DENZL L SALIK MDRL Bilgi lem ve statistik
DENİZLİ İL SAĞLIK MÜDÜRLÜĞÜ Bilgi İşlem ve İstatistik Birimi BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ
Günümüzde Bilgi Sistemleri
Bilgi Nedir? • BİLGİ: VERİ'nin işlenmiş haline denir. • VERİ: İşlenmemiş ham bilgiye denir • VERİ: Sayısal ve Mantıksal her bir değere (rakam, harf, sembol) "VERİ" yada "DATA" denir • Örn: Muhammet, Bugün, Toplantı, salon, eğitim • Örn: Muhammet bugün toplantı salonunda eğitim verecek
Dizüstü bilgisayar Dokümanlar Yazılımlar Kurum çalışanları Kablosuz ağlar Medya Yazıcı çıktıları Cep telefonları, PDA’lar Radyo-televizyon yayınları Fotoğraf makineleri
Bilgi Güvenliğinden Herkes Sorumludur • Sorumlu herkes: • Bilginin sahibi • Kullanıcılar • Bilgi sistemini yönetenler • En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. • Çoğunlukla en zayıf halka insandır.
BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar • Bilginiz başkalarının eline geçebilir • Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum) • Donanım, yazılım, veri ve kurum çalışanları zarar görebilir • Önemli veriye zamanında erişememek • Parasal kayıplar • Vakit kayıpları • Can kaybı!
Kullanıcı Bilincinin Önemi • Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. • Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. • Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. • Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. o o o Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.
BİLGİ GÜVENLİĞİ ORGANİZASYONU
BİLGİ GÜVENLİĞİ ORGANİZASYONU Bilgi Güvenliği Komisyonu (Yılda en az 2 kez toplanır) Komisyon Görevi Ad Soyad Bilgi Sistemleri Koordinatörü / Başkan Yavuz TOSUN Bilgi Güvenliği Yetkilisi Tahsin ÇAĞLAYAN Kurumsal SOME Ekip Lideri Muhammet KÖLEMEN Kurumsal SOME Analist Suat AKTAŞ Üye (Fiziksel Güvenlik) İbrahim Eray ÇALAP Üye (İnsan Kaynakları) Özgül ERTAN Üye (İnsan Kaynakları) Atıf UZUN Üye (Kalite) Okan Oğuz İLHAN Üye (Bilgi İşlem / Sekreterya) Safinaz GÖZEN BGYS Komisyon Görev, Yetki ve Sorumlulukları • İl düzeyindeki Bilgi Güvenliği Politika ve stratejilerini belirler; Sağlık Bakanlığı BGYS yönergesi ve BG Politikaları Kılavuzu çerçevesinde, İl Sağlık Müdürlüğü ve bağlı sağlık tesisleri bünyesinde uygulanacak BGYS’ye yönelik çalışmaları koordine eder • İl Bilgi güvenliği yetkilisinin belirler ve görevlendirmesini yapar. • Bakanlık tarafından yayımlanan Kurumsal SOME Kurulum ve Yönetim Rehberi’nde belirtilen esaslar çerçevesinde Kurumsal SOME’sini kurar ve işletilmesini sağlar. Kurumsal SOME Ekip Lideri görevlendirmesini yapar. • BG politikalarının uygulanmasını ve uygulanmadaki etkinliğini gözden geçirir. • BG faaliyetlerinin yürütülmesini yönlendirir. • BG eğitim ve farkındalığının sağlanması için plan ve program yapar. • Yürütülen çalışmaların tabana yayılması hususunda planlanan çalışmalara katılır, bağlı oldukları birimlerde bu çalışmaların yayılmasına öncülük eder.
