Aşağıda sayısal dijit (binary) kod olarak gösterilen verinin (datanın) nasıl anlamlı bilgiye dönüştüğü gösterilmiştir. Data- 100 1111 101 0011 101 1001 100 1101 Bilgi-

Mustafa DEMİRCİ Adli Bilişim Uzmanı

Bilgi güvenliği, bilgilerin her türlü ortamda saklanması ve taşınması esnasında bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme ve koruma çabalarının tümü diyebiliriz. Bilginin korunması sırasında izlenecek yöntemleri belirleme işine ise kısaca Bilgi Güvenliği Yönetim Sistemi demek pek de yanlış olmayacaktır. Bilgi güvenliğinin kurumlar için önemine geçmeden önce bilginin ne olduğunu anlamamızda fayda vardır.

B

ilgi Nedir?

S

Y

M

BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği; bilgilerin izinsiz erişimlerden, izinsiz kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar görmesinden koruma işlemidir. İşleyişi bozabilecek her türlü risk bilgi güvenliği için tehdit oluşturmaktadır. Bu risklerin olabildiğince azaltılması sistem ve bilgi güvenliğinin artmasını sağlamaktadır. Ancak alınacak önlemlerin; kullanımı zorlaştırmaması, işlevselliği etkilememesi, güvenilir ve maliyeti etkin olması gerekmektedir. Bilgi güvenliğine ilişkin uluslararası standartlar bilgiyi bir kurumun önemli değerlerinden biri olarak tanımlamakta ve sürekli korunmasını istemektedir. Bilginin korunması gereken temel nitelikleri olarak:

En kısa tanımıyla bilgi, işlenmiş “veri”dir. Bilgi: Herhangi bir konu ile ilgili verilerin bir araya gelmesi ile oluşan açıklayıcı ifadeler bütünü olarak da tanımlanabilir. Veri (data): Olguların harf, sayı, renk gibi sembollerle ifade edilmesidir. Veri Tipi (string)

O

Veri Tipi (date)

Mustafa 1970 “Mustafa 1970 Doğumludur” ifadesi bilgidir.

o o o

Gizli yanının açığa çıkarılmaması, Bütünlüğünün bozulmaması, Kullanımına ihtiyaç duyulduğunda ulaşılabilir olması şeklinde tarif edilebilir.

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. ISO–27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC 27001 “Bilgi Güvenliği Yönetim Sistemi” standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. 1

BGYS sisteminin oluşabilmesi için üç fonksiyonun (gizlilik, bütünlük ve erişilebilirlik) döngüsel olarak bir metodoloji ile sistemsel görevlerini yapabilmesi gerekmektedir. Bu döngüsel işleve kısaca PUKO (Planla, Uygula, Kontrol et, Önlem al) şeklinde tarif edilebilir. Gizlilik : Yetkisiz erişimlerin engellenmesidir. Bütünlük :Yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasıdır. Erişilebilirlik: ihtiyaç halinde kolay ulaşılabilir olmasıdır. Bilgi odak noktasında olmak şartıyla gizlilik, bütünlük ve erişebilirlik, fonksiyonu PUKO (Planla, Uygula, Kontrol Et, Önlem Al) Sistemi”nde bilgi güvenliği yönetim sisteminin omurgasını oluşturur.

Kurumsal bilgi güvenliği: varlıklarının tespit edilerek;

Kurumların

bilgi

1-Zafiyetlerinin belirlenmesi 2-İstenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak 3- Önlemlerinin alınması olarak düşünülebilir.

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN KURUMSAL FAYDALARI o Kişisel verilerin korunmasını sağlar. o Değerli bilgi varlıklarının yönetilmesine ve korunmasına yardımcı olur. o Uzun yıllar boyunca iş sürekliliği garanti eder. o Bir felaket halinde, işe devam etme yeterliliğine sahip olunmasını sağlar.

Şekil-1 PUKO döngüsü

o Her kademede bilgi güvenliğinin sağlandığını gösterir. o Yasal takipleri önlemeye yardımcı olur.

K

URUMSAL BİLGİ GÜVENLİĞİ

Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Bu anlamda; 1- Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. 2- Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. 3-Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz.

o Kurumun itibarını artırır. o En küçük güvenlik ihlali bile gayet yüksek maliyetli durumlara yol açabileceği için bu kontrollerin uygulaması ile bu maliyetler aza indirgenir. o Kurumsal veri bütünlüğü sağlayarak veri güvenliğini artırır. o

Çalışanların motivasyonunu arttırır.

2

Bilgi Güvenliği Yönetim Sisteminin en temel unsurları ise: 1. 2. 3. 4. 5. 6. 7. 8. 9.

Gizlilik (confidentiality), Bütünlük (integrity), Kullanılabilirlik (availability), Kimlik kanıtlama (authentication) İnkâr edememe (non-repudiation) Sorumluluk (accountability), Erişim denetimi (Access control), Güvenilirlik (reliability) Emniyet (safety) etkenleri dir.

