330 likes | 768 Views
E-Ticaret ve Bilgi Güvenliği. Gökhan Muharremoğlu Lostar Bilgi Güvenliği A.Ş. Akademik Bilişim 2012 Konferansı. Gökhan Muharremoğlu Kimdir?. Lostar Bilgi Güvenliği A.Ş. Bilgi Güvenliği Uzmanı TÜBİTAK Ulusal Bilgi Güvenliği Kapısı Yazar İ.Ü. Enformatik Bölümü Yüksek Lisans Öğrencisi.
E N D
E-Ticaret ve Bilgi Güvenliği Gökhan Muharremoğlu Lostar Bilgi Güvenliği A.Ş.Akademik Bilişim 2012 Konferansı
Gökhan MuharremoğluKimdir? Lostar Bilgi Güvenliği A.Ş. Bilgi Güvenliği Uzmanı TÜBİTAK Ulusal Bilgi Güvenliği Kapısı Yazar İ.Ü. Enformatik Bölümü Yüksek Lisans Öğrencisi
Sermaye, Türk Dil Kurumu’na göre: • «Bir ticaret işinin kurulması, yürütülmesi için gereken anapara ve paraya çevrilebilir mal veya ürünlerintamamı, anamal, başmal, kapital, meta, resülmal.» Sermaye Nedir? Bilginin kurumlar için öneminden bahsetmeden önce «sermaye» kavramının ne olduğu bilinmelidir.
Bilgi, Türk Dil Kurumu’na göre: • «İnsan zekâsının çalışması sonucu ortaya çıkan düşünce ürünü, malumat, vukuf.» • Bu durumda; Bilgi, kurumlar açısından: • «Kurum sermayelerinden biridir.» Bilgi Nedir? Bilgi güvenliğinden bahsetmeden önce «bilgi» kavramının ne olduğu bilinmelidir.
Güvenlik, Türk Dil Kurumu’na göre: • «Toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet.» • Güvenlik, bilgi açısından: • «Bilginin 3 özelliğinin korunmasıdır.» Güvenlik Nedir? Bilgi güvenliğinden bahsetmeden önce «güvenlik» kavramının da ne olduğu bilinmelidir.
Bilgi Güvenliği açısından korunması hedeflenen 3 özellik: • Bilginin Gizliliği • Bilginin Erişilebilirliği • Bilginin Bütünlüğü Bilgi Güvenliği Nedir? Bilginin 3 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
Bilginin sadece hedeflenen kişi ve kitleler tarafından erişilebilir olması. 1. Bilginin Gizliliği Bilginin 3 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
Bilginin hedeflenen kişi ve kitleler tarafından erişilebilir halde olması. 2. Bilginin Erişilebilirliği Bilginin 3 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
Bilginin içeriğinin kaynağında olduğu ve verilmek istendiği gibi hedef kişi ve kitlelere ulaşması. Bütünlük: Integrity«Tamlık, doğruluk, vs…» Korunması hedeflenen bu 3 özellikten herhangi biri veya birkaçını koruyamayan sistemler, güvenlik zafiyeti/açığı barındıran sistemlerdir. 3. Bilginin Bütünlüğü Bilginin 3 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
E-Ticaret, teknolojinin sağladığı elektronik iletişim olanakları ile yapılan bir ticaret yapma biçimidir. Bunun günümüzdeki en büyük ve yaygın örneği İnternet üzerinden yapılanıdır. E-Ticaret Nedir? Ticaretin temellerinin dayandığı iletişim konusu, iletişimin üzerindeki kısıtların azalmasıyla en önce insan ilişkilerini, buna bağlı olarak da ticaretin gelişimini etkilemiştir.
E-Ticareti yapan taraflar arasında gizli kalması, erişilebilir veya tutarlı olması hedeflenen bilgilerin korunmasını amaçlayan olgudur. Bu bilgiler: • Kredi Kartı Bilgisi • Özlük Bilgisi • Şirket Sırları • Fatura Bilgileri • Ve benzeri bilgiler… E-Ticaret’te Bilgi Güvenliği E-Ticaret, teknolojinin sağladığı elektronik iletişim olanakları ile yapılan bir ticaret yapma biçimidir. Bunun günümüzdeki en büyük ve yaygın örneği İnternet üzerinden yapılanıdır.
