Boğaziçi Üniversitesi COVID-19 ile savaşan sağlık kurumlarının siber mücadelelerinde de yanında !

Koronavirüs günlerinde uzaktan eğitim-öğretim ve uzaktan çalışma yolları ile kişisel güvenliğimizi sağlamaya ve salgının yayılmasını evde kalarak önlemeye çalışırken Internet’te her zamankinden çok daha fazla zaman geçirmeye başladık. Bu yüzden bu dönemde kişisel hijyen ve izolasyon gibi önem kazanan bir başka kavram da güvenli Internet kullanımı… Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü öğretim üyesi ve Siber Güvenlik Merkezi (BUSİBER) Yöneticisi Doç. Dr. Bilgin Metin, güvenli internet kullanımı için sekiz önemli başlıkta önerilerde bulundu. Metin, BÜSİBER olarak COVID-19 ile mücadele eden sağlık kurumlarına uzaktan sızma testi ve açık siber istihbarat danışmanlığı, Kişisel Verileri Koruma Kanunu (KVVK) kapsamında risk danışmanlığı desteği vereceklerini belirtti.

Doç. Dr. Bilgin Metin, kullandığımız bilgisayar ve akıllı telefon işletim sistemlerinin güvenlik güncellemelerinin mutlaka yapılmasını; kullandığımız cihazlarda anti-virüs yüklemelerinin güncel olması gerektiğini; uygulamaların mutlaka resmi kaynaklardan yapılmasını önerdi. Sahte alışveriş sitelerinin yine bu dönemde artacağına dikkat çeken Bilgin Metin, web üzerinde kullanılan parolaların da sık sık değiştirilmesi gerektiğini belirtti.

Güvenli uzaktan çalışma için öneriler

COVİD-19 salgını nedeniyle pek çok kamu-özel kuruluş ve işyerinde uzaktan çalışma sistemine geçildi. Bu geçişin önemli sorunlarından biri internet güvenliği. Gerek uzaktan eğitime geçen Boğaziçi Üniversitesi mensuplarına gerekse uzaktan çalışan herkese bu süreçte güvenli internet konusunda ne gibi önerileriniz olur?

Koronavirüs (COVID-19) tüm ülkelerde hızla yayılırken önlem olarak ülkeler arası uçuş yasakları geliyor, sınırlar kapatılıyor. Ülke içinde ise sosyal teması azaltmak için insanlar sokağa çıkmayarak sosyal izolasyon tedbirleri uyguluyor. Birçok şirket ve kamu kurumu personeline evden çalışma talimatı veriyor. Gelişmiş internet teknolojilerinin kullanımı evden çalışmayı mümkün kılarak COVID-19 ile mücadeleye destek oluyor. Öte yandan çalışanların siber güvenlik önlemlerinin alınabildiği ofis ortamlarından siber güvenlikleri denetlenemeyen ev ortamlarında çalışmaya başlamaları büyük bir tehlike oluşturmaktadır. Evden çalışma bu zor ortamda üretkenliği artırırken şirketleri birçok siber güvenlik riskiyle karşı karşıya bırakarak tehlikeye atmaktadır.

Bu kapsamda güvenli uzaktan çalışma için önerilerimizi şöyle sıralamak istiyoruz;

Bilgisayar ve akıllı telefonlarınızı güncelleyin

Sürekli olarak bilgisayar ve akıllı telefon işletim sistemlerinde ve onlara yüklediğimiz uygulamalarda birçok güvenlik açıkları keşfediliyor. Kullandığımız işletim sisteminin güvenlik güncellemelerini mutlaka yüklemeliyiz. Mesela Microsoft Windows 7 işletim sistemi 2019 Aralık itibariyle artık güvenlik güncellemesi almıyor ve siber saldırılara karşı açık durumda. Windows 10 işletim sistemine yükseltmeliyiz. Ayrıca yüklediğimiz ve kullandığımız programları da güncel tutmamız gerekir. Örneğin Microsoft Ofis programları ve son zamanlarda uzaktan çalışma için yoğun kullanılan Zoom, Skype gibi video konferans uygulamalarının en son sürümü kullandığımızdan emin olmalıyız.  Siber suçlular kullanıcıların bilgisayar ve telefonlarını güncelleme konusunda ihmalkâr olacaklarını umarlar; çünkü programların son sürümlerinde güvenlik açıkları kapatılmış olur. Bu nedenle, iş yerimizde ve evimizde kullandığımız herhangi bir cihaza yüklenen her şeyi düzenli olarak güncellemek önemlidir.

