Browse > Home / Archive by category 'Kimlik Yönetimi'

| Subcribe RSS

Türkiye Avrupa Birliği kapsamında Dijital Takograf Sistemi’ne geçiyor

September 3rd, 2010 | No Comments | Posted in Authentication, Kimlik Yönetimi

Güvenlik hayat kalitemizi ve dolaylı olarak yaşam biçimimizi şekillendiren unsurlar arasında yer alırken, özellikle trafik güvenliği birçok alanda daha önemli bir rol oynuyor. Bu kapsamda Avrupa Birliği kapsamında yer alan 3821/85/AET tüzük gereğince, diğer ülkelerde kullanılmaya başlanan Dijital Takograf Sistemi, Türkiye için 2010 senesi itibariyle yürürlüğe giriyor. Bu uyum süreci en basit ve genel anlamda 3821/85/AET ve 561/2006/AET sayılı tüzükler doğrultusunda, azami ağırlığı 3,5 tonu geçen bir araçla taşımacılık yapan her sürücünün, kayıt cihazı yani digital takograf kullanması zorunlu hale geliyor.

Aslında AB, 1 Mayıs 2006’dan itibaren, üye ülkelerdeki yeni araçlarda sayısal (dijital) takograf kullanılmasını zorunla hale getirdi. Uyum süresince büyük ihtimalle bürokrotik işlemlere mağruz kalan bu uygulama, ülkemizde sene sonuna doğru faaliyete geçmesi bekleniyor.

Peki bu uygulama sisteme ne gibi yararlar sağlıyor?

  • Yeni araçların plaka gibi tanım bilgilerinin yetkili servisler tarafından digital takografa işlenmiş olması gerekiyor
  • Şoför kartı verilerinin en geç her 28 günde bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Araç verilerinin en geç her 3 ayda bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Firmanın nakliye sorumlusunun bu bilgileri düzenli olarak takip ederek sürüş saatlerinin ve diğer tüm bilgilerin doğruluğu ve sağlamlığından emin olması, ihlal durumlarında sürücüyü bilgilendirerek uyarması gerekiyor
  • Verinin güvenliğinin sağlanması amacıyla verilerin düzenli olarak arşivlenerek yedeklenmesi gerekiyor
  • Gerekli olduğunda incelenebilmesi amacıyla, tüm sürücü ve araç bilgilerinin en az 1 yıl süre ile araç dışında elektronik olarak saklanması ve arşivlenmesi gerekiyor

Maddelerin bazılarından görebileceğiniz gibi, tüm kayıtlar analog yerine dijital ortamlarda saklanıyor. Böylece şöförlerin ilgili takograflara herhangi bir şekilde müdahalesi mümkün olmuyor ve araçların yaptıkları km’lerden tutun da, ne zaman ve nerede mola verdiklerine kadar pekçok bilgi, şöförlere özel olarak sağlanan bu dijital kartlarda saklanıyor. Türkiye’de ortalama 500.000 adet taşımacılık yapan araç olduğu düşünüldüğünde, dijital takograf kullanımı konusunda ciddi bir eğitime ve uyum sürecine ihtiyaç olduğu açıkça görülüyor.

Güvenlik anlamında dijital sertifikasyon süreçleri yine adını vermeyeceğim bazı HSM ‘lerle sağlanıyor. AB’nin Root CA’nin yanında her ülkenin gerekli şartlar ve kurallar doğrultusunda oluşturulan Sub-CA dediğimiz, o ülkeye ait bir Sub-Root CA bulunuyor ve tüm şöförlere dağıtlacak olan kartlarda yer alan dijital sertifikalar bu CA ile oluşturuluyor. Eğer sistemi teknik olarak incelemek isterseniz ilgili tüm şartlara Digital Tachograph SystemEuropean Root Policy dökümanından ulaşabilirsiniz.

Proje başarılı bir şekilde oluşturuldu ve hayata geçmek üzere.  Türkiye ve taşımacılık sektörü adına sağlıklı ve ileriye dönük olarak başarılı bir proje olacağına gönülden inanıyorum.

