bİlgİ gÜvenlİĞİ eĞİtİmİ
TRANSCRIPT
BİLGİ GÜVENLİĞİ EĞİTİMİ
Bilgi Güvenliği Politikaları Yönergesi ve Kılavuzu
• 28/02/2014 tarihli ve 5181.1272 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Yönergesi
• 03/03/2014 tarihli ve 5181.1317 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Kılavuzu yürürlüğe girmiştir.
Bilgi Sistemleri- Günümüzde
İnternet Kullanımı
• Türkiye’de ve Dünyada İnternet Kullanımı
Bilgi Güvenliği Kavramı
• Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin gizliliğini, bütünlüğünü ve sürekliliğini korumayı amaçlayan çalışma alanıdır.
Bilgi Çeşitleri
Fiziksel Ortamlar
Elektronik Ortamlar
Sosyal Ortamlar
Tanıtım Platformları
Bilgi Çeşitleri
Fiziksel Ortamlar
• Kağıt, Tahta
• Pano, Yazı tahtası
• Fax kağıdı
• Çöp/Atık Kağıtlar
• Dosyalar
• Dolaplar
Bilgi Çeşitleri
Elektronik Ortamlar
•Bilgisayarlar,mobililetişim cihazları
•E-posta,USB,CD,Disk
•Disket manyetik ortamlar
Bilgi Çeşitleri
Sosyal Ortamlar
•Telefon görüşmeleri
•Muhabbetler
•Yemek araları
•Toplu taşıma araçları
Bilgi Çeşitleri
Tanıtım Platformları
•İnternet siteleri
•Broşürler
•Reklamlar, Sunumlar
•Eğitimler, Görsel sunumlar
Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı.
Dahili Tehdit Unsurları
• Bilgisiz ve Bilinçsiz Kullanım- Temizlik görevlisinin sunucunun fişini çekmesi- Eğitilmemiş çalışanın veri tabanını silmesi• Kötü Niyetli Hareketler- İşten çıkarılan çalışanın, Kuruma ait Web sitesini
değiştirmesi- Bir çalışanının, Ağda Sniffer çalıştırarak E-postaları
okuması- Bir yöneticinin, Geliştirilen ürünün planını rakip
kurumlara satması
Harici Tehdit Unsurları
• Hedefe Yönelmiş Saldırılar
- Bir saldırganın Kurum Web sitesini değiştirmesi
- Bir saldırganın Kurumun korunan bilgisini çalması/çaldırması
- Birçok saldırganın kurum Web sunucusunu servis dışı bırakma saldırısı yapması
Meşhur Güvenlik Olayları
• Sony Playstation Bilgileri
• Irak Nükleer Santralinin Hacklenmesi
• Avustralya SB sitesi sahte doğum kayıtları yapılması
• Türkiye’de Kamu Kurumlarına Yönelik Saldırılar
Geleceğin Hackerlerı
• Bilgisayar kullanım yaşı düştü, geleceğin hackerleri hacker okullarında (Internet cafe) yetişiyor.
Saldırmak Artık Çok Kolay
Hacker’lık artık zor bir iş değil, hazır araçları kullanan her yerde
BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar
• Bilginiz başkalarının eline geçebilir• Kurumun onuru, toplumdaki imajı zarar görebilir
(en kötü durum)• Donanım, yazılım, veri ve kurum çalışanları zarar
görebilir• Önemli veriye zamanında erişememek• Parasal kayıplar• Vakit kayıpları• Can kaybı!
Kullanıcı Bilincinin Önemi
• Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir.
• Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır.
• Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır.
• Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır.
• Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir.
• Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır.
• Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.
Şifreler Güvenli Muhafaza Edilmeli
Şifre Güvenliği- 1
• En önemli kişisel bilgi şifrenizdir.
• Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır.
• Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir.
• Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız.
Şifre Güvenliği-2
• En az sekiz karakterli olmalıdır.
• Rakam ve özel karakterler (?, !, @ vs) içermelidir.
• Büyük ve küçük harf karakteri kullanılmalıdır.
• Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü vs)
• Örnek: Güçlü bir şifre: AG685kt?!
Şifreler- Kötü Şifre Örnekleri
• dilek1
• dilek1978
• Dilek123
• ababa……..
