Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır.
Bilgi güvenliğini oluşturan unsurlardan gizlilik, bilginin yetkisiz kişilerin eline geçmemesi için korunmasıdır. Başka bir deyişle gizlilik, bilginin yetkisiz kişilerce görülmesinin engellenmesidir. e-posta hesap bilgisinin bir saldırgan tarafından ele geçirilmesi buna örnek verilebilir. Bütünlük, bilginin yetkisiz kişiler tarafından değiştirilmesi ya da silinmesi gibi tehditlere karşı korunması ya da bozulmamasıdır. Bir web sayfasında yer alan bilgilerin saldırgan tarafından değiştirilmesi, bütünlük ilkesinin bozulmasına örnek verilebilir. Erişilebilirlik ise bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanıma hazır durumda olmasıdır. Bir web sitesine erişimin saldırı sonucunda engellenmesi erişilebilirlik ilkesinin ihlal edilmesine örnek olarak verilebilir.
Zararlı Programlara Karşı Alınacak Tedbirler
- Bilgisayara antivirüs ve İnternet güvenlik programları kurularak bu programların sürekli güncel tutulmaları sağlanmalıdır.
- Tanınmayan/güvenilmeyen e-postalar ve ekleri kesinlikle açılmamalıdır.
- Ekinde şüpheli bir dosya olan e-postalar açılmamalıdır. Örneğin resim.jpg.exe isimli dosya bir resim dosyası gibi görünse de uzantısı exe olduğu için uygulama dosyasıdır.
- Zararlı içerik barındıran ya da tanınmayan web sitelerinden uzak durulmalıdır.
- Lisanssız ya da kırılmış programlar kullanılmamalıdır.
Güvenilmeyen İnternet kaynaklarından dosya indirilmemelidir.
Kurumsal Bilgi Güvenliğinde En Yaygın Tehditler Veri İhlalleri ve Bilgi Sızıntısı |
Sosyal Mühendislik |
İzinsiz İndirmeler |
Kötücül Yazılımlar |
Spam |
Kod Enjeksiyonu |
Hizmet Aksattırma |
Dağıtık Hizmet Aksattırma |
Kimlik Hırsızlığı |
Gelişmiş Sürekli Tehdit |
Botnet |
Fiziksel Zarar Verme ve Hırsızlık |
Kurumsal Bilgi Güvenliğine Yönelik Önlemler
Belirtilen tehditler sonucu firmaların bilgi varlıklarına yönelik almaları gereken önlemler ise; eğitim ve çalışanların farkındalıkları, çalışanların yetkilendirme denetimi, yönetsel ve teknolojik önlemler ve son olarak yedekleme ve felaket kurtarma merkezi olarak
Kurumsal Bilgi Güvenliğine Yönelik Önlemler Eğitim ve Çalışanların Farkındalıkları |
Çalışanların Yetkilendirme Denetimi |
Teknolojik ve Yönetsel Önlemler |
Yedekleme ve Felaket Kurtarma Merkezi |
Eğitim ve çalışanların farkındalıkları
Kurumun, çalışanlarına olası saldırılara karşı bilgilendirilmelerine yönelik eğitim gibi faaliyet düzenleyerek saldırıları önleyebilecekleri yöntemdir
Çalışanların yetkilendirme denetimi
Kurum çalışanlarının çalıştıkları alanlarla ilgili kısımlara erişebiliyor olması yani sunucu odasına sistem ile ilgilenen kişilerin girip işlem yapması ya da çalışanların görev tanımı dışındaki alana erişememesi olarak da tanımlanabilir
Teknolojik ve yönetsel önlemler
Teknolojik önlemleri yazılım ve donanım tabanlı olarak ele alınır Bunlar: güvenlik duvarı, ağ erişim kontrolü, veri kaçaklarını önleme sistemi, zafiyet tarama sistemleri, saldırı tespit sistemleri, vb. gibi.
