Bilgi Güvenliği

Hukuk büroları, siber saldırıların gözde hedefleri haline geldiler. Örneğin büromuz günde ortalama binin üzerinde siber saldırı girişimiyle karşı karşıya kalmaktadır. Bunları çoğu DOS saldırıları ve güvenlik açığı tarayan BOT sorguları ile şifre kırma girişimleridir. Müvekkillerin hukuki sorunları ile ilgilenirken veri güvenliğine yeteri kadar önem veremiyoruz. Bu sayfa meslektaşlarımızın bilgi güvenliği bilincini arttırmaya yöneliktir.

Fiziksel güvenlik

Bilişim sistemi fiziksel olarak; saklama, işleme ve ağ öğelerinden oluşur. Bunlardan herhangi birine fiziksel olarak erişebilen kişiler bilgi güvenliği açığını arttırır. Bu aygıtlar kilitli oda ve kabinetlerin içinde saklanmalıdır. Şifreli yedekleme medyaları ise daha güvenli kasalarda saklanmalıdır.

Veri saklama medyasına erişebilen aygıtlara, yedekleme işlemi dışında medya(USB bellek, DVD...) bağlanmamalıdır. Yedekleme medyası da boş olmalıdır.

Aygıtlarınıza donanım, USB, ağ kablosu, UART bağlantısı... yapılmaması için fiziksel tedbirler alınmalıdır.

Ağ güvenliği

Pek çok yazılım ve donanım katmanından oluşan ağ yapısının her bir katmanı için detaylı güvenlik tedbirlerini internetten araştırmalısınız.

İnternet modeminin ardında mutlaka ayrı fiziksel bir güvenlik duvarı bulunmalıdır. Bunun ardında kablolu-kablosuz router ve yönetilebilir switchler kullanılabilir.

İnternet erişim bilgilerinin günlüklenerek güvenlik risklerinin azaltılması amacı ile düzenli olarak okunabilir.

Hangi aygıtın internete erişip, hangisinin erişemeyeceğini ayarlayın. Karmaşık bir ağ yapınız varsa, CCNA sertifikasına sahip bir uzmandan tüm ağınızı yapılandırması için yardım almalısınız.

Dünya çapında yaygın kullanılan DNS sunucularını kullanın.

Güvenilir bir firmadan ücretli sanal özel ağ hizmeti satın alınmalı ve tüm internet trafiği bu ağ üzerinden akıtılmalıdır.

İnternete doğrudan erişen ağ aygıtının MAC adresi değiştirilerek bu cihaza özgü bilindik güvenlik açığı tespiti ihtimali azaltılabilir.

Kablosuz güvenliği

Kablosuz ağlar işin görülmesi için zorunlu olmadıkça kullanılmamalıdır.

WPA2-AES yanında MAC filtreleme, kablosuz ağ oturum açma gibi ek güvenlik ayarları yapılmalıdır. SSID ve şifreler düzenli aralıklarla değitirilmelidir.

Çalışanların kablosuz ağa erişimine izin verilmemelidir.

Kablosuz ağ yalıtılmalı, istemciler ya iligili aygıta ya da sadece internete erişebilmelidir.

Kablosuz çıkış gücü gerekirse azaltılmalıdır.

Kablosuz ağ sıklıkla kullanılıyorsa, bağımsız kaliteli bir dağıtıcı kullanılmalıdır.

İşletim sistemi güvenliği

İşletim sistemini güncel tutarak virüs tarama yazılımı ve güvenlik duvarı ile destekleyin.

İşletim sistemi güvenlik duvarı sadece seçtiğiniz bağlantılara izin vermelidir.

Çağdaş işletim sistemleri kişisel dosya ve klasörlerin şifrelenmesi için gömülü hizmetler sunarlar. Buna benzer tedbirler hepsini olmasa da pek çok güvenlik açığını azaltacaktır.

Yönetici şifresi ile işletim sistemi kullanılmamalıdır.

İşletim sistemine işinizde kullanacağınız yazılımlar dışında yazılım yüklemeyin.

