BilgiGüvenliği

CSRF (Cross-Site Request Forgery), bir kullanıcının tarayıcısını kullanarak izinsiz işlemler gerçekleştirmeyi amaçlayan bir siber saldırı türüdür. Bu saldırılarda genellikle kullanıcının oturum bilgileri kötü niyetli amaçlarla kullanılır. CSRF saldırılarının çalışma prensibi şu şekildedir: 1. Saldırgan, kullanıcıyı kandırarak belirli bir URL'ye tıklamasını sağlar. 2. Kullanıcı bağlantıya tıkladığında, tarayıcısı otomatik olarak oturum bilgilerini iletir ve saldırganın istediği işlemler gerçekleştirilir. CSRF'ye karşı korunma yöntemleri arasında CSRF token kullanımı, SameSite cookie ayarı ve kullanıcı doğrulaması gibi önlemler bulunur.

DoS (Denial of Service) ve DDoS (Distributed Denial of Service) terimleri, bilgisayar ve ağ sistemlerine yönelik hizmet engelleme saldırılarını ifade eder. DoS saldırıları, tek bir bilgisayar ve internet bağlantısı üzerinden hedef sistemin kaynaklarını tüketerek erişilebilirliğini ortadan kaldırmayı amaçlar. DDoS saldırıları ise, aynı anda birden fazla bilgisayarın ve bağlantının desteğiyle gerçekleştirilir ve daha geniş bir kapsama sahip olup, daha ciddi zararlar verebilir.

Kare kodu okutulduğunda, kodun içerdiği bilgi cihaza otomatik olarak yüklenir. Kare kodları, akıllı telefonlar ve dijital kameralar ile okunabilir ve anlaşılabilir. Ancak, bilinmeyen kaynaklardan gelen kare kodlarının zararlı yazılım içerebileceği veya kötü niyetli bağlantılara yönlendirebileceği unutulmamalıdır.

CISA sertifikası, her üç yılda bir yenilenmelidir.

"Leak" kelimesi iki farklı anlamda kullanılabilir: 1. Sıvı veya gaz sızıntısı: Bir yüzeydeki delikten sıvının veya gazın içeri veya dışarı geçmesi. 2. Gizli bilgilerin sızdırılması: Sırların veya gizli bilgilerin kamuya açıklanması.

Kurumsal bilgi güvenliği farkındalık eğitimi sınavlarında soru sayısı, eğitmenler tarafından belirlenmekte olup 10 ile 50 arasında değişmektedir.

Zararlı yazılım, bilgisayar sistemlerine veya ağlara zarar vermek, kişisel verilere erişmek veya sistemi kullanılamaz hale getirmek amacıyla tasarlanmış kötü amaçlı yazılımlardır. Başlıca zararlı yazılım türleri: - Virüsler: Dosyaları enfekte ederek yayılan yazılımlardır. - Truva Atları: Zararsız gibi görünen ancak arka planda kötü niyetli faaliyetler yürüten yazılımlardır. - Solucanlar: Ağlar üzerinden kendiliğinden yayılan zararlı yazılımlardır. - Fidye Yazılımları: Kullanıcıların dosyalarını şifreleyerek erişimlerini engeller ve şifreyi çözmek için fidye talep eder. - Casus Yazılımlar: Kullanıcıların bilgisayar aktivitelerini izleyerek kişisel bilgilerini çalar. - Reklam Yazılımları: Kullanıcıların bilgisayarlarına istenmeyen reklamlar gösteren yazılımlardır. Korunma yöntemleri: Güncel antivirüs yazılımı kullanmak, işletim sistemini ve uygulamaları güncel tutmak, güvenilir kaynaklardan indirme yapmak ve şüpheli e-posta eklerini açmamak önemlidir.