Yönetsel önlemler ise, kurumların bilgi varlıklarını korumanın kompleks yapıda olduğu ve disiplin odaklı denetimsel bir çalışma gerektirdiğinden dolayı Bilgi Güvenliği Yönetim Sistemi (BGYS) gibi bir yönetim sistemi ile alınabilir
Yedekleme ve felaket kurtarma merkezi
Kurumların iş sürekliliklerinin sağlaması, bilgi varlıkları olan verinin yedeklenmesi ve sistemlerde sürekli olarak gerçekleşen veri akının kesintisiz devam etmesi için bir yedekleme ve felaket kurtarma merkezi alınabilecek en iyi önlemlerden biridir
SIZMA TESTLERİ
Kurumların ağ altyapılarını, yazılım ve donanımları ile uygulamalarını kısacası bilişim sistemlerine saldırganın saldırabilme ihtimali düşünülerek; sistemlere siber saldırı yapılmasıyla zafiyetlerin keşfedilmesine, bu senaryoların simüle edilmesi ve gerçekleşen bu adımların raporlanmasıdır (Secops, bt). Üç farklı şekilde gerçekleştirilebilir:
1. Black box: Testi yapacak olan kişi/kişinin kurumun bilgisi dahilinde olmaksızın sadece hedef sistem gösterilere yapılan sızma testi çeşididir (Secops, bt).
2. White box: Testi yapacak olan kişi/kişilerin kurumun bilgisi dahilinde ilgili sistem bilgileri verilerek yapılan sızma testi çeşididir (Secops, bt).
3. Gray box: Black box ve White box testlerini kapsayan ve seviyesi düşük yetkilerle kurumun sistemlerine sızma denetimi gerçekleştiren sızma testi çeşididir (Secops, bt).
Sızma testleri yapılırken gerçekleştirilen adımlar;
• Gerçekleşecek olan saldırı önce planlanır,
• Kurumun bilgi varlıkları hakkında bilgi toplanır,
• İlgili sistemlere saldırı gerçekleştirilerek zafiyetler bulunur,
• Bulunan zafiyetler olası sömürü senaryoları dahilinde kullanılır,
• Son olarak bu senaryolar, alınan aksiyonlar raporlanarak kurumda yetkili kişiye ilgili rapor teslim edilir.
Günümüzde bilgi ve iletişim teknolojileri işletmelerin iş süreçlerinde çok önemli bir hale gelmiştir. Fakat, özellikle internetin kullanımının yaygınlaşmaya başlamasıyla müşteri bilgilerinin ve işletme sırlarının başkaları tarafından ele geçirilmesi, sayısal verilerin değiştirilmesi, veri hırsızlığı, bilgisayar virüsleri ve korsanlar gibi güvenlik tehditleri de artmıştır. Ayrıca, birçok sektörde bu teknolojilerin çeşitli nedenlerle belli bir süre çalışmaması işletmeler için büyük zararlara sebebiyet verebilmektedir. Günümüz bilgi ve iletişim teknolojileri ve sistemleri birçok güvenlik tehdidi ile karşı karşıyadır. Bu tehditlerden bazısı yazılım ve donanım gibi teknik unsurları içerirken, bilgi güvenliğinde en önemli tehdit unsurlarından birisi olarak insan faktörü kabul edilmektedir. İşletme içinde çalışan insanlar birçok açıdan bilgi güvenliğini tehdit edebilmektedir. Bunlardan birisi de sosyal mühendisliktir. Bu çalışmada işletmelerde bir bilgi güvenliği tehdidi olarak sosyal mühendislik ele alınmaktadır. İşletmelerin sosyal mühendislik tehdidi ile karşılaşabileceği durumlar ve bunlara karşı uygulanabilecek önlemler ele alınmaktadır