• 12345
• abcdef
• 1978
• 11111
• 13579
• aaaaa
• bbbbbbb
• 123123……
Bilgi Güvenliği Politikaları Yönergesi ve Kılavuzu
• 28/02/2014 tarihli ve 5181.1272 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Yönergesi
• 03/03/2014 tarihli ve 5181.1317 sayılı Bakanlık Makamının onayı ile Bilgi Güvenliği Politikaları Kılavuzu yürürlüğe girmiştir.
Bilgi Güvenliği Politikaları Yönergesi
Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük veerişilebilirlik kapsamında değerlendirerek korunmasınısağlamak.
Bilgi Güvenliği Politikaları Yönergesi
• Gizlilik: Bilginin yetkisizkişilerin eline geçmemesidir.
• Bütünlük: Bilginin yetkisizkişiler tarafındandeğiştirilmemesidir.
• Erişilebilirlik: Bilginin ilgili yada yetkili kişilerce ulaşılabilirve kullanılabilir olmasıdır.
Bilgi Güvenliği Politikaları Yönergesi
Sağlık Bakanlığı Merkez ve Taşra TeşkilatıTürkiye Kamu Hastaneleri Kurumu Merkez ve Taşra TeşkilatıHalk Sağlığı Kurumu Merkez ve Taşra Teşkilatıİlaç ve Tıbbi Cihaz KurumuHudut ve Sahiller Genel MüdürlüğüBu kurumların bilişim kaynaklarını kullanan paydaş ve misafirler
Bilgi Güvenliği Politikaları Yönergesi
663 Sayılı KHK
Sağlık Bilgi Sistemleri Genel MüdürlüğüMADDE 11- (1) Sağlık Bilgi Sistemleri Genel Müdürlüğünün görevlerişunlardır:ç) Sağlık bilişimi ve teknolojisi alanında çalışacak kamu ve özel hukuktüzel kişileri ile gerçek kişilerin uyacakları kuralları belirlemek,uygulamak, gerektiğinde bunların yazılım ve ürünlerinin uygunluğunakarar vermek ve müelliflerini yetkilendirmek.
663 SAYILI SAĞLIK BAKANLIĞI VE BAĞLI KURULUŞLARININ TEŞKİLAT VE GÖREVLERİ
HAKKINDA KANUN HÜKMÜNDE KARARNAME
Sağlık Hizmetleri Genel MüdürlüğüMADDE 8- (1) Sağlık Hizmetleri Genel Müdürlüğünün görevlerişunlardır:j) İlgili mevzuat çerçevesinde kişisel verilerin korunmasına veveri mahremiyetinin sağlanmasına yönelik düzenlemeyapmak.
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi güvenliği organizasyonun ve koordinasyonundaha kolay sağlanması,Yapılacak plan ve programların daha kolayhazırlanması ve uygulanması,Yönetim desteğinin sağlanması,
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
bilgiguvenligi.saglik.gov.tr
Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Yönergesi
• Eğitim faaliyetleri işlemlerinin, kurum içerisinde nasıl yürütülmesi gerektiği hususunda bir prosedürgeliştirilmelidir.
• Kurum içerisinde bilgi güvenliği teknik ve farkındalık eğitimleri için yıllık bir plan yapılmalı ve bu planlarçerçevesindeeğitimler gerçekleştirilmelidir.
• Eğitime katılım formları muhafaza edilmelidir. • Yapılan eğitimlerin etkinliği hususunda çeşitli ölçme değerlendirmeleri yapılmalıdır.
YÖNERGE: C- POLİTİKALAR
• C.1. İnsan Kaynakları ve Zafiyetleri Yönetimi
• C.1.1. Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve
• dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
• C.1.2. Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir.
• C.1.3. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda
• bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.
• C.1.4. Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla
• ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir.
• C.1.5. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.)
• kağıt kesme makinasında imha edilmelidir.
• C.1.6. Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde
• bulundurmalıdır.
• C.1.7. Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim
• etmelidir.
• C.1.8. Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki
• bilgi ve belgeleri teslim etmelidir.
• C.1.9. Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade
• edilmelidir.
Yazılım Yükleme- Güncelleme
• Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır.
• Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır
Donanım Ekleme
• İnternet’e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır.
• Bilgisayarlara modem takılmamalıdır.
• Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır
Dizüstü Bilgisayar Kullanımı
• Çalınmalara karşı fiziksel güvenlik sağlanmalıdır.
• Şifre güvenliği sağlanmış olmalıdır.
• İçinde kurumsal veri olmamalıdır.
• Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir.
Yazıcı Kullanımı
• Gizli bilgi içeren dokümanların çıktıları alınırken doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında)
• Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir.
• Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır.
• Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı.
Zararlı Programlar- Virüsler
• Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır.
• Anti virüs programı kapatılmamalıdır.
• Dosyalar virüs taramasından geçirilmelidir.
5651 Sayılı Kanun
• İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007)
• Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
İnternet Dünyasının Aktörleri
Erişim
SağlayıcılarYer
Sağlayıcılar
İnternetin Aktörleri
Toplu
Kullanım
Sağlayıcılar
İçerik
Sağlayıcıl
ar
Kurduğu kablolu/kablosuz sistemler, dial-up, ADSL, ethernet vb. teknolojilerle internete erişim olanağı sağlayan gerçek veya tüzel kişilerdir. TTnet, Superonline
İnternete açık hizmet ve içerikleri barındıran
sistemleri sağlayan / işleten gerçek veya tüzel
kişilerdir. Sağlık Bakanlığı, Facebook,
Youtube
Kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder. Blogger, Yazar…..
Kişilere belli bir yerde ve belli bir süre internet
kullanım olanağı sağlayan gerçek ve
tüzel kişilerdir. Sağlık Kurumları
E-posta Güvenliği
• Virüslerin en fazla yayıldığı ortam e-postalardır.• Kaynağı tanınmayan e-postalar kesinlikle
açılmamalıdır.• Güvenilmeyen eklentiler açılmamalıdır.• Gizli bilgi şifrelenmedikçe e-postalarla
gönderilmemelidir.• Spam e-postalara cevap verilmemelidir.• E-posta adres bilgisi güvenilir kaynaklara
verilmelidir.
E-postalar Spamdan nasıl korunur?
• Bilmediğiniz haber ve e-posta gruplarına üye olmayınız.
• Kişisel dosyaları fıkra, karikatür, ses dosyası vs. kurumun size tahsis ettiği posta adresinizden yollamayınız.
Sosyal Mühendislik Kavramı
•Sosyal Mühendislik: Normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır.
•Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesidir.
Sosyal Mühendislik Kavramı
•Sosyal mühendisler:Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar.
•Etkileme ve ikna yöntemlerini kullanırlar.
Hırsız ile Sosyal Mühendis arasındaki fark:
Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür.
Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.
Sosyal Mühendislik Kavramı
•Çoğu zaman basit dolandırıcılığa çok benzese bile, bu terim genelde bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan numaralar için kullanılır.
•Bu durumların büyük çoğunluğunda saldırgan, kurban ile yüz yüze gelmez.
•Kullandığı en büyük silahı, insan zaafiyetleridir.
Sosyal Mühendislik Kavramı
•Güvenliğin en zayıf halkası İNSAN!!!
•Güvenlik bir ürün değil, bir süreçtir.
•Güvenlik bir teknoloji sorunu değildir.İnsan ve yönetim sorunudur.
SOSYAL MÜHENDİSLİK SALDIRI TEKNİKLERİ
OMUZ SÖRFÜ
ÇÖP KARIŞTIRMA
ROL YAPMA
TRUVA ATLARI
TERSİNE SOSYAL MÜHENDİSLİK
Çöp Karıştırma
•CD
•Post-it
•Küçük kağıtlara alınmış notlar
Çöp Karıştırma
•Tehlike hemen hemen sıfır, kazanç çok büyüktür!!!
•Çöpünüz düşmanınızın hazinesi olabilir!!!
•İmla hatasından dolayı atılan raporlar
•Şifreler
•‘Seni xxx aradı’ şeklinde notlar
•Çalışan bilgileri vs.
Rol Yapma
•Sosyal Mühendisin en önemli silahlarından biridir...
•E-posta, telefon
•Sahte senaryolar
•Sosyal medya ile elde edilen gerçek bilgiler
•Soğukkanlı, güçlü ikna yeteneği ve güven
•Yıldırma, korkutma ve pes ettirme
Rol Yapma
Telefonla Hassas Bilgi İstenilmesinde
•Doğrulama için geri arama yapılması
•Bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası)
•Diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılması
•Kayıtlarda anahtar kelimeler tutulması ve bunların sorgulanması
•Tuzak sorularla kimlik doğrulama yapılması
•Aceleci davranmadan soğuk kanlı, bir şeylerden emin olarak bilgi verilmesi
•Her kurumun kendi özelinde bu tür durumlara karşı yönergesini işletmesi
Truva Atları
Truva Atları
•Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir.
