Benim Verim Herkesin Verisi:

Mahremiyet ve Güvenilirlik Üzerine

Dr. Tuğkan TUĞLULAR

SOFTIN Teknoloji

Gündem

Kaynak: http://www.flickriver.com/groups/865293@N20/pool/interesting/

Bilgi Güvenliği Problemi

Kişilerin

Hatalı / Sorumlu

Olduğu Olaylar

% 70-80

Dış Saldırılar

% 20-30

Bilgisayar Kötü Kullanımı

Kullanım hataları

Atıl kullanımlar

Kötüye kullanımlar

Bilgisayar suçları

Aksayan İşleyiş

Yanlış Sonuçlar

Maddi / Manevi Kayıplar

Bilgi Güvenliği Çözümü

İstek Yetenek

Bilgi

Birikimi

Alışkanlık

Risk Analizi

Politikalar

Önlemler

Bilgi Güvenliği

Bilginin 4 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.

1. Gizliliği

2. Doğruluğu ve Bütünlüğü

3. Özgünlüğü ve Reddedilememesi

4. Erişilebilirliği

Paylaştığınız kişi ve kitle

Kaynağında olduğu gibi ve verilmek istendiği gibi

Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle

Sniffer

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle

Bilgi Güvenliği Senaryoları

INTERNET

IP Spoofing

Bilgi Güvenliği Senaryoları

INTERNET

NO, NO, NO...

Bilgi Güvenliği Senaryoları - Özet

Değer Varlık, Zayıflık,

Tehdit, Risk,

Saldırı, Zarar kırılgan

Bilgi Güvenliğine Saldırılar

Sahtekarlık ve taklit,

Erişim araçlarının çalınması,

Kimlik çalma,

Ticari bilgi çalma,

İstihbarat amaçlı faaliyetler,

Takip ve gözetleme,

“Hack”leme,

Virüsler, Kurtçuklar (worms), Truva atları,

Ajan yazılım (spyware),

Spam

Hizmeti durduran saldırılar Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

kırılgan

Bilgi Güvenliği için Önlemler

Şifreleme

Bilgi Güvenliği için Önlemler

Şifreleme

Simetrik Algoritmalar

Asimetrik Algoritmalar

Özetleme Fonksiyonları

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

Sayısal İmza

Sayısal Sertifikalar

Sertifikasyon Otoriteleri

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

Erişim Denetimi

Bilgi Güvenliği için Önlemler

Erişim Denetimi

Yetki

Denetimi Bilgi

Kimlik

Denetimi Özne

özneler

roller

işlemler

bilgi tipleri

bilgiler

Savunma Derinliği

CAYDIRMA

ÖNLEME

FARK ETME

DÜZELTME

En Kolay Giriş Prensibi

Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu deneyecektir.

En kolay yol demek, en belirgin, en çok beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir.

Saldırının getireceği fayda saldırı maliyetinin çok üstünde olmalıdır.

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Gerektiği Kadar Koruma Prensibi

Değerli şeyler (yazılım, donanım, veri) sadece

değerleri geçerli olduğu sürece korunmalı.

Korumak için harcanan süre, çaba ve para,

korunan şeyin değeriyle orantılı olmalı.

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Kaynak:

sosyalmedyayonetimi.ppt

Yeni

Sanal

Dünya

Düzeni

Karşılaştırmak Gerekir ise

Kaynak: Semantic Web 2.0, Creating Social Semantic Information Spaces

Web 1.0 Web 2.0

Platforms Netscape, Internet Explorer Google Services, AJAX, Flock

Web Pages Personal Websites Blogs

Portals Content Management Systems Wikis

Encyclopediæ Britannica Online Wikipedia

Talk Netmeeting Skype, Asterisk

Knowledge Directories, Taxonomies Tagging, Folksonomies

Referencing Stickiness Syndication

Content Akamai BitTorrent, P2P

Events Evite Upcoming.org

Web 2.0 Ekosistemi

E-Ticaret

E-Ticareti yapan taraflar arasında gizli kalması, erişilebilir veya tutarlı olması hedeflenen bilgilerin korunması amaçlanır.

Bu bilgiler:

Kredi Kartı Bilgisi

Özlük Bilgisi

Fatura Bilgileri

Ve benzeri bilgiler…

Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

MAIL ORDER

Bu ödeme türü güvenli

bir ödeme türü değildir.

Sosyal Medya

Bir uygulama veya web sitesinin sosyal medya olarak tanımlanabilmesi için,

1. Yayıncıdan bağımsız üyeleri olması,

2. Kullanıcı kaynaklı içeriğe imkan vermesi,

3. Kullanıcılar arasında etkileşim sağlamayı gerektirir.

Kaynak: sosyalmedyayonetimi.ppt

Güvenlikte Hiyerarşik Yaklaşım

Güvenlik Bir Kalite Bileşeni

Bilgi Teknolojileri Kullanma

Bilinci

Eğitimi

Alışkanlığı

Kültürü

GÜVENLİK

bir

gereksinim

Zihin Açıcı Sorular

Güvenlik olmadan Mahremiyet olur mu?

Görmediğimiz duymadığımız gerçekte var

olduğundan emin olmadığımız kişilere,

şirketlere nasıl güveniyoruz?