Tags: , , ,

Sağlık sektöründeki zafiyet, Finans sektörünü geçiyor mu?

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

  • Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
  • Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
  • Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
  • Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Tags: , , , , , , ,

Amerika’dan Siber Güvenlik için 1.5 milyar dolarlık bütçe

November 18th, 2009 | No Comments | Posted in Güvenlik, Kimlik Yönetimi

X kurumunun kredi kartları ya da vatandaşlık bilgilerinin çalınması gibi haber başlıklarını mutlaka görmüşsünüz, hatta belki de bu konulardan canınız bile yanmış olabilir. Bu konuda önemli olan tehditleri önceden anlamak ve bu tehditler karşısında geliştireceğimiz risk yönetimi ve güvenlik politikalarıdır.

Peki nedir Siber Güvenlik? More »

Tags: , ,

Kimlik Hırsızlığında yeni trendler: Tehlike gittikçe artıyor

October 29th, 2009 | No Comments | Posted in Hacking, Kimlik Yönetimi, Phishing

Ailece tanışmalara gidildiğinde hani vardır ya “Sizin oğlan ne iş yapar?” sorusu. Baba gayet gurur verici bir cevapla “Bizim oğlan hacker, hacker” diye yanıt verir. Nasıl gurur verici bir tablodur oğlunun hacker olması baba için. Hani ola ki “Ne yapar bu hacker” dendiğinde, babanın kem küm etmesi gayet olağan bir durumdur 😀

İşte genellikle kendini sözde hacker sanan dostlarımız, her geçen gün yeni teknikler kullanarak özellikle kimlik hırsızlığı yani “identity theft” konusunda kendilerini geliştiriyorlar. Kabaca bunlardan bahsedelim:

More »

Tags: , ,

Uygulama ve İşlem Güvenliği’nde HSM’lerin Önemi ve Kullanım Alanları

Yaklaşık 2 haftadır bloguma birşeyler karalayamadım. Bunun esas nedeni hem çalışma tempom, hemde yeni makale yazıları hazırlamamdı. Dün itibari ile yeni makalemi bitirdim ve düzenledikten sonra, Türkiye’nin Bilgi Güvenliği alanında önde gelen portallarından biri olan Beyaz Şapka‘da yayınladım.
More »

Dijital Tehlike: Sosyal Ağ ortamlarında almanız gereken tedbirler

July 23rd, 2009 | 3 Comments | Posted in Güvenlik, Kimlik Yönetimi

Hepimiz farkındayız, sosyal ağlar bu aralar oldukça popüler ve bu popülerlik gün geçtikçe artmaya devam ediyor. Bireyler başta olmak üzere; markalar ve firmalar “Sosyal Ağ” kavramını yavaş yavaş kafalarında oturtmaya ve uygulamaya başladılar. Bu artan ivmeyle birlikte güvenlik kavramı da ciddi bir önem kazanmaya başladı. Bu nedenle kabul edin, siz artık bir Sosyal Ağ bağımlısısınız. Meraklanmayın, bu alanda her bünyeye göre bir ilaç var: Facebook, twitter, linkedIN, friendfeed ve diğerleri… Peki sizin ilacınız hangisi? Birden fazla ilacı bünyeniz kaldırmıyorsa, size aşağıdaki tavsiyeleri önerebilirim. Prospektüsü dikkatle okumadan önce, lütfen kullanmayın  🙂
More »

Tags: , ,

Sosyal Mühendislik kavramı IT Güvenliğini tehdit ediyor

April 3rd, 2009 | 1 Comment | Posted in Güvenlik, Kimlik Yönetimi

Eğer Güvenliği bir zincir şeklinde düşünürsek, bunun en zayıf halkası İNSAN olarak karşımıza çıkar. Şu ana kadar tasarlanan ve geliştirilen mevcut güvenlik sistemlerinden hiçbiri otomatiğe bağlanmış ya da kendi yapay zekasına sahip değil. Böyle olması zaten pek mümkün dahilinde de değil ancak daha önceki yazımda bahsettiğim üzere, kademeli ve yetkli paylaşımlı oluşturulacak olan güvenlik sistemleri, Sosyal Mühendislik zaafının önüne geçen tek etmen olabilir. Peki nedir bu Sosyal Mühendislik?