Günümüzde gelişen internet teknolojileri ile beraber çoğu kurumlar kurumsal bilgilerini bu teknolojileri kullanarak uzak kullanıcılara ulaştırmaktalar ve hizmetlerini en iyi şekilde verme gayreti içerisindelerdir. Bu kurumlara en iyi örnek sağlık, eğitim, banka sektörü vb. verilebilir. Bütün bu güzel gelişmeler olurken internet hizmetlerini kullanarak işin içerisine biraz da sosyal mühendislik katarak internet ortamında dolandırıcılık sektörünün de boş durmadığına tanık olmaktayız.

İ

NTERNET DOLANDIRICILIĞI

İnternet teknolojilerinin kullanımı gün geçtikçe artmaktadır. Özellikle 2013 yılının ikinci yarısından itibaren masa üstü internet kullanımı yerini mobil cihazlara bıraktığını görüyoruz. İnternetin toplum hayatından yer alışı ile beraber klasik suç işleme yöntemlerinde de değişiklik olmuş ve siber suç oranları artmıştır. Siber suç (cybercrime) “Herhangi bir suçun elektronik ortam içerisinde işlenebilme imkanı bulunuyor; ve bu ortam içerisinde gerçekleştirilen fiil genel olarak hukuka aykırı veya suç olarak tanımlanabiliyorsa bu suçları siber suç” olarak tanımlayabilir. Dünyada internet kullanıcılarının 2/3 ‘nün ve bunlarında yılda %46’sının bilişim suçlarına maruz kaldığı bilinmektedir. Siber suçlular çok sayıda potansiyel kurbana, onları kandırmak, hile ile tuzağa düşürmek ve

saldırmak için tasarlanmış elektronik posta iletileri göndermektedir. İnternette dolandırıcılık suçları genellikle rastgele kullanıcılara ya da “Hacking Döngüsü” keşif aşamasında sistemlerine sızmak istenen kurumun personeline aldatıcı eposta iletileri göndermek suretiyle işlenmektedir. oltalama iletisi; kişileri kandırarak, aslı gibi görünen sahte bir siteye şifre, kredi kartı numarası veya banka hesap bilgileri girilmesini sağlamaktadır. Birçok aldatıcı oltalama girişimi; sahte e-posta iletileri kullanılarak başarılı bir şekilde gerçekleştirildiğinden, Siber Suçlular; posta sunuculardaki SMTP protokol açıklıklarından faydalanarak reklam içerikli “spam” adı verilen istenmeyen iletileri çok sayıda kullanıcıya göndermektedir. Siber suçlular spam postaları ne kadar çok insana ulaştırabilirlerse, o kadar çok insanın kurban olabileceğini bildikleri için gönderebildikleri kadar çok insana bu iletileri gönderirler. Ayrıca Kullanıcılara bankalarından, çevrimiçi alışveriş sitelerinden, ya da GSM operatörlerinden gerçek e-posta iletileriyle birebir örtüşen sahte e-posta iletileri gönderilmek suretiyle de kurbanların şüphe duyması engellenmektedir. Smishing veya ‘SMS Phishing’ mobil telefon kullanıcılarını hedef alan bir saldırı türü olup özellikle güvenlik bilinci ve farkındalığı yeterli düzeyde olmayan kullanıcıların gizli ve kişisel bilgilerinin ele geçirilmesini sağlamaktadır. Genellikle, gelen kısa mesajda kullanıcıları ikna edecek ifadeler yer almakta kullanıcıdan mesaj içindeki URL adresine bağlanması suretiyle veya verilen bir telefon numarasını araması suretiyle saldırıya müdahil olması beklenmektedir. Gerçekte bağlanılacak URL adresi aldatıcı olup kimlik hırsızlığı amacıyla kullanılmaktadır. Aranacak telefon numarasının da kişisel bilgilerin kayıt edildiği bir telesekreter servisi ya da 3

inandırıcılığı artırmak için sahte bir çağrı merkezi olmaktadır.

B

İLİŞİM SUÇLARININ HUKUKİ

BOYUTUNU BİLİYOR MUYUZ? Yapılan araştırmalarda ülkemizdeki bilişim suçları araştırmalarında bu suçların aşağıdaki şekilde gruplandığını görüyoruz.

