Bilgi Güvenliği Temel Eğitim

1. Cahide ÜNAL
ARALIK 2012
1

2. 2
Kültürel Değişim
SANAL DÜNYADA BİLGİ MİKTARI
 Bilgi ve iletişim teknolojileri hızla gelişmiş ve tüm dünya çapında yayılmıştır. 2.27
milyar internet kullanıcısı – Günlük 247 milyar e-posta
 Tüm iş ve işlemler elektronik ortama aktarılmış/aktarılmaktadır
240 milyon internet adresi,
19.2 milyar internet sayfası,
1.6 milyar resim,
50 milyon ses-görüntü dosyası
 Kişisel, kurumsal ve ulusal açıdan hayati önem taşıyan pek çok bilgi elektronik
ortamda olmaktadır.

3. Yeni İnternet Kullanım Trendleri
2010 yılı, OECD ülkeleri
• e-posta gönderme ya da telefon açma:
yetişkin kullanıcıların % 67’si
• mal ve hizmetlerini internet yoluyla sipariş edilmesi:
yetişkin kullanıcıların % 35’i
• internet bankacılığı:
yetişkin kullanıcıların % 40’u
• sipariş verme:
OECD ortalamasına göre çalışan sayısı 10 ya da daha fazla olan işletmelerin %
43’ü
• Satış Yapma:
Bahsi geçen işletmelerin %27 si
3

4. Yeni İnternet Kullanım Trendleri
İnternet vasıtasıyla gerçekleştirilen
faaliyetler;
•Postalama,
•Bilgi Paylaşımı
•Taştışma Platformları
•Telefon açma,
•Alışveriş yapma,
•Pazarlama
•Bankacılık,
•Müzik ve oyun
Sosyal Medya
• Youtube
• Facebook
• Twitter
• Skype
• RSS
• Google
• Tolk
• Blog
• Linkedin
4

5. İNTERNET ETİĞİ
İnternetin günümüzde yaygın bir iletişim aracı olarak kullanılması, beraberinde
dikkat edilmesi gereken bazı kuralları da getirmektedir. İnternet üzerinde kabul
edilebilir ya da edilemez davranışları tanımlayan kurallar " internet etiği " olarak
adlandırılır.
İnternet etiği olarak adlandırılan bu kurallar, internet kullanılırken diğer insanların
haklarına saygılı olmak için ne yapılıp ne yapılamayacağına ilişkindir. Kullanıcı
sayısı arttıkça etik anlamda kirlenme ve olumsuzlukların artacağı düşünülürse,
internette sorunsuz olarak iletişim kurmak için internet etik kurallarının bilinmesi
ve uygulanması gerekmektedir.
5

6. İnternette sohbet ederken
dikkat edilmesi gereken kurallar:
• Konuşma odalarında veya birebir sohbet ettiğiniz yerlerde karşınızda
bulunanların özel yaşamlarına müdahale edecek davranışlarda bulunmamalı,
diğer sohbet edenlere karşı saygılı olmalısınız.
• Eğer birisi size karşı saygısızca davranıyorsa o kişiyi engellenmiş kişiler listesine
ekleyerek onunla tartışmalara girmemelisiniz. Eğer böyle bir kişi ile tartışmaya
girerseniz bu davranışınızın onun daha çok hoşuna gideceğini bilmelisiniz.
• Eğer ilk defa bir sohbet kanalına girmiş iseniz, sohbete katılmadan önce orada
olup bitenleri takip etmelisiniz. Eğer odadaki sohbet hoşunuza gitmediyse o
sohbet odasını terk edebilirsiniz.
6

7. • Koyu, kalın veya büyük harflerle yazı tipini bütün cümlelerde kullanmamalısınız.
Çünkü büyük harf ya da koyu ve kalın yazı yazmak, dikkat çekmek, ya da kızgınlık
anlamına gelmektedir.
• Sık sık yapılan tekrarlamalar, mesela saçma olan cümleler, aynı veya farklı
karakterleri defalarca tekrarlamak veya tek olarak alt alta postalamak ya da
yazmak insanları rahatsız edebilir. Bu tür davranışlardan kaçınılmalıdır.
• Sohbetteki birinin rumuzunu (Nick Name) kötü söz içerecek şekilde rumuz
olarak kullanmamalısınız. Rumuz olarak tartışma yaratan isimler seçmemelisiniz.
• Sohbet odasında yönetici, moderatör olmadığınız hâlde başkalarına
olduğunuzu söyleyip kandırma yolunu seçmemelisiniz. Zaten bu şekilde
davrandığınızda gerçek yöneticiler tarafından sizin IP (bilgisayarınızın numarası)
adresiniz kilitlenecek ve mesaj yollamanız engellenecektir.
İnternette sohbet ederken
dikkat edilmesi gereken kurallar:
7