Anti-virüs yazılımı kullanın

Kurumlar bilgisayarları virüs gibi kötü amaçlı yazılımlardan korumak için çeşitli önlemler alırlar.  Antivirüs yazılımları gibi güvenlik çözümleri yüklerler. Bilgisayarınızda Microsoft Windows 10 işletim sistemi güncel ise üzerinde yeterli bir anti-virüs korumasıyla geliyor. Yine de ücretsiz dahi olsa bir anti-virüs yazılımı kullanmak yerinde olabilir. Bunun haricinde Android telefonlara da mutlaka bir anti-virüs programı yüklenmelidir.

Yüklenen programlara erişim haklarını kontrol altında tutun, lisanslı program kullanın

Kurumsal bilgisayarlarda çalışanların uygulama yüklemesi engellenir ya da uygun bulunmaz. Evde çalışılan bilgisayarlar ailenin küçük ve genç üyelerinin erişimine açık ise bilgisayarlara hangi programların yüklendiğini takip etmek daha zor olabilir. Bu bilgisayarlarda lisanslı programlar kullanıldığından emin olmalıyız. Siber suçlular tarafından hazırlanan ücretsiz tuzaklı lisansız programlar ciddi dertler oluşturabilir.  Anti-virüs yazılımı kullanımı bu yüzden kritiktir. Cep telefonlarına ise uygulamalar “Google Play Store” veya “Apple App Store” gibi resmi kütüphanelerden yüklenmelidir.

Telefonumuza bir mobil uygulama yüklerken hangi kaynaklara erişim sağlamak istediğimiz sorulmaktadır. Bu aşamada çok dikkatli olmak lazım. Mesela bir adımsayar uygulaması SMS mesajlarını okuma, telefon kontaklarına erişim ve arama yapabilme, kamera ve mikrofona erişim için izinler istiyorsa şüphelenmek lazım. Telefonumuza bir uygulama yüklemeden önce kaç kişinin yüklediğini, uygulamanın kaç puan aldığını kontrol etmek siber suçlular tarafından hazırlanan masum görünüşlü uygulamalardan bizi koruyabilir.

Güvenli internet bağlantısı

Güvenli internet bağlantısı kurabilmek internet bağlantısı sağlayan modem ya da yönlendirici dediğimiz cihazdan başlar.  Cihazı kullanmaya başlamadan önce modem ayarlarına varsayılan (default) parola ile girdikten sonra,  bu parolayı değiştirmek gerekir. Birçok model için varsayılan parolalar sadece çok zayıf değil, aynı zamanda internette kolayca bulunabilir. Yıllarca kullanılan modem cihazlarının firmware denilen işletim sistemlerinde birçok zafiyet çıkabilmekte modemin kendisi bir zafiyet kaynağı olabilmektedir.  Eğer modem ayarlarına erişebilecek temel bilgimiz varsa kendimiz, yoksa internet servis sağlayıcıyı arayıp son sürüm firmware kullanıp kullanmadığımızı sormalıyız. Burada servis sağlayıcılar genelde iki yıllık kampanyalar düzenlerken cihazı da kendileri vermekteler. Her kampanya yenilediğimizde yeni bir cihaz istemek de yerinde olabilir.

Evimizde internet bağlantısını sağlayan cihaz kablosuz wi-fi özelliğine de sahip oluyor. Kullandığımız wi-fi parolamızı kimseyle paylaşmamak gerekmektedir. WPA2 ya da WPA3 şifreleme algoritması kullanılmalıdır.  Şifreleme türünü seçmek veya değiştirmek için wi-fi cihazın ayarlarını kullanılırken cihazla beraber gelen varsayılan parola değiştirilmelidir. İçinde büyük harf küçük harf, rakam, karakter olan bir parola seçimi önemli. Wi-fi ayarlarında WPS denen özellik kapatılmalıdır.

Kurumsal ağlar dışından mesela bir otelden şirket/kurum kaynaklarına mesela kuruma ait bir sunucuya bağlanarak işlem yapılıyorsa mutlaka kurumca verilen VPN (Sanal Özel Ağ) bağlantısı ile kriptolanmış güvenli bir erişim sağlamak da önemli. Kurumlar da VPN bağlantıları için çift aşamalı kimlik doğrulaması alt yapısı oluşturmalılar.