•E-posta eklerinden
•Güvensiz kaynaklardan
•Bilinen bir program görüntüsünde indirilen programlardan
•Bilgisayar virüsleri ile doğrudan
Tersine Sosyal Mühendislik
•Rol Yapma tekniğine benzer fakat bu kez yardımı kurban kendisi istemektedir.
Sabotaj
Pazarlama
Destek
Truva Atı & Tersine Sosyal Mühendislik
•Saldırgan, kurbanı aslında var olmayan bir sorunu olduğuna inandırarak ağına düşürebilir.
•Kurban, saldırgana kendi isteği ile erişiyor!!!
•Yüklenen program sizce nedir??
Oluşabilecek Zararlar
•Bilgileriniz başkalarının eline geçebilir.
•Kurumun onuru, toplumdaki imajı zarar görebilir. (en kötü durum)
•Donanım, yazılım, veri ve kurum çalışanları zarar görebilir.
Oluşabilecek Zararlar
•Önemli veriye zamanında erişememek
•Parasal kayıplar
•Vakit kayıpları
•Can Kayıpları!!!
YANLIŞ DÜŞÜNCELER
•Antivirüs yazılımımız var, güvendeyiz BİZ!!!
•Bilgimin yedeğini alıyorum, güvenlikten bana ne!!!
YANLIŞ DÜŞÜNCELER
•Güvenlikten bilgi işlem sorumludur!!!
•Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz!
•Dikkat!!! Bir çok güvenlik saldırısı kurum dışından gelmektedir!!!
İnsan Davranışları
Her Sosyal Mühendis maksimum bilgiye ulaşabilmek için kurbanın belli davranış özelliklerine kilitlenir.
Zafer Heyecanı
PARA,HEDİYE VAADİ
Korku
TERÖR,YASA DIŞI İŞLER.
Yardımseverlik
ZOR DURUMDA OLMA HİKAYESİ.
TUBİTAK TARAFINDAN KAMU KURUMLARINA YAPILAN SOSYAL MÜHENDİSLİK TESTİ
Yapılan testler sonucunda kullanıcıların yaklaşık %65’inin şifresini ele geçirilmiş.
Sosyal Mühendislik Alınacak Önlemler
Son Kullanıcının İnternete Açılan Kapıları
• E-posta
• Tarayıcı
• Cep Telefonu
• Tabletler
Sosyal Mühendislik Alınacak önlemler
• Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır.
• Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin.
• Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. • Özellikle telefonda, e-posta veya sohbet yoluyla yapılan
haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin.
• Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır.
Hastane bilgi işlem elemanlarına yapılan farkındalık anket sonucu
6,50%
43,50%28,40%
30,90%
ilk belirlenen ve bana verilen şifreyi…
akılda kalan kolay bir şifre belirliyorum
unutmamak için bütün şifrelerimi aynı…
şifremi en az altı karakterden oluşturuyorum
Şifre Belirleme Yöntemleri
evet hayır
72,40%
27,60%
Kullandığınız sistem sizi şifre
değişikliğine zorluyor mu?
evet hayır
60%
40%
TCK madde 136 hakkında bilginiz
var mı?
MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.
C.29. İhlal Bildirim ve Yönetimi
Kurumun bilgi güvenliği yetkilisine bildirilmeli
Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi,
Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır.
Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır.
C.29. İhlal Bildirim ve Yönetimi
İhlali yapan kullanıcı tespit
edilmeli ve ihlalin suç
unsuru içerip içermediği
belirlenmelidir.
Güvenlik ihlaline neden olan çalışanlar,
üçüncü taraflarla ilgili
resmi bir disiplin sürecine
başvurulur.
Tüm çalışanlar, üçüncü taraf
kullanıcıları ve sözleşme
tarafları bilgi güvenliği olayını
önlemek maksadıyla
Bilgi sistemi arızaları ve
hizmet kayıpları, zararlı kodlar, dos atakları,
tamamlanmamış veya yanlış iş
verisinden kaynaklanan
hatalar
http://apps.istanbulsaglik.gov.tr/bildirimformu
Bilgi Güvenliği Politikaları Kılavuzu, Bakanlık Makamının 28/02/2014 tarihli ve 5181.1272
sayılı onayı ile Bilgi Güvenliği Politikalar Yönergesinin eki olarak yürürlüğe
konulmuştur.
Erişim Adresi: http://bilgiguvenligi.saglik.gov.tr/Home/Yonerge
Son Kullanıcıdan Beklentimiz