Faruk Çalıkuşu
Bilgi Güvenliği Danışmanı
Bilgi Güvenliği Yönetim Sistemleri
Kurumumuzda Bilgi Güvenliği Yapılanması
BİLGİ GÜVENLİĞİ ALT KOMİSYONU (SAĞLIK İL MÜDÜRLÜĞÜ ) BİLGİ GÜVENLİĞİ ALT KOMİSYONU
(SAĞLIK İL MÜDÜRLÜĞÜ )
BİLGİ GÜVENLİĞİ İL YETKİLİSİ BİLGİ GÜVENLİĞİ İL YETKİLİSİ
KURUM İDARELERİ KURUM İDARELERİ
Veri & Bilgi
Çerkeş Devlet
Hastane
L094567 Numara
Dosya
Hasta Kayıt
HBYS
Veri & Bilgi
Çerkeş Devlet Hastanesi HBYS’sindeki L094567 Dosya
Numaralı Hasta Kaydı
Bilgi Güvenliği Nedir?
Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.
Aslında güvenlik sadece bilginin başkasının eline geçmesi
anlamına gelmez. Güvenlik, “gizlilik”, “bütünlük” ve “erişilebilirlik”
olarak isimlendirilen üç unsurdan oluşur.
Bilgi Güvenliği Nedir?
• Gizlilik; Bilgi ye erişime izni olan yetkili kişiler yada sistemlerin erişmesini sağlamaktır.
• Bütünlük; Bilginin yetkisiz kişi yada işlemler
tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur.
• Erişilebilirlik; Bilgi ye doğru zamanda erişimin ve
erişim sürekliliğinin sağlanmasıdır.
Bilgi Güvenliği Neden Önemlidir?
BİLGİ GÜVENLİĞİ ZAFİYETLERİ
NELERE YOL AÇAR?
Bilgi Güvenliği Neden Önemlidir?
Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir
Sosyal medyada kurum itibarına
zarar verecek bilgiler yayınlanabilir.
Bilgi Güvenliği Neden Önemlidir?
Sağlık çalışanlarının parolaları ele
geçirilerek yasa dışı işler yapılabilir.
Bilgi Güvenliği Neden Önemlidir?
İnteraktif bankacılık sistemi ile kullanıcıların
hesaplarındaki paralar çalınabilir
Bilgi Güvenliği Neden Önemlidir?
CAN KAYIPLARI OLABİLİR!!!!!
DROP TABLE
DROP DATABASE
Doktorların şifreleri çalındı binlerce ilaç yazıldı
Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı.
Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı.
Vatandaşlar ilaç katkı payı
Ödemek zorunda kaldı.
Faruk Çalıkuşu
Bilgi Güvenliği Danışmanı
AKILLI TELEFON VE TABLETLER
Akıllı Telefonlar
Mobil Sosyal Medya Uygulamaları
En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini alıyor.
Akıllı Telefon Güvenliği
Ana ekranınızda muhakkak güvenlik parolası olmalı
Akıllı telefonunuzdaki verileri (resim, video, dokümanlar vb.) düzenli olarak yedekleyin.
Uygulamayı kabul etmeden önce kişisel bilgilerinize erişim yetkisi hakkında daha dikkatli olun.
Kesinlikle bir Antivirüs uygulaması kullanın. Ücretsiz CM Security, Avira Antivirus Security, Avast, AVL, 360 Security ve AVG AntiVirus
Otomatik güncelleştirmeleri etkinleştirin ve işletim sisteminizi güncel tutun.
PAROLA GÜVENLİĞİ
Nerelerde Parola Var / Olmalı
Bilgisayar girişi
Ekran koruyucu
Cep telefonu
Chrome vb. e- posta girişleri
E-posta
Akıllı Telefonlar, Tablet
İnternet Bankacılığı
Online Alışveriş
Taşınabilir Bellekler
Otomasyon Programları
En Kötü Parola Oscarları
2014 2015 2016
123456
password 123456
password 123456 password
12345678 12345 12345678
qwerty 12345678 qwerty
abc123 qwerty 12345
Parolanın Karakter sayısı ve şekli
BGYS Politikalarına göre parolanız, en az;
8 karakterden,
bir büyük harf,
bir küçük harf,
bir rakam ve
bir özel karakterden oluşmalıdır.
Sr#$2^&!
Parola Güvenliği
Parolanız size özeldir, başkaları ile paylaşılmamalıdır!
Parolanız çoraplarınız gibidir,
sık sık değiştirilmelidir!
