E-Ticaret ve Bilgi Güvenliği

E-Ticaret ve

E-Ticaret ve

Bilgi Güvenliği

Bilgi Güvenliği

Gökhan Muharremoğlu

Gökhan Muharremoğlu

Lostar Bilgi Güvenliği A.Ş.

Lostar Bilgi Güvenliği A.Ş.

Akademik Bilişim 2012

Akademik Bilişim 2012

KonferansıKonferansı

Gökhan Muharremoğlu

Gökhan MuharremoğluKimdir?Kimdir?

Lostar Bilgi Güvenliği A.Ş.

Lostar Bilgi Güvenliği A.Ş.

•Bilgi Güvenliği Uzmanı

Bilgi Güvenliği UzmanıTÜBİTAK Ulusal Bilgi Güvenliği Kapısı

TÜBİTAK Ulusal Bilgi Güvenliği Kapısı

•YazarYazar

İ.Ü. Enformatik Bölümü

İ.Ü. Enformatik Bölümü•Yüksek Lisans Öğrencisi

Yüksek Lisans Öğrencisi

Serm

aye

Nedir?

Serm

aye

Nedir?

• Sermaye, Türk Dil Kurumu’na

Sermaye, Türk Dil Kurumu’na

göre:göre:

«Bir ticaret işinin kurulması,

yürütülmesi için gereken

anapara ve paraya

çevrilebilir mal veya

ürünlerin tamamı, anamal,

başmal, kapital, meta,

resülmal.»

Bilginin kurumlar için öneminden

Bilginin kurumlar için öneminden

bahsetmeden önce «sermaye»

bahsetmeden önce «sermaye»

kavramının ne olduğu bilinmelidir.

kavramının ne olduğu bilinmelidir.

Bilg

i Nedir?

Bilg

i Nedir?

• Bilgi, Türk Dil Kurumu’na göre:

Bilgi, Türk Dil Kurumu’na göre:

«İnsan zekâsının çalışması

sonucu ortaya çıkan düşünce

ürünü, malumat, vukuf.»

• Bu durumda;

Bu durumda;

Bilgi, kurumlar açısından:

Bilgi, kurumlar açısından:

«Kurum sermayelerinden biridir.»

«Kurum sermayelerinden biridir.»

Bilgi güvenliğinden bahsetmeden

Bilgi güvenliğinden bahsetmeden

önce «bilgi» kavramının ne

önce «bilgi» kavramının ne

olduğu bilinmelidir.

olduğu bilinmelidir.

Güve

nlik N

edir?

Güve

nlik N

edir?

• Güvenlik, Türk Dil Kurumu’na

Güvenlik, Türk Dil Kurumu’na

göre:göre:

««Toplum yaşamında yasal

düzenin aksamadan yürütülmesi,

kişilerin korkusuzca

yaşayabilmesi durumu, emniyet.»»

• Güvenlik, bilgi açısından:

Güvenlik, bilgi açısından:

«Bilginin 3 özelliğinin

«Bilginin 3 özelliğinin

korunmasıdır.»

korunmasıdır.»

Bilgi güvenliğinden bahsetmeden

Bilgi güvenliğinden bahsetmeden

önce «güvenlik» kavramının da ne

önce «güvenlik» kavramının da ne

olduğu bilinmelidir.

olduğu bilinmelidir.

Bilg

i Güve

nliğ

i

Bilg

i Güve

nliğ

i

Nedir?

Nedir?

Bilgi Güvenliği açısından

Bilgi Güvenliği açısından

korunması hedeflenen 3

korunması hedeflenen 3

özellik:özellik:

1.1.Bilginin Gizliliği

Bilginin Gizliliği

2.2.Bilginin Erişilebilirliği

Bilginin Erişilebilirliği

3.3.Bilginin Bütünlüğü

Bilginin Bütünlüğü

Bilginin 3 özelliğinin korunmasını

Bilginin 3 özelliğinin korunmasını

hedefleyen güvenlik anlayışına

hedefleyen güvenlik anlayışına

«Bilgi Güvenliği» denir.