8. • Sohbet esnasında başkalarını rahatsız edecek şekilde ırk, din, dil, seks, siyaset
gibi konular hakkında açıklamalarda bulunmamalı ve diğerlerini de bu yolla
rencide etmemelisiniz.
• Kanuna, ahlâka ve kamu düzenine aykırı mesaj içeriği göndermek, uygunsuz,
yalan ve/veya iftira içerik ya da mesaj ve bilgileri göndermek, tehdit etmek,
küfür, vb. fiilleri işlemek, kişi ve/veya kuruluşların gizli bilgilerini yayınlamak,
reklam ve internet sitesi tanıtımını yapmak doğru bir davranış değildir.
• Tüm sohbet sunucuları giriş bilgileriniz üzerinden IP adresinizi (bilgisayarınızın
numarası) ve hangi ISS (internet servis sağlayıcı) üzerinden internete
girdiğinizi tespit edebilir. ISS de ise sizin ile ilgili bir çok bilgiler bulunmaktadır.
IP adresiniz tespit edilebileceği için bilgisayarınızı başkalarının kullanması
durumunda sorumluluğun size ait olduğunu unutmayınız.
İnternette sohbet ederken
dikkat edilmesi gereken kurallar:
8

9. İNTERNET ETİĞİ
• İnternet'i insanlara zarar vermek için kullanmayacaksın.
• Başkalarının İnternet'te yaptığı çalışmalara engel olmayacaksın.
• Başkalarının gizli ve kişisel dosyalarına girmeyeceksin.
• İnternet yoluyla çalmayacaksın.
• İnternet'i yalancı şahit olarak kullanmayacaksın.
• Parasını ödemediğin yazılımları kopyalayıp kendi malın gibi
kullanmayacaksın.
• Başkalarının elektronik iletişim kaynaklarını izinsiz kullanmayacaksın.
• Başkalarının entelektüel ürünlerini kendi malınmış gibi
sunmayacaksın.
• Tasarımladığın programların doğuracağı toplumsal sonuçları önceden
düşüneceksin.
• Elektronik iletişim ortamını başkalarının haklarına saygı göstererek
kullanacaksın
9

10. GÜNCEL GELİŞMELER
WIKILEAKS
• Dünyanın güvenlik açısından çok iyi dersler çıkaracağı
en iyi örnek
• ABD’nin sanal savaş denemesi
• Kendisini/diğer ülkeleri nasıl etkileyecek
• Geliştirilen teknolojileri test etme
• Facebook ve Google gibi teknolojilerini ne kadar iyi
kullanabiliyor testi
• İnternet ne kadar kontrol edebilir / edilemez..
10

11. • Mükemmel bir arama motoru
• En çok tercih edilen arama motoru
• Mükemmel hizmetler veriyor
• Academics, books, translation, blogs, gmail,
documents, mobil, talk, maps, IPv6, Google+, ……
• Değeri 200 Milyar Dolar
• FAKAT…
GÜNCEL GELİŞMELER
GOOGLE
11

12. • Dünyanın en iyi casus yazılım sistemi
• Dünyanın bilgisini topluyor..
• Ülkesine hizmet eden en iyi yazılımlardan birisi..
• Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor..
• Kelime/Cümle/Resim/Ses araması yapabiliyor..
• İstihbarat için vazgeçilmez bir ortam..
• Tabii ki bu sistemi iyi kullananlar için..
• encrypted.google.com hizmete giriyor..
• Güvenlik açığı oluşturabilecek hususları kapatıyor..
GÜNCEL GELİŞMELER
GOOGLE
12

13. SOSYAL AĞLAR
• Sosyal çevre ile iletişim kurmayı sağlar
• Anlık olarak neler yaptığımızı, nerelerde olduğumuzu
paylaşmamızı sağlar
• Duygu ve düşüncelerin daha geniş kitlelere
ulaşmasını sağlar
• Kişi/Topluluk Takibi
13

