DENİZLİ İL SAĞLIK MÜDÜRLÜĞÜ Bilgi İşlem ve İstatistik Birimi
BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ
Günümüzde Bilgi Sistemleri
Bilgi Nedir?
• BİLGİ: VERİ'nin işlenmiş haline denir.
• VERİ: İşlenmemiş ham bilgiye denir
• VERİ: Sayısal ve Mantıksal her bir değere (rakam, harf, sembol) "VERİ" yada "DATA" denir
• Örn: Muhammet, Bugün, Toplantı, salon,eğitim
• Örn: Muhammet bugün toplantı salonunda eğitim verecek
Dizüstü
bilgisayar Kablosuz ağlar
Dokümanlar Kurum çalışanları Radyo-televizyon
yayınları Yazıcı çıktıları
Medya
Yazılımlar Cep telefonları, PDA’lar Fotoğraf makineleri
Bilgi Güvenliğinden Herkes Sorumludur
• Sorumlu herkes:
• Bilginin sahibi
• Kullanıcılar
• Bilgi sistemini yönetenler
• En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir.
• Çoğunlukla en zayıf halka insandır.
BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar
• Bilginiz başkalarının eline geçebilir
• Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum)
• Donanım, yazılım, veri ve kurum çalışanları zarar görebilir
• Önemli veriye zamanında erişememek
• Parasal kayıplar
• Vakit kayıpları
• Can kaybı!
Kullanıcı Bilincinin Önemi
• Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir.
• Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır.
• Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır.
• Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır.
o Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir.
o Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır.
o Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.
BİLGİ GÜVENLİĞİ
ORGANİZASYONU
BİLGİ GÜVENLİĞİ ORGANİZASYONU
Bilgi Güvenliği Komisyonu (Yılda en az 2 kez toplanır)
Komisyon Görevi Ad Soyad
Bilgi Sistemleri Koordinatörü /
Başkan Yavuz TOSUN
Bilgi Güvenliği Yetkilisi Tahsin ÇAĞLAYAN Kurumsal SOME Ekip Lideri Muhammet KÖLEMEN Kurumsal SOME Analist Suat AKTAŞ
Üye (Fiziksel Güvenlik) İbrahim Eray ÇALAP Üye (İnsan Kaynakları) Özgül ERTAN
Üye (İnsan Kaynakları) Atıf UZUN
Üye (Kalite) Okan Oğuz İLHAN
Üye (Bilgi İşlem / Sekreterya) Safinaz GÖZEN
BGYS Komisyon Görev, Yetki ve Sorumlulukları
•İl düzeyindeki Bilgi Güvenliği Politika ve stratejilerini belirler; Sağlık Bakanlığı BGYS yönergesi ve BG Politikaları Kılavuzu çerçevesinde, İl Sağlık Müdürlüğü ve bağlı sağlık tesisleri bünyesinde uygulanacak BGYS’ye yönelik çalışmaları koordine eder
•İl Bilgi güvenliği yetkilisinin belirler ve görevlendirmesini yapar.
•Bakanlık tarafından yayımlanan Kurumsal SOME Kurulum ve Yönetim Rehberi’nde belirtilen esaslar çerçevesinde Kurumsal SOME’sini kurar ve işletilmesini sağlar. Kurumsal SOME Ekip Lideri görevlendirmesini yapar.
•BG politikalarının uygulanmasını ve uygulanmadaki etkinliğini gözden geçirir.
•BG faaliyetlerinin yürütülmesini yönlendirir.
•BG eğitim ve farkındalığının sağlanması için plan ve program yapar.
•Yürütülen çalışmaların tabana yayılması hususunda planlanan çalışmalara katılır, bağlı oldukları birimlerde bu çalışmaların yayılmasına öncülük eder.
BİLGİ GÜVENLİĞİ ORGANİZASYONU
Bağlı Sağlık Tesislerinde Bilgi Güvenliği Organizasyonu
Sağlık Tesisi Bilgi Güvenliği Ekibi
•Başhekim veya Yardımcısı
•İdari Mali Hizmetler Müdürü veya Yardımcısı
•Bilgi İşlem Sorumlusu
•Personel Birim Sorumlusu
•…•…
•…
Denizli DH Servergazi DH
Denizli ADSH Acıpayam DH
Buldan GHH Çivril DH
TavasDH
Sağlık Tesisi Bilgi Güvenliği Yetkilisi Belirlenir.