Dolandırıcılık, (kredi kart veya kişisel bilgileri satma) Cinsel istismar, (pornografik pazarcılık) Stalking, (Taciz etme, sapıklık) Hakaret (Boşanma davaları, tehdit, şantaj vs.) Ulusal veya Uluslararası TERÖRİZM gruplanması

TÜRK CEZA KANUNUNDA BİLİŞİM SUÇLARI Bilişim Suçları: “Bilgisayar, çevre birimleri, pos makinesi, cep telefonu gibi her türlü teknolojinin kullanılması ile işlenen suçlardır”. Peki bilişim suçlarına 5237 sayılı Türk Ceza Kanunu hangi cezai müeyyideleri öngörüyor? Şimdi bu cezaların bazılarını görelim:

 E-posta Ele Geçirme Cezası (1) Bir başkasının e-posta adresini ele geçirene TCK 'nın 243. maddesine göre: a) iki yıla kadar hapis yada b) Parasal cezai işlem uygulanır. (2) Ele geçirilen e-posta içeriğindeki bilgilerde eksiklik yada bir değişiklik varsa kesin olarak 243.

maddenin üçüncü fıkrası uygulanıp para cezasını kaldırarak suçluya: a) İki yıl veya b)Dört yıl arasında hapis cezası uygulanır. (3) Suçlu eğer bu e-postayı tehdit veya zoraki yoldan alırsa devreye TCK nın 107. maddesine göre 243. cezalara ek olarak: a) Bir yıldan üç yıla kadar hapis cezası ile b) Beşbin güne kadar parasal ceza işlemine karar verilir. (4) Ayrıca, e-posta adresi ele geçiren kişi bir kamu kuruluşunda çalışıyor ise bu sefer 243 ve 107. maddeye ek olarak 113. maddeye göre : «Bir yıldan üç yıla kadar hapis cezası» istemi ile cezalandırılır.

 Sahte Hesap Oluşturma Cezası (1) Bir kişi ve kurum adına açılan profil hesabında, o kişinin fotoğrafı, kimlik bilgileri, kişisel e-posta hesabı, meslek bilgileri yani o kişiyi tanımlamaya yarayacak birtakım kişisel bilgiler hukuka aykırı olarak kaydedilmiş ise TCK 135/1’e göre: «üç yıla kadar hapis cezası» verilebilecektir. (2) Kişisel bilgilerin yer aldığı bu profil hesapların veya grupların, hukuka aykırı olarak başka kişilere yayılmasını sağlayanlar TCK 136 gereği bir yıldan dört yıla kadar hapis cezasına çarptırılır.

 Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi Cezası (1) Hukuka aykırı kaydeden kimseye,

olarak kişisel verileri

(2) Kişilerin siyasi, felsefi, veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel bilgileri kişisel veri olarak kaydeden kimse “bir yıldan üç yıla kadar hapis cezası verilir.”

4

BİLGİ GÜVENLİĞİNİ 657 SAYILI DEVLET MEMURLARI KANUNU ÇERÇEVESİNDE DEĞERLENDİRME

H

Devlet Memurları Kanunu maddeleri açık bir şekilde bilgi güvenliği üzerinde durmasa da aslında bazı maddelerinde zımnî olarak bilgi güvenliğinin ne kadar önemli olduğunu anlayabilir. Mesele aşağıdaki maddelerini buna örnek olarak verebiliriz.

Tıbbi Bilgi ve Dokümanlar nelerdir?

Tarafsızlık ve Devlete Bağlılık madde-7’de “…siyasi ve ideolojik hiçbir şekilde beyanda ve eylemde bulunamazlar ve bu eylemlere katılamazlar.” denilerek devlet memuru olan personelin kurumun itibarını zedeleyici herhangi bir beyan ve eylemde bulunamayacağını belirtmektedir. Madde-9’da ise, yurtdışında görevli olan personelin devletin itibarını zedeleyici faaliyetlerini yasaklarken, madde-14’de bilginin doğru ve güvenilir olması çerçevesinde mal bildiriminin doğru bilgiler içermesi gerektiğini düzenlemiştir. Ayrıca madde 125(C,D,E) fıkralarındaki cezalar irdelendiğinde ise devlet memurluğundan bile çıkarılabilecek hükümler düzenlenmiştir. Kurumumuza bağlı tüm sağlık tesislerinde etkili ve verimli bir şekilde vatandaşın sağlık hizmetini en güzel şekilde alabilmesi için ilgili sağlık tesisi tarafından hastaya ait kişisel veya tıbbi bilgilerinin güvenli bir şekilde kayıt edilmesi, o bilgilere yetkisiz kişilerin erişmemesi son derece önemlidir.

ASTALARIN VE ÇALIŞANLARIN

KAYITLARININ GÜVENLİĞİ

Hastaların yatarak veya ayakta tedavi süreçlerinde tanı ve tedavileri ile ilgili hastanenin bölümleri tarafından ortaya konan teşhis veya tedavi analizlerinin kağıda yazılmış kayıtlar, resim, film, bilgisayar çıktısı olarak bulunan ve elektronik ortamda saklanan her türlü bilgiye tıbbi bilgi denilmektedir. Bu bilgilere hastanın hastalığının seyrini tarif eden periyodik gelişme notları da dahil olup, hastanın kişisel verileridir.