14. Ülkelere Göre Facebook Kullanımı
• http://www.socialbakers.com/facebook-statistics/
14

15. Sosyal Ağların Güvenlik Bileşenleri
15

16. Phishing ( Yemleme )
•Yemleme, yasadışı yollarla bir kişinin şifresini veya
kredi kartı ayrıntılarını öğrenmeye denir.
•"Yemleyici"diye tanımlanan şifre avcıları, genelde -
posta vb. Yollarla kişilere ulaşır ve onların kredi kartı
vb. ayrıntılarını sanki resmi bir kurummuş gibi isterler.
16

17. Güvenlik Önlemleri
•Kişisel bilgilerinizi ve sorun oluşturabilecek resimlerinizi paylaşmayın.
•İletişim bilgilerinizi paylaşmayın (Cep telf. , Adres vb.)
•Gizlilik ayarlarınızı mutlaka kontrol edin.
•Tanımadığınız kişilerden gelen arkadaşlık tekliflerini kabul etmeyin !
•Dahil olduğunuz uygulamaların sizin adınıza reklam ve yayın yapabileceğini
unutmayınız
Güvenlik Seçenekleri
•HTTPS: Güvenli HTTP katmanıdır. Ağ tabanlı saldırıların önüne geçmek ve
saldırı anında farkındalık kazanmak için mutlaka tercih edilmelidir.
17

18. TS ISO IEC 17799:2005
18
Bilgi, bir kurumun en önemli değerlerinden
birisidir ve sürekli korunması gerekir.
Bilgi Güvenliği

19. Bilgi Türleri
• Kağıt üzerine basılmış, yazılmış
• Elektronik olarak saklanan
• Posta ya da elektronik ortama aktarılmış
• Kurumsal videolarda gösterilen
• Söyleşiler sırasında sözlü olarak aktarılan
19

20. Temel Güvenlik Nesneleri
 Gizlilik (Confidentiality)
 “Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada
teslim edilmemesi gerekli veri ya da programların özelliği…”
[Bilişim Sözlüğü, Bülent Sankur]
 Bozulmamışlık (Integrity)
 “Programların sistemin ve verilerin kötü niyetli olsun olmasın
değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş
olması…” [Bilişim Sözlüğü, Bülent Sankur]
 Kullanırlık (Availability)
 “Bir sistem yada özkaynağın gereksinildiğinde kullanıma elverişli
olma derecesi…” [Bilişim Sözlüğü, Bülent Sankur]
20

21. Saldırıya Uğrayabilecek Değerler
• Kurumun İsmi, güvenilirliği
• Kuruma ait gizli bilgiler
• İşin devamlılığını sağlayan bilgi ve süreçler
• Üçüncü şahıslar tarafından emanet edilen bilgiler
• Kuruma ait adli, ticari, teknolojik bilgiler
21

22. Görülebilecek Zararın Boyutu
• Müşteri Mağduriyeti
• Kaynakların Tüketimi
• İşin yavaşlaması ya da durması
• Kurumsak imaj kaybı
• Üçüncü şahıslara yapılan saldırı mesuliyeti
22

23. Dahili Tehdit Unsurları
• Bilinçsiz ve bilgisiz kullanım
• Kötü niyetli hareketler
23

24. Harici Tehdit Unsurları
Saldırı Yöntemleri
• Hizmet aksatma saldırıları
• Ticari Bilgi ve Teknoloji hırsızlıkları
• Web sayfası içeriği değiştirme saldırıları
• Kurum üzerinden farklı bir hedefe saldırmak
• Virüs, worm, trojan saldırıları
• İzinsiz kaynak kullanımı
24

25. Bilgi Güvenliği
• Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin
değiştirilmesine ve saldırılara karşı korumak.
• Koruma sırasında gerekli olan kontroller ve ölçümlerin
tespiti, doküman hale getirilmesi ve karşı tedbirlerin
alınmasını sağlamak.
25

26. TS ISO IEC 27001
• Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık,
casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş
kaynaklardan gelen tehdit ve tehlikelerden korur.
• Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün,
nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın
korunması ve sürdürülmesini sağlar.
26