Sağlık Tesisi Bilgi Güvenliği Yetkilisi
Diğer Sağ lık Te
sisleri
Görevi
İl Bilgi Güvenliği Komisyonunun aldığı kararları ve yürüteceği faaliyetleri kendi sağlık tesislerinde takibi, yürütülmesi ve koordinasyonu
İNSAN
KAYNAKLARI
İşe Başlayış
• Müdürlüğümüz BGYS Politikası Tebliğ edilmelidir.
• İşe başlamadan önce 657 sayılı kanuna tabi personellere “Bilgi Güvenlği Farkındalık Bildirgesi”
imzalatılır, diğer tüm personel ve yükleniciler ile “Personel ve/veya Kurumsal Gizlilik Sözleşmesi”
imzalanır.
• Göreve başlayan personele Oryantasyon, Bilgi Güvenliği ve Sosyal Mühendislik zafiyetleri konularında eğitim verilmelidir.
• Göreve başlayan personelce, İnsan Kaynakları Biriminden alacağı “İşe Başlama Formu” eksiksiz olarak doldurulması gerekmektedir.
• Göreve başlayan personele kullanacağı bilgi sistemlerine yönelik ihtiyacı kadar yetkili kullanıcı tanımlanmalıdır.
• Göreve başlayan personele EBYS tanımlanacak ise ilgili personele saglik.gov.tr uzantılı kurumsal posta adresi temin edilmelidir. İl içi kurum/birim değişikliklerinde kurum EBYS sorumlusu İl EBYS sorumluları ile iletişime geçerek gerekli olan değişiklikleri yaptırmalıdır.
• Göreve başlayan personele kimlik ve/veya yaka kartı düzenlenmelidir.
Çalışma Esnasında
• Tüm çalışanlar için yılda en az 1 kez “Bilgi Güvenliği Farkındalık Eğitimi” programları hazırlanır ve uygulanır
• Çalışan personele ait iş dosyaları kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
• Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir.
• Bilgisayar ekranında kişisel bilgi içeren bir işlem yapıldığında(izin kâğıdı gibi) ekranda bulunan kişisel bilgilerin bilgi sahibi dışında diğer kişi veya kişilerce görülmesi
engellenmelidir.
• İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinesinde imha edilmelidir.
• Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır.
Görev Değişikliği ve İşten Ayrılışta
• İşten ayrılan veya Görev değişikliği yapılan personel üzerindeki görev ve evrakları birim
sorumlusunun belirlediği personele devrettiğine dair “Görev Devir-Teslim Formunu” doldurup birim sorumlusuna teslim etmelidir.
• İşten ayrılan/Görev değişikliği yapılan personelin eski görev yeri ile ilgili bilgi sistemlerine yönelik kullanıcı ve/veya yetkileri iptal edilmeli ve yeni görev yerinde kullanacağı bilgi sistemlerine yönelik yetkili kullanıcılar tanımlanmalıdır.
• Yeni görevi ile ilgili Oryantasyon eğitim verilmelidir.
• İşten ayrılan/Görev değişikliği yapılan personel, görevi esnasında edinmiş olduğu bilgileri, görev yeri değişmesi veya ayrılması durumunda dahi sır olarak saklamaktan ve hiçbir şekilde yetkisiz olarak ifşa etmemekten sorumludur. Sır saklama yükümlülüğü süresizdir.
• Görevden ayrılan personel, “İşten Ayrılma Formunu” ilgili birimlerle ilişkisinin kalmadığına dair birim sorumlularına imzalatarak eksiksiz olarak doldurup bağlı bulunduğu İnsan Kaynakları Birimine teslim etmelidir.
• Görevden ayrılan personel, yaka kimlik kartı, giriş ve otopark kartlarını idareye teslim etmelidir.
Bilgi Güvenliği Farkındalık Bildirgesi/Gizlilik Söz.