r le is es T ık ğl Sa i Sağlık Tesisi Bilgi Güvenliği Yetkilisi Belirlenir. er ğ Di De Se nizl D rv i D Ac eni erga H Bu ıpa zli A zi D Çi lda yam DS H Ta vril n G D H va DH HH H s. D H BİLGİ GÜVENLİĞİ ORGANİZASYONU Bağlı Sağlık Tesislerinde Bilgi Güvenliği Organizasyonu Sağlık Tesisi Bilgi Güvenliği Yetkilisi Sağlık Tesisi Bilgi Güvenliği Ekibi • Başhekim veya Yardımcısı • İdari Mali Hizmetler Müdürü veya Yardımcısı • Bilgi İşlem Sorumlusu • Personel Birim Sorumlusu • … Görevi • … İl Bilgi Güvenliği Komisyonunun aldığı kararları ve yürüteceği faaliyetleri • … kendi sağlık tesislerinde takibi, yürütülmesi ve koordinasyonu
İNSAN KAYNAKLARI
İşe Başlayış • Müdürlüğümüz BGYS Politikası Tebliğ edilmelidir. • İşe başlamadan önce 657 sayılı kanuna tabi personellere “Bilgi Güvenlği Farkındalık Bildirgesi” imzalatılır, diğer tüm personel ve yükleniciler ile “Personel ve/veya Kurumsal Gizlilik Sözleşmesi” imzalanır. • Göreve başlayan personele Oryantasyon, Bilgi Güvenliği ve Sosyal Mühendislik zafiyetleri konularında eğitim verilmelidir. • Göreve başlayan personelce, İnsan Kaynakları Biriminden alacağı “İşe Başlama Formu” eksiksiz olarak doldurulması gerekmektedir. • Göreve başlayan personele kullanacağı bilgi sistemlerine yönelik ihtiyacı kadar yetkili kullanıcı tanımlanmalıdır. • Göreve başlayan personele EBYS tanımlanacak ise ilgili personele saglik. gov. tr uzantılı kurumsal posta adresi temin edilmelidir. İl içi kurum/birim değişikliklerinde kurum EBYS sorumlusu İl EBYS sorumluları iletişime geçerek gerekli olan değişiklikleri yaptırmalıdır. • Göreve başlayan personele kimlik ve/veya yaka kartı düzenlenmelidir.
Çalışma Esnasında • Tüm çalışanlar için yılda en az 1 kez “Bilgi Güvenliği Farkındalık Eğitimi” programları hazırlanır ve uygulanır • Çalışan personele ait iş dosyaları kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. • Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. • Bilgisayar ekranında kişisel bilgi içeren bir işlem yapıldığında(izin kâğıdı gibi) ekranda bulunan kişisel bilgilerin bilgi sahibi dışında diğer kişi veya kişilerce görülmesi engellenmelidir. • İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb. ) kağıt kesme makinesinde imha edilmelidir. • Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır.
Görev Değişikliği ve İşten Ayrılışta • İşten ayrılan veya Görev değişikliği yapılan personel üzerindeki görev ve evrakları birim sorumlusunun belirlediği personele devrettiğine dair “Görev Devir-Teslim Formunu” doldurup birim sorumlusuna teslim etmelidir. • İşten ayrılan/Görev değişikliği yapılan personelin eski görev yeri ile ilgili bilgi sistemlerine yönelik kullanıcı ve/veya yetkileri iptal edilmeli ve yeni görev yerinde kullanacağı bilgi sistemlerine yönelik yetkili kullanıcılar tanımlanmalıdır. • Yeni görevi ile ilgili Oryantasyon eğitim verilmelidir. • İşten ayrılan/Görev değişikliği yapılan personel, görevi esnasında edinmiş olduğu bilgileri, görev yeri değişmesi veya ayrılması durumunda dahi sır olarak saklamaktan ve hiçbir şekilde yetkisiz olarak ifşa etmemekten sorumludur. Sır saklama yükümlülüğü süresizdir. • Görevden ayrılan personel, “İşten Ayrılma Formunu” ilgili birimlerle ilişkisinin kalmadığına dair birim sorumlularına imzalatarak eksiksiz olarak doldurup bağlı bulunduğu İnsan Kaynakları Birimine teslim etmelidir. • Görevden ayrılan personel, yaka kimlik kartı, giriş ve otopark kartlarını idareye teslim etmelidir.