İnternet tarayıcı güvenliği

İnternet tarayıcınızı her çıkışta verileri temizleyecek şekilde ayarlayın. Bazı internet tarayıcıları bu özelliği desteklemez.

Geçmiş - History özelliğini devre dışı bırakın.

Push özelliğini devre dışı bırakın.

Webrtc özelliğini devre dışı bırakın.

İnternet adreslerini adres satırına elle yazın.

TR uzantılı alan adları DNSSEC desteğinden yoksundur. Bu gruptaki alan adlarınını ziyaret ederken daha dikkatli olunmalıdır.

Tarayıcı için üçüncü parti eklentilerini yüklemeyin ve kullanmayın.

Https ve benzeri şifreli iletişim özelliğini desteklemeyen internet sitelerinde gezmeyin.

Farklı işler için farklı tarayıcılar kullanın.

Tarayıcınızı, internet sitelerinin sizi takip etmesini engelleyecek şekilde yapılandırın.

Tarayıcınız bazı donanım ve yazılım bilgilerini sunucuya iletir. Bunlar; bant genişliğiniz, time zone, güncel saat, ekran ve tarayıcı çözünürlülüğünüz, bazı uygulamaların kurulu olup olmadığı, kodlama ve dil seçenekleriniz, işletim sistemi bilgileriniz ve benzeri bilgilerdir. Bu bilgileri nasıl anonimleştireceğinizi araştırmalısınız.

Veri saklama

Verilerin tek bir alanda mümkün olan en yüksek güvenlikte saklanması gerekmektedir. Verilerinizi ayrı ayrı alanlarda saklamak zorunda kalırsanız, her bir alan için ayrı ve kendine özgü tedbir almanız gerektiğini unutmayın. Bazı kritik verilerinizi diğerlerinden ayırarak daha hassas seçenekler kullanabilirsiniz.

Parolalar

İki aşamalı doğrulama güvenlik özelliğini sağlamayan bilişim sistemlerini kullanmayın.

Parolalar 10 veya daha fazla karakter içermelidir. Parola olarak, kolay hatırlamak amacıyla anlamsız bir CÜMLE de kullanabilirsiniz. UZUN ANLAMSIZ cümleler çoğu harf rakam ve sembol içeren karmaşık ancak KISA parolalardan daha güvenlidirler.

Bir parola sadece bir aygıt veya abolenik için kullanılmalıdır. Aynı parolayı tekrar tekrar kullanmayın.

Parolalar bir yerlere kaydedilmemeli, mutlaka yazacaksanız da tamamını değil bir kısmını yazın veya parolayı şifreleyin.

Çok kritik bilgileri saklayacaksanız, bu parolayı kurtarma yöntemi olarak e-posta, cep telefonu, sms gibi özellikleri KULLANMAYIN. Sim kartınız ile ilgili hiçbir şey güvende değil. GSM teknolojisi güvenlik açıklarıyla doludur.

Personelin bilgi güvenliği bilinicinin arttırılması

Hangi çalışanın hangi kişisel bilgilere erişebileceğine ilişkin erişim ve eğitim planlaması yapılmalıdır. Bilgi güvenliği açısından zayıf halkalardan olan çalışanlara önemli kişisel bilgilerin tamamı teslim edilmemelidir.

(IOT) İnternet nesneleri güvenliği

Kameralar, yazıcılar, sensörler, kartlı geçiş sistemleri, NAS, akıllı ev sistemleri, alarmlar, akıllı televizyonlar, ağ aygıtları, otomobiller, robotlar ve benzeri pek çok aygıtı bu grupta sayabiliriz.

Gömülü işletim sistemi (firmware) ile çalışan bu aygıtları fabrika çıkışında ayarlanan varsayılan parolalar ile kullanımı, yazılım güncellenmelerinin zor olması, üreticilerinin sürekli yeni ürün geliştirme gibi ticari kaygılarla bu aygıtların güvenlik açıklarını kapatacak yamaları yayınlamaması gibi nedenlerle bilgi güvenliği açısından oldukça riskli aygıtlardır.