HASTA HAKLARI AÇISINDAN TIBBİ KAYITLARIN ÖNEMİ VE BİLGİ GÜVENLİĞİ Hasta hakları yönetmeliğinin 16. maddesinde; " hasta, sağlık durumu ile ilgili bilgiler bulunan dosyayı ve kayıtları, doğrudan veya vekili veya kanuni temsilcisi vasıtası ile inceleyebilir ve bir suretini alabilir. Bu kayıtlar, sadece hastanın tedavisi ile doğrudan ilgili olanlar tarafından görülebilir." denildiğinden bu kayıtlara kimlerin erişim hakkı olduğu vurgulanmıştır. Kayıtların mülkiyeti esasen sağlık kuruluşuna ait olduğundan, hastane bu belgelerin aslını vermek zorunda değildirler. Buna karşılık hasta bedelini ödemek karşılığında bu belgelerin suretini alabilir. Diğer yandan hastayla ilgili kayıtlar yalnızca tedavisiyle doğrudan ilgili kişilerce görülebilir. Başka bir sağlık personeli dahil hiç kimse bu bilgileri görmeye ve incelemeye yetkili değildirler. Bu nedenle mahremiyete konu olan tedavi ve tanı belgelerinin yetkisiz personelin eline geçmemesi amaçlanmıştır. Ayrıca aynı yönetmeliğin 17. maddesine göre; "hasta, sağlık kurum ve kuruluşları nezdinde bulunan kayıtlarında eksik belirsiz ve hatalı tıbbi ve şahsi bilgilerin tamamlanmasını, açıklanmasını, düzeltilmesini ve nihai sağlık durumu ve şahsi durumuna uygun hale getirilmesini isteyebilir. Bu hak, hastanın sağlık durumu ile ilgili raporlara 5

itiraz ve aynı veya başka kurum ve kuruluşlarda sağlık durumu hakkında yeni rapor düzenlenmesini isteme hakkını da kapsar." denildiğinden bilginin bütünlük arz etmesi konusunda son derece önemlidir. Teşhis ve tedavi sonucunda başka bir hastaya ait bilgilerin raporlara işlenmesi veya yapılan teşhis ve tedavi sonuçlarının yanlış kaydı geri dönüşü mümkün olmayan olumsuz sonuçlar doğurabilir.

Neden Kayıt Tutuyoruz?  Kayıtlar yasal belgelerdir ve delil elde etmede

başvurulacak belgelerdir.  Kayıt tutmakla; hastalar, kurum çalışanları ve

kurum korunur. istenilen bilgilerin toplanmasını sağlar, Bilginin unutulmasını önler, Birden çok bireyin bilgiye ulaşmasını sağlar, Bilginin toplanmasını hızlandırır, Yanlışlıkları önler, Bu bilgiler birleştirilerek ve işlenerek daha sağlam bilgiye/sonuca ulaşılır, Hastanın değerlendirilmesini sağlar, Personelin niteliğinin değerlendirilmesini sağlar, Kurumlaşmayı sağlar, Mesleğin profesyonelleşmesi için gereklidir, Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Hasta taburcu olmuş ise hiçbir kurum çalışanı hastanın sağlık kayıtlarına erişemez. Hastanın rızası olmadan hiçbir çalışan sözle de olsa hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Hasta sağlık bilgileri ticari amaçlı olarak da üçüncü şahıslara iletilemez. Hastanın kullandığı ilaçlar, diyet programları vs. buna dahildir. Hastanın dosyasının izlenmemesi için gerekli tedbirler alınmalıdır. Hasta dosyalarının

 Yalnızca           







gelişigüzel ortada bırakılmaması, bilgisayar ekranının başkalarınca okunabilecek şekilde bırakılmaması gibi.  Telefon ile konuşurken hasta ile ilgili mahrem bilgilerin üçüncü şahısların eline geçmemesine azami özen göstermelidir.  Bütün hasta sağlık kayıtları fiziksel olarak korunmuş mekanlarda saklanmalıdır.  Elektronik hasta kayıtlarına internet ortamından erişim mümkün olmamalıdır.

Mahremiyete Saygı Gösterilmesi Hasta hakları yönetmeliğinin 21 maddesi hastanın, mahremiyetine saygı gösterilmesini düzenlemiştir. Hasta mahremiyetinin korunmasını açıkça talep de edebilir. Dolayısıyla her türlü tıbbi müdahalenin hastanın mahremiyetine saygı gösterilmek suretiyle icra edilmesi esastır.

