Doç. Dr. Serkan ADA

BÖLÜM 8

Bilişim Sistemleri Güvenliği

Bilişim Sistemleri Güvenlik Açıkları Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı

veya fiziksel hasarları engellemek için var olan kurallar, prosedürler ve

teknik önlemlerdir.

Güncel Güvenlik Zorlukları ve Güvenlik Açıkları

Bilişim Sistemleri Güvenlik Açıkları Kablosuz Güvenlik

WEP (Wired Equivalent Privacy) ilk güvenlik standardıdır ve çok etkili

değildir.

WPA2 (Wi-Fi Protected

Access 2) daha güçlü

şifreleme ve yetkilendirme

sağlar.

Bilişim Sistemleri Güvenlik Açıkları

Kötü Amaçlı Yazılımlar

• Bilgisayar virüsü kendisini diğer yazılımlara veya veri dosyalarına

çalıştırılmak için genellikle kullanıcının bilgisi ve izni dışında ekleyen bir

yazılımdır. Verileri ve yazılımları yok edebilir, sabit diski yeniden

biçimlendirebilir, yazılımların yanlış çalışmasına sebep olabilir.

• Solucanlar ise kendilerini bir ağdaki bilgisayardan diğerine kopyalayan

bağımsız, kendi kendine çalışan bir yazılımdır. Veri ve programları yok

edebilir, bilgisayar ağlarının faaliyetlerini kesintiye uğratabilir.

• Virüsler ve solucanlar internet aracılığıyla yayılırlar. Yayılma yazılım

dosyalarından, e-posta iletilerinden kaynaklanabilir.

• Truva atları, tehlikesiz gibi görünüp daha

sonra beklenenden farklı şeyler yapan

yazılımlardır.

Bilişim Sistemleri Güvenlik Açıkları Kötü Amaçlı Yazılımlar

• Klavye kayıtçıları (keylogger), bir bilgisayardaki tüm klavye hareketlerini

kaydeder. Bu yolla her türlü şifre, kredi kartı numarası, kişisel bilgi vb.

tespit edilebilir.

Bilişim Sistemleri Güvenlik Açıkları

Kötü Amaçlı Yazılımlar

• Casus yazılımlar (spyware), bir uygulamanın üstüne yerleşerek gizlice

kendi kendini internet kullanıcısının bilgisayarına yükleyebilir. Kullanıcının

internet üzerindeki hareketlerini diğer bilgisayarlara rapor edebilir.

• Consumer Reports State of the Net 2010 Araştırmasına göre ABD

tüketicileri kötü amaçlı yazılımlardan dolayı 3,5 milyar dolar kayba

uğramışlardır.

Bilişim Sistemleri Güvenlik Açıkları

Hacker’lar ve Bilgisayar Suçları

Hacker, bir bilgisayar sistemine yetkisiz erişim sağlamaya çalışan kimsedir.

Hacker lar, bir bilgisayar sistemi veya web sitesinin kullandığı bir güvenlik

önlemi açığını bulmakla sisteme yetkisiz erişim hakkı sağlarlar.

Hizmet engelleme saldırısı (DoS) nda hacker’lar bir ağ sunucusunu ve web

sunucusunu binlerce sahte haberleşme ve hizmet isteği gönderir. Ağ,

cevaplayamayacağı yoğunlukta sahte istek aldığı için gerçek istekleri de

karşılayamaz ve hizmet vermeyi durdurur.

Dağıtılmış hizmeti engelleme saldırısı (DDoS) nda ise bu saldırı farklı

yerdeki binlerce bilgisayar tarafından yapılır.

Bilişim Sistemleri Güvenlik Açıkları İç Tehdit: Çalışanlar

• Bilgisayar sistemine olan güvenlik tehditleri sadece örgüt dışından değildir.

• İşletme çalışanları ciddi güvenlik açıklarına yol açabilirler.

• Unutulan veya başkalarıyla paylaşılan şifreler, yanlış girilen veriler,

yönergelere uymadan bilgisayar kullanımı, vb. işletmelerdeki sistemler için

tehdit oluşturmaktadır.

Yazılımda Güvenlik Açıkları

• Yazılım hataları verimlilikte beklenmedik kayıplar yaratarak bilişim

sistemlerine sürekli bir tehdit yaratmaktadır.

Örnek: JP Morgan Chase, Eylül 2010’da, veritabanlarındaki yazılım hatası

yüzünden, müşterilerinin online banka hesaplarına erişimini engellemiştir.

Örnek: Symantec 2009’da internet tarayıcılarında 384 güvenlik açığı

belirlemiştir (Firefox 169, Safari 94, Internet Explorer 45, Google Chrome

41, Opera 25).

• Bu açıkları kapamak için yazılım firmaları patch (yama) hazırlarlar.