Bilgi güvenliği sınavlarında soru sayısı, sınavın türüne göre değişiklik gösterebilir: Özel Güvenlik (ÖGG) sınavı: Temel eğitim sınavında 100 soru, yenileme sınavında ise 50 soru sorulmaktadır. Bulut Akademi'nin verdiği bilgiye göre, iş sağlığı ve güvenliği (İSG) sınavı da 50 sorudan oluşmaktadır.

Bilgi güvenliği uzmanının çalışma ortamı genellikle kapalı alanlarda, ofislerde bulunur. Çalışma ortamı şunları içerebilir: Bilgisayarlar ve bilişim cihazları: ana bilgisayar (mainframe), sunucu (server), masaüstü bilgisayar, dizüstü bilgisayar, tablet bilgisayar, akıllı telefon. İyi aydınlatılmış, havalandırılmış ve termal konfor koşullarına sahip ortamlar. Yüksek miktarda elektromanyetik dalga ve radyo dalgası bulunan ortamlar. Ayrıca, bilgi güvenliği uzmanları uzaktan çalışma seçeneğine de sahip olabilirler.

"Sızdırıldı" ifadesi, gizli kalması gereken bir bilginin el altından duyurulması, yayılması anlamına gelir.

Sızma testinde staj yapabilecek kişiler, Stajyer Sızma Testi Uzmanı (ST.S.T.U.) unvanını taşıyan kişilerdir. Bu unvan için aşağıdaki şartlar aranmaktadır: 1. Bir yıl içerisinde güvenlik konusunda en az bir (1) adet eğitim almış olmak. 2. 6 ay bilgi güvenliği/bilişim alanında tecrübe veya yazılı (teorik) sınavda 100 üzerinden 50 puan başarılı olmak. Eğitimler, Türk Standartları Enstitüsü (TSE) veya TSE tarafından yetkilendirilmiş kuruluşlardan alınmalıdır.

Bilgi ve İletişim Güvenliği (BİG) Rehberi'ni uygulamak zorunda olanlar şunlardır: 1. Kamu Kurumları: Milli güvenliğin sağlanması kapsamında görev ve faaliyet yürüten kurumlar hariç, bilgi işlem birimi barındıran veya bu hizmetleri üçüncü taraflardan alan tüm devlet teşkilatı içindeki kamu kurumları. 2. Kritik Altyapı Hizmeti Veren İşletmeler: Ulusal Siber Güvenlik Stratejisi ve Eylem Planı'nda belirtilen sektörlerde faaliyet gösteren işletmeler (elektronik haberleşme, enerji, su yönetimi, kritik kamu hizmetleri, ulaştırma, bankacılık ve finans). Bu kurumlar, rehberde belirtilen bilgi güvenliği tedbirlerini almak ve denetimlere tabi tutulmak zorundadır.

İç tehditler, dış tehditlere göre daha tehlikeli olabilir çünkü: 1. İç tehditler, genellikle sistemlere erişim hakkına sahip olan, organizasyonun bir parçası olarak kabul edilen bireylerden gelir. 2. İç tehditler, şirketin gizli bilgileri, finansal verileri veya müşteri verileri gibi en değerli varlıklarına erişebilir. 3. İç tehditler, kötü niyetli veya ihmalkar eylemler gerçekleştirebilir. 4. İç tehditlerin tespiti, dışarıdan gelen tehditlere göre daha zor olabilir.

Bir e-postanın spam olup olmadığını anlamak için aşağıdaki kriterlere dikkat edilebilir: 1. E-posta Adresi: Gönderenin e-posta adresini kontrol ederek sahte olup olmadığını anlamaya çalışılmalıdır. 2. Tanımadığınız Bağlantılar: E-postadaki bağlantılara tıklamamak gerekir, çünkü bu bağlantılar cihazınıza virüs bulaştırabilir veya kişisel bilgilerinizi ele geçirebilir. 3. Yazım Hataları: Spam e-postalarda bazı kelimeler bilinçli olarak yanlış yazılabilir. Bu tür hataları denetlemek, e-postanın spam olup olmadığını anlamanıza yardımcı olabilir. 4. Konu ve İçerik: Tuhaf veya tekrar eden cümleler içeren e-postalar spam olabilir. Ayrıca, e-posta servislerinin sunduğu spam filtrelerini kullanmak da spam e-postaları engellemenize yardımcı olabilir.