Mahremiyete saygı gösterilmesi ve bunu istemek hakkı  Hastanın, sağlık durumu ile ilgili tıbbi değerlendirmelerin gizlilik içerisinde yürütülmesini,  Muayenenin, teşhisin, tedavinin ve hasta ile doğrudan teması gerektiren diğer işlemlerin makul bir gizlilik ortamında gerçekleştirilmesini,  Tıbben sakınca olmayan hallerde yanında bir yakınının bulunmasına izin verilmesini,  Tedavisi ile doğrudan ilgili olmayan kimselerin, tıbbi müdahale sırasında bulunmamasını,  Hastalığın mahiyeti gerektirmedikçe hastanın şahsi ve ailevi hayatına müdahale edilmemesini,  Sağlık harcamalarının kaynağının gizli tutulmasını, isteyebilir. Hatta ölüm olayı, mahremiyetin bozulması hakkını vermez. Gerek iş yerimizde gerekse kurumlarımızda işlenen bilgilerin çoğu internet teknolojilerinin alt yapısını kullanarak ilgili veri tabanlarına işlenmektedir. Peki interneti kullanırken nelere dikkat etmeliyiz? 6

İNTERNET ERİŞİM VE KULLANIMI

2) E-Posta Gönderirken Dikkat Edilmesi Gereken Hususlar:

1) İnternet Kullanımında Dikkat Edilecek Hususlar Yaşamın her alanında haklarımız olduğu gibi, haklarımızı/özgürlüklerimizi kullanırken uymamız ve dikkat etmemiz gereken kurallar vardır. İletişim özgürlüğü içinde yer alan Internet kullanımında da dikkat etmemiz gereken kurallar, Internet´ten güvenli bir şekilde yararlanmak açısından önem taşımaktadır. Internet kullanıcılarının kısaca dikkat etmesi gereken hususlar kısaca şunlardır:  Her şeyden önce Internet ve bilgisayarda çok fazla vakit geçirmeyin.  Bilgisayarın önünde uzun süreli hareketsiz kalmayın, kambur oturmayın; sırtınızı destekleyecek bir sandalye veya oturma alanı seçin.  Uygun ve sizin için güvenli olan Internet sitelerinin adreslerini belirleyin.  Internet ortamında tanımadığınız kişilerle sohbet etmeyin, iletişim kurmayın.  Ziyaret ettiğiniz sitenin "güvenlikle ilgili sorularını" dikkatlice okuyun, sitenin sizden istenilen bilgileri ne amaçla istediğini iyi öğrenilmesi gerekir.  Resminizi, adresinizi, telefon numaranızı, kredi kart numaranızı ve diğer kişisel bilgilerinizi internet sohbet ortamlarına vermeyin, kaydetmeyin.  Internet kullanıcı adınızı ve şifrenizi kimseye vermeyin.  Internet ortamında, sohbetlerde sizi rahatsız eden görüntü, ses ve yazılar yer alırsa hemen bulunduğunuz Internet ortamından çıkın.  Internet ortamında yeni tanıştığınız kişiler her zaman sizin yaşınızda olmayabilir. Kimlikleri ve yaşlarıyla ilgili sizi yanıltabilirler.  Internet ortamında alış veriş yaparken çok dikkat edin.  Internet sitelerinden bilgisayarınıza yükleyeceğiniz veya indireceğiniz programlar ve içerikler hakkında bilginiz yok ise kesinlikle indirmeyin/yüklemeyin.  Internet ortamında başkalarını rahatsız edecek davranışlarda bulunmayın,  Internet ortamında size karşı kaba dil kullanan, sizi rahatsız ve tehdit eden kişileri emniyetin ilgili birimlerine ve servis sağlayıcınıza bildirin.

E-posta gönderdiğiniz olabilir bu yüzden: 







insanlar

meşgul

Konu satırını kullanın. E-posta oluştururken bu konuyu unutabilir, yada acele ile es geçilebilir. E-postanın gelen kutusuna bakan kişi, sizin e-postanızı gördüğünde, onun içeriğini anlayacaktır ve ona göre öncelik hakkı tanıyabilir. Ayrıca bazı e-posta sistemlerinde, konusuz e-postalar SPAM/Gereksiz olarak adlandırılır. Açık ve anlaşılır olun. E-postaları ne kadar okunaklı ve akıcı yazabilmenizden ziyade, iletilerinizin alıcıları kısa ve öz olan epostaları sevmektedirler. E-posta iletinizde istek ve önerileriniz mutlaka kısa, öz ve anlaşılır olmalı, mecbur kalınmadıkça mecazi anlatıma yer verilmemelidir. İletileri paylaşmayın. Size birebir gönderilen iletileri, mecbur kalmadıkça kopyalayıp başkalarına göndermeyin, alıntılar varsa bildirin. Hızlıca cevap verin. İletileri Gelen Kutusu'nda cevapsız öylece bırakmayın. Gönderen kişiye mutlaka geri dönüş yapın, eğer hemen yanıt verecek durumda değilseniz, mutlaka bildirin.