Tehdit & Risk Kavramları Fay hattı bir tehdittir. Onun yanı başına bina yapmak ise bir risktir. Her risk karşılığında bir tehdidin göze alınmasını gerektirir. Bir tehdit göze alınırken bir fayda beklentisi ile göze alınır. Tehditler ve Riskler Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
Bilgi Güvenliğinde Tehdit & Risk: En sık rastlanan tehdit unsuru, insan kaynaklı olan bilginin gizliliğini, erişilebilirliğini ve bütünlüğünü bozmaya yönelik olanlar ve kötü amaçlı yazılım kaynaklı olanlardır. Doğal afetler ve benzeri durumlar da Bilgi Güvenliğinde birer tehdit unsurudur. Bütün bu tehditleri göze alan fayda amaçlı yaklaşımlar ise riski oluşturur. Tehditler ve Riskler Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
Bilgi Güvenliği Bağlamında E-Ticaret Tehditleri: • Kurumsal Tehditler • Bireysel Tehditler E-Ticaret’teki Bilgi Güvenliği Tehditleri Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
1.Kurumsal Tehditler Kurum altyapısındaki bir bilginin güvenliğinin sağlanamaması. Örnek:Müşteri Kredi Kartı Bilgilerinin İfşası E-Ticaret’teki Bilgi Güvenliği Tehditleri Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
1. Kurumsal Tehditler Buradaki örnek için uygulanması tavsiye edilen çözüm: PCI-DSS Yönetişim Standardının hayata geçirilmesi Yönetişim? E-Ticaret’teki Bilgi Güvenliği Tehditleri Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
Kurumlarda Bilgi Güvenliği Uygulanması • Yönetişim: Hangi işlerin neden, ne zaman, nerede ve kim tarafından nasıl yapılacağının kararını veren olgudur… Yönetişim Kurumlarda Bilgi Güvenliğinin hayata geçirilmesi açısından birçok yöntem vardır.
Kurumlarda Bilgi Güvenliği Uygulanması • Bazı Güvenlik Yönetişim Standartları: ISO 27001COBITITILSOXPCI-DSS Yönetişim Kurumlarda Bilgi Güvenliğinin nasıl hayata geçirilmesi gerektiğini ve nasıl yönetilmesi gerektiğini izah eden standartlar vardır.
2. Bireysel Tehditler Kurumları ilgilendiren bazı tehditlerle beraber müşterinin kişisel bilgilerine yönelik olan güvenliğin sağlanamaması. Örnek: Müşteri Kredi Kartı Bilgilerinin İfşası E-Ticaret’teki Bilgi Güvenliği Tehditleri Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
2. Bireysel Tehditler Buradaki örnek için uygulanması tavsiye edilen çözüm: Örnek: Bireysel Bilgi Güvenliği Farkındalığının arttırılması Farkındalığın arttırılması için kullanılabilecek yöntemlerden biri, teknik bilgilerin kamuoyu ile paylaşılarak ilgi çekilmeye çalışılmasıdır. E-Ticaret’teki Bilgi Güvenliği Tehditleri Her tehdit bir risk değildir ama her risk içinde bir tehdit barındırır.
Web Sayfalarında Form Girdisi Hatırlama Özelliği Teknik Açıdan Bilgi Güvenliği Tehditler Bilgi Güvenliği Hakkında Bilgi Sahibi Olmak, Bilinçlenmenin Başlangıcını Oluşturur.
SSL Desteği Olmayan Sayfalar Teknik Açıdan Bilgi Güvenliği Tehditler Bilgi Güvenliği Hakkında Bilgi Sahibi Olmak, Bilinçlenmenin Başlangıcını Oluşturur.
Oltalama Saldırıları Bir saldırgan benzer bir mesajı E-Ticaret yapılan sistem içine yerleştirerek kullanıcıları kandırabilir. Böyle bir saldırı bilginin bütünlüğünün bozulmasıyla gerçekleşebilir. Teknik Açıdan Bilgi Güvenliği Tehditler Bilgi Güvenliği Hakkında Bilgi Sahibi Olmak, Bilinçlenmenin Başlangıcını Oluşturur.
3D SECURE Bu ödeme türü güvenli bir ödeme türü örneğidir. Ödeme Türlerine Örnekler Güvenlik Konusunda Olumlu ve Olumsuz Nitelikte Olan Ödeme Türlerine Örnek
MAIL ORDER Bu ödeme türü güvenli bir ödeme türü değildir. Ödeme Türlerine Örnekler Güvenlik Konusunda Olumlu ve Olumsuz Nitelikte Olan Ödeme Türlerine Örnek
ARACI İNETERNET KURULUŞLARI - PayPal Bu ödeme türü güvenli bir ödeme türü örneğidir. Ödeme Türlerine Örnekler Güvenlik Konusunda Olumlu ve Olumsuz Nitelikte Olan Ödeme Türlerine Örnek
Bireysel Farkındalığı Gözlemlemek için Bir Anket Uyguladık. Bu ankette: • İ.Ü. B.Ö.T.E. Öğrencileri Soruları Yanıtladı. • Uzaktan (17) ve Örgün (15) Öğretim Gören 2 Grup Oluşturuldu • Toplam 32 Öğrenci Katıldı. • 32 Adet Soru Soruldu. Anket Bireysel Farkındalığı Gözlemlemek için Bir Anket Uyguladık.