Bilgi Güvenliği Farkındalık Bildirgesi/Gizlilik Söz. • Kuruma ait gizli kalması gereken bilgileri, yasal zorunluluklar ve Kurum tarafından resmi olarak izin verilmesi halleri dışında süresiz olarak korunması, ve bunları üçüncü kişilere inceletmemek, söylememek, iletmemek ve açıklamamakla yükümlü olduğu, • Bu yükümlülüğün Kurum ile ilişkinin sona ermesi halinde de devam ettiği, • Bilgisayar ve/veya kullanılan yazılımlar giriş için verilen "kullanıcı adı" ve "parola”yı bir başkası ile paylaşmaması ve bir başkasına kullandırmaması gerektiği, • Bu kullanıcı adı ve parola kullanılarak yapılan iş ve işlemlerden sorumlu tutulacağı, • Kurum tarafından sağlanan İnternet üzerinden girilen ve girilemeyen tüm siteler ve adreslerin, sistem tarafından gerekli olduğunda kullanılmak üzere kayıt altına alındığını, • İşin gerektirdiği haller dışında kurumsal e-posta hesabını kullanmaması, • Bilgisayara Kurum tarafından yüklenmiş işletim sistemi ve uygulama yazılımları dışında herhangi bir işletim sistemi veya lisanssız yazılım yüklenmemesi, • …. • taahhüt eder, bu taahhütleri yerine getirmeme veya kasıtlı olarak taahhütleri ihlal etmesi hâlinde; Kurum açısından oluşacak zararı karşılayacağı, mali, cezai ve hukuki tüm sorumlulukların kendisine ait olduğunu beyan ve kabul eder.
Gizlilik Sözleşmesi/Farkındalık Bildirgesi
Gizlilik Sözleşmesi/Farkındalık Bildirgesi
Uzaktan Erişim Kuralları • İnternet üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler ve/veya kurumlar SSL VPN teknolojisini kullanmalıdırlar. SSL VPN Kullanıcısı Müdürlüğümüz Bilgi İşlem Biriminden talep edilecektir. • SSL VPN bağlantılarına ilişkin kayıtlar müdürlüğümüz loglama sisteminde loglanmaktadır. • SSL VPN Kullanıcısı bağlantı bilgilerini hiç kimse ile paylaşmamalıdır. • Uzak bağlantı yazılımı olarak mümkün ise “Microsoft Uzak Bağlantı Programı” kullanılır. Microsoft işletim sistemi dışında bir başka bilgisayara erişim yapılıyorsa aynı güvenlik özelliklerini sağlayan, lisanslı ve/veya açık kaynak kodlu, güvenilir bir erişim programının kullanılması tercih edilir. • Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların bilgileri Müdürlüğümüz Bilgi İşlem birimine ivedilikle bildirilmelidir. • Kurumun ağına uzaktan bağlantı yetkisi verilen çalışanlar veya sözleşme sahipleri bağlantıyı herkese açık güvenli olmayan alanlarda(kafeler, lokantalar, oteller vb. ) yapmamalıdır. • Ayrıca sahibi bilinmeyen/herkes tarafından erişilebilen cihazlar(internet kafe, otel bilgisayarları, kiosklar vb. ) kullanılmamalıdır.
Uzaktan Erişim Kuralları • Uzak çalışma için kullanılacak cihaz ve ortamlarda asgari olarak; • İşletim sistemi güncel, Güvenlik duvarı aktif halde olmalıdır. • Virüs, fidye yazılımları, truva atları ve benzeri zararlı yazılımlardan korunmak için uygun lisanslı bir koruma yazılımı olmalı ve güncel tutulmalıdır. • Cihazın üzerinde yer alan ve kullanılmayan ağ özellikleri (WİFİ, bluetooth, RS 232 vb. ) pasif hale getirilir. • Disk şifreleme vb. araçlarla bilgisayarlarda tutulan verilerin şifreli olarak saklanması sağlanır. Disk şifreleme işlemleri için https: //bilgiguvenligi. saglik. gov. tr/ adresinde yayımlanan sürücü şifreleme el kitaplarından yararlanılır. • Mobil cihazlara yüklenecek uygulamalar, ilgili işletim sistemi üreticisi tarafından sağlanan uygulama mağazalarından (App. Store, Play. Store vb. ) indirilir
SON KULLANICI GÜVENLİĞİ
Ekipman Güvenliği Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline sebep olabilir.