İnsanlar çok hassastır, bu yüzden: 



Noktalama işaretlerini peşpeşe kullanmayın. Cümlelerin sonuna, ???? yada !!!! gibi noktalama işaretlerinin ardarda konularak oluşturulan epostalarda, alıcı oluşturan kişinin kızgın veya bağırarak konuştuğunu düşünebilmektedir. Noktalama kurallarına uyarak yazınız. Cümleyi büyük harfler kullanarak yazmayınız. Sadece büyük harf kullanarak yaptığınız konuşmalar SİZİN BAĞIRARAK KONUŞTUĞUNUZ ANLAMINA GELMEKTEDİR. Bağırmak kabalık olarak nitelendirileceğinden, normal olarak yazmanız tavsiye edilir. Eğer bazı konuların üzerinde durmak istiyorsanız,

7





bunu cümle içinde belirtmenizde fayda vardır. Göndermeden önce, sesli bir şekilde okuyun. Anlatmak istediğiniz herşeyi tam olarak yazdığınızı düşündüğünüz anda, gönder tuşuna basmadan önce e-postayı sesli olarak okumanız kendinizi alıcının yerine koymanızı sağlayacaktır. Düşünceniz yazılı olarak ifade edilmişse, geri almak zordur. Kızgınken sakın yazmayın. Belki en sık önerilen fakat çiğnenen etik kurallarından biridir bu.

Herkes teknolojiyi sizin kadar takip etmiyor olabilir, bu yüzden: 



Çok fazla simge kullanmayın. İletilerde, gülümsemeleri kullanmak bugünlerde duyguları anlatmanın sıkça kullanılan bir yoludur. Fakat şakacı ile alaycı gülümsemeler arasındaki farkı yeterince biliyor musunuz? Bu tür ifadeler kullanarak, istemeden insanları kırabilmek çok kolaydır. Bunlardan uzak durmanız tavsiye edilmektedir. Kısaltılmış terimleri çok fazla kullanmayın.

Resmi bir e-posta nasıl yazılır? İş hayatı içinde bazen formal yani resmi ifadeler içeren e-posta yazma ihtiyacı hissederiz. Bazen bir üstümüze, bazen farklı bir iş birimindeki bir kişeye, bazen de farklı kurumdan bir kişiye mail atmak gerekebilir. Mail yazmanın kendi içinde bazı kuralları vardır. Resmi içerikli e-posta yazarken:  “To:” kısmında mesajı kime gönderiyorsanız

onun mail adresini yazın.  “Cc:” kısmında mesajı bilgi amaçlı olarak kimin

görmesini istiyorsanız onun adresini yazın. (Buraya yazdığınız e-posta adresi alıcı tarafından da görülür.)  “Bcc:” kısmında bilgi amaçlı olarak kimin görmesini istiyorsanız onun adresini yazın. (Buraya yazdığınız e-posta adresi alıcı tarafından görülmez.)  Mesaj başlığında mesajınızın ne hakkında olduğunu belirten açıklayıcı fakat fazla uzun olmayacak şekilde bir başlık atın. Başlığınızın









sadece küçük harflerde ve sadece büyük harflerden oluşmaması gerekir. Hepsi küçük harf olan başlıklar gayriciddi, hepsi büyük harf olan başlıklar ise agresif bir tona sahiptir. Mesaj içeriğinde giriş kısmında bir hitap kullanılmalıdır. Eğer mesajı ismi belli olan bir kişiye atıyorsanız “Merhaba Xyz Bey/Hanım,” şeklinde, eğer tanımıyorsanız “Sayın İlgili/Yetkili,” şeklinde bir ifade kullanabilirsiniz. Mesaj girişi yaptıktan sonra alta geçip bir satır boşluk bırakın. Sonra mesajınızı yazın. Mesajınız uzunsa paragraflara bölün. Mesaj dili olarak siz/biz tonunda kalın. Mesaj anlatımı bittikten sonra bir satır boşluk bırakın. Mesajı bitirirken iyi dilekler ile bitirin. Örnek olarak “İyi günler dilerim.”, “İyi çalışmalar.”, “Teşekkürler.”, “Saygılarımla.” vb. ifadeleri kullanabilirsiniz. En son kısımda ad, soyad, unvan ve iletişim bilgilerini verebilirsiniz.

PAROLA OLUŞTURMA TEKNİKLERİ Deneme yanılma yolu ile ele geçirilmesi oldukça zor olan parolalara güçlü parola denir.

Güçlü parola ne demektir, nasıl oluşturulur? Oluşturulan bir parolanın "güçlü" kabul edilebilmesi için aşağıdaki özellikleri göstermelidir.   

En az 8 karakterden oluşur. Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içerir. Büyük ve küçük harfler bir arada kullanılır.