«Bilgi Güvenliği» denir.

1. B

ilgin

in

1. B

ilgin

in

Gizliliğ

iG

izliliği

Bilginin Bilginin sadece

sadece

hedeflenen kişi ve kitleler

hedeflenen kişi ve kitleler

tarafından erişilebilir

tarafından erişilebilir

olması. olması.

Bilginin 3 özelliğinin korunmasını

Bilginin 3 özelliğinin korunmasını

hedefleyen güvenlik anlayışına

hedefleyen güvenlik anlayışına

«Bilgi Güvenliği» denir.

«Bilgi Güvenliği» denir.

2. B

ilgin

in

2. B

ilgin

in

Erişile

bilirliğ

i

Erişile

bilirliğ

i

Bilginin hedeflenen kişi ve

Bilginin hedeflenen kişi ve

kitleler tarafından

kitleler tarafından

erişilebilir halde olması.

erişilebilir halde olması.

Bilginin 3 özelliğinin korunmasını

Bilginin 3 özelliğinin korunmasını

hedefleyen güvenlik anlayışına

hedefleyen güvenlik anlayışına

«Bilgi Güvenliği» denir.

«Bilgi Güvenliği» denir.

3. B

ilgin

in

3. B

ilgin

in

Bütü

nlü

ğü

Bütü

nlü

ğü

Bilginin içeriğinin

Bilginin içeriğinin

kaynağında olduğu ve

kaynağında olduğu ve

verilmek istendiği gibi

verilmek istendiği gibi

hedef kişi ve kitlelere

hedef kişi ve kitlelere

ulaşması.ulaşması.

Bütünlük: Integrity «Tamlık, doğruluk, vs…»

Bütünlük: Integrity «Tamlık, doğruluk, vs…»

Bilginin 3 özelliğinin korunmasını

Bilginin 3 özelliğinin korunmasını

hedefleyen güvenlik anlayışına

hedefleyen güvenlik anlayışına

«Bilgi Güvenliği» denir.

«Bilgi Güvenliği» denir.

Korunması hedeflenen bu 3 özellikten herhangi biri veya birkaçını koruyamayan sistemler, güvenlik zafiyeti/açığı barındıran sistemlerdir.

E-Tica

ret N

edir?

E-Tica

ret N

edir?

E-Ticaret, teknolojinin sağladığı

elektronik iletişim olanakları ile

yapılan bir ticaret yapma biçimidir.

Bunun günümüzdeki en büyük ve

yaygın örneği İnternet üzerinden

yapılanıdır.

Ticaretin temellerinin dayandığı

iletişim konusu, iletişimin üzerindeki

kısıtların azalmasıyla en önce insan

ilişkilerini, buna bağlı olarak da

ticaretin gelişimini etkilemiştir.

E-Tica

ret’te

E-Tica

ret’te

Bilg

i Güve

nliğ

i

Bilg

i Güve

nliğ

i E-Ticareti yapan taraflar arasında

gizli kalması, erişilebilir veya tutarlı

olması hedeflenen bilgilerin

korunmasını amaçlayan olgudur.

Bu bilgiler:

• Kredi Kartı Bilgisi

• Özlük Bilgisi

• Şirket Sırları

• Fatura Bilgileri

• Ve benzeri bilgiler…

E-Ticaret, teknolojinin sağladığı

elektronik iletişim olanakları ile

yapılan bir ticaret yapma

biçimidir. Bunun günümüzdeki en

büyük ve yaygın örneği İnternet

üzerinden yapılanıdır.

Tehditle

r ve

Tehditle

r ve

Riskle

rR

iskler

Tehdit & Risk Kavramları

Tehdit & Risk Kavramları

Fay hattı bir tehdittir. Onun yanı

Fay hattı bir tehdittir. Onun yanı

başına bina yapmak ise bir risktir.

başına bina yapmak ise bir risktir.