Örnek: Windows Vista Service Pack 2

Güvenlik ve Kontrol İçin Temel Çerçeve

Risk Değerlendirmesi

• İşletmeler güvenlik için önlem almadan önce,

- hangi varlıkların korunması gerektiğini

- saldırıya açık varlıkların savunmasızlık derecelerini

- saldırı durumunda oluşacak olan zararın ne olacağını

değerlendirmelidirler.

• Risk değerlendirmesi, korunması gereken varlıkların ve uygun maliyetli bir

korumanın belirlenmesini sağlar.

Güvenlik ve Kontrol İçin Temel Çerçeve

Risk Değerlendirmesi

• İşletmelerdeki bilişim ve güvenlik uzmanları

– bilişim varlıklarının değerini,

– sistemin açık noktalarını,

– güvenlikle ilgili bir sorunun tahmini olarak ortaya çıkma olasılığını ve

sıklığını,

– potansiyel hasarı,

belirlerler.

• Örneğin, bir güvenlik açığı işletmeye yıllık 1000 TL kayıp getirecekse ve

bu olayın yılda bir defa gerçekleşme olasılığı varsa, bunun için 20.000 TL

lik bir harcama yapmak pek akıllıca değildir.

Güvenlik ve Kontrol İçin Temel Çerçeve

Risk Değerlendirmesi

Bir sipariş işleme sisteminin basit bir risk değerlendirmesi aşağıda

örneklendirilmiştir:

Güvenlik ve Kontrol İçin Temel Çerçeve

Güvenlik Politikası

Bilişim sistemlerindeki riskleri derecelendiren, kabul edilebilir güvenlik

hedeflerini belirleyen ve bu hedeflere ulaşmak için gereken mekanizmaları

belirleyen ifadelerden meydana gelir.

Örnek: T.C. Sağlık Bakanlığı Personel İçin Bilgi Güvenliği Politikası

Güvenlik ve Kontrol İçin Temel Çerçeve

Felaket Eylem Planı & İş Sürekliliği Planı

İşletmeler güç kesintileri, seller, depremler veya terörist saldırılar gibi bilişim

sistemlerinin kullanımını veya işletmenin faaliyetlerini engelleyecek

olaylara karşı plan yapmaları gerekmektedir.

• Felaket eylem planı bilgi işlem ve iletişim hizmetlerinin kesintiye

uğradıktan sonra eski haline getirilmesi için gereken faaliyetleri içeren

planlardır.

• Sistemi ayakta tutan teknik konulara odaklanır.

• Hangi dosyaların yedekleneceği, yedekleme için gereken bilgisayar

sistemlerinin ve felaket eylem sistemlerinin bakımı, vb. gibi.

• İş sürekliliği planı bir felaket gerçekleştikten sonra işletmenin

faaliyetlerini nasıl eski haline getireceğine yönelik planlardır.

• Kritik iş süreçlerini belirler; eğer sistemler çökerse yaşamsal işlevlerin

idare edilebilmesi için gerekli faaliyet planlarını tanımlar.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Kimlik Yönetimi ve Doğrulama

Doğrulama (authentication) bir kişinin iddia ettiği kişi olup olmadığını

bilebilme yeteneğidir.

Genellikle yetkilendirilmiş kullanıcıların bildiği bir şifre ile sağlanır.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Kimlik Yönetimi ve Doğrulama

Biyometrik doğrulama parmak izi, iris ve ses gibi kişisel biyolojik özelliklerin

okunması ve incelenmesi ile yetkilendirme yapan sistemlerdir.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Biyometrik doğrulama

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Biyometrik doğrulama

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Ateş (Güvenlik) Duvarları

Yetkisiz kullanıcıların özel bir ağa erişimini engeller.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Saldırı Algılama Sistemleri (Intrusion detection systems)

Saldırıların algılanması veya engellenmesi için işletme ağının en zayıf

noktaları veya hareketli kısımlarına yerleştirilmiş sürekli izleme araçları

sağlar.

Sistem, şüpheli veya anormal bir durum saptadığında uyarı verir.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Virüs ve Casus Yazılım Önleyici Yazılımlar

Antivirüs yazılımı bilgisayar virüslerinin varlığına karşı bilgisayar sistemlerinin

ve sürücülerinin kontrol edilmesi için tasarlanmıştır.

Çoğu antivirüs yazılımı yalnızca yazılım geliştirilirken bilinen virüslere karşı

etkilidir.

Etkili kalabilmesi için sürekli olarak güncellenmesi gerekmektedir.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Dijital Sertifikalar çevrimiçi işlemlerin korunması için kullanıcıların ve

elektronik varlıkların kimliklerinin oluşturulmasında kullanılan veri

dosyalarıdır.

Bilişim Kaynaklarını Korumak İçin

Teknoloji ve Araçlar Dijital Sertifikalar