Parola Güvenliği
Parolaların Tahmini Kırılma Süreleri
Parolaların tahmini kırılabilme süreleri şöyle;
Kelime: Parola
Çözülme süresi: 33 saniye
Kelime: Parola1
Çözülme süresi: 14 dakika Kelime: P4rola$11
Çözülme süresi: 2 gün
Kelime: P4rol4$123+
Çözülme süresi: 4 ay
https://password.kaspersky.com/tr/
Kelime: P4rol4$123+?
Çözülme süresi: 4 yüzyıl
Parolanızı kimseyle paylaşmayın
Yüz yüze
Telefon
E-posta
Omuz sörfü vb.
İdareci
İş arkadaşı
Misafir
Teknik eleman
Her platform için farklı parola
Kullanıcılarının %55’i her hesap için aynı parolayı kullanıyor.
Bir parola kırılınca diğerleri çorap söküğü gibi geliyor.
2017 yılında aktif olan milyonlarca yahoo, gmail
kullanıcısının parolası çalındı.
Kurumsal E-posta
Kullanımı ve Güvenliği
E-Posta Kullanım Politikamız -1
• Kurumsal iş ve işlemler, kişilerin özel işleri için (Gmail, Hotmail gibi) internet hizmet sağlayıcılarından alınan hesaplar üzerinden yürütülmez.
• KVKK tarafından 6698 sayılı Kanunda yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması kanuni zorunluluktur.
E-Posta Kullanım Politikamız
• E-posta adresinin kime bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.
• Konu alanı boş bir e-posta mesajı göndermemeli
• Kimliği belirsiz, Spam,Zincir-Zararlı e-posta olduğu düşünülen e-postalar hiçbir
işlem yapılmadan (Açılmadan ) Slinmelidir ve ivedilikle Bilgi Sistemleri Birimine haber verilmelidir
İNSAN KAYNAKLARI ZAAFİYETLERİ
SOSYAL MÜHENDİSLİK
İnsan Kaynakları Zaafiyeti Yönetimi
Çalışan personele ait şahsi dosyalar kilitli
dolaplarda muhafaza edilmeli ve
dolap anahtarları kolay ulaşılabilir bir
yerde olmamalıdır.
İnsan Kaynakları Zaafiyeti Yönetimi
Personel, yetkisi olmayan hiçbir kişi ile bilgi
paylaşımı yapmaz.
İnsan Kaynakları Zaafiyeti Yönetimi
Personel, edindiği bilgileri hiçbir kişi,
grup, kurum veya kuruluşun menfaati için
kullanamaz.
İnsan Kaynakları Zaafiyeti Yönetimi
Personel, görev yaptığı kurum tarafından
kendisine verilen ya da tanımlanan kullanıcı
adı/parolayı hiç kimseyle paylaşmaz ve bunların
hiçbir kopyasını alamaz
Temiz Masa
A.8.3.2 Belli başlı temiz masa kuralları
Bu gibi bilgi ve belgeler kilitli dolap, çelik kasa ya da arşiv odası gibi fiziki koruması olan güvenli alanlarda muhafaza edilir.
Hassas bilgiler içeren bilgi, belge ve evraklar masa üzerlerinde ya da kolayca ulaşılabilir yerlerde açıkta bulundurulmaz.
Hastanelerde Sosyal Mühendislik Önlemleri
• Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyası,
barkodlar, gözlem formları vs.) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır.
• Telefon ile hasta hakkında bilgi almak isteyen kişilere, hastanın kişisel bilgileri ile ilgili açıklama yapılmaz.
• Hasta dosyaları ilgili doktor ve hemşire dışında kimseyle paylaşılmaz. Kolay ulaşılır yerlere konulmaz.
• SBYS programlarında kullanılan parolalar kimseyle paylaşılmaz
Taşınabilir Medya ve Cihaz
Güvenliği
Taşınabilir Medya Birimleri
Bilgi Güvenliği Politikaları Kılavuzu;
• A.4.4.2.1-Kuruma ait veriler, kişilere ait medyalar üzerinde saklanamaz.
Verilerin bir taşınabilir ortama aktarılması ihtiyacı kaçınılmaz ise bu maksatla kuruma ait medyalar kullanılır.
• A.4.4.2.2- Kuruma ait medyalar varlık envanteri içinde listelenir ve kimler tarafından kullanıldığı kayıt altına alınır. Görev devir teslimlerinde veya işten
ayrılışlarda, kişilere teslim edilmiş olan medyaların iade edilmesi istenir veya ne şekilde sarf edildiği bilgisi sorgulanır.