Bilgi çağı olarak da adlandırılan günümüzde bilgi ve iletişim teknolojilerinin kullanımı dünya genelinde yaygınlaşmıştır. Bu teknolojiler, gerek bireylerin yaşantısında gerekse işletmelerin iş süreçlerini gerçekleştirmesinde önemli değişikliklere ve yeni iş modellerinin ortaya çıkmasına neden olmuşlardır. Internet World Stats Kasım 2015 verilerine göre 2000 yılından 2015 yılına kadar internet kullanıcı sayısı %832,5 artarak yaklaşık olarak 3,37 milyar kişiye (dünya nüfusunun yaklaşık %46,4’ü) ulaşmıştır. Türkiye’de Internet World Stats verilerine göre 46,3 milyon kişi (nüfusun yaklaşık %59,6’sı) internet kullanıcısı olduğu tahmin edilmektedir. Türkiye İstatistik Kurumu (TÜİK) tarafından gerçekleştirilen Hanehalkı Bilişim Teknolojileri Kullanım Araştırması sonuçlarına göre ise 2015 yılı Nisan ayında bilgisayar ve internet kullanım oranları 16-74 yaş grubundaki bireylerde sırasıyla %54,8 ve %55,9 olarak saptanmıştır. Bilgi ve iletişim teknolojilerinin dünya genelinde yaygınlaşması ile birlikte bu teknolojiler, çok sayıda faydanın kaynağı olduğu gibi, kişisel gizliliği ihlal etmek için yeni fırsatlara da olanak oluşturmakta ve kişisel enformasyonların kayıtsızca kullanılabilmesini mümkün kılabilmektedir Gelişen bilgi ve iletişim teknolojileri ile bilginin saklanması, iletilmesi ve paylaşılmasının kolaylaşması ile birlikte aynı zamanda bilginin kolaylıkla değiştirilmesi, silinmesi, iletilmesi ve yanlış ellere geçmesi gibi önemli güvenlik tehditleri de ortaya çıkmıştır. Veri elektronik olarak saklandığı zaman, manüel olarak bulunmalarına kıyasla çok daha fazla tehdit türüne karşı savunmasızdır ve günümüzde internet başta olmak üzere ağ teknolojilerinin yaygınlaşması, enformasyon sistemlerinin gittikçe daha çok bir birine bağlanması, güvenlik tehdidini de arttırmaktadır Bireyler ve işletmeler kullandıkları bilgi ve iletişim teknolojileri ile ilgili çok farklı güvenlik tehditleri ile karşı karşıyadır. İşletmeler bilgisayar donanımının bozulmasından kaynaklanan sistem arızaları ve programlama hataları, yanlış kurulum veya yetkisiz değiştirmeler ve yazılım sorunları gibi sorunlarla da karşılaşabilir. Ayrıca elektrik kesintisi, seller, yangınlar veya diğer doğal afetler de bilgisayar sistemlerine zarar verebilir Cep telefonu, tablet vb. mobil cihazların bireysel amaçlarla olduğu gibi işletme amaçları için de kullanımının yaygınlaşması da çeşitli güvenlik sorunlarını ortaya çıkarabilmektedir; mobil cihazların, kaybedilmesi, çalınması kolaydır ve internete bağlı diğer cihazların karşılaşabileceği tehditlere de açıktır Günümüze kadar birçok virüs, Truva atı, solucan vb. kötü amaçlı yazılımlar dünya genelinde çok büyük maddi zarara neden olmuştur ve bunlara her geçen gün yenileri eklenmektedir. Diğer bir güvenlik tehdidi de bilgisayar sistemine yetkisiz erişim sağlamaya çalışan bilgisayar korsanlarıdır.Dünya genelinde, bilgisayar suçu sorununun büyüklüğü, kaç bilgisayar sisteminin saldırıya uğradığı, kaç kişinin fiili olarak bununla meşgul olduğu veya bilgisayar suçunun neden olduğu toplam ekonomik hasar bilinmemekte olup; çoğu işletme, suçlara çalışanların karışmış olabildiği için veya işletme itibarına, şöhretine zarar vereceğinden endişe ettiği için bilgisayar suçlarını rapor etmeye isteksizdir Bilgi güvenliği, bilginin; gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması olarak tanımlanabilir Bilginin gizliliği, bilginin ulaşmaya yetkisiz kişilerin eline geçmemesi, bilginin bütünlüğü: bilginin yetkisiz kişilerce değiştirilmemesi, doğruluğu ve tamlığının sağlanması, bilginin