Her risk karşılığında bir tehdidin

Her risk karşılığında bir tehdidin

göze alınmasını gerektirir.

göze alınmasını gerektirir.

Bir tehdit göze alınırken bir fayda

Bir tehdit göze alınırken bir fayda

beklentisi ile göze alınır.

beklentisi ile göze alınır.

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

Tehditle

r ve

Tehditle

r ve

Riskle

rR

iskler

Bilgi Güvenliğinde Tehdit & Risk:

Bilgi Güvenliğinde Tehdit & Risk:

En sık rastlanan tehdit unsuru, insan

En sık rastlanan tehdit unsuru, insan

kaynaklı olan bilginin gizliliğini,

kaynaklı olan bilginin gizliliğini,

erişilebilirliğini ve bütünlüğünü

erişilebilirliğini ve bütünlüğünü

bozmaya yönelik olanlar ve kötü

bozmaya yönelik olanlar ve kötü

amaçlı yazılım kaynaklı olanlardır.

amaçlı yazılım kaynaklı olanlardır.

Doğal afetler ve benzeri durumlar

Doğal afetler ve benzeri durumlar

da Bilgi Güvenliğinde birer tehdit

da Bilgi Güvenliğinde birer tehdit

unsurudur.unsurudur.

Bütün bu tehditleri göze alan fayda

Bütün bu tehditleri göze alan fayda

amaçlı yaklaşımlar ise riski

amaçlı yaklaşımlar ise riski

oluşturur.oluşturur.

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

E-Tica

ret’te

ki Bilg

i

E-Tica

ret’te

ki Bilg

i

Güve

nliğ

i G

üve

nliğ

i

Tehditle

riTe

hditle

ri

Bilgi Güvenliği

Bilgi Güvenliği

Bağlamında E-Ticaret

Bağlamında E-Ticaret

Tehditleri:Tehditleri:

1.1.Kurumsal Tehditler

Kurumsal Tehditler

2.2.Bireysel Tehditler

Bireysel Tehditler

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

E-Tica

ret’te

ki Bilg

i

E-Tica

ret’te

ki Bilg

i

Güve

nliğ

i G

üve

nliğ

i

Tehditle

riTe

hditle

ri

1.Kurumsal Tehditler

1.Kurumsal Tehditler

Kurum altyapısındaki bir

Kurum altyapısındaki bir

bilginin güvenliğinin

bilginin güvenliğinin

sağlanamaması.

sağlanamaması.

Örnek:Örnek:

Müşteri Kredi Kartı

Müşteri Kredi Kartı

Bilgilerinin İfşası

Bilgilerinin İfşası

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

E-Tica

ret’te

ki Bilg

i

E-Tica

ret’te

ki Bilg

i

Güve

nliğ

i G

üve

nliğ

i

Tehditle

riTe

hditle

ri1. Kurumsal Tehditler

1. Kurumsal Tehditler

Buradaki örnek için

Buradaki örnek için

uygulanması tavsiye edilen

uygulanması tavsiye edilen

çözüm:çözüm:

PCI-DSS Yönetişim

PCI-DSS Yönetişim

Standardının hayata

Standardının hayata

geçirilmesigeçirilmesi

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

Yönetişim?

Yönetişim

Yönetişim

Kurumlarda Bilgi Güvenliği

Kurumlarda Bilgi Güvenliği

Uygulanması

Uygulanması

• Yönetişim:Yönetişim:

Hangi işlerin neden, ne

zaman, nerede ve kim

tarafından nasıl

yapılacağının kararını veren

olgudur…

Kurumlarda Bilgi Güvenliğinin

Kurumlarda Bilgi Güvenliğinin

hayata geçirilmesi açısından

hayata geçirilmesi açısından

birçok yöntem vardır.

birçok yöntem vardır.

