BİLGİ GÜVENLİĞİ EĞİTİMİ

BİLGİ

GÜVENLİĞİ EĞİTİMİ

ÇINARCIK DEVLET HASTANESİ

BİLGİ GÜVENLİĞİNİN AMACI ?

 Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.

Güvenlik Modeli;

• Gizlilik (Kim ?)

• Bütünlük (Ne ?)

• Erişilebilirlik (Ne zaman?, Nasıl ?)

BİLGİNİN KORUNACAK NİTELİKLERİ

Gizlilik:

 Bilginin yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez niteliğidir.

Bütünlük

 Bilginin doğruluk ve kendisine has özelliklerinin korunmasıdır.

Erişilebilirlik

 Bilginin yetkili kişiler (görevi gereği) tarafından istenildiğinde ulaşılabilir ve kullanılabilir olma özelliğidir.

BİLGİ GÜVENLİĞİ NEDEN ÖNEMLİDİR ?

BİLGİ GÜVENLİĞİ ZAFİYETLERİ NELERE YOL AÇAR?

• Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir.

• Sağlık çalışanlarının parolaları ele geçirilerek yasa dışı işler yapılabilir.

• İnteraktif bankacılık sistemi ile kullanıcıların hesaplarındaki paralar çalınabilir.

• İnternet kullanıcılarının bilgisayarları ele geçirilerek, kullanıcı farkına bile varmadan bilgisayar üzerinden kurumsal sistemlere saldırılabilir.

• Ele geçirilen bilgisayarlar aracılığıyla topluca istenmeyen e-postalar gönderilebilir.

BİLGİ GÜVENLİĞİNDE İNSAN FAKTÖRÜ

BİLGİ GÜVENLİĞİ ZAFİYETLERİ NELERE YOL AÇAR?

• En katı ve karmaşık koruma paketleri hazırlansa bile, eğer çalışanlar bilinçlendirilmediyse kurumsal kritik verinin çalınma riski her zaman olacaktır.

• Bilgi güvenliği yatırımlarının büyük bir yüzdesi teknik önlemler ile sağlanıyor olsa bile, insan faktörü bilgi güvenliğinin en önemli

halkasıdır.

Ve zincir en zayıf halkası

kadar güçlüdür

BİLGİNİN BULUNDUĞU ORTAMLAR

Fiziksel Ortamlar

Elektronik Ortamlar

BİLGİNİN BULUNDUĞU ORTAMLAR Fiziksel

Ortamlar

 Kağıt,

 Pano, Yazı tahtası

 Çöp/Atık Kağıtlar

 Dosyalar

 Dolaplar

BİLGİNİN BULUNDUĞU ORTAMLAR Elektronik

Ortamlar

 Bilgisayarlar,

 Mobil iletişim cihazları,

 E-posta,

 USB Bellek,CD vb.

BİLGİNİN KORUNMASINA YÖNELİK MEVZUAT

Sağlık Bakanlığına ait tüm bilgilerin gizlilik, bütünlük ve

erişilebilirlik kapsamında değerlendirilerek korunmasını sağlamak.

BİLGİNİN KORUNMASINA YÖNELİK MEVZUAT

Sağlık Bakanlığı Merkez ve Taşra Teşkilatı,

Bu kurumların bilişim kaynaklarını kullanan paydaş ve misafirler.

Bilgi Güvenliğinde Dahili Tehdit Unsurları

• Bilgisiz ve Bilinçsiz Kullanım

 Temizlik görevlisinin sunucunun fişini çekmesi

 Eğitilmemiş çalışanın veri tabanını silmesi

• Kötü Niyetli Hareketler

 İşten çıkarılan çalışanın, kuruma ait Web sitesini değiştirmesi

 Bir yöneticinin, geliştirilen ürünün planını rakip

kurumlara satması

Harici Tehdit Unsurları

• Hedefe Yönelmiş Saldırılar

 Saldırganın kurum web sitesini değiştirmesi,

 Saldırganın kurumun korunan bilgisini çalması,

 Birçok saldırganın kurum web sunucusunu servis

dışı bırakma saldırısı yapması

Doktorların parolası çalındı binlerce ilaç yazıldı

Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı.

Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı.

Vatandaşlar ilaç katkı payı Ödemek zorunda kaldı.

TEHDİTLER

VİRÜSLER

Kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.

Bağımsız hareket edemezler. Mutlaka bir uygulama dosyasına bağlanarak çoğalır ve yayılırlar.

