Upload
katen
View
85
Download
4
Embed Size (px)
DESCRIPTION
E-Ticaret ve Bilgi Güvenliği. Gökhan Muharremoğlu Lostar Bilgi Güvenliği A.Ş. Akademik Bilişim 2012 Konferansı. Gökhan Muharremoğlu Kimdir?. Lostar Bilgi Güvenliği A.Ş. Bilgi Güvenliği Uzmanı TÜBİTAK Ulusal Bilgi Güvenliği Kapısı Yazar İ.Ü. Enformatik Bölümü Yüksek Lisans Öğrencisi. - PowerPoint PPT Presentation
Citation preview
E-Ticaret ve
E-Ticaret ve
Bilgi Güvenliği
Bilgi Güvenliği
Gökhan Muharremoğlu
Gökhan Muharremoğlu
Lostar Bilgi Güvenliği A.Ş.
Lostar Bilgi Güvenliği A.Ş.
Akademik Bilişim 2012
Akademik Bilişim 2012
KonferansıKonferansı
Gökhan Muharremoğlu
Gökhan MuharremoğluKimdir?Kimdir?
Lostar Bilgi Güvenliği A.Ş.
Lostar Bilgi Güvenliği A.Ş.
•Bilgi Güvenliği Uzmanı
Bilgi Güvenliği UzmanıTÜBİTAK Ulusal Bilgi Güvenliği Kapısı
TÜBİTAK Ulusal Bilgi Güvenliği Kapısı
•YazarYazar
İ.Ü. Enformatik Bölümü
İ.Ü. Enformatik Bölümü•Yüksek Lisans Öğrencisi
Yüksek Lisans Öğrencisi
Serm
aye
Nedir?
Serm
aye
Nedir?
• Sermaye, Türk Dil Kurumu’na
Sermaye, Türk Dil Kurumu’na
göre:göre:
«Bir ticaret işinin kurulması,
yürütülmesi için gereken
anapara ve paraya
çevrilebilir mal veya
ürünlerin tamamı, anamal,
başmal, kapital, meta,
resülmal.»
Bilginin kurumlar için öneminden
Bilginin kurumlar için öneminden
bahsetmeden önce «sermaye»
bahsetmeden önce «sermaye»
kavramının ne olduğu bilinmelidir.
kavramının ne olduğu bilinmelidir.
Bilg
i Nedir?
Bilg
i Nedir?
• Bilgi, Türk Dil Kurumu’na göre:
Bilgi, Türk Dil Kurumu’na göre:
«İnsan zekâsının çalışması
sonucu ortaya çıkan düşünce
ürünü, malumat, vukuf.»
• Bu durumda;
Bu durumda;
Bilgi, kurumlar açısından:
Bilgi, kurumlar açısından:
«Kurum sermayelerinden biridir.»
«Kurum sermayelerinden biridir.»
Bilgi güvenliğinden bahsetmeden
Bilgi güvenliğinden bahsetmeden
önce «bilgi» kavramının ne
önce «bilgi» kavramının ne
olduğu bilinmelidir.
olduğu bilinmelidir.
Güve
nlik N
edir?
Güve
nlik N
edir?
• Güvenlik, Türk Dil Kurumu’na
Güvenlik, Türk Dil Kurumu’na
göre:göre:
««Toplum yaşamında yasal
düzenin aksamadan yürütülmesi,
kişilerin korkusuzca
yaşayabilmesi durumu, emniyet.»»
• Güvenlik, bilgi açısından:
Güvenlik, bilgi açısından:
«Bilginin 3 özelliğinin
«Bilginin 3 özelliğinin
korunmasıdır.»
korunmasıdır.»
Bilgi güvenliğinden bahsetmeden
Bilgi güvenliğinden bahsetmeden
önce «güvenlik» kavramının da ne
önce «güvenlik» kavramının da ne
olduğu bilinmelidir.
olduğu bilinmelidir.
Bilg
i Güve
nliğ
i
Bilg
i Güve
nliğ
i
Nedir?
Nedir?
