Bilgi İşlem Daire Başkanlığı

Bilişim dünyasında hiçbir sistem yüzde yüz güvenli olmadığı ve tüm sistemlerin saldırıya uğrama ihtimali olduğu için bir siber saldırıya uğramadan önce mutlaka aşağıdaki maddelerde belirtilen önlemleri alınız.

- Parolalarınızın çalınma ihtimali olduğundan ilgili cihazlarınız(cep telefonu, tablet bilgisayar...vb) üzerinde kullandığınız tüm parolalarınızı(bankacılık, wifi, mail, ebys...vb) değiştiriniz (Parola değişim işlemini güvenli olduğundan emin olduğunuz bir cihaz üzerinde yapınız, virüs şüphesi olan cihazı kullanarak yapmayınız).

- İlgili trafiği oluşturan cihazınıza (Mümkünse tüm bilgisayar ve akıllı cihazlarınıza[tablet, telefon...vb] güncel yeni nesil Antivirüs programı yükleyip taratınız, gerekiyorsa cihazınıza format atınız ya da fabrika ayarına çekiniz, işletim sistemi ve içindeki programların yamalarını yapınız.

- İlgili trafiği oluşturan cihazınızda kullandığınız (Mümkünse kullanmakta olduğunuz tüm) harici depolama ortamlarını(flash bellek, cep telefonu bağlantısı...vb) güvenlik taramasından geçiriniz ve gerekiyorsa formatlayınız.

- Güvenlik zaafiyeti oluşturduğu bilinen BitTorrent, KaZaA, iMesh, eDonkey2000, Gnutella, Napster, FastTrack, Direct Connect... ve benzeri noktadan noktaya dosya paylaşım araçlarını kullanmayınız.

- Asla güvenlik zaafiyeti oluşturan crack(legal yazılımların içine zararlı kod enjekte edilerek illegal ve ücretsiz hale getirilmiş , çoğunlukla arka planda virüs işlevi gören hali) veya güncelliğini yitirerek üretici desteği kalkmış zaafiyetler içerdiği bilinen(Ör: WindowsXP) yazılımları kullanmayınız. (Lisans satın alabilir veya açık kaynak ücretsiz alternatiflerini kullanabilirsiniz.)

- Şüphelendiğiniz web sitelerini veya dosyaları, https://www.virustotal.com/ veya benzeri online tarama sitelerinden taratarak, zararlı olduğu tespit edilenleri kullanmayınız.

- Akıllı cihazlarınıza giriş için mutlaka parola koyunuz. Parola istemeden direk girilebilecek şekilde ayarlamayınız.

- Ortak kullanılan bilgisayarlarda(veya herhangi bir yazılımda) her kullanıcı için ayrı hesap oluşturup herkesin kendi hesabı ile giriş yapmasını sağlayınız. Tek parolayı birden fazla kişiye vererek aynı hesap ile birçok kişinin giriş yapmasına izin vermeyiniz.

- Aynı parolayı birden fazla yerde kullanmayınız. (Ör: bankacılık parolanız ile mail parolanızı aynı yapmayınız)

Yukarıdaki acil işlemleri yaptıktan sonra aşağıdaki hususlara da dikkat ediniz:

- Herhangi bir sisteme giriş parolanızı en fazla 3-4 ayda bir değiştiriniz ve parolaları oluştururken, kişisel bilgilerinizle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonları tercih ediniz. (Herhangi bir siber olay durumunda risk altında olabilecek tüm parolalarınızı değiştiriniz)

- Mecbur kalmadıkça bilgisayarlarınızı ağda paylaşıma açmayınız. Eğer açılması gerekliyse, mutlaka en az 8 karakterli ve kuvvetli bir şifre ile korumaya alınız.

- Web sitelerinden virüs bulaşmasına engel olmak için Internet Explorer, Firefox, vb. browserların güvenlik ayarlarını orta düzeyin üzerinde tutunuz.

- Güvenli olmadığı bilinen sitelere (bedava mp3, program vb.) girmeyiniz.

- İnternette bedava dağıtılan her programa güvenmeyiniz ve virüs taraması yapmadan bilgisayarınıza yüklemeyiniz.