Belli başlı temiz masa kuralları Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. Sistemlerde kullanılan şifre, telefon numarası ve T. C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir.
Yazıcı Kullanımı • Gizli bilgi içeren dokümanların çıktıları alınırken, • Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) • Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. • Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. • Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı
Taşınabilir Medya Kullanımı(CD/DVD, USB vb. ) • Taşınabilir cihazlardaki bilgileri üçüncü taraflarla paylaşımında da gerektiği kadar bilgi verme prensibi göz önünde bulundurulmalıdır. • ÇOK GİZLİ, ÖZEL ve HİZMETE ÖZEL veriler, taşınabilir ortamda saklanamaz. Özellikle bu tür ortamlarda saklama zorunluluğu var ise şifreli olarak saklanır. • Gizlilik derecesi taşıyan kurumsal verilerin saklandığı medya ortamları, kişisel (şahsın kendisine ait) bilgisayarlarda kullanılamaz. • Elektronik medya da dâhil tüm taşınabilir ortamlar, kullanılmadığı zamanlarda içinde bulunan verilerin gizlilik derecesi dikkate alınarak fiziki güvenlik tedbirleri alınmış kasa, dolap, çekmece gibi ortamlarda saklanmalıdır. • Bir bilgi sadece taşınabilir medya ortamında saklanıyorsa, bozulma/kaybolma gibi ihtimallere karşı bir başka medya ortamında da yedeklenmelidir. • Taşınabilir ortamların bir yerden başka yere taşınması esnasında yetkisiz erişim, kötüye kullanım ve bozulmaya karşı gerekli önlemler alınmalıdır.
Taşınabilir Medya Kullanımı(CD/DVD, USB vb. ) Taşınacak veri eğer usb disk ile taşınacaksa bu usb diskin tehdit unsuru olan bir yazılım içermediğine emin olunmalıdır. Usb diskleri bilgisayardan çıkartırken aygıtı düzenli şekilde çıkart dedikten sonra bilgisayardan çıkartmalıyız aksi taktirde aygıtımız bozulabilir Veriyi ister usb disk isterse de cd, dvd ortamında taşınsın kesinlikle şifrelemelidir. Veriyi usb disk ile taşıyorsak; bunları bilgisayara takarken usblerin sağlıklı çalıştığından emin olmalıyız
Nerelerde Parola Olmalı? ? üBilgisayar Girişi üEkran Koruyucu üE-Posta Girişleri üİnternet Bankacılığı üOnline Alışveriş Siteleri ü… üAkıllı Telefonlar, Tablet üTaşınabilir Bellekler üOtomasyon Programları üWeb Yazılımlar ü…
2018 En Kötü Parolaları 1. 123456 2. Password 3. 123456789 4. 12345678 5. 12345 6. 1111 7. 1234567 8. Sunshine 9. Qwerty 10. iloveyou 11. princess 12. admin 13. welcome 14. 6666 15. abc 123 16. football 17. 123123 18. monkey 19. 654321 20. !@#$%^&*
Parola Politikası • Kullanıcılar, parolalarını Müdürlüğümüz BGYS Parola Politikası uyarınca oluşturur ve kullanır. Kısaca; • En az 8 (sekiz) karakter, en az 1 büyük ve en az 1 küçük harf, en az 1 rakam, en az 1 Özel Karakter((@, !, ? , A, +, $, #, &, /, {, *, -, ], = vb. ) • Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf, 1234, zxcvb vb. ) • Parolalar, en geç 6 aya bir değiştirilmelidir. • Parolalar, e-Posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. • İnternet tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalıdır.
Parola Güvenliği üParolanız size özeldir. Başkaları ile paylaşılmamalıdır. üParolanız çoraplarınız gibidir, sık değiştirilmelidir.