Bilgi Güvenliği açısından
Bilgi Güvenliği açısından
korunması hedeflenen 3
korunması hedeflenen 3
özellik:özellik:
1.1.Bilginin Gizliliği
Bilginin Gizliliği
2.2.Bilginin Erişilebilirliği
Bilginin Erişilebilirliği
3.3.Bilginin Bütünlüğü
Bilginin Bütünlüğü
Bilginin 3 özelliğinin korunmasını
Bilginin 3 özelliğinin korunmasını
hedefleyen güvenlik anlayışına
hedefleyen güvenlik anlayışına
«Bilgi Güvenliği» denir.
«Bilgi Güvenliği» denir.
1. B
ilgin
in
1. B
ilgin
in
Gizliliğ
iG
izliliği
Bilginin Bilginin sadece
sadece
hedeflenen kişi ve kitleler
hedeflenen kişi ve kitleler
tarafından erişilebilir
tarafından erişilebilir
olması. olması.
Bilginin 3 özelliğinin korunmasını
Bilginin 3 özelliğinin korunmasını
hedefleyen güvenlik anlayışına
hedefleyen güvenlik anlayışına
«Bilgi Güvenliği» denir.
«Bilgi Güvenliği» denir.
2. B
ilgin
in
2. B
ilgin
in
Erişile
bilirliğ
i
Erişile
bilirliğ
i
Bilginin hedeflenen kişi ve
Bilginin hedeflenen kişi ve
kitleler tarafından
kitleler tarafından
erişilebilir halde olması.
erişilebilir halde olması.
Bilginin 3 özelliğinin korunmasını
Bilginin 3 özelliğinin korunmasını
hedefleyen güvenlik anlayışına
hedefleyen güvenlik anlayışına
«Bilgi Güvenliği» denir.
«Bilgi Güvenliği» denir.
3. B
ilgin
in
3. B
ilgin
in
Bütü
nlü
ğü
Bütü
nlü
ğü
Bilginin içeriğinin
Bilginin içeriğinin
kaynağında olduğu ve
kaynağında olduğu ve
verilmek istendiği gibi
verilmek istendiği gibi
hedef kişi ve kitlelere
hedef kişi ve kitlelere
ulaşması.ulaşması.
Bütünlük: Integrity «Tamlık, doğruluk, vs…»
Bütünlük: Integrity «Tamlık, doğruluk, vs…»
Bilginin 3 özelliğinin korunmasını
Bilginin 3 özelliğinin korunmasını
hedefleyen güvenlik anlayışına
hedefleyen güvenlik anlayışına
«Bilgi Güvenliği» denir.
«Bilgi Güvenliği» denir.
Korunması hedeflenen bu 3 özellikten herhangi biri veya birkaçını koruyamayan sistemler, güvenlik zafiyeti/açığı barındıran sistemlerdir.
E-Tica
ret N
edir?
E-Tica
ret N
edir?
E-Ticaret, teknolojinin sağladığı
elektronik iletişim olanakları ile
yapılan bir ticaret yapma biçimidir.
Bunun günümüzdeki en büyük ve
yaygın örneği İnternet üzerinden
yapılanıdır.
Ticaretin temellerinin dayandığı
iletişim konusu, iletişimin üzerindeki
kısıtların azalmasıyla en önce insan
ilişkilerini, buna bağlı olarak da
ticaretin gelişimini etkilemiştir.
E-Tica
ret’te
E-Tica
ret’te
Bilg
i Güve
nliğ
i
Bilg
i Güve
nliğ
i E-Ticareti yapan taraflar arasında
gizli kalması, erişilebilir veya tutarlı
olması hedeflenen bilgilerin
korunmasını amaçlayan olgudur.
Bu bilgiler:
• Kredi Kartı Bilgisi
• Özlük Bilgisi
• Şirket Sırları
• Fatura Bilgileri
• Ve benzeri bilgiler…
E-Ticaret, teknolojinin sağladığı
elektronik iletişim olanakları ile
yapılan bir ticaret yapma
biçimidir. Bunun günümüzdeki en
büyük ve yaygın örneği İnternet
üzerinden yapılanıdır.