Bu kurallara uygun parola oluştururken genelde yapılan hatalardan dolayı saldırganların ilk olarak denedikleri parolalar vardır. Bu nedenle parola oluştururken aşağıdaki önerileri de dikkate almak gerekir. 8

 Kişisel bilgiler gibi kolay tahmin edilebilecek

bilgiler parola olarak kullanılmamalıdır. (Örneğin doğum tarihiniz, çocuğunuzun adı, soyadınız, .... gibi)  Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.  Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır. Kurumlarda parola güvenliğini sağlamak amacı ile parola oluşturma ve değiştirme politikaları geliştirilir. Bu politikalara uygun hareket etmek tüm kurum çalışanlarının sorumluluğudur. Hatırlaması kolay güçlü parola önerileri Hem güçlü parola oluşturmak hem de bunları yazılı ortamda saklamadan hepsini hatırlamak zor olabilir. İşte size bu durumu kolaylaştıracak bir kaç ipucu: Cümlelerin baş harflerini birleştirebilirsiniz. Nasıl mı? Günlük hayatınızdan kolay hatırlayacağınız herhangi bir cümle kullanabilirsiniz.

Tabii klişe ve kolay tahmin edilen, basit bir ifade ya da cümle ("My Pass", "benim şifrem" gibi) olmamak şartı ile. Örneğin    

Ali’nin Ayşe’ye 20TL Borcu Var. Ankara’ya 10 Saatte mi Geldin? Dikkat!Yolda3KişiVar. OtobüsümKızılay'dan17:30'daKalkar.

Benzer rakam ve harfleri birbirinin yerine kullanabilirsiniz. Nasıl mı? Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir. 'B' yerine 8 'I', 'i', 'L', 'l' yerine 1 'S' yerine 5 'G' yerine 6

'Z' yerine 2 'O' harfi yerine 0 'g' yerine 9

Örneğin Balıkçıl-Kazak 8a11kç11Ka2ak Solaryum! 501aryum!

Benzer şekilde    

Atasözlerinden Şarkı sözlerinden Şiirlerden ...

seçeceğiniz cümlelerin aralarında rakamlar ve özel karakterler kullanarak çok daha güçlü bir parola oluşturmanız mümkün. Örneğin  Bir elin nesi var, iki elin sesi var. --> 1Env,2Esv.  10 Yılda 15 milyon genç yarattık her yaştan. --> 10Y15mgyhy.  Ben 1996 yılının 7. ayında mezun oldum --> B1996y7.amo  Mezuniyet tarihim 1998 yılının 4. ayıdır. --> Mt98y4.a Cümleleri olduğu gibi parola yapabilirsiniz. Nasıl mı? Özellikle rakam ve karakter içeren cümleler hoş olacaktır.

Bazı kelime, harf ya da rakamlar yerine özel karakterler kullanabilirsiniz. Nasıl mı? Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir. 'T', 't' yerine '+' "kar", "yıldız" yerine '*' "Soru" yerine '?' "gül" yerine ':)' "bir", "tek" yerine 1

'Ş', 'ş' yerine '$' "dolar", "para" yerine '$' "gibi" yerine '~' "eksi" yerine '-' "yüz", "yüzde" yerine '%'

Örneğin "Dün Kar Yağmış" : Dün*Yağm1$ "Şeker gibi bir soru sordu" : $eker~1?Sordu "Tek eksiğim bir güldü" : 1-ğim1:)dü "Yüzeysel bir soru eşittir eksi puan": %eysel1?=-Puan 9

DİKKAT! Güçlü gibi göründüğü halde zayıf olan parola oluşturmamalı. Nasıl mı? Güçlü gibi görünse de çok kullanılan ve çok kolay tahmin edilebilen parolalardan kaçınmak gerekmektedir.

İnternetin hayatımıza girmesi ile de birçok virüs internet üzerinden bilgisayarlara girmekte ve yayılmaktadır. İnternet aracılığı ile bir takım web sitelerinden indirdiğiniz programlar, aldığınız dosyalar, e-postanıza gelen açtığınız mailler ve güvenilmeyen bir sitede tıkladığınız bir yerden bilgisayarınıza virüs bulaşabilir.

Bu parolalar klavyedeki harf sırası, alfabedeki harf sırası gibi popüler kurallardan oluşturulmaktadır.

Virüs Çeşitleri Nelerdir?

Örneğin:

Günümüzde birçok virüs çeşidi vardır. Bunlardan başlıcalarını sıralamak gerekirse;

    

"123qwe", "qwe123", "123qweasd", "qwer1234", ... "qweasd", "123QweAsd", "asd12345", "Asd123", ... "qwerty", "qwerty123", "qazwsx123", ... "abc123", "123abc", "1234abcd", ... "123456", "987654321", "1234qqqQ", ...

Bilgisayarlarımızı güçlü parolalarla korumamızın yanında virüsler ve hack saldırganlarından da korumamız son derece önemlidir.

VİRÜS VE KORUNMA

SALDIRGANLARDAN

 Truva Atları (Trojen Horses): Bir program

içerisinde gizli bir şekilde gelip bilgisayarınıza yerleşen ve çalıştırılmasıyla birlikte arka planda gizli olarak aktif olan bir virüs çeşididir.  Solucanlar (Worms): Bağımsız olarak çalışabilen, herhangi bir dosyaya gizlenmeye gerek duymadan ağ bağlantıları üzerinden yayılabilen ve çoğalma özelliği olan virüs programlarına denir.  Makro (Macro) Virüsler: Makrolara sahip, birtakım programlar veya uygulamalar aracılığıyla üretilen dosyalara bulaşabilen virüslere denir.