Terim anlamıyla, İnsan ilişkilerini ve insan psikolojisini içinde barındırarak çeşitli yöntemleri kendi çıkarları ya da kötü amaçlı olarak kullanılan tüm sistemlerin genel adıdır ve tamamen bilinçli/bilinçsiz Personel kaynaklıdır. Birkaç örnekle daha net anlayacağınızı düşünüyorum.

Önemli şirket verilerinizi shedder’dan geçirmek yerine çöp tenekenize atıyorsanız, bu bir güvenlik açığıdır. Bu açığı kullanarak, çöp tenekenizi karıştıran Kazım (Bu isimde nerden çıktı demeyin) adlı iş arkadaşınız ise “Sosyal Mühendislik” kavramını uyguluyor demektir. Ya da bilgisayarınızı acilen terketmek zorunda kaldınız diyelim. Yaptığınız tüm işlemler ekranda herkes tarafından görülüyor ve bu zaafınızdan faydalanan iş arkadaşınız ya da temizlik elemanları gibi kişiler,  yaptığınız işlemleri görebilir ve bunları kayıt altına alabilir, değiştirebilir, silebilir. Bu sizin kişisel bilgileriniz olabileceği gibi, şirketinizin kurumsal bilgilerini de içerebilir. Ya da bir başka boyuttan bakalım. Bir arkadaşınız şirketinizi ziyarete geldi diyelim. Ona hani olmaz ya(!), sistem odanızınızı göstermek istediniz. Eğer ilgili kişiyi başıboş bırakırsanız, ilgili sistemlere keylogger konabilir ya da bağlantılarınıza zarar verebilir (fiberoptik kablonuzu bir saniyede kullanılmaz hale getirebilir). Tabi tüm bunları sizin haberiniz olmadan yapılması gerekiyor.

Bunlar olanaklar ve olasılıklar dahilinde her zaman gerçekleşebilecek olaylar. Mesela ben geçen gün kredi kartımın iptalini istedim. Her ihtimale karşı bu tarz durumlarda her zaman kredi kartımı binbir parçaya ayırır ve tüm parçalarını ayrı çöplere atarım (Olaya güvenlik ya da paronayaklık olarak bakmakta serbestsiniz ) 🙂

Peki SM’nin getirdiği tehditler nedir?

Yetkisiz Erişim, Veri Hırsızlığı, Güven ve İtibar  kaybı, Hassas ve Kritik bilgilere ulaşma, Veri kaybı ve değiştirilmesi, Yasal Yükümlülükler (Özellikle Bankalarda), Hukuki Yaptırım veya Ceza Sistemleri

SM’ye karşı alınabilecek tedbirler:

Fiziksel Güvenlik, Etkili ve Kademeli Kurumsal Güvenlik Politikaları, Güvenliğe aykırı Davranışların Uyarılması ve gerektiğinde cezalar verilmesi (İşten atılma vb)-bu bir çözüm olmasa da buna tedbir olarak Güvenlik Politikaları almak en mantıklısıdır- , Denetleme Mekanizmalarının geliştirilmesi, Detaylandırılmış  Acil Müdahale Yöntemleri

Konuya noktayı koyarken, ilk olarak nasıl çıktığını ufak bir anektodla dile getirelim. SM’nin belki de ilk oluşmasını sağlayan ve FBI tarafından aranan ilk Hacker olan ve şimdilerde Güvenlik Danışmanlığı yapan Kevin Mitnick, konu ile ilgili olarak şu noktaya değiniyor:  ” Bir personeli  ilgili sistem şifresini almak için kandırmak, sistemi hacklemek için harcanan çabadan daha kolaydır”

Tags: ,
  • Site istatistik

    Bugünkü ziyaret: 16
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News