Yönetişim

Yönetişim

Kurumlarda Bilgi Güvenliği

Kurumlarda Bilgi Güvenliği

Uygulanması

Uygulanması

• Bazı Güvenlik Yönetişim

Bazı Güvenlik Yönetişim

Standartları:

Standartları:

ISO 27001ISO 27001

COBITCOBIT

ITILITILSOXSOXPCI-DSSPCI-DSS

Kurumlarda Bilgi Güvenliğinin nasıl

Kurumlarda Bilgi Güvenliğinin nasıl

hayata geçirilmesi gerektiğini ve

hayata geçirilmesi gerektiğini ve

nasıl yönetilmesi gerektiğini izah

nasıl yönetilmesi gerektiğini izah

eden standartlar vardır.

eden standartlar vardır.

E-Tica

ret’te

ki Bilg

i

E-Tica

ret’te

ki Bilg

i

Güve

nliğ

i G

üve

nliğ

i

Tehditle

riTe

hditle

ri2. Bireysel Tehditler

2. Bireysel Tehditler

Kurumları ilgilendiren bazı

Kurumları ilgilendiren bazı

tehditlerle beraber müşterinin

tehditlerle beraber müşterinin

kişisel bilgilerine yönelik olan

kişisel bilgilerine yönelik olan

güvenliğin sağlanamaması.

güvenliğin sağlanamaması.

Örnek:Örnek:

Müşteri Kredi Kartı Bilgilerinin

Müşteri Kredi Kartı Bilgilerinin

İfşasıİfşası

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

E-Tica

ret’te

ki Bilg

i

E-Tica

ret’te

ki Bilg

i

Güve

nliğ

i G

üve

nliğ

i

Tehditle

riTe

hditle

ri2. Bireysel Tehditler

2. Bireysel Tehditler

Buradaki örnek için

Buradaki örnek için

uygulanması tavsiye edilen

uygulanması tavsiye edilen

çözüm:çözüm:

Örnek:Örnek:

Bireysel Bilgi Güvenliği

Bireysel Bilgi Güvenliği

Farkındalığının arttırılması

Farkındalığının arttırılması

Her tehdit bir risk değildir

Her tehdit bir risk değildir

ama her risk içinde bir

ama her risk içinde bir

tehdit barındırır.

tehdit barındırır.

Farkındalığın arttırılması için kullanılabilecek yöntemlerden biri, teknik bilgilerin kamuoyu ile paylaşılarak ilgi çekilmeye çalışılmasıdır.

Tekn

ik Açıd

an

Tekn

ik Açıd

an

Bilg

i Güve

nliğ

i

Bilg

i Güve

nliğ

i

Tehditle

rTe

hditle

r

Bilgi Güvenliği Hakkında Bilgi

Bilgi Güvenliği Hakkında Bilgi

Sahibi Olmak, Bilinçlenmenin

Sahibi Olmak, Bilinçlenmenin

Başlangıcını Oluşturur.

Başlangıcını Oluşturur.

Web Sayfalarında Form Girdisi Hatırlama Özelliği

Tekn

ik Açıd

an

Tekn

ik Açıd

an

Bilg

i Güve

nliğ

i

Bilg

i Güve

nliğ

i

Tehditle

rTe

hditle

r

Bilgi Güvenliği Hakkında Bilgi

Bilgi Güvenliği Hakkında Bilgi

Sahibi Olmak, Bilinçlenmenin

Sahibi Olmak, Bilinçlenmenin

Başlangıcını Oluşturur.

Başlangıcını Oluşturur.

SSL Desteği Olmayan Sayfalar

Tekn

ik Açıd

an

Tekn

ik Açıd

an

Bilg

i Güve

nliğ

i

Bilg

i Güve

nliğ

i

Tehditle

rTe

hditle

r

Bilgi Güvenliği Hakkında Bilgi

Bilgi Güvenliği Hakkında Bilgi

Sahibi Olmak, Bilinçlenmenin

Sahibi Olmak, Bilinçlenmenin

Başlangıcını Oluşturur.

