KALİDA-EFA Bilişim işbirliği ile yapılan seminerde konuşan ADEO Güvenlik Birimi Yöneticisi ve Adli Bilişim Uzmanı Halil Öztürkçi, siber saldırılardan şirketlerin bilişim alt yapılarının nasıl kurtulabileceğini anlattı.
KALİDA Konferans Salonunda
gerçekleşen seminerde konuşan Halil Öztürkçü, geleceğin en büyük savaşlarının
siber savaşlar olabileceğini vurgulayıp, " Siber, uzayı ve içindeki varlıkları
korumak için yürütülen harekâtların geneline verilen isimdir. Siber saldırı
girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma
yapmak, hedefteki siber uzayda istihbarat verileri toplamak ve siber savaş
faaliyetlerini oluşturmaktadır. "dedi.
Siber savaşlarda hedef olarak
temelde Güvenlik, İletişim, Enerji, Finans, Sağlık ve Ulaşımın seçildiğini
belirten Halil Öztürkçi, İsrail Başbakanı Benjamin Netanyahu'nun Siber güvenlik
danışmanı Isaac Ben-Israel'in ''Siber savaşlar konvansiyonel savaşlardaki
gibi bir etki verebilecek güçtedir. Bir ülkeyi vurmak istiyorsanız o ülkenin
enerji ve su kaynaklarına karşı siber ataklar düzenlemek gerekmektedir. Siber
teknoloji bunu tek kurşun kullanmadan yapabilme yeteneğine
sahiptir.''açıklamasının üzerinde düşünmek gerektiğine değindi.
Son 4 yıl içerisinde
İngiltere'nin siber güvenliğini sağlamak adına geliştirilen program (National
Cyber Security Programme) için ayrılan bütçesinin 650 milyon sterlin olduğuna
dikkat çeken Halil Öztürkçi, Türkiye'de siber güvenlikle ilgili alınacak
önlemleri belirlemek ve bunların uygulanmasını ve koordinasyonunu sağlamak
amacıyla Ulaştırma, Denizcilik ve Haberleşme Bakanı`nın başkanlığında Siber
Güvenlik Kurulu kurulduğunu söyledi.
Güçlü bir Şifrenin taşıması
gereken özellikler
Adli Bilişim Uzmanı Halil
Öztürkçi, güçlü bir şifrenin taşıması gereken özellikleri şöyle sıraladı: En az
8 karakter uzunluğunda olmalı, en az bir rakam içermelidir. En az bir küçük
harf içermelidir. En az bir büyük harf içermelidir. En az bir özel karakter
içermelidir. Yukarıda anlatılanlar ışığında oluşturulan örnek bir şifre:
P@ssw0rd Belirli aralıklarla (Borçelik'de ay'da bir) değiştirilmelidir.
Şifrenin özelliklerini
sıralayan Halil Öztürkçi, "Sizin, eşinizin, çocuğunuzun, iş arkadaşınızın,
kedinizin, köpeğinizin ismi; kullanmakta olduğunuz işletim sisteminin ismi;
bilgisayarınızın ismi, telefon veya lisans numaranız, sizin ya da bir
yakınınızın doğum tarihi, sizin hakkınızda kolaylıkla bulunabilecek bir bilgi
(adres gibi); birtakım kalıplaşmış kelimeler ( fb, fener, cimbom vb);
bilgisayarınızdaki herhangi bir kullanıcının ismi( büyük harfli, çift harfli,
...)yabancı bir dildeki bir kelime, yer isimleri gibi özel isimler, aynı
harften oluşan bütün şifreler, basit harf düzenlerinden oluşan bütün şifre
(qwerty gibi),yukarıda listelenenlerin tersten yazılmış halleri, yukarıda
listelenenlerin önüne veya arkasına rakam eklenmiş halleri olmasın." dedi.
Şifrenizi kâğıtlara yazıp
masanızın üzerine, klavyenin altına bırakmayın, diyen Öztürkçi, "Kullanıcı kodu
veya şifrelerinin yetkisiz kişilerce ele geçirildiğinden şüphelenirse derhal
Yardım Masası'nı bilgilendirin. Sizin için önemli olan ve hiç unutmayacağınız
bir olayı ifade edecek bir cümle kurun. (Örneğin; "Bisiklet kullanmaya 8
yaşında başladım" gibi.) Bu cümleyi oluşturan kelimelerin ilk harflerini alın.
