Kişiler İçin Bilgi Güvenliği Rehberi
Bilgi, bilindiği üzere herhangi bir kişiyi, sistemi veya oluşumu tamamlayan veri bütünüdür. Bilgi ham ve işlenmiş olmak üzere ikiye ayrılmaktadır. Ham veri kişiyi, sistemi veya oluşumu tam anlamıyla tanımlamazken, işlenmiş veri ise bu kavramları tam anlamıyla tanımlamaktadır. İster ham ister işlenmiş verileri internet ile konuşan bütün sistemlerde güvenliği sağlamak için yerel ve global standartlar ve kanunlar oluşturulmuştur. Bu standart ve kanunlara GDPR (General Data Protection Regulation/Genel Veri Koruma Tüzüğü), ISO/IEC 27001 ve KVKK (Kişisel Verileri Koruma Kurumu) yönetmeliği olan Kişisel Verilerin Korunması Kanunu örnek verilebilir.
Bilgi güvenliği son kullanıcıların bilgilerinin siber alemde korunurluğunu oluşturmaktadır. Kişisel ve kurumsal olarak nitelendirilebilen bilgi güvenliği günün sonunda son kullanıcıların verilerini korumak üzere tasarlanmıştır. Şirketler ticari faaliyetleri için, kurumlar ülke vatandaşlarına veya ziyaretçilerine yerel hizmetleri için kuruluş ve organizasyonlar ise gönüllü hizmetler için son kullanıcı verilerini barındırmaktadır. Bahsi geçen verilerin içerisinde son kullanıcıya ait vatandaşlık bilgileri olan Türkiye Cumhuriyet Kimlik Numarası (TCKN) ve SSN (Social Security Number) bilgileri de yer almaktadır. Son kullanıcının telefon numarası, adres bilgisi, soy ağacı bilgileri, vergi borcu, adli sicil kaydı veya sosyal aktivite bilgileri gibi bilgiler mahremiyeti oluşturan bilgilerdir. TCKN ve SSN bilgileri ile son kullanıcının mahremiyet bilgilerine erişim sağlanabileceğinden bilgi güvenliği kavramı devreye girmektedir. Yukarıda bahsedilen bilgi güvenliği parametrelerini genel itibariyle şirketlerin/kurumların veya kuruluşların göz önünde bulundurması gerekmektedir. Son kullanıcının ise şahsi fiziksel güvenliği ve bilgi güvenliği parametrelerine dikkat edeceği hususlar da yer almaktadır. Sosyal medya hesapları veya sosyal medya konuşmaları bu hususlar içerisinde yer almaktadır. Bu bilgilerin ifşa olması son kullanıcının başkası tarafından profillenmesine, dolayısıyla sosyal mühendislik saldırılarına maruz kalabilmesine olanak sağlar. Günümüzde bilgi güvenliğinin sağlanmaması, siber zorbalık gibi durumlara sebep olabilirken fiziksel özgürlüğe de etki edebilmektedir.
Son kullanıcıların bilgilerinin barındığı sisteme ait güvenlik zafiyetleri haricinde kendilerine ait bilgilerin güvenliği için alması gereken birtakım önlemler söz konusudur. Sistemde bulunan zafiyet haricinde son kullanıcı yapmış olduğu hatalı aktiviteler veya göz ardı ettiği bazı önlemlerden doğacak sorunlardan kendisi sorumludur. Dolayısıyla her kullanıcı aşağıda bahsedilecek başlıklar için kendisi önlem almalı ve bilgi güvenliğini korumalıdır.
Bilgi güvenliği rehberi ise kişilerin veya kurum/kuruluşların son kullanıcıya ait bilgilerin gizliliğini korumak adına oluşturulan ve var olan standartlar ile kanunların baz alınarak oluşturulduğu bir çerçevedir.
1. Güçlü Parola Kullanımı
Teknolojinin gelişmesiyle birlikte kullanıcıların belirlemiş oldukları parolalar güçlü sistemler tarafından kırılabilmektedir. Canlı sistemlerde bruteforce (kaba kuvvet) saldırılarına karşı güvenlik ürünleri bunları algılayabiliyorken, saldırganlar parolaya ait hash bilgilerini elde etmesi halinde kendi ortamlarında bu parolaları kırabilmektedir. Harici olarak kullanılan sistemlerde anomali tespitini yapacak güvenlik ürünleri bulunmuyorsa parolalar, saldırganlar tarafından çeşitli araçlar kullanılarak da kaba kuvvet saldırılarına maruz bırakılabilir. Netice olarak kullanıcıların bu ihtimallere yer vermeden kendi parolalarını aşağıda belirtilen tabloya göre minimum on iki karakterden oluşan ve içerisinde küçük-büyük harf, rakam ve sembollerden oluşan karakterlerden oluşacak şekilde oluşturmaları tavsiye edilmektedir.