erişilebilirliği: bilginin ulaşmaya yetkili kişiler tarafından gerektiği zaman ulaşılabilir ve kullanılabilir olmasıdır. Bilgi güvenliği, her sektör ve büyüklükteki organizasyonun sürekliliğinin sağlanmasında büyük önem taşımakta olup, organizasyonun başta elektronik olmak üzere, farklı ortamlardaki kritik bilgilerinin ve diğer bilgi varlıklarının korunmasına yardımcı olur (Eminağaoğlu & Gökşen, 2009). Sadece büyük şirketler, holdingler değil bunun yanı sıra bireyler, küçük ve orta büyüklükteki işletmeler (KOBİ’ler), devlet kurumları veya kar amacı gütmeyen herhangi bir organizasyon, eğitim kurumları, sağlık kurumları vb. de bilgi güvenliği sorunları ve risklerini farklı düzeylerde de olsa sürekli yaşamaktadır Her büyüklükteki işletme, bilgisayar kullandığı ve internete bağlı olduğu müddetçe güvenlik tehditleri ile karşı karşıya olmakla birlikte büyük işletmeler, bilişim güvenliğini sağlayacak teknik bilgi ve maddi güce sahipken, KOBİ’ler genel olarak bu kaynaklara ve yeteneklere tamamıyla sahip olamamaktadır İşletmelerde bilgi güvenliğinin sağlanması, sadece bilişim uzmanlarını ilgilendiren teknik bir konu değildir, işletmede çalışan herkesin bilgi güvenliğinin sağlanması ile ilgili sorumluluğu bulunmaktadır Bir işletmeye yönelik güvenlik tehditlerinin örgüt dışından geldiğini düşünme eğiliminde olsak bile aslında işletme içinde çalışanların ciddi güvenlik sorunlarına yol açtıkları görülmektedir Bilgi güvenliğini tehlikeye sokan en önemli tehditler, sanıldığı gibi kurum dışından gelen saldırılar değil, çalışanların yanlış işlem ve davranışlarıdır İşletmede çalışanlar, ayrıcalıklı enformasyona erişebilir ve yetersiz iç güvenlik kuralları varsa örgütün tüm sisteminde hiç bir iz bırakmadan dolaşmaları mümkündür Pek çok çalışan bilgisayar sistemlerine erişmek için kullanılan şifrelerini unutur veya çalışma arkadaşlarına bu şifreleri kullanmaları için izin verir, bu durum da sistemi tehlikeye düşürür İşletme sistemine erişmek isteyen kötü niyetli saldırganlar bazen işletmenin bir çalışanı gibi davranarak çalışanları kandırarak şifrelerini elde edebilirler, bu yönteme sosyal mühendislik denir İşletmelerde bilgi güvenliğinin sağlanması için sadece yazılım, donanım ve fiziki güvenlik tedbirlerinin alınması yeterli değildir, bunlarla birlikte işletmede çalışan herkesin bilgi güvenliğinin sağlanmasında önemli görev ve sorumlulukları vardır. İşletmede bilgi güvenliği sağlanırken gerekli teknik önlemlerin alınmasının yanında bilgi güvenliğinde en zayıf halka olarak da kabul edilen insan faktörü de unutulmamalıdır. Farklı güvenlik sorunlarına karşı çok miktarda teknolojik yöntem geliştirilmiş olmasına rağmen önemli güvenlik ihlallerine neden olabilen insan faktörleri alınan teknolojik tedbirlere göre ihmal edilmiştir Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanmak, ancak hayal aleminde görülebilecek bir durum olup, güvenlik konusunda kendi kendini kandırmaktır ve er ya da geç, kaçınılmaz olarak bir güvenlik sorunu yaşanmasına neden olur Bu çalışmada, işletmelerde bir bilgi güvenliği tehdidi olarak sosyal mühendislik ele alınmakta olup, işletmelerin sosyal mühendislik tehdidi ile karşılaşabileceği durumlar ve bunlara karşı uygulanabilecek tedbirler sunulmaktadır.