Ana Sayfa » Ürünler » Genel Bakış...
Genel Bakış
O-KEY DONGLE
O-KEY SECUREACCESS
O-KEY IDENTITY
O-KEY SECUREFLASH
O-KEY SECURECD
Hakkımızda
Destek Merkezi
Bülten Üyeliği
 
Genel Bakış
Bu içeriği Değerlendirin :    Değerlendirmeniz için teşekkür ederiz.   

Bir çok kurumumuzda bilgi güvenliği ile ilgili çok yanlış varsayımlar üzerine sistem kurulmaktadır.

1. Biz kurumumuz için firewall ve antivirüs yazılım satın aldık, bizim sistemimiz güvenli.

2. Bizim sistemimiz internete açık değil.

3. Biz personelimize güveniyoruz.

4. Bugüne kadar herhangi bir saldırı olmadı, bize kim neden saldırsın?

 

Bilgi Nedir?

Bilgi;

Kişi, kurum ve kuruluşlar için değerli bir varlıktır.

 

 

Kurumsal bilgi;

Kurum içinde üretilen veya kuruma dışarıdan gelen, o kurumla ilgili kayıtlı ya da kayıtsız her türlü bilgiyi ifade etmektedir.

• Her değerli varlık gibi bilginin de korunması gerekmektedir.

• Her bilgi değeri kadar korunmalıdır.

Bilgi Güvenliği Nedir?

Bilgi güvenliği; Bilginin izinsiz kullanıcılar tarafından çalınmasını, kullanılmasını ya da değiştirilmesini engellemektir.

Bilgi Güvenliği Bileşenleri;

  • Kimlik Doğrulama (Authentication)
  • Gizlilik (Data Confidentiality)
  • Doğruluk-Bütünlük (Data Integrity)
  • İnkar edilememe (Non-repudiation)
  • Erişilebilirlik (Availability)
  • Erişim Denetimi (Access Control)

 

Bilgi Güvenliğinin Önemi

 

 

  • Kurumların yatırımları ?
  • Meydana gelebilecek zararlar !
  • Hızla artan bilgi trafiği, yoğunluk.
  • Gelişen saldırı teknikleri.
  • Erişim imkanlarının artması
  • Saldırırının nereden gelebileceğinin bilinememesi

 

Saldırı Tipleri ve Riskler Nelerdir?

 

 

Dinleme

Saldırgan siz fark etmeden hattı dinleyebilir, ele geçirdiği kimlik bilgisiyle sistemde oturum açıp verilerin bir kopyasını çıkartabilir. Örneğin belediyenin sistemine giren bir saldırgan imar planlarını ele geçirip kendisine rant sağlayabilir.

Kesme

Saldırgan sistemin çalışmasını durdurmak amaçlı saldırıda bulunabilir, burada amaç genellikle maddi zarar vermektir. Propaganda amaçlı da kullanılan bu saldırı yöntemi, herhangi bir oluşumun sesini duyurmak için sıkça kullandığı yöntemlerden biridir, fakat profesyonel saldırganlar genellikle sistemde bulundukları sürece iz bırakmadan çalışırlar, ne zaman ki amaçlarına ulaşıp işlerini bitirdiklerinde sistemden çıkarken böyle bir saldırı yaparak ayrılırlar.

Değiştirme

Saldırgan ele geçirdiği kimlik bilgisiyle sisteme girerek çeşitli veriler üzerinde değişiklik yapabilir. Örneğin bir öğrenci sistemdeki notları değiştirebilir, kötü amaçlı birisi tapu kayıtlarını değiştirebilir, vb. Bu saldırı tipi çok tehlikelidir, yapılan değişikliklerin sezilmesi ve anlaşılması çok zordur, sisteme bir saldırı olduğunun anlaşılması çok geç olursa kurtarmak neredeyse imkansızlaşır. Örneğin kötü amaçlı birilerinin bir şehrin tapu kayıtlarına girerek 10000 kişinin kayıtlarını çapraz değiştirse ve bu işlem 2 yıl sonra ortaya çıksa, yaratacağı olumsuz etkileri telafi etmek çok zor olacaktır.

Üretme

Saldırgan ele geçirdiği kimlik bilgisiyle siteme girerek yeni veriler üretebilir. Sosyal güvenlik sistemine giren bir saldırgan bir hastayı hayali olarak doktora gönderebilir, onun adına reçete düzenleyerek ilaç temin ederek rant sağlayabilir.

 Saldırı Tipi

Motivasyon

Hedef

Yöntem

Siber Terör

Politik değişiklikler

Masum kullanıcılar

Bilgisayar tabanlı şiddet ve yıkım

Hactivisim

Politik değişiklikler

Karar vericiler

Saldırı

Cracking

Ego, Kişisel düşmanlık

Sahıslar, Firmalar, Devletler

Saldırı, Açıklık kullanımı (Alenen yapılabilmektedir)

Siber Suç

Ekonomik fayda

Şahıslar, Firmalar

Sahtekarlık, Kimlik çalma, Şantaj, Saldırı, Açıklık kullanımı

Siber Casusluk

Ekonomik fayda

Sahıslar, Firmalar, Devletler

Saldırı, Açıklık kullanımı (Nadiren alenen yapılmaktadır)

Devletler Seviyesinde Bilgi Savaşları (Siber Savaş)

Politik veya askeri fayda

Altyapı, bileşenler

Askeri saldırı, Açıklık kullanımı, Fiziksel saldırılar

 

 

Kimlik Doğrulama Tehditleri

Kimlik doğrulama saldırıları, web sitesinin kullanıcı, servis veya uygulama kimliğini doğrulayan sistemleri hedef alan tehditleri kapsar.