• Kuruma ait gizli kalması gereken bilgileri, yasal zorunluluklar ve Kurum tarafından resmi olarak izin verilmesi halleri dışında süresiz olarak korunması, ve bunları üçüncü kişilere inceletmemek, söylememek, iletmemek ve
açıklamamakla yükümlü olduğu,
• Bu yükümlülüğün Kurum ile ilişkinin sona ermesi halinde de devam ettiği,
• Bilgisayar ve/veya kullanılan yazılımlar giriş için verilen "kullanıcı adı" ve "parola”yı bir başkası ile paylaşmaması ve bir başkasına kullandırmaması gerektiği,
• Bu kullanıcı adı ve parola kullanılarak yapılan iş ve işlemlerden sorumlu tutulacağı,
• Kurum tarafından sağlanan İnternet üzerinden girilen ve girilemeyen tüm siteler ve adreslerin, sistem tarafından gerekli olduğunda kullanılmak üzere kayıt altına alındığını,
• İşin gerektirdiği haller dışında kurumsal e-posta hesabını kullanmaması,
• Bilgisayara Kurum tarafından yüklenmiş işletim sistemi ve uygulama yazılımları dışında herhangi bir işletim sistemi veya lisanssız yazılım yüklenmemesi,
• ….
• taahhüt eder, bu taahhütleri yerine getirmeme veya kasıtlı olarak taahhütleri ihlal etmesi hâlinde; Kurum açısından oluşacak zararı karşılayacağı, mali, cezai ve hukuki tüm sorumlulukların kendisine ait olduğunu beyan ve kabul eder.
Gizlilik Sözleşmesi/Farkındalık
Bildirgesi
Gizlilik Sözleşmesi/Farkındalık
Bildirgesi
Uzaktan Erişim Kuralları
• İnternet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar SSL VPN teknolojisini kullanmalıdırlar. SSL VPN Kullanıcısı Müdürlüğümüz Bilgi İşlem Biriminden talep edilecektir.
• SSL VPN bağlantılarına ilişkin kayıtlar müdürlüğümüz loglama sisteminde loglanmaktadır.
• SSL VPN Kullanıcısı bağlantı bilgilerini hiç kimse ile paylaşmamalıdır.
• Uzak bağlantı yazılımı olarak mümkün ise “Microsoft Uzak Bağlantı Programı” kullanılır. Microsoft işletim sistemi dışında bir başka bilgisayara erişim yapılıyorsa aynı güvenlik özelliklerini sağlayan, lisanslı ve/veya açık kaynak kodlu, güvenilir bir erişim programının kullanılması tercih edilir.
• Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların bilgileri Müdürlüğümüz Bilgi İşlem birimine ivedilikle bildirilmelidir.
• Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantıyı herkese açık güvenli olmayan alanlarda(kafeler, lokantalar, oteller vb.) yapmamalıdır.
• Ayrıca sahibi bilinmeyen/herkes tarafından erişilebilen cihazlar(internet kafe, otel bilgisayarları, kiosklar vb.) kullanılmamalıdır.
Uzaktan Erişim Kuralları
• Uzak çalışma için kullanılacak cihaz ve ortamlarda asgari olarak;
• İşletim sistemi güncel, Güvenlik duvarı aktif halde olmalıdır.
• Virüs, fidye yazılımları, truva atları ve benzeri zararlı yazılımlardan korunmak için uygun lisanslı bir koruma yazılımı olmalı ve güncel tutulmalıdır.
• Cihazın üzerinde yer alan ve kullanılmayan ağ özellikleri (WİFİ, bluetooth, RS232 vb.) pasif hale getirilir.
• Disk şifreleme vb. araçlarla bilgisayarlarda tutulan verilerin şifreli olarak saklanması sağlanır. Disk şifreleme işlemleri için https://bilgiguvenligi.saglik.gov.tr/ adresinde yayımlanan sürücü şifreleme el kitaplarından yararlanılır.
• Mobil cihazlara yüklenecek uygulamalar, ilgili işletim sistemi üreticisi tarafından sağlanan uygulama mağazalarından (AppStore, PlayStore vb.) indirilir
SON KULLANICI
GÜVENLİĞİ
Ekipman Güvenliği
Belli başlı temiz masa kuralları
Yazıcı Kullanımı
• Gizli bilgi içeren dokümanların çıktıları alınırken,
• Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında)
• Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir.
• Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır.
• Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı
Taşınabilir Medya Kullanımı(CD/DVD, USB vb. )
• Taşınabilir cihazlardaki bilgileri üçüncü taraflarla paylaşımında da gerektiği kadar bilgi verme prensibi göz önünde bulundurulmalıdır.
• ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL veriler, taşınabilir ortamda saklanamaz. Özellikle bu tür ortamlarda saklama zorunluluğu var ise şifreli olarak saklanır.