Parola Güvenliği
Güçlü Parola Yöntemleri
https: //bilgiguvenligi. saglik. gov. tr/Home/Yararli. Kaynaklar
Kişisel Olarak Alınabilecek En Kolay ve En Etkili Yöntem • GÜVENLİ PAROLA OLUŞTURMAKTIR
E-Posta Güvenliği • Tüm personel, görevleri gereği yürütülen kurumsal iş ve işlemlerde, “*@saglik. gov. tr” uzantılı kurumsal veya tüzel e-Posta hesabı kullanmalı • KVKK tarafından 6698 sayılı Kanunda yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-Posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-Posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması kanuni zorunluluktur. • ÇKYS kaydı bağlı tüm kamu personeli, https: //eposta. saglik. gov. tr adresinden kurumsal e-Posta hesabı açabilir. • Çeşitli sözleşmeler kapsamında Müdürlüğümüz ve Bağlı Sağlık Tesislerinde görev yapan ve yaptıkları iş gereği e-Posta hesabı olması gereken personele, sıralı yöneticileri tarafından onay verilmesi halinde resmi yazıyla Sağlık Bilgi Sistemleri Genel Müdürlüğü’nden kurumsal e-Posta hesabı talebi yapılabilir.
E-Posta Güvenliği • Kullanıcılar, kendilerine tahsis edilen e-Posta hesabını bir başka kişiye kullandıramaz veya devredemez. • Kullanıcılar, parolalarını Müdürlüğümüz BGYS Parola Politikası uyarınca oluşturur ve kullanır. • Kurumsal e-Posta hesaplarının, idari ve hukuki düzenlemelere aykırı ya da şahsi iş ve işlemlere ilişkin kullanımından kaynaklanan her türlü adli, idari, mali ve cezai sorumluluk ilgili hesap kullanıcısına aittir. • Kullanıcı hesapları, doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-Posta gönderilemez. • Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.
E-Posta Güvenliği • e-Posta gönderimlerinde, mesajın en alt kısmına gönderen kişinin kimlik ve iletişim bilgileri yazılır. • E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir. • Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir. • Tanınmayan elektronik postaların açılması, eklentilerinde bulunan dosya veya programların indirilip çalıştırılmasından kaynaklanabilecek güvenlik sorunlarının sorumluluğu kullanıcıya aittir. • Spam, zincir, sahte vb. zararlı olduğu düşünülen e-Postalara yanıt verilmez ve başkalarına SPAM, phishing mesajlar göndermek için kullanılamaz. • Kaynağı bilinmeyen e-Posta ekinde gelen dosyalar kesinlikle açılmaz. • Kurum ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
E-Posta Saldırı Yöntemleri • İstenmeyen e-posta(spam) • Oltalama, yemleme yada taklit e-posta(phishing) • Aldatmaca e-posta(hoax)
İstenmeyen e-posta (spam) • Bir e-postanın talepte bulunmamış, birçok kişiye birden, zorla gönderilmesi durumunda, bu e-postaya istenmeyen e-posta denir. Bu epostaların içeriği genelde ticari (“UCE”) oluyor olsa da, ticari olmayanları (“UBE”) da vardır. • istenmeyen e-posta göndericiler, web sitelerinden, müşteri listelerinden, haber gruplarından, sosyal medya sitelerinden vb. e -posta adresi toplarlar. Toplam e-postaların %75 ile %85’ini bu tarz e-postalar oluşturur. http: //www. spamrankings. net
İstenmeyen e-posta (spam) Nasıl Korunulur? • E-posta adresini herkese açık yerlerde yayınlamamak. Açıktan yayınlamak gerekirse, adresi maskeleyerek yayınlamak • Birden çok kişiye veya bir gruba e-posta gönderirken kişilerin eposta adreslerini gizli karbon kopya (BCC) bölümüne yazmak. • Bir web sitesinde yapılan işlem gereği e-posta adresi istendiğinde, sitenin gizlilik politikasını kontrol etmek. • İstenmeyen e-postalara hiç bir şekilde cevap yazmamak. • Kullanım amacına göre farklı e-posta adresleri kullanmak.
Oltalama, yemleme yada taklit e-posta(phishing) • Kimlik bilgilerini çalmak amacı ile, istenmeyen e-posta veya açılır pencere yoluyla yapılan bir aldatma yöntemidir. • Saldırgan önceden tasarlanan bir hikâye üzerinden, kullanıcıyı e-postanın güvenilir bir kaynaktan geldiğine inandırıp, özel bilgilerini (kredi kartı, şifre bilgileri vs…) ele geçirmeye çalışır. .