Bilgisayar Virüslerinden Nasıl Korunabilirim? Virüs, bilgisayar kullanıcısının bilgisi ve izni haricinde olan, bilgisayar zarar vermek amacı ile bilgisayarın çalışma prensibini değiştiren, bir takım dosyalar içerisinde gizlenebilen ve temizlenmedikçe bilgisayarı adeta ele geçiren bir tür bilgisayar yazılımıdır. Bilgisayar virüsleri genelde zarar vermek için kullanılsa da, aslında iki temel görev için üretilirler; bunlar virüsün kendini çalıştırabilmesi ve çoğaltabilmesidir.

Bilgisayara Virüs Nasıl Bulaşır ve Yayılır? Bilgisayarlar ilk çıktıkları yıllarda virüsler, sıkça kullanılan CD ve disket aracılığı ile yayılmaktaydı.

 Öncelikle bilgisayarınızda mutlaka bir adet

lisanslı ve sürekli güncellenebilen bir anti-virüs programı kullanın. Sizlere Esed Nod32, Kaspersky, Mcafee ve Norton Antivirüs programlarından birini önerebiliriz. Bu programlar yeni çıkan virüslere karşı sürekli olarak güncellendiği için, bilgisayarınıza virüs bulaşma riskini en aza indirir.  Güvenilir olmayan sitelerden dosya indirirken dikkatli olun, mümkünse güvenilmeyen sitelerden indirme işlemi yapmayın, dosyada virüs olup olmadığını Anti-virüs programınızla denetleyin.  Crackli diye adlandırılan, ücretli bir programı/yazılımı ücretsiz bir şekilde kullanıcıya sunan dosyaları indirmeyin, bu dosyalara talebin çok olması ve yasadışı olmaları sebebi ile içlerinde virüs olma ihtimali fazladır.  Tanımadığınız kişilerden gelen e-postaları açmayın ve posta içerisindeki hiçbir linke tıklamayın.

10

 Tanımadığınız kişilerden, sohbet programları

vb… yerlerden bulunmayın.

dosya

alışverişinde

Bilgi Güvenliği Seminer konuları aşağıdaki başlıklar altında ele alınarak işlenmiştir.

KURUMUMUZDA BİLGİ GÜVENLİĞİ SEMİNERİ DÜZENLENDİ

Genel hatlarıyla seminer konuları aşağıdaki şekilde ele alınmıştır:

Bilişim suçları, sosyal ağların kullanım durumları, bilişim suçlarının hukuki boyutları ve kamu kurumlarında siber güvenlik konsepti konularının derinlemesine ele alındığı ve kendi alanlarında son derece donanımlı Gazi Üniversitesi Adli Bilişim Ana Bilim Dalı öğretim üyesi, Askeri Yargıtay ve Türkiye Kamu Hastaneleri Kurumu Adli Bilişim Uzmanlarınca 27.08.2015 tarihinden düzenlenen “BİLGİ GÜVENLİĞİ” semineri Kurumumuz personeli dışında diğer kamu personeli ve özel sektör katılımı ile büyük ilgi görmüştür.

a) Bilişim Suçlarının Sınıflandırılması, Bu Suçların İşleme Yöntemleri, b) İnternet Dolandırıcılığı, c) Şifreleme Kavramı ve Bireysel Kötücül Yazılımlar d) Kişisel Ve Kurumsal Bilgi Güvenliği Nasıl Alınmalı, e) Genel Hatlarıyla İSO/İEC 27001 Bilgi Güvenliği Yönetim Sistemi, g) Dünyada Ve Ülkemizde Sosyal Ağlar, h) Sosyal Ağlarda İşlenen Bilişim Suçları, i) Kurumsal Zafiyet Durumu, j) Bilişim Suçlarının Hukuki Boyutu, k) Bilişim Suçlarının 5237 Sayılı Türk Ceza Kanunundaki Yeri Ve 657 Sayılı Devlet Memurları Kanunu Çerçevesinde Bilişim Suçlarının Değerlendirilmesi, l)Siber Savunma Konsepti, 11

m) Bilişim Güvenliğinde Ulusal Çalışmalar Ve Etkileri, m) Siber Savunma Ortamı, o) Konseptin Öngördüğü İhtiyaç, İmkan Ve Kabiliyetler Bilgi Güvenliği seminerinde özellikle bilişim araçlarının daha dikkatli kullanılması gerektiği, kurumsal veri tabanlarında kişisel bilgilerin önemi, Türk ceza Kanunu çerçevesinde bilişim suçlarının ele alındığı konular dikkat çekici bulunmuştur.

12