Bu aygıtlar genellikle düşük sistem kaynağına sahip olduklarından güçlü şifreleme yazılımları ile koruma yazılımlarını çalıştıramazlar.

Kişiler ve devletler bu aygıtlar için yeterli güvenlik tedbirlerini almamaktadır.

Bu aygıtlar mümkün olduğunca güvenilir markalardan seçilmeli, varsayılan parolası hemen değiştirilmeli, düzenli olarak firmware güncellemesi yapılmalıdır.

Bu aygıtların internete erişimi kısıtlanmalı veya tamamen engellenmeli, mümkünse yalıtılmış ağlarda çalışmaları sağlanmalıdır.

İnternet nesneleri bulut yapısına bağlanacaksa mutlaka VPN bağlantısını ile ana ağdan yalıtılmalıdır.

TOR ve TAILS kullanımı

internet erişiminin anonimleştirilmesi ve bağlantının şifrelenmesi amacıyla TOR (tarayıcı) ve TAILS( işletim sistemi ) kullanılabilir.

Özellikle TAILS işletim sistemi, RAM üzerinde çalışarak ne HDD he de RAM üzerinde adli delil bırakmadığı iddiasındadır.

TOR ise kendine özgü bir ağda çalışarak giriş düğümü ile çıkış düğümü arasındaki iletişimi gizleme iddiasındadır.

Varsayılan ayarlar her ne kadar çoğu kullanıcı için yeterliyse de, bu tür yazılımların ayarlarını eksik veya hatalı yaptığınızda bilgi güvenliği riski doğurur.

Bu yazılımların, DNS sızıntısı, istemci düğüm ve sunucu düğüm arasındaki iletişimin kullanıcı tarafından şifrelenmemesi, bağlanmaya çalıştığınız sunucuda veya sizin makinenizde güvenlik açıklarının bulunması ile düğüme ve düğümden eş zamanlı paket takibi ve paket boyutu karşılaştırması yardımıyla bağlantının gerçek ip adresinin deşifre edilmesi gibi güvenlik zayıflıkları bulunmaktadır.

Yukarıda sayılan sorunların neredeyse tamamına kullanıcı neden olur. İnternetin nasıl işlediğini tam olarak bilmiyorsanız bu yazılımlar size fazladan anlamsız bir güven hissi vereceğinden sizi tedbirsiz olmaya sevkedebilir.

Bu iki yazılım VPN ile internete erişmelidir. VPN, TOR düğümlerinden önce ve sonrasında kullanılabilir. Bu tür karma bağlantılar takip edilmenizi zorlaştırır. TOR düğümlerine erişimin sistemli olarak yavaşlatılması (boğazlanması - throttling) aşılması gereken önemli sorunlardandır.

Sanal özel ağ (VPN) kullanımı

Sanal özel ağ ev ve iş yerinizde kullandığınız yerel ağın sanal olarak internet üzerinde oluşturulmasıdır.

DNS dahil tüm trafik sanal özel ağ üzerinden akıtılmalıdır. Böylece şubeler ve istemciler arası iletişim şifrelenir.

Sanal özel ağ hizmetini profesyonel şirketlerden ücreti karşılığında kullanın veya uzak sunucunuza kendi sanal özel ağ sistemini kurun.

Sanal özel ağ sağlayıcınız internet trafiğini günlüklüyorsa, güvenlik riski vardır.

Asılsız ithamlarla kamu gücünü kullanarak kişisel bilgilere erişilmesi yöntemi tüm dünyada yaygın olarak kullanılmaktadır. Bu yasa dışı işlem genellikle sizin abone numaranızın yanına bir suçlunun ismi yazılarak yapılır ve böylece günlüklemeye izin veren yargıçlar durumu fark edemezler. Yargıçların abone numarasının resmi olarak kime ait olduğunu sorgulaması yasal yükümlülük haline getirilmelidir. Bunun aksine teknik takip sonrasında aboneye bildirim yapılması yasal zorunluluktur. Bu nedenle aralarında adli yardım ihtimali zayıf olan ülkelerde bulunan düğümleri birlikte kullanmak, bilgi güvenliğini riskini azaltır.