• Gizlilik derecesi taşıyan kurumsal verilerin saklandığı medya ortamları, kişisel (şahsın kendisine ait) bilgisayarlarda kullanılamaz.
• Elektronik medya da dâhil tüm taşınabilir ortamlar, kullanılmadığı zamanlarda içinde bulunan verilerin gizlilik derecesi dikkate alınarak fiziki güvenlik tedbirleri alınmış kasa, dolap, çekmece gibi ortamlarda saklanmalıdır.
• Bir bilgi sadece taşınabilir medya ortamında saklanıyorsa, bozulma/kaybolma gibi ihtimallere karşı bir başka medya ortamında da yedeklenmelidir.
• Taşınabilir ortamların bir yerden başka yere taşınması esnasında yetkisiz erişim, kötüye kullanım ve bozulmaya karşı gerekli önlemler alınmalıdır.
Taşınabilir Medya Kullanımı(CD/DVD, USB vb. )
Nerelerde Parola Olmalı??
Bilgisayar Girişi
Ekran Koruyucu
E-Posta Girişleri
İnternet Bankacılığı
Online Alışveriş Siteleri
…
Akıllı Telefonlar, Tablet
Taşınabilir Bellekler
Otomasyon Programları
Web Yazılımlar
…
2018 En Kötü Parolaları
1. 123456 2. Password 3. 123456789 4. 12345678 5. 12345 6. 1111 7. 1234567 8. Sunshine 9. Qwerty 10. iloveyou
11. princess 12. admin 13. welcome 14. 6666
15. abc123 16. football 17. 123123 18. monkey 19. 654321
20. !@#$%^&*
Parola Politikası
• Kullanıcılar, parolalarını Müdürlüğümüz BGYS Parola Politikası uyarınca oluşturur ve kullanır. Kısaca;
• En az 8 (sekiz) karakter, en az 1 büyük ve en az 1 küçük harf, en az 1 rakam, en az 1 Özel Karakter((@, !,?,A,+,$,#,&,/,{,*,-,],= vb.)
• Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb vb.)
• Parolalar, en geç 6 aya bir değiştirilmelidir.
• Parolalar, e-Posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
• İnternet tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki
"parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalıdır.
Parola Güvenliği
Parolanız size özeldir. Başkaları ile paylaşılmamalıdır.
Parolanız çoraplarınız gibidir, sık sık değiştirilmelidir.
Parola Güvenliği
Güçlü Parola Yöntemleri
https://bilgiguvenligi.saglik.gov.tr/Home/Yarar
liKaynaklar
Kişisel Olarak Alınabilecek En Kolay ve En Etkili Yöntem
•GÜVENLİ PAROLA OLUŞTURMAKTIR
E-Posta Güvenliği
• Tüm personel, görevleri gereği yürütülen kurumsal iş ve işlemlerde, “*@saglik.gov.tr”
uzantılı kurumsal veya tüzel e-Posta hesabı kullanmalı
• KVKK tarafından 6698 sayılı Kanunda yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-Posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-Posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması kanuni zorunluluktur.
• ÇKYS kaydı bağlı tüm kamu personeli, https://eposta.saglik.gov.tr adresinden kurumsal e-Posta hesabı açabilir.
• Çeşitli sözleşmeler kapsamında Müdürlüğümüz ve Bağlı Sağlık Tesislerinde görev yapan ve yaptıkları iş gereği e-Posta hesabı olması gereken personele, sıralı yöneticileri
tarafından onay verilmesi halinde resmi yazıyla Sağlık Bilgi Sistemleri Genel Müdürlüğü’nden kurumsal e-Posta hesabı talebi yapılabilir.
E-Posta Güvenliği
• Kullanıcılar, kendilerine tahsis edilen e-Posta hesabını bir başka kişiye kullandıramaz veya devredemez.
• Kullanıcılar, parolalarını Müdürlüğümüz BGYS Parola Politikası uyarınca oluşturur ve kullanır.
• Kurumsal e-Posta hesaplarının, idari ve hukuki düzenlemelere aykırı ya da şahsi iş ve işlemlere ilişkin kullanımından kaynaklanan her türlü adli, idari, mali ve cezai sorumluluk ilgili hesap kullanıcısına aittir.
• Kullanıcı hesapları, doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-Posta gönderilemez.
• Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.