27. Siber Dünya
Günümüzde hayat her yönüyle sayısallaşmamış olsa da süreçte
varılacak nokta istisnasız her şeyin sayısallaştığı, uluslar
arası protokollerin ve standartların hayatın tüm evrelerine
nüfuz ettiği SİBER DÜNYA olacaktır.
27

28. Siber Saldırı/Siber Savaş
• Hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine
veya iletişim altyapılarına yapılan planlı ve koordineli saldırılara 'siber
saldırı' deniyor. Bunlar, ticari, politik veya askerî amaçlı olabiliyor.
• Aynı saldırıların ülke veya ülkelere yönelik yapılmasına ise 'siber savaş'
deniyor.
• Bu tanımlara göre, Anonymous isimli grubun Türkiye'deki bazı kurumlara
yönelik eylemine siber saldırı, Wikileakes'in yaptığına ise siber savaş
demek mümkün.
28

29. Siber Savaşlar
 CIA başkanı Leon Panetta,
“ Savaş bitti ama teknoloji savaşları başladı.”
 Eski ABD Savunma Bakanı Albright’a ait şu sözler siber-savaşın ciddiyetini
de anlatıyor:
“Siber saldırılar NATO ya karşı 3 tehditten biri olarak kabul edilecektir.”
29

30. Siber Saldırılar
 Casusluk
 Manipülasyon
 Propaganda
 İletişim
 Virüs
 Truva atları
 Sistem bozma
 Siber bombalarla
sabotaj
 Bilgi kirliliği
 Sistem kilitleme
 Dolandırıcılık
30

31. 31
Siber Tehdit Araçları
• Hizmetin engellenmesi saldırıları (DoS, DDoS)
• Bilgisayar virüsleri
• Kurtçuk (worm)
• Truva atı (trojan)
• Klavye izleme (key logger) yazılımları
• İstem dışı ticari tanıtım (adware) yazılımları
• Casus / köstebek (spyware) yazılımlar
• Yemleme (phishing)
• İstem dışı elektronik posta (spam)
• Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

32. 32
Siber Tehditlerin Amaçları
 Sisteme yetkisiz erişim
 Sistemin bozulması
 Hizmetlerin engellenmesi
 Bilgilerin değiştirilmesi
 Bilgilerin yok edilmesi
 Bilgilerin ifşa edilmesi
 Bilgilerin çalınması

33. 33
Araştırmalar & Veriler
• Britanya’da geçen yıl siber saldırıların ülke ekonomisine maliyeti 27 milyar pound’u buldu.
• Yılda 100 binden fazla siber saldırının yaşandığı ABD’de ise bu rakam tahmini olarak 100
milyar dolar civarında.
• I Love You virüsü dünya çapında yaklaşık 45 milyon bilgisayara bulaşmış ve yaklaşık 10
milyar USD’lik maddi kayba yol açmıştır.
• Nimda kurtçuğunun dünya çapında yaklaşık 3 milyar USD’ lik,
• Love Bug’ın ise 10 milyar USD’ lik kayba yol açmıştır
• MyDoom adlı truva atının yol açtığı maddi zarar 4,8 milyar USD civarında
Kaynak: Schjølberg, S., Hubbard, Lemos, R., Hahn, R.W

34. 34
Neler Yapılmalı ???
Bilgi güvenliği konusu, salt teknik – mühendislik bir konu olmayıp, farklı
boyutları bulunmaktadır
 Yasal boşluk giderilmeli (1999’dan beri sürüncemede)
 Yetkili kurum tespit edilmeli
 Ulusal Strateji hazırlanmalı
 Düzenleyici çerçeve oluşturulmalı
 Farkındalık oluşturulmalı
 Eğitim müfredatına ilave edilmeli
 …………………………
Siber Güvenlik

35. 35
• Güvenlik zincirinde en zayıf halkası bireyler olduğundan bireylere ve
KOBİ’lere öncelik verilmesi
• Kullanıcılara yönelik siber güvenlik farkındalığı programları sunulması
• Özel şirketlerde güvenlik kültürü geliştirilmesinin teşvik edilmesi
• Sivil topluma yönelik destek programları sunulması (Ebeveynlere yönelik
dersler, eğitimcilere yönelik destek malzemeleri, çocuklara yönelik gelişim
kitapları veya oyunlar gibi)
• Kapsamlı bir ulusal farkındalık programının tesis edilmesi (Personelin
eğitilmesi, yaygın kabul gören güvenlik sertifikasyonlarının alınması gibi)
Farkındalığın Artırılması

