oturum açıp verilerin bir kopyasını çıkartabilir. Örneğin belediyenin sistemine giren bir saldırgan imar planlarını ele geçirip kendisine rant sağlayabilir.
Saldırgan sistemin çalışmasını durdurmak amaçlı saldırıda bulunabilir, burada amaç genellikle maddi zarar vermektir. Propaganda amaçlı da kullanılan bu saldırı yöntemi, herhangi bir oluşumun sesini duyurmak için sıkça kullandığı yöntemlerden biridir, fakat profesyonel saldırganlar genellikle sistemde bulundukları sürece iz bırakmadan çalışırlar, ne zaman ki amaçlarına ulaşıp işlerini bitirdiklerinde sistemden çıkarken böyle bir saldırı yaparak ayrılırlar.
Saldırgan ele geçirdiği kimlik bilgisiyle sisteme girerek çeşitli veriler üzerinde değişiklik yapabilir. Örneğin bir öğrenci sistemdeki notları değiştirebilir, kötü amaçlı birisi tapu kayıtlarını değiştirebilir, vb. Bu saldırı tipi çok tehlikelidir, yapılan değişikliklerin sezilmesi ve anlaşılması çok zordur, sisteme bir saldırı olduğunun anlaşılması çok geç olursa kurtarmak neredeyse imkansızlaşır. Örneğin kötü amaçlı birilerinin bir şehrin tapu kayıtlarına girerek 10000 kişinin kayıtlarını çapraz değiştirse ve bu işlem 2 yıl sonra ortaya çıksa, yaratacağı olumsuz etkileri telafi etmek çok zor olacaktır.
Saldırgan ele geçirdiği kimlik bilgisiyle siteme girerek yeni veriler üretebilir. Sosyal güvenlik sistemine giren bir saldırgan bir hastayı hayali olarak doktora gönderebilir, onun adına reçete düzenleyerek ilaç temin ederek rant sağlayabilir.
Saldırı Tipi |
Motivasyon |
Hedef |
Yöntem |
Siber Terör |
Politik değişiklikler |
Masum kullanıcılar |
Bilgisayar tabanlı şiddet ve
yıkım |
Hactivisim |
Politik değişiklikler |
Karar vericiler |
Saldırı |
Cracking |
Ego, Kişisel düşmanlık |
Sahıslar, Firmalar, Devletler |
Saldırı, Açıklık kullanımı
(Alenen yapılabilmektedir) |
Siber Suç |
Ekonomik fayda |
Şahıslar, Firmalar |
Sahtekarlık, Kimlik çalma,
Şantaj, Saldırı, Açıklık kullanımı |
Siber Casusluk |
Ekonomik fayda |
Sahıslar, Firmalar, Devletler |
Saldırı, Açıklık kullanımı
(Nadiren alenen yapılmaktadır) |
Devletler Seviyesinde Bilgi
Savaşları (Siber Savaş) |
Politik veya askeri fayda |
Altyapı, bileşenler |
Askeri saldırı, Açıklık
kullanımı, Fiziksel saldırılar |
Kimlik doğrulama saldırıları, web sitesinin kullanıcı,
servis veya uygulama kimliğini doğrulayan sistemleri hedef alan tehditleri
kapsar.
Yetkilendirme saldırıları, bir web uygulamasının
kullanıcı, servis veya uygulamanın istenen bir işlemi gerçekleştirmesi için
gereken izinleri belirlemek için kullanılan yöntemleri hedef almaktadır.
|
|
• Kamu kurumlarının ve özel kurumların birçoğunun sundukları hizmetleri İnternet üzerinden vermesi
• Kritik bilgi ve iletişim sistem altyapılarının birçoğunun İnternet’e bağlı olması
• Bilgi ve iletişim sistemlerinin sıklıkla güncellenmesi
• Bilgi ve iletişim sistemlerini kritik hizmetlerde kullanmak amacıyla hızla teknolojik projeler geliştirilmesi
• Kamu kurumlarının bilgi teknolojileri aracılığıyla verdiği hizmetlerin geniş halk kitlelerini etkilemesi
• Bilgi ve iletişim sistemleri güvenliği konusunda kurumların sadece bilgi işlem bölümlerinin sorumluluğunda görülmesi • Kurumların üst yönetiminin yeterli düzeyde bilgiye sahip olmaması ve liderlik etmemesi
• Donanım ve yazılım olarak büyük oranda yurtdışına bağımlılık bulunması
• Kamu birim çalışanlarının yeterli bilgi seviyesine sahip olmaması
• Kurumsal ve kişisel planda yeterli bilinç seviyesinin yakalanamamış olması
• Özellikle kamu bilgi işlem birimleri yapılanmasının yetersiz olması
• Güvenliğin, bilgi ve iletişim sistemlerinin önemli bir unsuru olarak ele alınmaması.
• Geçtiğimiz yıl internette 127 milyon kişinin kişisel bilgileri çalındı ve kullanıcıların %63’ü aynı şifreyi kullanmaya devam ediyor.
• Milli Eğitim Bakanlığı (İLSİS) web sitesinden 687 bin öğretmenin kimlik bilgileri çalınıp, internette dosya paylaşım sitesi Rapidshare’e yüklendi.(12 Şubat 2009)
• 29 Mart 2009 yerel seçimlerinde Yüksek Seçim Kurulunun bilgi sistemlerine yetkisiz bilgisayarlardan oy girilmesi sonucu sistem çöktü.(İstanbul, İzmir, Hatay, Kütahya vb).
• Ünal TATAR (Uzman Araştırmacı), Siber Savaş ve Sanal Ortam Savunma Politikası, Tübitak UEKAE, www.bilgiguvenligi.org.tr, Haziran 2009
• Cenk Ceylan, Ulusal Güvenliğin Zayıf Halkası E-Devlet, Turkish Forensic, www.bilgiguvenligi.org.tr, Haziran 2009 • Sabah Gazetesi, Küresel İnovasyon Raporu, 18 Ocak 2009
Tek faktörlü kimlik denetiminde sistem sizi başkasının bilmediğini varsaydığı, sizin bildiğiniz bir bilginizle (something you know) tanır. Ancak tek faktörlü kimlik denetimli sistemlerde, kullanıcı ve sistem şifrenin çalındığını anlayamaz, yetkili bir kullanıcın kullanıcı adı ve parolasını öğrenen saldırgan sisteme kolayca girebilir.
İki faktörlü kimlik denetiminde sistem sizi, bildiğiniz bir şey (something you know) ve sahip olduğunuz bir şey (something you have) ile tanır. Yani sistemde oturum açarken kullanıcı adı ve parolanın yanında bir de oturum anahtarına sahip olmanızı ister. İki faktörlü kimlik denetimi olan sistemlerde bir şekilde kullanıcı adı ve parola çalınsa bile oturum anahtarı olmadan bir işe yaramayacaktır, oturum anahtarı ile birlikte kullanıcı adı ve şifre çalındığında, gerçek kullanıcı kendisi sisteme giriş yapmak istediğinde oturum anahtarının olmadığını farkedecek ve bunu sistem yetkililerine bildirerek kaybedilmiş oturum anahtarının sistemden devre dışı bırakılmasını sağlayabilecektir.
|