Bilgiyi saklama, bilgiye erişme ve bilgi iletişimi süreçlerinde bilginin bütünlüğünün ve gizliliğinin korunması, bilgiye yetkisiz erişimlerin engellenmesi veya tespitine yönelik tedbirlerin alınması işidir.
Not: Burada kullanıcılarımızın kişisel olarak dikkat etmesi gereken yöntemlere değinilecektir.
Bilgi Güvenliğine Yönelik Tehditler ve Korunma Yöntemleri
Kaba Kuvvet Saldırısı (Brute Force)
Saldırgan hedefinin kullanıcı adını veya şifresini bir yazılım aracılığıyla sistematik denemeler yaparak tespit etmeye çalışır.
Bu saldırı yönteminden kişisel olarak korunmak için basit olmayan şifreler kullanmak gerekir.
Sosyal Mühendislik
Kişisel veya kurumsal bilgilerin elde edilmesine yönelik her türlü materyalin toparlanması işidir. Saldırgan hedefine ait bilgileri “web sitesi”, “arkadaş sohbeti”, “çevre” gibi sosyal ortamlardan elde eder. Daha sonra bu verileri amacına yönelik bilgi veya şifre üretmede kullanır. Saldırgan ayrıca hedefinin ilgi ve tercihlerini de elde ederek ileride bahsedeceğimiz farklı yöntemlerle saldırı gerçekleştirebilir. Bu saldırı yönteminden korunmak için “kişisel önemi olan tarihler”, “çocukların isimleri”, “evcil hayvan ismi” gibi bilgileri ve bunların kombinasyonlarını şifre olarak kullanmamak gerekir.
Oltalama (Phishing)
Hedefin genellikle gönderilen e-postalarla aldatılıp sahte sayfalara yönlendirildiği saldırı yöntemidir. Bu süreçte sosyal mühendislikten elde edilen bilgiler de kullanılabilmektedir. Bu yöntemle bilgisayarlara zararlı yazılımlar indirilebilir veya kötü amaçlı yönlendirmeler yapılabilir. Saldırı esnasında hedef, bir sorunla karşılaşmış veya ilgi duyabileceği bir sayfaya yönlendiriliyormuş gibi oltalanır. Ya e-posta hesabı ile ilgili bir sorun olduğundan yönlendirildiği sayfada bilgilerini tekrar girmesi istenir, ya bir kargo şirketinin veya bir banka sayfasının aynı görünümde tasarlanan web sitesine erişiyormuş hissi verir.
Bu saldırı yönteminden korunmak için bilgilerin girileceği sayfa adreslerinin “https://” ile başlamasına ve adresin doğru olup olmadığına dikkat edilmelidir. Örneğin “https://www.halkbank.com.tr” yerine “http://www.halkbark.com”, “https://www.hepsiburada.com” yerine “http://www.hepsibirada.com” sayfasına ulaşıyor olabiliriz.
Ayrıca gelen e-postanın “kimden“ kısmında görünen ada kanmak yerine gerçek adresine bakmalıyız. Bunun için fare işaretçisini görünen ad üzerinde bekletmek yeterlidir. Böylece açılacak ipucu bildiriminde gönderenin e-posta adresi görünecektir.
Not: Sözkonusu e-posta kendi e-posta adresimizden gelmiş gibi görünüyor olabilir. Düşük olsa da birinci olasılık “saldırgan bizim e-posta hesabımızdan bize e-posta atmış”tır. Bu durumda hesabımıza ait şifre ve güvenlik bilgilerini acilen değiştirmek gerekir. İkinci olasılıkta ise sistemler arası haberleşme protokolleri manipüle edilerek yapılmış bir saldırı sözkonusu olup kayda değer bir durum değildir.
Spam Saldırıları
Burada anlatılan diğer yöntemlerle e-posta şifresini çaldırmış olan kullanıcıların e-posta hesaplarından binlerce/milyonlarca farklı hesaba reklam içerikli veya oltalama amacıyla e-posta gönderilerek yapılan bir saldırı türüdür. Bu tip saldırılar sonucu kurumumuza ait gumushane.edu.tr alan adı kara listeye düşmekte ve dolayısıyla diğer sistemlerle e-posta iletişimimiz engellenmektedir.
Bu duruma düşmemek için adres satırında “gumushane.edu.tr” veya “ghu.edu.tr” olmayan hiçbir sayfada e-posta şifremizi/parolamızı kullanmamamız gerekir. Burada anlatılan yöntemlere dikkat ederek parolalarımızın başkaları tarafından elde edilmesini engellememiz gerekir.
Zararlı Yazılımlar
Bilgisayar sistemlerine kötü amaçlar için bulaşan (istem dışı kopyalanan) yazılımlardır. Virüs, truva atı, trojan, casus yazılım, botnet, solucan gibi amacına yönelik olarak isimlendirilirler. Bu yazılımlarla sisteme zarar vermek, bilgileri silmek veya çalmak, başka sistemlere saldırıda aracı olarak kullanmak ve bilgileri şifrelemek gibi kötü amaçlar sözkonusudur.
Zararlı yazılımlardan korunmak için güncel bir antivirüs kurulmalı veya varsa işletim sisteminde bulunan güvenlik yazılımları aktif edilmelidir. Böylece bilinen zararlı davranışlara karşı güvenlik sağlanmış olur.
NOT: Belitilen hususlara ek olarak Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberine ulaşmak için Tıklayınız.