Tehditle
r ve
Tehditle
r ve
Riskle
rR
iskler
Tehdit & Risk Kavramları
Tehdit & Risk Kavramları
Fay hattı bir tehdittir. Onun yanı
Fay hattı bir tehdittir. Onun yanı
başına bina yapmak ise bir risktir.
başına bina yapmak ise bir risktir.
Her risk karşılığında bir tehdidin
Her risk karşılığında bir tehdidin
göze alınmasını gerektirir.
göze alınmasını gerektirir.
Bir tehdit göze alınırken bir fayda
Bir tehdit göze alınırken bir fayda
beklentisi ile göze alınır.
beklentisi ile göze alınır.
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
Tehditle
r ve
Tehditle
r ve
Riskle
rR
iskler
Bilgi Güvenliğinde Tehdit & Risk:
Bilgi Güvenliğinde Tehdit & Risk:
En sık rastlanan tehdit unsuru, insan
En sık rastlanan tehdit unsuru, insan
kaynaklı olan bilginin gizliliğini,
kaynaklı olan bilginin gizliliğini,
erişilebilirliğini ve bütünlüğünü
erişilebilirliğini ve bütünlüğünü
bozmaya yönelik olanlar ve kötü
bozmaya yönelik olanlar ve kötü
amaçlı yazılım kaynaklı olanlardır.
amaçlı yazılım kaynaklı olanlardır.
Doğal afetler ve benzeri durumlar
Doğal afetler ve benzeri durumlar
da Bilgi Güvenliğinde birer tehdit
da Bilgi Güvenliğinde birer tehdit
unsurudur.unsurudur.
Bütün bu tehditleri göze alan fayda
Bütün bu tehditleri göze alan fayda
amaçlı yaklaşımlar ise riski
amaçlı yaklaşımlar ise riski
oluşturur.oluşturur.
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
E-Tica
ret’te
ki Bilg
i
E-Tica
ret’te
ki Bilg
i
Güve
nliğ
i G
üve
nliğ
i
Tehditle
riTe
hditle
ri
Bilgi Güvenliği
Bilgi Güvenliği
Bağlamında E-Ticaret
Bağlamında E-Ticaret
Tehditleri:Tehditleri:
1.1.Kurumsal Tehditler
Kurumsal Tehditler
2.2.Bireysel Tehditler
Bireysel Tehditler
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
E-Tica
ret’te
ki Bilg
i
E-Tica
ret’te
ki Bilg
i
Güve
nliğ
i G
üve
nliğ
i
Tehditle
riTe
hditle
ri
1.Kurumsal Tehditler
1.Kurumsal Tehditler
Kurum altyapısındaki bir
Kurum altyapısındaki bir
bilginin güvenliğinin
bilginin güvenliğinin
sağlanamaması.
sağlanamaması.
Örnek:Örnek:
Müşteri Kredi Kartı
Müşteri Kredi Kartı
Bilgilerinin İfşası
Bilgilerinin İfşası
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
E-Tica
ret’te
ki Bilg
i
E-Tica
ret’te
ki Bilg
i
Güve
nliğ
i G
üve
nliğ
i
Tehditle
riTe
hditle
ri1. Kurumsal Tehditler
1. Kurumsal Tehditler
Buradaki örnek için
Buradaki örnek için
uygulanması tavsiye edilen
uygulanması tavsiye edilen
çözüm:çözüm:
PCI-DSS Yönetişim
PCI-DSS Yönetişim
Standardının hayata
Standardının hayata
geçirilmesigeçirilmesi
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
Yönetişim?
Yönetişim
Yönetişim
Kurumlarda Bilgi Güvenliği
Kurumlarda Bilgi Güvenliği
Uygulanması
Uygulanması
• Yönetişim:Yönetişim:
Hangi işlerin neden, ne
zaman, nerede ve kim
tarafından nasıl
yapılacağının kararını veren
olgudur…
Kurumlarda Bilgi Güvenliğinin
Kurumlarda Bilgi Güvenliğinin
hayata geçirilmesi açısından
hayata geçirilmesi açısından
birçok yöntem vardır.
birçok yöntem vardır.