Başlangıcını Oluşturur.

Oltalama Saldırıları

Bir saldırgan benzer bir mesajı E-Ticaret yapılan sistem içine yerleştirerek kullanıcıları kandırabilir. Böyle bir saldırı bilginin bütünlüğünün bozulmasıyla gerçekleşebilir.

Ödem

e

Ödem

e

Türle

rine

Türle

rine

Örn

ekle

rÖ

rnekle

r

Güvenlik Konusunda Olumlu

Güvenlik Konusunda Olumlu

ve Olumsuz Nitelikte Olan

ve Olumsuz Nitelikte Olan

Ödeme Türlerine Örnek

Ödeme Türlerine Örnek

3D SECURE

Bu ödeme türü güvenli bir ödeme türü

örneğidir.

Ödem

e

Ödem

e

Türle

rine

Türle

rine

Örn

ekle

rÖ

rnekle

r

Güvenlik Konusunda Olumlu

Güvenlik Konusunda Olumlu

ve Olumsuz Nitelikte Olan

ve Olumsuz Nitelikte Olan

Ödeme Türlerine Örnek

Ödeme Türlerine Örnek

MAIL ORDER

Bu ödeme türü güvenli bir ödeme türü

değildir.

Ödem

e

Ödem

e

Türle

rine

Türle

rine

Örn

ekle

rÖ

rnekle

r

Güvenlik Konusunda Olumlu

Güvenlik Konusunda Olumlu

ve Olumsuz Nitelikte Olan

ve Olumsuz Nitelikte Olan

Ödeme Türlerine Örnek

Ödeme Türlerine Örnek

ARACI İNETERNET KURULUŞLARI - PayPal

Bu ödeme türü güvenli bir ödeme türü

örneğidir.

Anke

tA

nke

t Bireysel Farkındalığı Gözlemlemek

Bireysel Farkındalığı Gözlemlemek

için Bir Anket Uyguladık.

için Bir Anket Uyguladık.

Bu ankette:Bu ankette:

• İ.Ü. B.Ö.T.E. Öğrencileri Soruları

İ.Ü. B.Ö.T.E. Öğrencileri Soruları

Yanıtladı.Yanıtladı.

• Uzaktan Uzaktan (17) (17) ve Örgün

ve Örgün (15) (15) Öğretim Öğretim

Gören 2 Grup Oluşturuldu

Gören 2 Grup Oluşturuldu

• Toplam 32 Öğrenci Katıldı.

Toplam 32 Öğrenci Katıldı.

• 32 Adet Soru Soruldu.

32 Adet Soru Soruldu.

Bireysel Farkındalığı

Bireysel Farkındalığı

Gözlemlemek için Bir Anket

Gözlemlemek için Bir Anket

Uyguladık.

Uyguladık.

Anke

tA

nke

t

Bireysel Farkındalığı

Bireysel Farkındalığı

Gözlemlemek için Bir Anket

Gözlemlemek için Bir Anket

Uyguladık.

Uyguladık.

Anke

tA

nke

t

Bireysel Farkındalığı

Bireysel Farkındalığı

Gözlemlemek için Bir Anket

Gözlemlemek için Bir Anket

Uyguladık.

Uyguladık.

Anke

tA

nke

t

Bireysel Farkındalığı

Bireysel Farkındalığı

Gözlemlemek için Bir Anket

Gözlemlemek için Bir Anket

Uyguladık.

Uyguladık.

Sonuç

Sonuç

13 Sorudan 10 tanesinde bütün

öğrencilerin %50 ve daha fazlası

soruya EVET yanıtını vererek, güvenli

olduğu bilinen şıkkı seçmiştir.

Öğrencilerin genelinin farkındalıkları

%77 oran ile yüksek bulunmuştur.