Başkalarına yorum yazmak güzel de, bize

yorum yazarlarsa ne olacak?

Bizi koruyan birileri var mı?

Kaynak:

Mahrem mi? – Kendisini Paylaşanlar

Kaynak:sosyalmedyayonetimisunumu.ppt

Mahrem mi? – Sizi Paylaşanlar

Kaynak: sosyal medya yönetimi sunumu.ppt

Mahrem mi? Güvenilir mi?

Kaynak: sosyal medya yönetimi sunumu.ppt

Güvenilir mi?

Kaynak: sosyal medya yönetimi sunumu.ppt

Gerçek / Doğru Olan Hangisi?

Kaynak: http://www.marketingsavant.com/2011/08/marketing-in-the-zero-moment-of-truth/

Güven Ağı (Web of Trust)

Kaynak:

Bilgi Sızıntısı

Kurumun bilişim teknolojileri ile kullandığı,

işlediği ya da ürettiği verilerin ya da kişisel

verilerin

bilinçli ya da bilinçsiz bir şekilde kurum dışına

taşınarak, belirlenmiş “bilgi güvenliği” yasa ve

kurumsal politikalarının ihlalidir.

Dışarıya veri akışının mümkün olduğu her

ağda, veri sızıntısı riski bulunmaktadır.

Kaynak: myDLP.ppt

Veri Kaybının Gerçekleştiği Ortamlar

0% 10% 20% 30% 40% 50% 60% 70%

Diğer Mobil Cihazlar (PDA, Cep Telefonu, vb)

Dosya Sunucusu

Masaüstü Bilgisayarlar

Basılı Materyal

Taşınabilir Ortamlar (CDROM, USB, vb)

Dizüstü Bilgisayarlar

Ort

am

lar

Oran

Seri 1 24% 29% 29% 29% 34% 60%

Diğer M obil

Cihazlar (PDA,

Cep Telefonu,

Dosya SunucusuM asaüstü

BilgisayarlarBası lı M ateryal

Taşınabilir

Ortamlar

(CDROM , USB,

Dizüstü

Bilgisayarlar

Bilgi Sızıntısı Ortam ve Araçları

Kaynak: myDLP.ppt

Kaynak: myDLP.ppt

Wikileaks Üzerinde ‘Lady Gaga’ gibi bişey yazan bir yeniden yazılabilir CD ile geleceğim... müziği sil... sonra ayrı bir sıkıştırılmış dosya yap. Kimse hiçbir şeyden şüphelenmedi...

Muhtemelen ABD tarihinin en geniş bilgi döküntüsünü sızdırırken Lady Gaga’nın “Telephone” şarkısını dinleyip dudaklarımı oynatıyordum.

Wikileaks belgelerini sızdıran Bradley Manning hikayesini şöyle anlatıyor:

Araştırmacılar ve Meraklıları için

Anlamsal Ağ Yığıtı

Buradayız!

Seçim

Çağrı

Oluşturma

Ontoloji

Yönetimi

Yayınlama

Yayılma

Keşif

Fonksiyonlar

Kayıtçı

Anlamlandırıcı Ayrıştırıcı Çağırıcı

Çöpçatan

Mimari

Önkoşul

Girdi

Maliyet

Çıktı

Atomik Hizmet

Ardkoşul

Bileşik

Hizmet

Kategori

Hizmet Ontolojisi

SWS

SWS Güvenlik Gereksinimleri

Güvenlik, Mahremiyet ve Güvenilirlik

Fonksiyonel: Anlamsal olarak tanımlanan güvenlik politikaları.

Anlamsal olarak tanımlanan mahremiyet politikaları.

Bireysel istemci gereksinimlerine saygı gösterme.

Mimari: Hizmet güvenlik politikaları ve yetkilendirme gereksinimlerini

yayınlamak ve tanımlamak için protokoller.

Anlamsal politika değerlendirme mekanizmaları.

Anlamsal olarak kontrol edilen politika uygulaması.

Güven-tabanlı doğrulama ve yetkilendirme.

Güvenlik değerlendirme sonuçlarının iletilmesi ve kaydı.

Kaynak: Security in Semantic Web Services, Role of Security , Authorization , Privacy and Trust in Semantic Web.ppt

Anlamsal

Gereksinimler

İstemcinin

Yetkilendirme

Bilgisi

Hizmet

İstemcisi

Dağıtık Kayıt

(UDDI /

ebXML RR)

Hizmet

Keşfi

Dağıtık

Ontoloji

Arşivi

Politika Ontolojisi

Alan

Ontolojisi Güven

Müzakerecisi

Güven

Ambarı

Dağıtık Güven

(Güven Ağı)

Anlamsal

Ağ Hizmeti

Hizmet istemcinin

yetkilendirme bilgisini

istemciye gönderir

Güven

Müzakeresi

Hizmet Çağrısı

Yetkilendirme

Yöneticisi

Anlamsal

Yürütme

Ortamı

Sonuç olarak

Web 1.0 da Güvenlik Yaklaşımı

GÜVENME

Web 2.0 da Güvenlik Yaklaşımı

GÜVEN(ME) ama DOĞRULA

İlginize

teşekkür ederim.