Sosyal medya ve bulut hesaplarının güvenliği

Bugün sosyal medya ve bulut hesaplarının tamamı çift aşamalı kimlik doğrulamayı destekliyor. Siber saldırılar yüzünden parola bilgilerinin sürekli sızdırıldığını görüyoruz. Sadece parola ile erişime güvenemeyiz bu yüzden. Nasıl ki Internet bankacılığı hesaplarımıza bağlanırken sadece parola kullanımı yeterince güvenli olmuyor ve SMS mesajıyla gelen kodu da sisteme giriyorsak, bunu sosyal medya ve bulut, e-posta hesaplarımız için de kullanmamız lazım. Bu hesapların güvenlik ayarlarına girerek çift aşamalı kimlik doğrulaması aktif hale getirilmelidir. Aynı şekilde sosyal medya hesapları üzerinden gelen bir mesajdaki linkler tıklanıp açılmamalı, şüphe ile yaklaşılmalıdır.

E-posta, SMS, Whatsapp telefon mesajlarına karşı uyanık ve dikkatli olun

Ne yazık ki, bazen kötü niyetli kimlik avı mesajları ve son derece ikna edici bir mesaj görünümünde kurumsal e-posta adresimize gelebilir.  Aynı ofiste çalışırken iş arkadaşlarınıza “Bu mesaj sana da geldi mi?’’ diye sorarak doğrulama yapabiliriz ama uzaktan çalışırken bu imkâna sahip değiliz.  Bu nedenle, mesajları dikkatlice okuyup ve yanıt vermek için acele etmemek gerekmektedir. Birisi acilen önemli bir belgeye ihtiyaç duyarsa veya bir faturanın derhal ödenmesini talep ederse, gerçekten olduğunu iddia ettiği kişi mi olup olmadığını tekrar kontrol etmek gerekir. Karşı tarafı teyit etmek için telefonla aramak veya yapılacak işlem için amirinizden bir kez daha onay almaktan çekinmeyin.

Kimlik avı e-postasını tespit etmek için gönderenin e-posta adresinde yazım hataları olup olmadığını kontrol edin ve konu satırında ve e-posta gövdesinde zayıf dilbilgisi olup olmadığına bakın. E-posta mesajı içinde gelen URL internet linkinden emin olmak için fareyle bağlantıların üzerine gelerek doğrulayın ve gönderene yüzde 100 güvenmiyorsanız bağlantıları veya ekleri tıklamayın. 

Bağlantıları olan e-postalardan özellikle şüphelenin. Varsayılan bir belgenin bağlantısı kurumsal bir kaynağa işaret etmiyorsa, bunu dikkate almamak daha iyidir. Her şey yolunda görünüyorsa ve bağlantı, kurumsal kullanıcı adı parola bilgilerinizi istiyorsa yine dikkatli olmak gerekir. Mesajlarda tuzaklanan kimlik avı sitelerinin yaygın belirtileri arasında HTTPS kullanmaması yer alır. Bunu internet programının adres çubuğunda asma kilit simgesinin olmaması ile anlayabiliriz. Diğer belirtiler ise yanlış yazılan internet adresleri, yazım denetimi ve dilbilgisi eksiklikler, sitede  "Hakkımızda" sayfasının olmaması veya iletişim bilgilerinin eksik olması olarak sayılabilir.

Son günlerde COVID-19 ile ilgili siber suçlular tarafından hazırlanan, bilgisayar kullanıcılarının merakını cezbedecek e-posta ve kısa mesajlar veya COVID-19 ile ilgili tuzaklı akıllı telefon uygulamalarıyla karşılaşma riski mevcut. Bu konuda özellikle uyanık olmak lazım.

