Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi

1. Türkiye’deki Kamu Kurumlarında Bilgi Mahremiyeti– Durum Analizi Hayrettin Bahşi TÜBİTAK-UEKAE 90-262-6481558 bahsi@uekae.tubitak.gov.tr

2. Ajanda • Bilgi Mahremiyeti Tanımı • Mahremiyeti Sağlanması Gereken Bilgiler • Kamu Kurumlarında Bilgi Kritiklik Seviyeleri • Kamu Kurumlarında Tehdit Algılamaları • Temel Web Uygulama Güvenliği Eksiklikleri • Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri • Yapılması Gerekenler

3. Bilgi Mahremiyeti Tanımı • Bilgi mahremiyeti Bir organizasyonun ya da kişinin kendisine ait bilginin akışını kontrol edebilmesi • Bilgi gizliliği Bilgiyi bilmesi gereken kişinin bilmesi (Need to know) • Bilgi mahremiyetinde • Mahremiyet doğrudan kişiyi ya da kurumu ilgilendirir, gizlilik ise bilgi ile doğrudan ilgilidir. • “Kimin neyi bilmesi gerektiği” net değil, kişiden kişiye değişebilir • Kanunlar sınırları çizmeye çalışıyor • Mahremiyet bir sonuç, gizlilik bir ilke ya da güvenlik mekanizmasıdır

4. Mahremiyeti Sağlanması Gereken Bilgiler • Vatandaşların kişisel bilgisi • Kamu kurumu çalışanlarının kişisel bilgisi • Özel şirketlere ait bilgiler • Mali veriler • Ticari veriler • Diğer kamu kurumlarının bilgileri • Denetim yapan kurumlarda diğer kurumların denetim raporları

5. Kamu Kurumlarında Bilgi Kritiklik Seviyeleri • Bilgi varlıklarının tam tespit edilememesi • “Hangi bilgi ne kadar kritik?” sorusunun ortak cevabının olmaması • Kritikliğin belirlenmiş ortak bir ölçüsünün olmaması • Ölçü varsa bile ölçüye göre bilginin kritikliğinin belirlenmemiş olması • Kritikliğe göre bilginin ele alınış kurallarının belirlenmemiş olması • Bilginin oluşturulma, taşınma, silme ve depolanma fazlarında uyulması gereken kurallar • Örneğin, “Gizli bilgiler e-posta ile yollanmaz” • “Gizli bilgi içeren kağıtların imhası yakılma ile olur”

6. Kamu Kurumlarında Bilgi Kritiklik Seviyeleri (2) • Yazılı dokümanlarda bile sınıflandırma eksikliği • Mahremiyeti ilgilendirilen bilgiler hakkında • “Kritiklik seviyesi nedir?” • Nasıl korunmalıdır? sorularının cevaplarının olmaması

7. Kamu Kurumlarında Tehdit Algılamaları • Yüksek bir dış tehdit algılaması • İç tehdit algılamasında eksiklikler • Bilgi güvenliği olaylarının takip edilememesi • Bilgi güvenliği bilinç eksikliği • İç tehdidin kapsamını genişletebilecek durumlar • Farklı kamu kurumlarının birbirine doğrudan bağlı olması • “Leased Line” hatlar • Doğrudan yerel alan ağlar arasında bağlantılar • Çoğu durumda bağlantılarda ağ erişim kontrolünün bile olmaması • Ülkenin değişik yerlerinde şubeler

8. Temel Web Uygulama Güvenliği Eksiklikleri • Kurumların kendilerinin geliştirdiği web uygulamaları • Çoğunlukla Intranet uygulamaları • Hızlı geliştirilen küçük uygulamalar • Geliştirici ve sistem yöneticilerinin web güvenliği konusundaki bilgi eksiklikleri • Güvenli olarak uygulama geliştirme ile ilgili süreçlerinin oluşturulmaması • Güvenlik gereksinimlerinin tam olarak belirlenmemesi • Geliştirme sürecinde güvenlik denetim eksiklikleri

9. Temel Web Uygulama Güvenliği Eksiklikleri (2) • Kurumların kendilerinin geliştirdiği web uygulamaları • Ürünlerin yeterince test edilememesi • Eski sistemlerin güncellenememesi • İş gücü yetersizliği • Güncellemeye gereken önemin verilmemesi • Eski sistemlerin sahiplerinin bulunamaması! • Canlı ortamda uygulama geliştirme • Test ortamı eksiklikleri

10. Temel Web Uygulama Güvenliği Eksiklikleri (3) • Taşerona verilen (outsource) uygulamalar • Güvenlik gereksinimlerinin yeterli düzeyde ele alınmaması • Erişim kontrol mekanizmalarında eksiklikler • İş mantığında (business logic) eksiklikler • Uygulama kayıt mekanizmalarındaki eksiklikler • Sözleşmelerde güvenlikle ilgili maddelerde eksiklikler • Ürünün güvenlik açısından kabulünün nasıl yapılacağı • Tespit edilen açıklıkların kapatılmasının destek kapsamında ele alınmaması • Canlı ortamda uygulama geliştirme

11. Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri • Özellikle eski sistemlerde çok temel sql-injection, XSS açıklıkları • İntranet web uygulamalarında ssl kullanılmaması • Yetkilendirme (Authorization) eksiklikleri • Yeterli erişim profilinin oluşturulmamış olması • İşlem, parametre vs bazında yetkilendirme eksiklikleri • Belirli bir hakka sahip olan kullanıcıların diğer kullanıcıların bazı haklarına sahip olabilmeleri • SSL kullanılan uygulamalarda kuvvetli algoritmaların sunucu tarafından zorlanmaması

12. Web Uygulamalarında Teknik Bilgi Mahremiyeti Eksiklikleri (2) • Yama yönetimi eksiklikleri • Uygulama yönetim modüllerindeki kimlik doğrulama ve yetkilendirme eksiklikleri • Parola kompleksliğinin zorlanmaması (özellikle intranet uygulamalarında) • Kullanıcıya dönen hata mesajları

13. Neler Yapılmalı? • Bilgi varlıkların envanterinin tutulması • Bilgi varlıklarının kritiklik derecelerinin belirlenmesi • Mahremiyeti sağlanması gereken bilgilerin kritiklik seviyesi • Söz konusu bilgilerin nasıl korunacağı • Bilgi güvenliği eğitimleri • Güvenli web uygulama geliştirme • Veritabanı güvenliği • Uygulama geliştirme döngüsünde güvenlik

14. Neler Yapılmalı? (2) • Uygulama geliştirme döngüsünde güvenlik • Güvenlik gereksinimlerinin belirlenmesi • Geliştirme aşamalarında yapılacak testler • Gerekli ilkelere en azından bundan sonra uyma • Web uygulamalarının güvenliğinin sertifikalandırılması • Daha hızlı bir Ortak Kriter (Common Criteria) değerlendirmesi • Periyodik güvenlik denetimleri • Bağımsız denetimler • İç denetimler

15. Neler Yapılmalı? • Etkin bir teknik açıklık yönetimi • İç tehdit algısının artırılması • Kritik sistemler için test ortamları • Denetim sonuçlarının değerlendirilmesi • Taşerona verilen projelerin sözleşmelerinde güvenlik ile ilgili maddeler • Uygulama geliştirme ortamlarının canlı sistemlerden ayrılması

16. Teşekkürler