Yönetişim
Yönetişim
Kurumlarda Bilgi Güvenliği
Kurumlarda Bilgi Güvenliği
Uygulanması
Uygulanması
• Bazı Güvenlik Yönetişim
Bazı Güvenlik Yönetişim
Standartları:
Standartları:
ISO 27001ISO 27001
COBITCOBIT
ITILITILSOXSOXPCI-DSSPCI-DSS
Kurumlarda Bilgi Güvenliğinin nasıl
Kurumlarda Bilgi Güvenliğinin nasıl
hayata geçirilmesi gerektiğini ve
hayata geçirilmesi gerektiğini ve
nasıl yönetilmesi gerektiğini izah
nasıl yönetilmesi gerektiğini izah
eden standartlar vardır.
eden standartlar vardır.
E-Tica
ret’te
ki Bilg
i
E-Tica
ret’te
ki Bilg
i
Güve
nliğ
i G
üve
nliğ
i
Tehditle
riTe
hditle
ri2. Bireysel Tehditler
2. Bireysel Tehditler
Kurumları ilgilendiren bazı
Kurumları ilgilendiren bazı
tehditlerle beraber müşterinin
tehditlerle beraber müşterinin
kişisel bilgilerine yönelik olan
kişisel bilgilerine yönelik olan
güvenliğin sağlanamaması.
güvenliğin sağlanamaması.
Örnek:Örnek:
Müşteri Kredi Kartı Bilgilerinin
Müşteri Kredi Kartı Bilgilerinin
İfşasıİfşası
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
E-Tica
ret’te
ki Bilg
i
E-Tica
ret’te
ki Bilg
i
Güve
nliğ
i G
üve
nliğ
i
Tehditle
riTe
hditle
ri2. Bireysel Tehditler
2. Bireysel Tehditler
Buradaki örnek için
Buradaki örnek için
uygulanması tavsiye edilen
uygulanması tavsiye edilen
çözüm:çözüm:
Örnek:Örnek:
Bireysel Bilgi Güvenliği
Bireysel Bilgi Güvenliği
Farkındalığının arttırılması
Farkındalığının arttırılması
Her tehdit bir risk değildir
Her tehdit bir risk değildir
ama her risk içinde bir
ama her risk içinde bir
tehdit barındırır.
tehdit barındırır.
Farkındalığın arttırılması için kullanılabilecek yöntemlerden biri, teknik bilgilerin kamuoyu ile paylaşılarak ilgi çekilmeye çalışılmasıdır.
Tekn
ik Açıd
an
Tekn
ik Açıd
an
Bilg
i Güve
nliğ
i
Bilg
i Güve
nliğ
i
Tehditle
rTe
hditle
r
Bilgi Güvenliği Hakkında Bilgi
Bilgi Güvenliği Hakkında Bilgi
Sahibi Olmak, Bilinçlenmenin
Sahibi Olmak, Bilinçlenmenin
Başlangıcını Oluşturur.
Başlangıcını Oluşturur.
Web Sayfalarında Form Girdisi Hatırlama Özelliği
Tekn
ik Açıd
an
Tekn
ik Açıd
an
Bilg
i Güve
nliğ
i
Bilg
i Güve
nliğ
i
Tehditle
rTe
hditle
r
Bilgi Güvenliği Hakkında Bilgi
Bilgi Güvenliği Hakkında Bilgi
Sahibi Olmak, Bilinçlenmenin
Sahibi Olmak, Bilinçlenmenin
Başlangıcını Oluşturur.
Başlangıcını Oluşturur.