Yedekleme ve şifreleme

Emek harcanarak oluşturulan ve değerli bilgiler içeren veriler insan hatası, cihazlara fiziksel hasar veya siber saldırı da dahil olmak üzere çeşitli şekillerde kaybolabilir. Fidye yazılımı, virüs ve diğer kötü amaçlı yazılımlar, tespit etme şansınız olmadan tüm kritik dosyalarınızı silebilir. Harici disklere, USB belleklere düzenli yedeklemeler yapılmalıdır. Eğer Microsoft Office 2016 veya sonrası bir ofis yazılımı kullanıyorsanız dokümanlara parola koyduktan sonra bulut yedekleme seçenekleri de düşünülebilir. Kişisel ve kritik veri içeren ofis dosyalarının parola korumasıyla şifrelenmesi ofis ortamına göre güvenliği az olan ev ortamlarında veri güvenliğini artıracaktır.  Hatta finans ve bankacılık gibi riski yüksek sektörlerde evden çalışma sadece kurum tarafından verilen diz üstü bilgisayar üzerinden mümkündür bu cihazların ise sabit disk seviyesinde şifrelemesi vardır.

Kameraların bantla kapatılması

Tüm önlemler alınsa bile bilgisayar ve akıllı telefonların kameralarını bant ile kapatmak yerinde bir önlem olacaktır. Hatta bazı kişilerin bilgisayarlarında mikrofon girişlerini bile kapattığına şahit oluyoruz. Çalışma koşullarımızı zorlamayacak her türlü önlemi almak lazım.

Chat uygulamalarından gelen linkleri kontrol etmeden açmayın

Bu dönemde çeşitli kurumlarda uzaktan çalışma için kullanılmakta olan çeşitli uygulamalar da var, bu uygulamalar güvenli mi veya güvenlik taraması yapılıyor mu?

Bu uygulamalarda çok sayıda güvenlik zafiyetleri çıkabiliyor. Mesela Zoom adlı programda 1 Nisan 2020 tarihinde önemli bir zafiyet bulundu. Bu programın sohbet menüsünden gelen internet linklerine tıklanırsa kimlik bilgileri çalınabiliyordu. İki gün sonra bu açığı kapatan güncelleme yayınladı. Bu da kullandığımız programları güncel tutmamızın önemini gösteren bir örnek. 

Sahte alışveriş sitelerine dikkat!

Evde kalmak bu dönemde internetten yapılan alışverişleri de arttırdı. Bu da ciddi bir dolandırılma riski anlamına geliyor, zira online satış yapan bazı sahte web siteleri ve sosyal medya hesapları türemiş durumda. Tüketiciler bu sahte hesapları nasıl fark edip nasıl önlem alabilir; bu dönemde internetten alışveriş yaparken nelere dikkat etmeliyiz?

Bize bir internet sitesine ilişkin link SMS, whatsapp ya da e-posta yoluyla geldiğinde buna şüphe ile yaklaşmak lazım. O sitenin adresini internet tarayıcımıza yazarak o siteyi kontrol edebiliriz. Aksi takdirde adı birkaç harfle asıl siteye benzetilmiş bir taklit siteye yönlendirilebiliriz ve yine dikkatsizce kullanıcı adı ve parolamızı girdiğimizde bu bilgilerimizi çaldırabiliriz.

İkinci önemli bir konu bir web sitesine üye olduğumuz zaman kullanıcı adı ve parolamızı o web sitesinin yöneticisine emanet etmiş oluyoruz. Bu sebeple her site için farklı bir parola kullanmak önemli. Ve o web sitesi bir siber saldırı sonucu veri sızıntısına uğrarsa siber suçlular bu kullanıcı adı ve parola ile başta sosyal medya hesaplarımız olmak üzere çeşitli sitelerde bunları denemeye çalışabilirler. Parolamızın çalınıp çalınmadığını http://haveibeenpwnd.com adlı siteden kontrol edebiliriz. Keepass, Lastpass gibi her web sitesi için bize farklı parola öneren programları kullanmak kolaylık sağlayacaktır.

İnternet tarayıcımızın en son sürümünü kullanmak kimlik avı yapacak siteler üzerindeki olası birçok tehdidi engelleyecektir. Bilgisayarımızda bir siteye kullanıcı adı ve parola girdiğimizde ‘’Parolayı hatırla’’ seçeneğini kullanmamak da önemli. Bir bilgisayara sızan siber korsanlar ilk önce bu kaydedilen parolalara bakmaktadırlar.

Son bir nokta ise, girdiğimiz sitelerin adreslerinin https:// ile başlayan güvenli bir site olduğundan emin olalım. http:// ile başlayan sitelere yazdığımız parola bilgilerimiz eğer otel gibi ortak kullanımlı internet ortamındaysak çalınabilir.