Oltalama, yemleme yada taklit e-posta(phishing)
Nasıl Korunulur? • Kişisel ve mali bilgilerini tanıdığın kişiler dâhil hiç kimseye e-posta yoluyla göndermemek. • E-posta mesajlarındaki internet bağlantılarına tıklamamak. • Düzenli olarak kredi kart hesap özeti, banka bildirimleri gibi bilgilendirme dokümanlarını gözden geçirmek. • Zararlı programlara karşı korunma programları (Anti-virus, antispyware, güvenlik duvarı) gibi güvenlik yazılımları kullanmak ve bu programları sık güncellemek.
Aldatmaca e-posta(hoax) • Gelen e-postayı başkalarına göndermeni ya da herhangi başka bir eylemde bulunmanı sağlamak amacı ile, içinde aldatmaya ve kandırmaya yönelik ilginç bir konu (ölümcül hastalık, hediye, acil haber, uyarı, komplo teorisi) geçen epostalardır. Örneğin; ". . . havayolunun bu mesajı yolladığınız her 5 kişi için size bedava bir uçuş bileti sağlayacağı" gibi bir mesaj.
Aldatmaca e-posta(hoax) Nasıl Tanınır? • Mesajın sonunda ad soyad belirtilmemiş ise veya verilen ismi araştırdığınızda anlatılanlara uyan somut bilgi bulunamıyorsa. İçerisinde şu şekilde ifadeler geçiyorsa; 'Bu e-postayı bütün tanıdıklarına gönder' 'Anlatılanlar aldatmaca değildir' veya 'bu bir şehir efsanesi değildir' • Sıklıkla büyük harfle yazılmış kelimeler ve birden çok ünlem işareti (!!!) birlikte kullanılıyorsa. • Size ulaşana kadar birçok defa başkalarına iletildiğini (forward) gösteren adres listeleri varsa.
E-Posta Abonelik İptal Linklerinin Tehlikeleri Genellikle e-posta sonlarında bulunan "abonelikten çık, aboneliği iptal et, üyelikten ayrıl" gibi linkler, kullanıcılara sanki o mesajların tekrar gelmeyeceğini sağlayan bir kurtulma aracı olarak görünür! • Gerçek bir aboneye dönüşüyorsunuz. • Kötücül içerik yayan sitelere yönlendirilirsiniz. • Açılır açılmaz doğrudan casus yazılım bulaştıran kaynaklara yönlendirilebilirsiniz.
TTNet Fatura maili ile gelen Cryptolocker Virüsü 1 - Saldırgan ttnet-fatura. com ya da ttnet-fatura. info gibi adreslerle size sözde faturasını gönderiyor. 2 - Siz tıklayıp indirdikten sonra indirdiğiniz dosyaya çift tıklarsanız bilgisayarınızda ki klasörlerin içerikleri şifreleniyor. 3 - Tüm klasörlerin içinde “SIFRE_COZME _TALIMATI. html” isimli bir dosya oluşuyor 4 - Artık şifrenizi geri alabilmeniz için kötü niyetli arkadaşın talepleri ile karşıya kalıyorsunuz. SONUÇ OLARAK; İsterseniz istediği ücreti verip yine insafına kalan şifre çözücüyü size vermesini beklersiniz, isterseniz boş ver dosyaları diyerek format atarsınız bilgisayarınıza.
TTNet Fatura maili ile gelen Cryptolocker Virüsü
Zararlı Yazılımlar • • Virüs, Solucan, Casus Yazılım, Reklam Yazılımı(Adware), Truva Atı(Trojen), Bootnetler, Fidye Yazılımı, …
Zararlı Yazılımlar Virüs: uygulamalara zarar vermek, dosyaları silmek gibi çeşitli şekillerde bilgisayarlara zarar verir. Bazıları ise zarar vermektense, sadece sistem içinde çoğalmak, sistemi yavaşlatmak için programlanmışlardır. Solucan: Bağımsız, kendine çoğalabilen, ağda bir bilgisayardan diğerine yayılma yollarını araştıran ve yayılan bir programdır. Saniyeler içinde milyonlarca bilgisayara bulaşabilir. Worm, Stuxnet, Blaster, Duqu. Casus Yazılım: Sadece kişisel bilgileri ele geçirmek için tasarlanmışlardır. Bilgisayarlarda yer alan bilgileri karşı tarafa gönderen bu casus yazılımlar, keylogger gibi klavye hareketlerini takip edebilirler.