36. Türkiyeye Yapılan Saldırılar
• Cumhurbaşkanlığı
• TBMM
• Başbakanlık
• İçişleri/Dışişleri/Ulaştırma vb. Bakanlıklar
• Genel Kurmay Başkanlığı/MIT/Emniyet/BTK/TİB vb. Kurum ve
Kuruluşlar
• Anonymous BTK'yı Hack'ledi!
• İnternetin bilinen hacker gruplarından Anonymous, Bilgi
Teknolojileri ve İletişim Kurumu’nu hack’ledi. Ele geçirilen tüm
bilgiler internette yayınlandı.
• Bilinmeyenler.? 36

37. • Casus yazılım sayısı artıyor.
• Farklılaşıyorlar.
• Kendilerini saklayabiliyorlar, görünmez olabiliyorlar.
• Silseniz bile tekrar kopyalayabiliyorlar
• Belirli bir süre var olup sonra kendilerini yok
edebiliyorlar.
• Türkiyede yaklaşık
2000 server köle
SALDIRILAR
37

38. “İNTERNET ORTAMINDA YAPILAN YAYINLARIN
DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN
SUÇLARLA MÜCADELE EDİLMESİ HAKKINDADIR”
4 Mayıs 2007
5651 NO’LU KANUN
38

39. Bilişim Suçları ve Cezalar
Suçun Adı Kanuni Dayanağı Ceza Durumu
Bilişim Sistemine Girme TCK Md. 243 1 ila 2 Yıl arası hapis
Sistemi Engelleme, Bozma, Verileri Yok Etme
veya Değiştirme
TCK Md. 244 1 ila 6 yıl arası hapis
Banka ve Kredi Kartlarının Kötüye Kullanılması TCK Md. 245 3 ila 8 yıl arası hapis
Ticari Sır, Bankacılık Sırrı veya Müşteri Sırrı
Niteliğindeki Bilgi veya Belgelerin Açıklanması
TCK Md.239 1 ila 7 yıl arası hapis
Devletin Güvenliği veya İç veya Dış Siyasal
Yararları Bakımından, Niteliği İtibarıyla, Gizli
Kalması Gereken Bilgiler
TCK Md. 327, Md. 328, Md. 329
3 ila 20 yıl arası hapis(Savaş
durumunda müebbet hapis)
Verilerin Kaydedilmesi TCK Md. 135 6 ay ila 3 yıl arası hapis
Verilerin yok edilmesi TCK Md. 138 6 ay ila 1 yıl arası hapis
Haberleşmenin gizliliğini ihlal TCK Md. 132 6 ay ila 3 yıl arası hapis
Haberleşmenin engellenmesi TCK Md. 124 6 ay ila 5 yıl arası hapis
Dolandırıcılık TCK Md.158 3 yıl ila 7 yıl arası hapis
39

40. Bilişim Sistemleri Aracı Kılınarak İşlenen Suçlar
Suçun adı Kanuni dayanağı Hapis Cezası Aralığı
İntihara Yönlendirme TCK Md. 84 2 ila 10 yıl arası hapis
Hakaret TCK Md. 125 3 ay ila 2 yıl arası hapis
Hırsızlık TCK Md. 142 3 ila 7 yıl arası hapis
Müstehcenlik TCK Md. 226 3 ila 7 yıl arası hapis
Kumar Oynanması İçin Yer ve İmkân Sağlama TCK Md. 228 1 yıla kadar hapis
Şantaj TCK Md. 107 1 ila 3 yıl arası hapis
Tehdit TCK Md. 106 6 ay ila 5 yıl arası hapis
Çocukların Cinsel İstismarı TCK Md. 103 3 ila 8 yıl arası hapis
Uyuşturucu veya Uyarıcı Madde Kullanılmasını
Kolaylaştırma
TCK Md. 190, 191 2 ila 5 yıl arası hapis
Sağlık İçin Tehlikeli Madde Temini TCK Md. 194 6 ay ila 1 yıl arası hapis
Fuhuş TCK Md. 227 4 ila 10 yıl arası hapis
Atatürk Aleyhine İşlenen Suçlar 5816 sayılı Kanun 1 ila 3 yıl arası hapis
40

41. cerpolat@meb.gov.tr
Teşekkür ederim…
41