13 Sorudan 10 tanesinde %50’den

fazla katılımla EVET yanıtını veren

Uzaktan Öğrenim öğrencilerinin

farkındalıklarının, 3 soru farkla

Örgün Öğrenimdeki öğrencilerden

fazla olduğu gözlemlenmiştir.

Sonuç…

Refe

ransl

ar

Refe

ransl

ar

Aksoy, D. (2006). Akademisyenlerin E-Ticareti Mesleki ve Gündelik Yaşamlarında Kullanım

Düzeylerinin Araştırılması: Akdeniz Üniversitesi Örneği. Antalya: Akdeniz Üniversitesi .

Barker, A. (2001). Yeniliçiliğin Simyası. İstanbul: MESS.

BGYS. (tarih yok). BGYS. 12 2011 tarihinde http://www.iso27001-bgys.com/ts-iso-iec-27001/bilgi-

guvenligi-nedir.html adresinden alındı

Computer Incident Advisory Capability. (2007). PDF XSS Vulnerability. 6 30, 2001 tarihinde Computer

Incident Advisory Capability: http://www.ciac.org/ciac/bulletins/r-096.shtml adresinden alındı

Devlet Planlama Teşkilatı. (2010). Bilgi Toplumu İstatistikleri 2010. Ankara: T.C. Başbakanlık.

Güleş, H. K., & Bülbül, H. (2004). Yenilikçilik - İşletmeler için stratejik rekabet aracı. Ankara: Nobel

Yayın Dağıtım.KORKMAZ, İ. (2006). Bilgisayar sistemlerinde parola güvenliği üzerine bir araştırma. İzmir: Ege

üniversitesi.MUHARREMOĞLU, G. (2011). Lostar blog. 6 30, 2011 tarihinde Lostar:

http://blog.lostar.com/2011/06/guvenlikte-zaman-boyutu.html adresinden alındı

MUHARREMOĞLU, G. (tarih yok). TÜBİTAK Bilgi Güvenliği Kapısı. 12 2011 tarihinde TÜBİTAK UAKAE:

http://www.bilgiguvenligi.gov.tr/kurumsal-guvenlik/kablosuz-ag-guvenligi-ve-zaman-boyutunda-

kurumsal-guvenlik-kulturu.html adresinden alındı

National Infrastructure Security Co-ordination Centre. (2006). Commercially Available Penetration

Testing. NISCC-Best Practice Guide, 24.

Nayır, N. (2009). Türkiye Elektrik Sektöründe Bilgi Teknolojileri ve E-Ticaret Kullanımı. İstanbul: Haliç

Üniversitesi.ÖZCAN, B. (2009). Kurumsal Bilgi Güvenliği & Cobit. İstanbul: Haliç Üniversitesi.

ÖZKAN, Ö. (2004). VERİ GÜVENLİĞİNDE SALDIRI ve SAVUNMA. ELEKTRONİK VE HABERLEŞME

MÜHENDİSLİĞİ. Isparta: Süleyman Demirel Üniversitesi.

(2009). Ş. Özmen içinde, Ağ ekonomisinde yeni ticaret yolu : e-ticaret (s. 44-7). İstanbul: İstanbul

Bilgi Üniversitesi Yayınları.SABAH. (tarih yok). 12 2011 tarihinde SABAH GAZETESİ:

http://www.sabah.com.tr/Dunya/2011/05/27/cin-super-gizli-ordusunu-acikladi adresinden alındı

Stewart, T. (1997). Entelektüel Sermaye: Kuruluşların Yeni Zenginliği. İstanbul: Türkiye Meta

Sanayicileri Sendikası.UÇAR, G. (2004). Bilgisayar ağlarında kişisel güvenlik. Ankara: Gazi Üniversitesi.

VURAL, Y. (2007). KURUMSAL BİLGİ GÜVENLİĞİ VE SIZMA (PENETRASYON) TESTLERİ. Ankara: Gazi

Üniversitesi.

Teşe

kkürl

er…

.

Teşe

kkürl

er…

.