Anket Bireysel Farkındalığı Gözlemlemek için Bir Anket Uyguladık.
Anket Bireysel Farkındalığı Gözlemlemek için Bir Anket Uyguladık.
Anket Bireysel Farkındalığı Gözlemlemek için Bir Anket Uyguladık.
13 Sorudan 10 tanesinde bütün öğrencilerin %50 ve daha fazlası soruya EVET yanıtını vererek, güvenli olduğu bilinen şıkkı seçmiştir. Öğrencilerin genelinin farkındalıkları %77 oran ile yüksek bulunmuştur. • 13 Sorudan 10 tanesinde %50’den fazla katılımla EVET yanıtını veren Uzaktan Öğrenim öğrencilerinin farkındalıklarının, 3 soru farkla Örgün Öğrenimdeki öğrencilerden fazla olduğu gözlemlenmiştir. Sonuç Sonuç…
Aksoy, D. (2006). Akademisyenlerin E-Ticareti Mesleki ve Gündelik Yaşamlarında Kullanım Düzeylerinin Araştırılması: Akdeniz Üniversitesi Örneği. Antalya: Akdeniz Üniversitesi . Barker, A. (2001). Yeniliçiliğin Simyası. İstanbul: MESS. BGYS. (tarih yok). BGYS. 12 2011 tarihinde http://www.iso27001-bgys.com/ts-iso-iec-27001/bilgi-guvenligi-nedir.html adresinden alındı Computer Incident Advisory Capability. (2007). PDF XSS Vulnerability. 6 30, 2001 tarihinde Computer Incident Advisory Capability: http://www.ciac.org/ciac/bulletins/r-096.shtml adresinden alındı Devlet Planlama Teşkilatı. (2010). Bilgi Toplumu İstatistikleri 2010. Ankara: T.C. Başbakanlık. Güleş, H. K., & Bülbül, H. (2004). Yenilikçilik - İşletmeler için stratejik rekabet aracı. Ankara: Nobel Yayın Dağıtım. KORKMAZ, İ. (2006). Bilgisayar sistemlerinde parola güvenliği üzerine bir araştırma. İzmir: Ege üniversitesi. MUHARREMOĞLU, G. (2011). Lostar blog. 6 30, 2011 tarihinde Lostar: http://blog.lostar.com/2011/06/guvenlikte-zaman-boyutu.html adresinden alındı MUHARREMOĞLU, G. (tarih yok). TÜBİTAK Bilgi Güvenliği Kapısı. 12 2011 tarihinde TÜBİTAK UAKAE: http://www.bilgiguvenligi.gov.tr/kurumsal-guvenlik/kablosuz-ag-guvenligi-ve-zaman-boyutunda-kurumsal-guvenlik-kulturu.html adresinden alındı National Infrastructure Security Co-ordination Centre. (2006). Commercially Available Penetration Testing. NISCC-Best Practice Guide, 24. Nayır, N. (2009). Türkiye Elektrik Sektöründe Bilgi Teknolojileri ve E-Ticaret Kullanımı. İstanbul: Haliç Üniversitesi. ÖZCAN, B. (2009). Kurumsal Bilgi Güvenliği & Cobit. İstanbul: Haliç Üniversitesi. ÖZKAN, Ö. (2004). VERİ GÜVENLİĞİNDE SALDIRI ve SAVUNMA. ELEKTRONİK VE HABERLEŞME MÜHENDİSLİĞİ. Isparta: Süleyman Demirel Üniversitesi. (2009). Ş. Özmen içinde, Ağ ekonomisinde yeni ticaret yolu : e-ticaret (s. 44-7). İstanbul: İstanbul Bilgi Üniversitesi Yayınları. SABAH. (tarih yok). 12 2011 tarihinde SABAH GAZETESİ: http://www.sabah.com.tr/Dunya/2011/05/27/cin-super-gizli-ordusunu-acikladi adresinden alındı Stewart, T. (1997). Entelektüel Sermaye: Kuruluşların Yeni Zenginliği. İstanbul: Türkiye Meta Sanayicileri Sendikası. UÇAR, G. (2004). Bilgisayar ağlarında kişisel güvenlik. Ankara: Gazi Üniversitesi. VURAL, Y. (2007). KURUMSAL BİLGİ GÜVENLİĞİ VE SIZMA (PENETRASYON) TESTLERİ. Ankara: Gazi Üniversitesi. Referanslar