E-Posta Güvenliği
• e-Posta gönderimlerinde, mesajın en alt kısmına gönderen kişinin kimlik ve iletişim bilgileri yazılır.
• E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir.
• Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
• Tanınmayan elektronik postaların açılması, eklentilerinde bulunan dosya veya programların
indirilip çalıştırılmasından kaynaklanabilecek güvenlik sorunlarının sorumluluğu kullanıcıya aittir.
• Spam, zincir, sahte vb. zararlı olduğu düşünülen e-Postalara yanıt verilmez ve başkalarına SPAM, phishing mesajlar göndermek için kullanılamaz.
• Kaynağı bilinmeyen e-Posta ekinde gelen dosyalar kesinlikle açılmaz.
• Kurum ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için
gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
E-Posta Saldırı Yöntemleri
•İstenmeyen e-posta(spam)
•Oltalama, yemleme yada taklit e-posta(phishing)
•Aldatmaca e-posta(hoax)
İstenmeyen e-posta (spam)
• Bir e-postanın talepte bulunmamış, birçok kişiye birden, zorla gönderilmesi durumunda, bu e-postaya istenmeyen e-posta denir. Bu e- postaların içeriği genelde ticari (“UCE”) oluyor olsa da, ticari olmayanları (“UBE”) da vardır.
• Bir e-postanın talepte bulunmamış, birçok kişiye birden, zorla gönderilmesi durumunda, bu e-postaya istenmeyen e-posta denir. Bu e- postaların içeriği genelde ticari (“UCE”) oluyor olsa da, ticari olmayanları (“UBE”) da vardır.
• istenmeyen e-posta göndericiler, web sitelerinden, müşteri listelerinden, haber gruplarından, sosyal medya sitelerinden vb.
e-posta adresi toplarlar. Toplam e-postaların %75 ile %85’ini bu tarz e-postalar oluşturur. http://www.spamrankings.net
• istenmeyen e-posta göndericiler, web sitelerinden, müşteri listelerinden, haber gruplarından, sosyal medya sitelerinden vb.
e-posta adresi toplarlar. Toplam e-postaların %75 ile %85’ini bu tarz e-postalar oluşturur. http://www.spamrankings.net
İstenmeyen e-posta (spam) Nasıl Korunulur?
• E-posta adresini herkese açık yerlerde yayınlamamak. Açıktan yayınlamak gerekirse, adresi maskeleyerek yayınlamak
• E-posta adresini herkese açık yerlerde yayınlamamak. Açıktan yayınlamak gerekirse, adresi maskeleyerek yayınlamak
• Birden çok kişiye veya bir gruba e-posta gönderirken kişilerin e- posta adreslerini gizli karbon kopya (BCC) bölümüne yazmak.
• Birden çok kişiye veya bir gruba e-posta gönderirken kişilerin e- posta adreslerini gizli karbon kopya (BCC) bölümüne yazmak.
• Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek.
• Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek.
• İstenmeyen e-postalara hiç bir şekilde cevap yazmamak.• İstenmeyen e-postalara hiç bir şekilde cevap yazmamak.
• Kullanım amacına göre farklı e-posta adresleri kullanmak.• Kullanım amacına göre farklı e-posta adresleri kullanmak.
Oltalama, yemleme yada taklit e- posta(phishing)
• Kimlik bilgilerini çalmak amacı ile, istenmeyen e-posta veya açılır pencere yoluyla yapılan bir aldatma yöntemidir.
• Kimlik bilgilerini çalmak amacı ile, istenmeyen e-posta veya açılır pencere yoluyla yapılan bir aldatma yöntemidir.
• Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e-postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs…) ele geçirmeye çalışır..
• Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e-postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs…) ele geçirmeye çalışır..
Oltalama, yemleme yada taklit e-
posta(phishing)
Nasıl Korunulur?
• Kişisel ve mali bilgilerini tanıdığın kişiler dâhil hiç kimseye e-posta yoluyla göndermemek.
• Kişisel ve mali bilgilerini tanıdığın kişiler dâhil hiç kimseye e-posta yoluyla göndermemek.
• E-posta mesajlarındaki internet bağlantılarına tıklamamak.• E-posta mesajlarındaki internet bağlantılarına tıklamamak.
• Düzenli olarak kredi kart hesap özeti, banka bildirimleri gibi bilgilendirme dokümanlarını gözden geçirmek.