Parolalar kullanılan uygulama hesaplarında, bilgisayarlarda, telefonlarda ve hatta kullanılan modemin arayüz ve Wi-Fi parolasında güçlü olarak ayarlanmalıdır.
Güçlü parola belirleme tablosu:
2. Güncel Yazılım Kullanımı
Günlük yaşantı ihtiyaçlarının bile siber ekoloji üzerinden giderildiği günümüzde son kullanıcıların kullandıkları işletim sistemleri ve yazılımların güncel olduğundan emin olması önem arz etmektedir. Sistemlerde veya yazılımlarda ortaya çıkan güvenlik zafiyetlerinin üreticiler ve firmalar tarafından güvenlik güncellemeleri sağlanmaktadır. Kullanılan bilgisayarın işletim sisteminden, kullanılan yazılımına, telefon işletim sisteminden akıllı saatin işletim sistemi güncellemelerine kadar kullanıcıların güvenlik güncelleştirmelerini takip etmesi ve gerekli güncelleştirmelerini yüklemeleri yine önem arz etmektedir. Saldırganlar veya güvenlik uzmanları tarafından tespit edilen, sömürülen/bildirilen bu zafiyetler kullanılarak kötü niyetli kişiler tarafından Uzaktan Kod Yürütme (RCE) gibi saldırı vektörleri kullanılabilmektedir. Dolayısıyla zafiyet aracılığıyla kullanılan sistemin veya yazılımın uzaktan yönetimi sağlanabilmektedir.
3. Bilinmeyen/Doğrulanmayan Kaynakların Kullanımı
Teknoloji kullanımının artması, maalesef bilinçsiz kullanımın artmasına da sebep olmaktadır. Son kullanıcıların gerek bilgisayarlarında gerek mobil cihazlarında kullanacakları bütün uygulamaları doğrulamadan yüklemeleri/kullanmaları veri ihlallerine sebep olabilmektedir.
Saldırganlar; kullanıcılar tarafından en fazla kullanılan uygulamaları tespit edip, kullanıcılara orijinal uygulama gibi görünen zararlı yazılımlar tasarlamaktadır. Tasarlanan zararlı yazılımlar kaynağı güvenilir olmayan web sitelerinde anonim hesaplar tarafından paylaşılabilmektedir veya kullanıcılara e-posta yolu ile ulaştırılabilmektedir. Kullanıcılar bu tarz uygulamaları kullandıklarında sistemlerindeki bütün bilgiler saldırgana aktarılmaktadır. Günümüzde tasarlanan zararlı yazılımlar, son kullanıcıların kullandıkları Anti-Virüs güvenlik ürünlerini atlatabilmektedir; çünkü birçoğu imza tabanlı çalışmaktadır. Dolayısıyla kullanıcılar uygulamaları kullanmadan önce çeşitli platformlardan [1] kontrol etmelidir veya uygulamanın kendi kaynağından yüklendiğine emin olmalıdır.
Uygulamalar, bu tarz platformlar üzerinde kontrol edilirken, topluluğun da yapmış olduğu yorumlar göz önünde bulundurulmalıdır.
4. Siber Zorbalık ile Mücadele
İnsanlar günlük hayatta yaptıkları bütün aktiviteleri gerek anı olması amacıyla gerek sosyal etkileşim açısından sosyal medya platformlarında paylaşmaktadır. Bilgi güvenliğinin fiziksel güvenliği de kısıtladığı günümüzde, kullanıcıların bütün internet mecrasında yaptıkları paylaşımlar maalesef siber zorbalığa maruz bırakabilmektedir. Sosyal medyada kişisel hayatın mahremiyetine zarar verecek bilgiler paylaşılmamalıdır. Özellikle çocuk yaşta bireylerin sosyal medya kullanımını, ebeveynlerin kontrol altında tutması gerekmektedir.
E-ticaretin gelişmesiyle uygulamaları abonelik sırasında bazı kişisel bilgilerin paylaşılmasıyla ardından uygulama sahibi firmanın veri ihlaline karışmasında sonra bu bilgiler dark web ve deep web platfromlarında paylaşılabilmektedir. Bu tarz durumlarda e-posta ve parola değiştirilebilir ki parola değişikliği kesinlikle önem arz etmektedir; fakat kişisel bazı bilgiler maalesef değiştirilememektedir. Dolayısıyla internete erişimi olan her bir bireyin dijital parmak izi artık gerçek parmak izinden farksız hale gelmiş bulunmaktadır.
1-Zararlı yazılım analizi için malwation.com