SSL Desteği Olmayan Sayfalar
Tekn
ik Açıd
an
Tekn
ik Açıd
an
Bilg
i Güve
nliğ
i
Bilg
i Güve
nliğ
i
Tehditle
rTe
hditle
r
Bilgi Güvenliği Hakkında Bilgi
Bilgi Güvenliği Hakkında Bilgi
Sahibi Olmak, Bilinçlenmenin
Sahibi Olmak, Bilinçlenmenin
Başlangıcını Oluşturur.
Başlangıcını Oluşturur.
Oltalama Saldırıları
Bir saldırgan benzer bir mesajı E-Ticaret yapılan sistem içine yerleştirerek kullanıcıları kandırabilir. Böyle bir saldırı bilginin bütünlüğünün bozulmasıyla gerçekleşebilir.
Ödem
e
Ödem
e
Türle
rine
Türle
rine
Örn
ekle
rÖ
rnekle
r
Güvenlik Konusunda Olumlu
Güvenlik Konusunda Olumlu
ve Olumsuz Nitelikte Olan
ve Olumsuz Nitelikte Olan
Ödeme Türlerine Örnek
Ödeme Türlerine Örnek
3D SECURE
Bu ödeme türü güvenli bir ödeme türü
örneğidir.
Ödem
e
Ödem
e
Türle
rine
Türle
rine
Örn
ekle
rÖ
rnekle
r
Güvenlik Konusunda Olumlu
Güvenlik Konusunda Olumlu
ve Olumsuz Nitelikte Olan
ve Olumsuz Nitelikte Olan
Ödeme Türlerine Örnek
Ödeme Türlerine Örnek
MAIL ORDER
Bu ödeme türü güvenli bir ödeme türü
değildir.
Ödem
e
Ödem
e
Türle
rine
Türle
rine
Örn
ekle
rÖ
rnekle
r
Güvenlik Konusunda Olumlu
Güvenlik Konusunda Olumlu
ve Olumsuz Nitelikte Olan
ve Olumsuz Nitelikte Olan
Ödeme Türlerine Örnek
Ödeme Türlerine Örnek
ARACI İNETERNET KURULUŞLARI - PayPal
Bu ödeme türü güvenli bir ödeme türü
örneğidir.
Anke
tA
nke
t Bireysel Farkındalığı Gözlemlemek
Bireysel Farkındalığı Gözlemlemek
için Bir Anket Uyguladık.
için Bir Anket Uyguladık.
Bu ankette:Bu ankette:
• İ.Ü. B.Ö.T.E. Öğrencileri Soruları
İ.Ü. B.Ö.T.E. Öğrencileri Soruları
Yanıtladı.Yanıtladı.
• Uzaktan Uzaktan (17) (17) ve Örgün
ve Örgün (15) (15) Öğretim Öğretim
Gören 2 Grup Oluşturuldu
Gören 2 Grup Oluşturuldu
• Toplam 32 Öğrenci Katıldı.
Toplam 32 Öğrenci Katıldı.
• 32 Adet Soru Soruldu.
32 Adet Soru Soruldu.
Bireysel Farkındalığı
Bireysel Farkındalığı
Gözlemlemek için Bir Anket
Gözlemlemek için Bir Anket
Uyguladık.
Uyguladık.
Anke
tA
nke
t
Bireysel Farkındalığı
Bireysel Farkındalığı
Gözlemlemek için Bir Anket
Gözlemlemek için Bir Anket
Uyguladık.
Uyguladık.
Anke
tA
nke
t
Bireysel Farkındalığı
Bireysel Farkındalığı
Gözlemlemek için Bir Anket
Gözlemlemek için Bir Anket
Uyguladık.
Uyguladık.
Anke
tA
nke
t
Bireysel Farkındalığı
Bireysel Farkındalığı
Gözlemlemek için Bir Anket
Gözlemlemek için Bir Anket
Uyguladık.
Uyguladık.
Sonuç
Sonuç
13 Sorudan 10 tanesinde bütün
öğrencilerin %50 ve daha fazlası
soruya EVET yanıtını vererek, güvenli
olduğu bilinen şıkkı seçmiştir.
Öğrencilerin genelinin farkındalıkları
%77 oran ile yüksek bulunmuştur.