• Düzenli olarak kredi kart hesap özeti, banka bildirimleri gibi bilgilendirme dokümanlarını gözden geçirmek.
• Zararlı programlara karşı korunma programları (Anti-virus, anti- spyware, güvenlik duvarı) gibi güvenlik yazılımları kullanmak ve bu programları sık sık güncellemek.
• Zararlı programlara karşı korunma programları (Anti-virus, anti- spyware, güvenlik duvarı) gibi güvenlik yazılımları kullanmak ve bu programları sık sık güncellemek.
Aldatmaca e-posta(hoax)
• Gelen e-postayı başkalarına göndermeni ya da herhangi başka bir eylemde bulunmanı sağlamak amacı ile, içinde aldatmaya ve kandırmaya yönelik ilginç bir konu (ölümcül hastalık, hediye, acil haber, uyarı, komplo teorisi) geçen e- postalardır.
• Gelen e-postayı başkalarına göndermeni ya da herhangi başka bir eylemde bulunmanı sağlamak amacı ile, içinde aldatmaya ve kandırmaya yönelik ilginç bir konu (ölümcül hastalık, hediye, acil haber, uyarı, komplo teorisi) geçen e- postalardır.
Örneğin;
"... havayolunun bu mesajı yolladığınız her 5 kişi için size bedava bir uçuş bileti sağlayacağı" gibi bir mesaj.
Örneğin;
"... havayolunun bu mesajı yolladığınız her 5 kişi için size bedava bir uçuş bileti sağlayacağı" gibi bir mesaj.
Aldatmaca e-posta(hoax) Nasıl Tanınır?
• Mesajın sonunda ad soyad belirtilmemiş ise veya verilen ismi araştırdığınızda anlatılanlara uyan somut bilgi bulunamıyorsa.
• Mesajın sonunda ad soyad belirtilmemiş ise veya verilen ismi araştırdığınızda anlatılanlara uyan somut bilgi bulunamıyorsa.
İçerisinde şu şekilde ifadeler geçiyorsa;
'Bu e-postayı bütün tanıdıklarına gönder'
'Anlatılanlar aldatmaca değildir' veya 'bu bir şehir efsanesi değildir' İçerisinde şu şekilde ifadeler geçiyorsa;
'Bu e-postayı bütün tanıdıklarına gönder'
'Anlatılanlar aldatmaca değildir' veya 'bu bir şehir efsanesi değildir'
• Sıklıkla büyük harfle yazılmış kelimeler ve birden çok ünlem işareti (!!!) birlikte kullanılıyorsa.
• Sıklıkla büyük harfle yazılmış kelimeler ve birden çok ünlem işareti (!!!) birlikte kullanılıyorsa.
• Size ulaşana kadar birçok defa başkalarına iletildiğini (forward) gösteren adres listeleri varsa.
• Size ulaşana kadar birçok defa başkalarına iletildiğini (forward) gösteren adres listeleri varsa.
E-Posta Abonelik İptal Linklerinin Tehlikeleri
Genellikle e-posta sonlarında bulunan "abonelikten çık, aboneliği iptal et, üyelikten ayrıl" gibi linkler, kullanıcılara sanki o mesajların tekrar gelmeyeceğini sağlayan bir kurtulma aracı olarak görünür!
Genellikle e-posta sonlarında bulunan "abonelikten çık, aboneliği iptal et, üyelikten ayrıl" gibi linkler, kullanıcılara sanki o mesajların tekrar gelmeyeceğini sağlayan bir kurtulma aracı olarak görünür!
• Gerçek bir aboneye dönüşüyorsunuz.
• Kötücül içerik yayan sitelere
yönlendirilirsiniz.
• Açılır açılmaz doğrudan casus yazılım bulaştıran kaynaklara
yönlendirilebilirsiniz.
• Gerçek bir aboneye dönüşüyorsunuz.
• Kötücül içerik yayan sitelere
yönlendirilirsiniz.
• Açılır açılmaz doğrudan casus yazılım bulaştıran kaynaklara
yönlendirilebilirsiniz.
TTNet Fatura maili ile gelen Cryptolocker Virüsü
1- Saldırgan ttnet-fatura.com ya da ttnet-fatura.info gibi adreslerle size sözde faturasını gönderiyor. 1- Saldırgan ttnet-fatura.com ya da ttnet-fatura.info gibi adreslerle size sözde faturasını gönderiyor.