Yetkisiz Erişim Tehditleri

Yetkilendirme saldırıları, bir web uygulamasının kullanıcı, servis veya uygulamanın istenen bir işlemi gerçekleştirmesi için gereken izinleri belirlemek için kullanılan yöntemleri hedef almaktadır.

 

Kurumları Bekleyen Tehlikeler Nelerdir?

Ülkemiz İçin Bilgi ve İletişim Sistemleri İle İlişkili Risk Unsurları *

• Kamu kurumlarının ve özel kurumların birçoğunun sundukları hizmetleri İnternet üzerinden vermesi

• Kritik bilgi ve iletişim sistem altyapılarının birçoğunun İnternet’e bağlı olması

• Bilgi ve iletişim sistemlerinin sıklıkla güncellenmesi

• Bilgi ve iletişim sistemlerini kritik hizmetlerde kullanmak amacıyla hızla teknolojik projeler geliştirilmesi

• Kamu kurumlarının bilgi teknolojileri aracılığıyla verdiği hizmetlerin geniş halk kitlelerini etkilemesi

Tehdit ve Açıklar *

• Bilgi ve iletişim sistemleri güvenliği konusunda kurumların sadece bilgi işlem bölümlerinin sorumluluğunda görülmesi

• Kurumların üst yönetiminin yeterli düzeyde bilgiye sahip olmaması ve liderlik etmemesi

• Donanım ve yazılım olarak büyük oranda yurtdışına bağımlılık bulunması

• Kamu birim çalışanlarının yeterli bilgi seviyesine sahip olmaması

• Kurumsal ve kişisel planda yeterli bilinç seviyesinin yakalanamamış olması

• Özellikle kamu bilgi işlem birimleri yapılanmasının yetersiz olması

• Güvenliğin, bilgi ve iletişim sistemlerinin önemli bir unsuru olarak ele alınmaması.

İstatistikler *

• Geçtiğimiz yıl internette 127 milyon kişinin kişisel bilgileri çalındı ve kullanıcıların %63’ü aynı şifreyi kullanmaya devam ediyor.

• Milli Eğitim Bakanlığı (İLSİS) web sitesinden 687 bin öğretmenin kimlik bilgileri çalınıp, internette dosya paylaşım sitesi Rapidshare’e yüklendi.(12 Şubat 2009)

• 29 Mart 2009 yerel seçimlerinde Yüksek Seçim Kurulunun bilgi sistemlerine yetkisiz bilgisayarlardan oy girilmesi sonucu sistem çöktü.(İstanbul, İzmir, Hatay, Kütahya vb).

* Kaynaklar

• Ünal TATAR (Uzman Araştırmacı), Siber Savaş ve Sanal Ortam Savunma Politikası, Tübitak UEKAE, www.bilgiguvenligi.org.tr, Haziran 2009

• Cenk Ceylan, Ulusal Güvenliğin Zayıf Halkası E-Devlet, Turkish Forensic, www.bilgiguvenligi.org.tr, Haziran 2009 • Sabah Gazetesi, Küresel İnovasyon Raporu, 18 Ocak 2009

Kimlik Doğrulama Yöntemleri

Tek Faktör

Tek faktörlü kimlik denetiminde sistem sizi başkasının bilmediğini varsaydığı, sizin bildiğiniz bir bilginizle (something you know) tanır. Ancak tek faktörlü kimlik denetimli sistemlerde, kullanıcı ve sistem şifrenin çalındığını anlayamaz, yetkili bir kullanıcın kullanıcı adı ve parolasını öğrenen saldırgan sisteme kolayca girebilir.

İki Faktör

İki faktörlü kimlik denetiminde sistem sizi, bildiğiniz bir şey (something you know) ve sahip olduğunuz bir şey (something you have) ile tanır. Yani sistemde oturum açarken kullanıcı adı ve parolanın yanında bir de oturum anahtarına sahip olmanızı ister. İki faktörlü kimlik denetimi olan sistemlerde bir şekilde kullanıcı adı ve parola çalınsa bile oturum anahtarı olmadan bir işe yaramayacaktır, oturum anahtarı ile birlikte kullanıcı adı ve şifre çalındığında, gerçek kullanıcı kendisi sisteme giriş yapmak istediğinde oturum anahtarının olmadığını farkedecek ve bunu sistem yetkililerine bildirerek kaybedilmiş oturum anahtarının sistemden devre dışı bırakılmasını sağlayabilecektir.

 

 

 


<<Geri
Kullanım Kuralları | Gizlilik Sözleşmesi
Anasayfa   |   Kurumsal  |   Ürünler   |   Satın Al  |   Destek Merkezi   |   İletişim
O-Key Dongle Software Protection Systems Copyright (c) 2005-2010 Okyanus Bilisim Teknolojileri. Tüm Hakları Saklıdır.