Boğaziçi Üniversitesi’nden sağlık kuruluşlarına güvenli internet için destek

Türkiye Siber Güvenlik Kümelenmesi’ne üye olan kurumlar 1 Nisan itibariyle kamuoyuyla paylaşıldığı üzere siber güvenlik hizmetlerini ücretsiz erişime açtı. Bireysel ve kurumsal kullanıcılar bu hizmetlerden nasıl yararlanacak? BÜSİBER Topluluğu bu süreçte nasıl bir rol üstlenmeyi planlıyor?

Türkiye Siber Güvenlik Kümelenmesi’ne yerli siber güvenlik üreticileri üye. Bu firmalar bu olağanüstü günlerde kendi yazılımlarını en az üç ay süreyle ücretsiz veriyorlar. Bu Korona virüs salgını sebebiyle uzaktan çalışma süresinde firmaların katlanacağı masrafları azaltmayı hedefliyor. Ayrıca bilgisayar güvenliği konusunda yerli yazılım kullanma oranının yüzde beşlerde olduğu göz önüne alınırsa, yerli yazılımların yaygınlaşması konusunda da fayda sağlayacaktır.

BÜSİBER olarak biz de COVID-19 ile fedakârca mücadele eden sağlık kurumları için her ay üç kuruma ücretsiz, uzaktan sızma testi ve açık siber istihbarat danışmanlığı, KVKK risk danışmanlığı desteği vereceğiz.

Boğaziçi Üniversitesi Siber Güvenlik Merkezi, Türkiye Siber Güvenlik Kümelenmesi'nin paydaşlarından biri. Bu platforma içinde bulunduğumuz süreçte BÜSİBER olarak nasıl katkılar sunmayı planlıyorsunuz?

Kuruluşundaki çalıştaylarda da akademi olarak yer aldığımız T.C. Savunma Sanayi Başkanlığı bünyesindeki Türkiye Siber Güvenlik Kümelenmesi’nin İstanbul’daki ilk zirvesini 9 Ekim 2018 tarihinde İstanbul’da Siber Güvenlik ve Kişisel Verilerin Korunmasında Yerli Milli Çözümler Zirvesi’ni beraber gerçekleştirdik. Ülkemizde bir üniversite çatısı altındaki ilk siber kampları Boğaziçi Üniversitesi olarak biz düzenlediğimiz için siber güvenliğe yeteneği olan gençler ile tanışıklığımız vardı.  Siber Küme, üniversitelerdeki siber güvenlik kulüplerini bir araya getirecek bir Siber Kulüpler Birliği kurmak istediklerinde de onlara destek olduk. Haziran 2019 tarihinde üniversite öğrencilerine yönelik ortak bir siber güvenlik kampı gerçekleştirdik. Bu şekilde üniversite olarak Ulusal Siber Güvenlik Stratejisi’nde üniversitelere verilen kamu kurumlarıyla işbirliği görevini yerine getirmiş olduk.

BÜSİBER’de yürüttüğünüz faaliyetlerden de kısaca bahseder misiniz?

BÜSİBER Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Siber Güvenlik Merkezi 1 Aralık 2016 tarihinde İstanbul Kalkınma Ajansı Destekli bir proje olarak hayata geçmiştir. Sektöre yetişmiş insan gücü kazandırmak, kamu siber güvenliğine destek olmak ve siber güvenlikte yerli çözümlerin önemini vurgulamak hedefleriyle yola çıktık. Bu amaçla üniversite öğrencileri için ücretsiz siber kamplar düzenliyoruz, kamu kurumlarına eğitimler veriyoruz.

Ülkemizdeki siber güvenlik ekosistemine destek olmak için yerli siber güvenlik üreticilerini, akademiyi, sivil toplum kuruluşlarını ve kamuyu bir araya getirdiğimiz zirveler düzenliyoruz. Bu zamana kadar bu sözlerimizin arkasında durmayı başardık. Dokuz sektörel farkındalık oluşturacak zirve ve dokuz siber güvenlik kampı gerçekleştirdik.

Proje sürdürebilirliğini sağlamak için kamu ve özel sektöre yönelik siber güvenlik eğitimleri, KVKK teknik danışmanlığı, TS 13638 standardına uygun sızma testi ve güvenli dijital dönüşüm hizmetleri veriyoruz.