2- Siz tıklayıp indirdikten sonra indirdiğiniz dosyaya çift tıklarsanız bilgisayarınızda ki klasörlerin içerikleri şifreleniyor.
2- Siz tıklayıp indirdikten sonra indirdiğiniz dosyaya çift tıklarsanız bilgisayarınızda ki klasörlerin içerikleri şifreleniyor.
4- Artık şifrenizi geri alabilmeniz için kötü niyetli arkadaşın talepleri ile karşı karşıya kalıyorsunuz.
4- Artık şifrenizi geri alabilmeniz için kötü niyetli arkadaşın talepleri ile karşı karşıya kalıyorsunuz.
3- Tüm klasörlerin içinde “SIFRE_COZME _TALIMATI.html” isimli bir dosya oluşuyor
3- Tüm klasörlerin içinde “SIFRE_COZME _TALIMATI.html” isimli bir dosya oluşuyor
SONUÇ OLARAK;
İsterseniz istediği ücreti verip yine insafına kalan şifre çözücüyü size vermesini beklersiniz, isterseniz boş ver dosyaları diyerek format atarsınız bilgisayarınıza.
SONUÇ OLARAK;
İsterseniz istediği ücreti verip yine insafına kalan şifre çözücüyü size vermesini beklersiniz, isterseniz boş ver dosyaları diyerek format atarsınız bilgisayarınıza.
TTNet Fatura maili ile gelen
Cryptolocker Virüsü
Zararlı Yazılımlar
• Virüs,
• Solucan,
• Casus Yazılım,
• Reklam
Yazılımı(Adware),
• Truva Atı(Trojen),
• Bootnetler,
• Fidye Yazılımı,
• …
• Virüs,
• Solucan,
• Casus Yazılım,
• Reklam
Yazılımı(Adware),
• Truva Atı(Trojen),
• Bootnetler,
• Fidye Yazılımı,
• …
Zararlı Yazılımlar
Solucan: Bağımsız, kendi kendine çoğalabilen, ağda bir bilgisayardan diğerine yayılma yollarını araştıran ve yayılan bir programdır. Saniyeler içinde milyonlarca bilgisayara bulaşabilir. Worm, Stuxnet, Blaster, Duqu.
Solucan: Bağımsız, kendi kendine
çoğalabilen, ağda bir bilgisayardan diğerine yayılma yollarını araştıran ve yayılan bir programdır. Saniyeler içinde milyonlarca bilgisayara bulaşabilir. Worm, Stuxnet, Blaster, Duqu.
Virüs: uygulamalara zarar vermek, dosyaları silmek gibi çeşitli şekillerde bilgisayarlara zarar verir. Bazıları ise zarar vermektense, sadece sistem içinde çoğalmak, sistemi yavaşlatmak için programlanmışlardır.
Virüs: uygulamalara zarar vermek, dosyaları silmek gibi çeşitli şekillerde bilgisayarlara zarar verir. Bazıları ise zarar vermektense, sadece sistem içinde çoğalmak, sistemi yavaşlatmak için programlanmışlardır.
Casus Yazılım: Sadece kişisel bilgileri ele geçirmek için tasarlanmışlardır.
Bilgisayarlarda yer alan bilgileri karşı tarafa gönderen bu casus yazılımlar, keylogger gibi klavye hareketlerini takip edebilirler.
Casus Yazılım: Sadece kişisel bilgileri ele geçirmek için tasarlanmışlardır.
Bilgisayarlarda yer alan bilgileri karşı tarafa gönderen bu casus yazılımlar, keylogger gibi klavye hareketlerini takip edebilirler.
Zararlı Yazılımlar
Truva Atı(Trojen): Normalde yararlı bir program gibi gözüken, ancak gizli bir şekilde, yerleştiği bilgisayara zarar vermeye yönelik olarak kullanılan programlardır.
Truva Atı(Trojen): Normalde yararlı bir program gibi gözüken, ancak gizli bir şekilde, yerleştiği bilgisayara zarar vermeye yönelik olarak kullanılan programlardır.
Reklam Yazılımı(Adware): Hakkınızdaki pazarlama verilerini toplamak amacıyla tasarlanmış programlara verilen genel adıdır.
Reklam Yazılımı(Adware): Hakkınızdaki pazarlama verilerini toplamak amacıyla tasarlanmış programlara verilen genel adıdır.