Uzak sunucular ve bulut altyapısı

Bazı kritik bilgileri uzak sunucularda saklamayı tercih edebilirsiniz. Güvenilir bir hizmet sağlayıcısı bulduğunuzda çoğunlukla büronuzdaki fiziksel sunucudan daha fazla güvenlik özelliğine sahip olursunuz. Üstelik bu tür hizmetlerin gün geçtikçe kalitesi artarken, fiyatları düşmektedir.

Birkaç yıl önce bulut teknolojisine soğuk bakan bilişim şirketlerimiz, eminim hala nerede hata yaptıklarını düşünüyorlardır.

Sosyal medya kullanımının azaltılması

Sosyal medya üzerinde paylaşılan her türlü kişisel bilgi, hem bizim hem de müvekkillerimiz için risk doğurmakta. Bundan hareketle, neyi kiminle paylaştığımız önem arzediyor.

Sosyal medya paylaşımları kişilerin açlık duydukları alanları açık etmektedir. Bu durum meşru tüketici eğiliminin saptanmasında kullanılabileceği gibi dolandırıcılık amacıyla da kullanılabilir.

Sosyal mühendislik yöntemlerine karşı tedbirler

Bilişim sistemleri ne kadar güvenli ve rasyonel olursa olsun, kullanıcılar meraklı, duygusal ve irrasyoneldir. Bu özellikleri onları bilgi güvenliğinin en zayıf halkası yapmaktadır.

Kişisel bir tedbir olarak en az üç adet bağımsız sayısal kimliğe sahip olmalısınız. Bunlar; sosyal, finansal ve elbette eğlence vb. olabilir. Bu kimlikler birbirinden soyutlanmış olmalı, birinden diğerine ulaşılmamalıdır. Bu sayısal kimlikler sosyal mühendisliğe karşı güvenlik duvarı olarak kullanılabilir. Sayısal kimlikten kasıt kesinlikle birden fazla sosyal medya hesabı değildir.

Mobil aygıt güvenliği

Pil ile çalışan aygıtlardır. Bu aygıtları fiziksel olarak üçüncü kişilerden uzak tutarak mutlaka ekran kilidi ve sim kilidi ile birlikte kullanın.

Mümkünse fabrika yazılımı dışında bir yazılım yüklemeyin, root veya jailbreak yaptırmayın. Hata ayıklama özelliklerini etkinleştirmeyin. Bilinmeyen kaynaklardan uygulama yüklemeyin.

Bu aygıtları üçüncü kişi ve özellikle de çocuklara teslim etmeyin.

Tüm bilgileri ve kişileri mobil aygıtınıza kaydetmek zorunda değilsiniz.

Niteliği itibarıyla kolay kaybolan veya çalınabilen bu aygıtlara müvekkiliniz ile ilgili özel bilgi, belge ve sair medya kaydedilmemelidir.

Mobil aygıtın SD kartını şifrelenmiş olarak kullanın. Bu özelliği çağdaş tüm mobil işletim sistemleri desteklemektedir.

Aygıtlarınızı düzenli aralıklarla sıfırlayın, sıfırlamak için HARİCİ fabrika yazılımını kullanın yani CİHAZ İÇİNDEKİ YAZILIMI kullanmayın.

Özel şifreleme algoritmaları kullanımı

Kaynak kodu herkesçe bilinen yaygın şifreleme ve deşifreleme algoritmalarıyla şifrelenen bilginin çözümlenmesi olasıdır. Zayıf nokta algoritmanın işleyişinin bilinmesinin çözümlemeyi kolaylaştırmasıdır. Çözümleme sezgiseldir ve matematikle ilgili değildir.

Kaynak koduna kırıcı tarafından ulaşılamayan algoritmaların şifreleme için kullanılması yetkisiz çözümlemeyi imkansız kılar. Ancak özel algoritmalar çok pahalıdır.

Özel algoritmanın ardından dış katmanda yaygın şifreleme algoritmaları da mutlaka kullanılmalıdır.

Bilişim güvenliğinde en zayıf halkalar neler?