Zararlı Yazılımlar Reklam Yazılımı(Adware): Hakkınızdaki pazarlama verilerini toplamak amacıyla tasarlanmış programlara verilen genel adıdır. Truva Atı(Trojen): Normalde yararlı bir program gibi gözüken, ancak gizli bir şekilde, yerleştiği bilgisayara zarar vermeye yönelik olarak kullanılan programlardır. Botnet: Bilgisayarı bir bot’a (zombi olarak da bilinir) çeviren kötü amaçlı yazılımlardır. Böyle bir durumda bilgisayarlar, kullanıcıların bilgisi dışında internet üzerinden otomatik görevleri gerçekleştirebilir.
Zararlı Yazılımlar Fidye Yazılımı: Fidye yazılımı saldırılarında çoğunlukla aynı rutin yöntem kullanılır. Önce bilgisayar korsanları tarafından kullanıcının ilgisini çekecek bir bağlantı veya dosya içeren e-posta gönderilir. Merak edip bu bağlantıya tıklayan ya da dosyayı indiren kullanıcının bilgisayarına zararlı yazılımlar bulaşır. Çoğu zaman kullanıcı, bilgisayarı ya da dosyaları kilitlenene kadar zararlı yazılımların bulaştığını anlayamaz
Zararlı Yazılımlardan Korunma Yöntemleri • Mutlaka Lisanslı yazılımlar kullanılmalı, korsan yazılımlar kullanılmamalıdır. (2008/17 Sayılı Lisanslı Yazılım Kullanılması Genelgesi) • Tüm yazılımlar güncel tutulmalıdır. • Güçlü parolalar kullanılmalı ve gizlilik sağlanmalıdır. • Güvenilir olmayan, özellikle halka açık kullanımı olan bilgisayarlarda kişisel parolalar girilmemelidir. • Güvenlik duvarı, geçici olarak bile olsa asla kapatılmamalıdır. Güvenlik duvarı, bilgisayar ile internet arasına koruyucu bir engel koyar.
Zararlı Yazılımlardan Korunma Yöntemleri • Bilinmeyen kişilerden gelen postaların ekleri açılmamalı veya antivirüs taramasından geçirilmelidir. • Dosya indirilmesini isteyen pencerelere itibar edilmemelidir. • Bilgisayarda oturum açmak için kullanılacak hesap, yönetici ayrıcalıklarına sahip olmamalıdır. • E-devlet gibi uygulama ve portalları kullanılırken bağlantı adreslerinde bulunan güvenlik simgeleri kontrol edilmelidir. Adres satırı incelenerek doğru siteye bağlanıldığından emin olunmalıdır.
Bilgi Güvenliği İhlal Bildirimi ve Olay Yönetimi • Sağlık Bakanlığı uygulamaları ile ilgili her türlü bilgi güvenliği ihlal olayı “https: //bilgiguvenligi. saglik. gov. tr/Home/Olay. Bildir” adresinde yer alan merkezi ihlal bildirim sistemine girilir. • Olay bildirim sistemini kullanamayacak durumda olanlar kendi kurumlarındaki bilgi güvenliği yetkililerine bildirim yapabilir. Bu bildirimler, bilgi güvenliği yetkilisince merkezi ihlal bildirim sistemine girilir. • Küçük çaplı, yalnızca kendi kurumunu ilgilendiren ve Sağlık Tesisi Bilgi Güvenliği Yetkilisi kendi imkânları ile yerel olarak çözülebilecek olaylarda “OLAY BİLDİRİM VE MÜDAHALE FORMU” doldurulur. Bu tür olaylarda Sağlık Tesisi Bilgi Güvenliği Yetkilisince veya bilgi işlem personeli tarafından gerekli müdahale yapılır. Müdahale sonrası aynı formun 2’nci Bölümünü (Olay Müdahale) doldurulur ve İl Bilgi Güvenliği Yetkilisine bilgi verilir.