Botnet: Bilgisayarı bir bot’a (zombi olarak da bilinir) çeviren kötü amaçlı yazılımlardır.
Böyle bir durumda bilgisayarlar, kullanıcıların bilgisi dışında internet üzerinden otomatik görevleri gerçekleştirebilir.
Botnet: Bilgisayarı bir bot’a (zombi olarak da bilinir) çeviren kötü amaçlı yazılımlardır.
Böyle bir durumda bilgisayarlar, kullanıcıların bilgisi dışında internet üzerinden otomatik görevleri gerçekleştirebilir.
Zararlı Yazılımlar
Fidye Yazılımı: Fidye yazılımı saldırılarında çoğunlukla aynı rutin yöntem kullanılır. Önce bilgisayar korsanları tarafından kullanıcının ilgisini çekecek bir bağlantı veya dosya içeren e-posta gönderilir. Merak edip bu bağlantıya tıklayan ya da dosyayı indiren kullanıcının bilgisayarına zararlı yazılımlar bulaşır. Çoğu zaman kullanıcı, bilgisayarı ya da dosyaları kilitlenene kadar zararlı yazılımların bulaştığını anlayamaz
Fidye Yazılımı: Fidye yazılımı saldırılarında çoğunlukla aynı rutin yöntem kullanılır. Önce bilgisayar korsanları tarafından kullanıcının ilgisini çekecek bir bağlantı veya dosya içeren e-posta gönderilir. Merak edip bu bağlantıya tıklayan ya da dosyayı indiren kullanıcının bilgisayarına zararlı yazılımlar bulaşır. Çoğu zaman kullanıcı, bilgisayarı ya da dosyaları kilitlenene kadar zararlı yazılımların bulaştığını anlayamaz
Zararlı Yazılımlardan Korunma Yöntemleri
• Mutlaka Lisanslı yazılımlar kullanılmalı, korsan yazılımlar
kullanılmamalıdır.(2008/17 Sayılı Lisanslı Yazılım Kullanılması Genelgesi)
• Tüm yazılımlar güncel tutulmalıdır.
• Güçlü parolalar kullanılmalı ve gizlilik sağlanmalıdır.
• Güvenilir olmayan, özellikle halka açık kullanımı olan bilgisayarlarda kişisel parolalar girilmemelidir.
• Güvenlik duvarı, geçici olarak bile olsa asla kapatılmamalıdır. Güvenlik duvarı, bilgisayar ile internet arasına koruyucu bir engel koyar.
Zararlı Yazılımlardan Korunma Yöntemleri
• Bilinmeyen kişilerden gelen postaların ekleri açılmamalı veya antivirüs taramasından geçirilmelidir.
• Dosya indirilmesini isteyen pencerelere itibar edilmemelidir.
• Bilgisayarda oturum açmak için kullanılacak hesap, yönetici ayrıcalıklarına sahip olmamalıdır.
• E-devlet gibi uygulama ve portalları kullanılırken bağlantı adreslerinde bulunan güvenlik simgeleri kontrol edilmelidir. Adres satırı
incelenerek doğru siteye bağlanıldığından emin olunmalıdır.
Bilgi Güvenliği İhlal Bildirimi ve Olay Yönetimi
• Sağlık Bakanlığı uygulamaları ile ilgili her türlü bilgi güvenliği ihlal olayı
“https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir” adresinde yer alan merkezi ihlal bildirim sistemine girilir.
• Olay bildirim sistemini kullanamayacak durumda olanlar kendi kurumlarındaki bilgi güvenliği yetkililerine bildirim yapabilir. Bu bildirimler, bilgi güvenliği yetkilisince merkezi ihlal bildirim sistemine girilir.
• Küçük çaplı, yalnızca kendi kurumunu ilgilendiren ve Sağlık Tesisi Bilgi Güvenliği
Yetkilisi kendi imkânları ile yerel olarak çözülebilecek olaylarda “OLAY BİLDİRİM VE MÜDAHALE FORMU” doldurulur. Bu tür olaylarda Sağlık Tesisi Bilgi Güvenliği
Yetkilisince veya bilgi işlem personeli tarafından gerekli müdahale yapılır. Müdahale sonrası aynı formun 2’nci Bölümünü (Olay Müdahale) doldurulur ve İl Bilgi Güvenliği Yetkilisine bilgi verilir.