13 Sorudan 10 tanesinde %50’den
fazla katılımla EVET yanıtını veren
Uzaktan Öğrenim öğrencilerinin
farkındalıklarının, 3 soru farkla
Örgün Öğrenimdeki öğrencilerden
fazla olduğu gözlemlenmiştir.
Sonuç…
Refe
ransl
ar
Refe
ransl
ar
Aksoy, D. (2006). Akademisyenlerin E-Ticareti Mesleki ve Gündelik Yaşamlarında Kullanım
Düzeylerinin Araştırılması: Akdeniz Üniversitesi Örneği. Antalya: Akdeniz Üniversitesi .
Barker, A. (2001). Yeniliçiliğin Simyası. İstanbul: MESS.
BGYS. (tarih yok). BGYS. 12 2011 tarihinde http://www.iso27001-bgys.com/ts-iso-iec-27001/bilgi-
guvenligi-nedir.html adresinden alındı
Computer Incident Advisory Capability. (2007). PDF XSS Vulnerability. 6 30, 2001 tarihinde Computer
Incident Advisory Capability: http://www.ciac.org/ciac/bulletins/r-096.shtml adresinden alındı
Devlet Planlama Teşkilatı. (2010). Bilgi Toplumu İstatistikleri 2010. Ankara: T.C. Başbakanlık.
Güleş, H. K., & Bülbül, H. (2004). Yenilikçilik - İşletmeler için stratejik rekabet aracı. Ankara: Nobel
Yayın Dağıtım.KORKMAZ, İ. (2006). Bilgisayar sistemlerinde parola güvenliği üzerine bir araştırma. İzmir: Ege
üniversitesi.MUHARREMOĞLU, G. (2011). Lostar blog. 6 30, 2011 tarihinde Lostar:
http://blog.lostar.com/2011/06/guvenlikte-zaman-boyutu.html adresinden alındı
MUHARREMOĞLU, G. (tarih yok). TÜBİTAK Bilgi Güvenliği Kapısı. 12 2011 tarihinde TÜBİTAK UAKAE:
http://www.bilgiguvenligi.gov.tr/kurumsal-guvenlik/kablosuz-ag-guvenligi-ve-zaman-boyutunda-
kurumsal-guvenlik-kulturu.html adresinden alındı
National Infrastructure Security Co-ordination Centre. (2006). Commercially Available Penetration
Testing. NISCC-Best Practice Guide, 24.
Nayır, N. (2009). Türkiye Elektrik Sektöründe Bilgi Teknolojileri ve E-Ticaret Kullanımı. İstanbul: Haliç
Üniversitesi.ÖZCAN, B. (2009). Kurumsal Bilgi Güvenliği & Cobit. İstanbul: Haliç Üniversitesi.
ÖZKAN, Ö. (2004). VERİ GÜVENLİĞİNDE SALDIRI ve SAVUNMA. ELEKTRONİK VE HABERLEŞME
MÜHENDİSLİĞİ. Isparta: Süleyman Demirel Üniversitesi.
(2009). Ş. Özmen içinde, Ağ ekonomisinde yeni ticaret yolu : e-ticaret (s. 44-7). İstanbul: İstanbul
Bilgi Üniversitesi Yayınları.SABAH. (tarih yok). 12 2011 tarihinde SABAH GAZETESİ:
http://www.sabah.com.tr/Dunya/2011/05/27/cin-super-gizli-ordusunu-acikladi adresinden alındı
Stewart, T. (1997). Entelektüel Sermaye: Kuruluşların Yeni Zenginliği. İstanbul: Türkiye Meta
Sanayicileri Sendikası.UÇAR, G. (2004). Bilgisayar ağlarında kişisel güvenlik. Ankara: Gazi Üniversitesi.
VURAL, Y. (2007). KURUMSAL BİLGİ GÜVENLİĞİ VE SIZMA (PENETRASYON) TESTLERİ. Ankara: Gazi
Üniversitesi.
Teşe
kkürl
er…
.
Teşe
kkürl
er…
.