Kullanıcıya, kullanışlı veya ilginç programlar gibi görünür. Bilgisayarınızda uzaktan erişim kapısı açmak, mikrofon ve kameranızı kullanmak, sizin adınıza istemsiz e-posta

göndermek vb. işlemler yapabilir.

Bağımsız çalışabilir, çoğalıp yayılabilir.e-posta, kaynağı belirsiz programlar, forum siteleri, korsan oyun dvd ve cd leri gibi yollarla bulaşırlar.Kullanım esnasında kendini hissettirmez arka planda efendisine hizmet eder.

TRUVA ATLARI

SOLUCANLAR

TEDBİRLER

TEMİZ MASA TEMİZ EKRAN

Çalışma masası ve bilgisayar ekranı üzerinde bilgiye yetkisiz ulaşım engellenmelidir.

Çalışma odaları ayrılırken kilitlenmeli ve anahtarları kontrol altında tutulmalıdır.

Bilgisayar ekran kilidi aktif hale getirilmeli ve süresi çok uzun olmamalıdır.

Bilgisayar başından ayrılırken Windows Logo + L tuşlarıyla bilgisayar kilitlenmelidir.

Kullanıcı adı ve şifre iyi korunmalıdır.

TEDBİRLER

ŞİFRE GÜVENLİĞİ

Kullanıcı bilgisayarlarına erişim şifre ile korunmalıdır.

Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler şifre olarak

kullanılmamalıdır. (Örneğin doğum tarihiniz, çocuğunuzun adı, soyadınız, .... gibi) Sözlükte bulunabilen kelimeler şifre olarak kullanılmamalıdır.

Ardışık sayılar ve alfabetik karakterler kullanılmamalıdır.

Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş şifreler kullanılmamalıdır.

TEDBİRLER

GÜÇLÜ ŞİFRE BELİRLEME TEKNİKLERİ

Cümlelerin baş harflerini birleştirebilirsiniz.

Günlük hayatınızdan kolay hatırlayacağınız herhangi bir cümle kullanabilirsiniz.

Benzer şekilde

•Atasözlerinden

•Şarkı sözlerinden

•Şiirlerden

seçeceğiniz cümlelerin aralarında rakamlar ve özel karakterler kullanarak çok daha güçlü bir parola oluşturmanız mümkün.

Örneğin

•Bir elin nesi var, iki elin sesi var. --> 1Env,2Esv.

•Ben 1987 yılının 9. ayında doğdum --> B1987y9.ad

TEDBİRLER

GÜÇLÜ ŞİFRE BELİRLEME TEKNİKLERİ

Cümleleri olduğu gibi parola yapabilirsiniz.

Özellikle rakam ve karakter içeren cümleler hoş olacaktır.Tabi ki klişe ve kolay tahmin edilen, basit bir ifade ya da cümle olmamak şartı ile.

Örneğin

•Benim,Ayşe’ye50TLBorcuVar.

•Yalova’ya10SaattemiGeldin?

•Dikkat!Yolda3KişiVar.

TEDBİRLER

GÜÇLÜ ŞİFRE BELİRLEME TEKNİKLERİ

Güçlü gibi görünse de çok kullanılan ve çok kolay tahmin edilebilen parolalardan kaçınmak gerekmektedir.

Bu parolalar klavyedeki harf sırası ve alfabedeki harf sırası gibi popüler kurallardan oluşturulmaktadır.

Örneğin:

•"123qwe", "qwe123", "123qweasd", "qwer1234", ...

•"qweasd", "123QweAsd", "asd12345", "Asd123", ...

•"qwerty", "qwerty123", "qazwsx123", ...

•"abc123", "123abc", "1234abcd", ...

TEDBİRLER

GÜÇLÜ ŞİFRE BELİRLEME TEKNİKLERİ

TEDBİRLER

PAROLALARIN KIRILMA SÜRELERİ,

Parolanızı test etmek için:

https://bilgiguvenligi.

saglik.gov.tr/Home/YararliKaynaklar

Parola: Muhteşem Parola: Muhteşem8

Parola: Muh50te$8em+

Parola: Muht+e$em8

TEDBİRLER

E POSTA GÜVENLİĞİ

E-posta sizin için ne anlama geliyor?

E-posta kötü niyetli kişiler için ne anlama geliyor?

 Cevap: Size ve yakınlarınıza erişim.

 Cevap:

TEDBİRLER

E POSTA GÜVENLİĞİ İstenmeyen e-postalardan korunma YOLLARI

E-posta adresini haber grupları, sohbet odaları, internet sayfaları, sosyal paylaşım siteleri gibi herkese açık yerlerde yayınlamamak.

Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek.

İstenmeyen e-postalara hiç bir şekilde cevap yazmamak.

Kullanım amacına göre farklı e-posta adresleri kullanmak.

TEDBİRLER

E-POSTA GÜVENLİĞİ Taklit-Oltalama e-postalardan korunma YOLLARI

Kimlik bilgilerini çalmak amacı ile,

istenmeyen e-posta veya açılır pencere yoluyla yapılan bir aldatma

yöntemidir.

Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e- postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs…) ele geçirmeye çalışır.

TEDBİRLER

E POSTA GÜVENLİĞİ Taklit-Oltalama e-postalardan korunma YOLLARI

Kişisel, kurumsal ve mali bilgilerinizi tanıdığınız kişiler dahil hiç kimseye e-posta yoluyla göndermemek.

E-posta mesajlarındaki internet bağlantılarına tıklamamak.

Düzenli olarak kredi kart hesap özeti, banka bildirimleri gibi bilgilendirme dokümanlarını gözden geçirmek.

Zararlı programlara karşı korunma programları (Anti-virus) gibi güvenlik yazılımları kullanmak ve sık sık güncellemek.

TEDBİRLER

SOSYAL MEDYA GÜVENLİĞİ

Sosyal Medya: İnternet kullanıcılarının aralarında bilgi, görüş ve ilgi alanlarını, yazılı görsel ya da işitsel bir şekilde paylaşarak iletişim kurmalarına olanak sağlayan araçlar ve web sitelerini içermektedir.

TEDBİRLER

SOSYAL MEDYA GÜVENLİĞİ

Yalnızlık duygusunun neden olacağı depresif düşüncelerden uzak kalabilirsiniz.

İletişimde zaman ve mekan engellerini ortadan kaldırabilirsiniz.

Yaşam tarzınıza ve düşüncelerinize göre gruplar kurabilir ve sayfalar açabilirsiniz.

Ürün, marka ve hizmetinizi birinci dereceden müşterilerinize çok ucuza tanıtabilirsiniz.

YARARLARI

TEDBİRLER

SOSYAL MEDYA GÜVENLİĞİ

Bağımlılık yapabilir, dili yozlaştırabilir.

Birçok zararlı yazılım sosyal medya kanalıyla bulaşabilir.

Yorumlarla kişilerin kimlikleri, firmaların marka değeri zarar görebilir.

Zararlı sosyal örgütlenmeler olabilir.

ZARARLARI

TEDBİRLER

SOSYAL MEDYA GÜVENLİĞİ

En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini alıyor.

ZARARLARI

TEDBİRLER

SOSYAL MEDYA GÜVENLİĞİ

Bizler internet üzerinde bir karakter yaratma çabasındayken aslında birileri için birer istatistikten ve dolandırılacak bir hesaptan başka bir şey değiliz.

SONUÇ

TEDBİRLER

SOSYAL MÜHENDİSLİK

İnsanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır.

Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesidir.

Sosyal mühendisler:Teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanırlar.

Kullandığı en büyük silahı,

insan zafiyetidir.

SOSYAL MEDYA GÜVENLİĞİ

Türkiye'de bir bankaya yapılan sosyal mühendislik saldırısı:

Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer.

- Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz.

- En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde.

>Madem kendinize bu kadar güveniyorsunuz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, yok eğer bir açıklık bulamazsak ücret talep etmeyiz.

Güvenlik danışmanlık firması personelinden biri lavaboya gitmek üzere toplantıdan ayrılır ve o sırada müdür sekreterinin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar.

>Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD‘ ye çekip gönderebilirim.

- Çok memnun olurum. Tabi sizin için zahmet olmayacaksa.

SOSYAL MEDYA GÜVENLİĞİ

Türkiye'de bir bankaya yapılan sosyal mühendislik saldırısı:

O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD‘ ye çeker ve kargoyla müdür sekreterine gönderir. Zararlı yazılımın sekreterin ofisteki bilgisayarında çalışmasını garanti etmek için telefon eder.

> Size kargoyla gönderdiğim DVD‘ yi bir bilgisayarınızda dener misiniz?

Bazen kaydederken hata olabiliyor.

Sekreter DVD‘yi denemek amacı ile çalıştırır ve filmin çalıştığını söyler, ardından teşekkür eder ve telefonu kapatır. Zararlı yazılım ofiste etkin hale gelir ve bilgi güvenliği müdürünün bilgisayar ekranında "SİSTEMİNİZİ ELE GEÇİRDİK,GEÇMİŞ OLSUN :)" yazan bir not bırakılmıştır.