İlk olarak elbette siz, sonra yakınınızdaki kişiler sonra IOT aygıtlarınız.

Düzenli kontroller ve güncellemeler, parola değişiklikleri

Bir yazılım ve donanım ile sürücü listesi hazırlanarak, güncelleme ve güvenlik açıkları düzenli olarak takip edilmelidir.

Yazılım günlükleri incelenerek, saldırıların nerede ve hangi aygıt veya yazılıma doğru yapıldığı araştırılmalıdır.

Brute-force (deneme-yanılma) saldırısına zaafiyeti bulunan bazı aygıtların parolalarını en az altı ayda bir değiştirmelisiniz. Cihazınız sağlıyorsa, yetkisiz erişim girişimi alarmı ile deneme-yanılma girişiminin yavaşlatılması özellikleri etkinleştirilmelidir.

Yardım alma

Dünyada çok kıymetli güvenlik uzmanları bulunmaktadır. Özellikle büyük çaplı veri işleyen hukuk bürolarının SERTİFİKALI güvenlik uzmanı kiralaması yerinde bir karar olacaktır.

Bilginin yok edilmesi

Yok edilmesi gereken zamanda kişisel bilgileri yok etmeliyiz, gereksiz derecede uzun süre saklayarak, bilgi güvenliği riskini arttırmamalıyız.

Tekrar yazılabilir medya üzerindeki bilgiyi nasıl yok edeceğiniz hakkıda hiçbir fikriniz yoksa, medyayı tek bölüm haline getirdikten sonra üzerine hiç boş alan kalmayıncaya kadar, büyük boyutlu video ve müzik dosyaları kaydedin.(512 byte sector size!) Birkaç ağır çekiç darbesi de pek çok medyayı okunamaz hale getirir. :-)

Ömrünü tamamlayan aygıtlarınız bilgi temizliği yapılmaksızın geri dönüşüme teslim edilmemelidir. Bilgi kaydedebilen cihazlarınızın ilgili parçaları usulünce kullanılamaz hale getirilmelidir. Bu cihazlar satılmamalı ve bağışlanmalıdır.

Evrak imha makinesi kullanımı

S3 güvenlik seviyesindeki imha makineleri oldukça ucuz ve kullanışlı makinelerdir. Bunlardan bazıları DVD'leri de parçalama özelliğine sahiptir.

Bilginin anonimleştirilmesi

Bilginin anonimleştirilmesi, kişisel bilgilerin çıkartılarak geriye kalanın, eğitim, araştırma veya istatistik amacıyla kullanılabilir hale getirilmesidir. Anonimleştirme işlemi özenle yapılmalıdır ve gerçekten dikkat ister.

Anlamlı diğer bilgilerin içine bilgi gömülmesi

İlk bakışta olağan bir kullanıcının sahip olduğu veri olarak değerlendirilebilecek, resim vidyo dosyaları içerisine özel yazılımlar aracılığıyla bilgi gömmeyi deneyebilirsiniz.

Bilginin parçalara ayrılması ve/veya bulanıklaştırılması

Birden fazla parçanın bir araya getirildikten sonra deşifre işlemi yapılabilecek şekilde verinin parçalara ayrılması bilgi güvenliğini arttırır. Diğer yandan, bir parçanın kaybolması durumunda diğer parçalardan anlamlı veri elde edilemeyecek ve veriniz sonsuza kadar kaybolacaktır.

Bulanıklaştırmada, parola bilinse bile çözümleme yavaş veya bazen başarısızdır. Kırıcılar, başarısız parolayı tekrar tekrar denemezler.

Bu kadarına gerek var mı?

Kıyaslama yaparak kendinizi geliştirebilirsiniz. Amacımız bilgi güvenliği bilicinizi arttırmaktır. Her önlemi de burada yazamayız.

Faydalı kaynaklar

Exploit Database

Tarayıcı bilgilerinizin bir kısmı

Oluşturma :2019-06-01

Düzenleme :2020-09-07

Facebook ile paylaş Twitter ile paylaş

Aksarı Avukatlık Bürosu - © - 2024