Inventum adlı iki farklı şirket bulunmaktadır: 1. Inventum Teknoloji: Ağ ve bilgi güvenliği alanında faaliyet gösteren bir şirkettir. 2. Inventum Technologies: Hindistan merkezli bir teknoloji şirketidir.

Özel anahtar ve şifre aynı şey değildir. Özel anahtar (private key), kripto cüzdandaki dijital varlıklara erişim sağlayan gizli bir şifredir. Şifre ise, genel anlamda bir metni veya veriyi şifrelemek ve şifresini çözmek için kullanılan bir kod veya algoritmayı ifade eder.

KBS gizli anahtarı, bilgi güvenliği yöntemlerinden asimetrik veya çift anahtarlı kriptografide, kullanıcının iki anahtarından sadece kendisinin bildiği özel anahtardır.

İçişleri Bakanlığı, bilgi güvenliği ve bilgi edinme hakkı konularında iki farklı yönergeye tabidir: 1. Bilgi Güvenliği Politikaları Yönergesi: Bu yönerge, Bakanlığın bilgi sistemleri kullanımı ve bilgi güvenliği konularında tedbir almak amacıyla hazırlanmıştır. 2. Bilgi Edinme Hakkı Kanununun Uygulanmasına İlişkin Yönerge: Bu yönerge ise, 4982 sayılı Bilgi Edinme Hakkı Kanunu'nun en geniş, en kolay ve en etkin şekilde uygulanmasına ilişkin işlemleri düzenlemek için hazırlanmıştır.

Gizlilik (Privacy) ve Confidentiality kavramları, bilgi güvenliği bağlamında farklı anlamlar taşır: 1. Gizlilik (Privacy): Bir kişinin veya kurumun, kendi bilgilerini başkalarının erişimine kapatması ve bu bilgilere sadece yetkili kişilerin erişebilmesi anlamına gelir. 2. Confidentiality ise, bilginin yetkisiz kişiler tarafından erişilememesi, değiştirilememesi ve ifşa edilememesi anlamına gelir.

Ödeme sistemlerinde bilgi güvenliği sağlamak için aşağıdaki önlemler alınmalıdır: 1. Güvenli Ağ ve Sistemler: Güvenlik duvarları kurulmalı ve bakımı yapılmalı, sistem yapılandırmaları varsayılan ayarlarda bırakılmamalıdır. 2. Kart Sahibi Verilerinin Korunması: Kart sahibi verileri, AES-256 gibi güçlü şifreleme standartları kullanılarak şifrelenmeli ve saklanan veri miktarı sınırlandırılmalıdır. 3. Erişim Kontrol Önlemleri: Hassas verilere sadece yetkili personelin erişimi sağlanmalı, çok faktörlü kimlik doğrulama (MFA) kullanılmalıdır. 4. Sistemlerin İzlenmesi ve Test Edilmesi: Ödeme sistemlerine erişim takip edilmeli, şüpheli faaliyetler için günlükler düzenli olarak gözden geçirilmelidir. 5. Yazılım Güncellemeleri: Tüm yazılımlar güncel tutulmalı, güvenlik açıklarına karşı yamalar uygulanmalıdır. 6. Çalışan Eğitimi: Personel, siber güvenlik uygulamaları ve potansiyel tehditler konusunda eğitilmelidir. 7. Üçüncü Taraf Satıcıların Denetimi: Ödeme verilerini işleyen üçüncü taraf satıcıların PCI DSS standartlarına uymaları sağlanmalıdır.