Çıkan karakter dizisinin başına ve sonuna özel karakterler ekleyerek 8 karakter
uzunluğunda olmasını sağlayalım (!Bk8yb!@) Bazen şifre oluşturulurken a yerine
@, i yerine, E yerine 3, o yerine 0 gibi ifadeler de kullanılabilir.(Örneğin
P@ssw0rd gibi) " dedi.
Phishing (Oltaya Takılma)
Nedir?
e-postalara dikkat çeken Halil
Öztürkçi, "Genellikle çeşitli banka ve finans kurumları tarafından gönderilmiş
gibi görünen, acil ve çok önemli konular içeriyormuş gibi duran sahte
e-postalardır. Bu e-postalarda verilen linkler aracılığı ile kart bilgileri,
kart şifreleri, internet şubesi şifreleri ve kişisel bilgiler istenmektedir.
Tanımadığınız kişi ya da kurumlardan gönderilen e-postaların içerisinde bulunan
linkleri tıklamayın, ekleri bilgisayarınıza yüklemeyin. Mail aracılığıyla veya
başka bir ortamda sunulan web sayfa linklerini kullanmayın. Erişmek istediğiniz
web sayfasının adresini tarayacınızın adres satırına kendiniz yazın. Sadece
sayılardan oluşan web adresi ile karşılaşırsanız dikkatli olun, çoğu kurum ya
da kuruluş web adresi olarak isim kullanmaktadır."dedi.
Kullanılan Antivirüs ve
Antispyware'lerin birçoğu yetersiz.
Antivirüs ve Antispyware'lerin
birçoğunun hala imza tabanlı çalışıyor olduğuna değinen Öztürkçi, istemci tarafında güncel tutulmayan Antivirüs
ve Antispyware yeni çıkan zararlı kodları engelleyemediğini vurguladı. Zararlı
kodların varyantları çıktığında Antivirüs ve Antispyware yeni varyantın
imzasına sahip oluncaya dek istemcinin tehlikede. Olduğunu ve Zararlı kodların
birçoğu öncelikle bulaştıkları bilgisayarlardaki Antivirüs ve Antispyware
yazılımını hedef alındığının bilinmesi gerektiğini söyledi.
Şirket bilişim sisteminin
takipçilerine bir dizi önerilerde bulunan Halil Öztürkçi, "Gizli bilgileri
paylaşacağınız kişilerin kimlik bilgilerini doğrulayın (Telefon, internet
sohbeti vb. uzaktan iletişim araçları ile yapılan bilgi değişimlerinde karşı
tarafın kimlik beyanına güvenmeyin). Gizli ya da hassas bilgileri halka açık
yerlerde anlatmayın. Kurum dışına gönderdiğiniz gizli bilgilere ilişkin takip
(kim tarafından gönderildiği, kime ya da kimlere gönderildiği, kargo bilgileri)
kayıtlarını tutun. Gizlilik derecesine sahip dökümanları (formlar, raporlar,
fax'lar vb.) ve medyaları (CD,DVD,USB disk, Memory Stick, disket, kaset vb.)
masanızın üzerinde üçüncü şahıslar tarafından kolaylıkla erişilebilecek şekilde
bırakmayın ve mesai saatleri dışında bu belgeleri ve medyaları kilitli
dolaplarda saklayın. Gizli belgelere ve gizli bilgi içeren medyalara ihtiyaç
kalmaması halinde tekrardan okunamayacak şekilde uluslararası standartlar
tarafından belirlenen kriterlere uygun şekilde imha edin." dedi.
Güvenlik süreçlerini atlatma
yöntemlerine de dikkat çeken Adli Bilişim Uzmanı Halil Öztürkçi, bu yöntemlere
takılmama uyarısında bulundu: "Omuz sörfü: Şifre yazılırken ya da erişim
kısıtlı sistemlere erişilirken saldırılanın izlenmesi, Çöp karıştırmak: Çöpe
atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi içerebilecek
eşyaları incelemek, Eski donanımları kurcalamak: Hurdaya çıkmış, ikinci el
satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe
edilmiş donanımın içeriğini incelemek şeklinde olabilir."dedi.
Çalınabilir & Kaybolabilir
Bilgilerin başkalarının eline
geçmesi halinde çıkacak sorunları anlatan Adli Bilişim Uzmanı Halil Öztürkçi,
"Laptop'larınızı boot sırasında şifre soracak şekilde yapılandırın. Disk
şifreleme çözümlerinden birisi ile disklerinizi şifreleyin."dedi.(Selçuk KILINÇ)