Bilgi Güvenliği İhlal Bildirimi ve Olay Yönetimi
Fiziksel ve Çevresel Güvenlik Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Günümüzde de fiziksel güvenlik önemini korumakta ve bu konuyla ilgili gerekli çalışmalar yapılmaktadır. Örneğin, bina etrafına yüksek duvarlar ya da demirler yapılması, bina girişinde özel güvenlik ekiplerinin bulundurulması, önemli verilerin tutulduğu odaların kilitlenmesi ya da bu odalara şifreli güvenlik sistemleri ile girilmesi gibi önlemler kullanılmaktadır.
Fiziksel Giriş Kontrolleri Kurum içerisinde belli yerlere sadece yetkili personelin girişine izin verecek şekilde kontrol mekanizmaları kurulmalıdır. Kapsam ve prosedürü idarelerce belirlenmek suretiyle ziyaretçilerin giriş ve çıkış zamanları kaydedilmelidir. Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılmalıdır. Kapsam ve prosedürü idarelerce belirlenmek suretiyle tüm personel ve ziyaretçiler güvenlik elemanları tarafından rahatça teşhis edilmelerini sağlayacak kimlik kartlarını devamlı takmalıdır.
Kablolama Güvenliği Güç ve iletişim kablolarının fiziksel etkilere ve dinleme faaliyetlerine karşı korunması için önlemler alınmış olmalıdır. Kablolar yeraltında olmalıdır. Hatalı bağlantıların olmaması için ekipman ve kablolar açıkça etiketlenmiş ve işaretlenmiş olmalıdır. Hassas ve kritik bilgiler için ekstra güvenlik önlemleri alınmalıdır. Alternatif yol ve iletişim kanalları mevcut olmalıdır.
Kablosuz Ağlar Güvenliği Bunun için Wi-Fi Protected Access 2 (WPA 2 -kurumsal) şifreleme kullanılmalıdır. Cihaza erişim için güçlü bir parola kullanılmalıdır. Erişim parolaları varsayılan ayarda bırakılmamalıdır Varsayılan SSID isimleri kullanılmamalıdır. SSID ayar bilgisi içerisinde kurumla ilgili bilgi olmamalıdır, mesela kurum ismi, ilgili bölüm, çalışanın ismi vb. Kurum çalışanlarının kullandığı ile misafirler için olan SSID’ler farklı olmalıdır.
Yedekleme Kurumun bütün verisinin yedeği uygun ve düzenli olarak alınmalıdır. Yedekleme sistemi iş sürekliliği planında yer alan veri yedekleme ihtiyacını karşılamalıdır. Yedekleme işlemlerinin sağlanması için yedekleme politikasına uygun olarak bir yedekleme planı oluşturulmalıdır.
Yedekleme işlerine ait kayıtlar tutulmalıdır. Yedekleme medyalarının kopyaları alınarak ana sistem odasına zarar verebilecek felaketlerden etkilenmeyecek kadar uzakta ve güvenli olarak depolanmalıdır. Başarısız olan yedekleme işleri takip edilmeli ve yedeği alınamamış verinin yedeği alınmalıdır. Yedeklenmiş verinin düzenli aralıklarla geri döndürme testi yapılmalıdır.
Güvenli Silme ve İmha Sağlık Tesisleri kendi bünyelerinde oluşturacakları arşivden sorumludur. Burada Özel ve Çok Gizli evraklar “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb. ) 14 Mart 2005 Tarihli 25755 sayılı Resmi Gazete ’de yayınlanmış
Güvenli Silme ve İmha Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilmediğinin kontrolü yapılmalıdır. Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir. Hacimsel küçültme işlemi için parçalanmalıdır.
Mal ve Hizmet Alımları Güvenliği Mal ve Hizmet Alımı yapılan firmalarla mutlaka Kurumsal Gizlilik Sözleşmesi gereklidir. Eğer personel çalışacaksa da mutlaka Personel Gizlilik Sözleşmesi yapılmalıdır. İdari/Teknik şartnamelere mutlaka bilgi güvenliği ile ilgili gereksinimler eklenmelidir.
TEŞEKKÜRLER
- Slides: 66