- Gizli kalması gereken bilgileri girdiğiniz(veya transfer ettiğiniz) sistemlerde güvenli protokoller kullanıldığından emin olunuz.

Örneğin web sayfalarında https ve sorunsuz ssl sertifikası kullanıldığından emin olunuz.(İnternet tarayıcınızda adres çubuğundan site sertifikasını kontrol ediniz).

Veri transferlerinde ftp yerine sftp, uzak yönetim uygulamalarında telnet yerine ssh kullanınız ...vb.

- Güvenli olduğundan emin olmadığınız yerlerden gelen mesajları(mailleri, SMSleri, whatsapp gibi uygulamalardan gelen mesajları...vb) açmayınız, açacaksanız da şüphe ile bakınız, sizden parola veya başka gizli bilgi isteyen ya da bu bilgileri isteyen farklı sitelere yönlendiren mesajlara asla itibar etmeyiniz. Bu tür mesajların ekindeki dosyaları indirmeyiniz. Güvendiğiniz yerden gelen dosyaları dahi antivirüs taramasından geçirmeden açmayınız.

- Kullanmadığınız yazılımları(veya servisleri) bilgisayar veya akıllı cihazınızda kurulu halde bulundurmak güvenlik riskini arttırdığından kaldırınız/siliniz.

- Kritik bilgilerinizi açık metin(clear-text) olarak saklamayınız, mutlaka şifrelenmiş halde saklayabileceğiniz yazılımlar kullanınız. (Örneğin şifrelerinizi keepass, dosyalarınızı veracrypt yazılımlarında tutabilirsiniz.)

- Gizli kalması gereken verileri güvenli olmadığı bilinen(veri sızdırdığı bilinen) mesajlaşma uygulamalarında paylaşmayınız.

- Kritik bilgileri mail ya da mesajlaşma uygulamaları ile paylaşacaksanız mutlaka PGP gibi asimetrik kriptolama yazılımları ile şifreleyerek paylaşınız.(Ör: OpenKeyChain, FlowCrypt, Kleopatra, GPA ...vb )

- Bilgisayarınızı(veya Akıllı cihazlarınızı) Yönetici (veya admin, süper admin..vb) yetkisinde kullanmayınız. Normal işleriniz için daima kısıtlı haklara sahip kullanıcı yetkisi ile kullanıp, sadece zaruri ihtiyaç olduğu durumlarda bu tür yüksek yetkili hesaplara geçiş yapınız.

- Giriş yaptığınız sistemlerdeki işlem hareketleri kayıtlarının düzenli olarak tutulmasını sağlayınız ve zaman zaman olağan dışı işlemler olup olmadığını kontrol ediniz. (Ör: Mail/banka hesabınıza yapılan girişlerin log kayıtlarını zaman zaman inceleyiniz)

- Kritik verilerinizi mutlaka zaman zaman güvenli ortamlarda(harici disk, usb bellek, offline veya farklı ağa bağlı bir bilgisayar...vb) yedekleyiniz.

- Bulut ortamında depolanan kritik verilerinize erişimde mümkün olduğunca iki kademeli kimlik doğrulama kontrolü kullanınız(Ör: Online Bankacılık sistemlerine girişte parola yanında cep telefonun gönderilen kodun da girilmesi gibi.)

- Kritik verilerin olduğu bir yere bakım veya onarım gibi amaçlarla dışarıdan birileri gelmiş ise verileri kopyalayarak çalmasının engellenmesi için gerekli güvenlik önlemlerini alınız.

- Kurumumuz Bilgi İşlem Dairesi tarafından duyurulan tüm ISO-27001 Bilgi Güvenliği politika ve süreçlerini okuyunuz(tanıdıklarınıza/iş arkadaşlarınıza duyurarak) uygulanmasını sağlayınız. (Ör: Antivirüs Politikası gereği herkesin antivirüs kullanması gerektiği)

- Güncel siber güvenlik tehditleri ile ilgili içerik kaynaklarını takip ediniz.

- Kurumumuz Siber Güvenliği ile ilgili tespitlerinizi/duyumlarınızı/sorunlarınızı mümkün olduğunca hızlı bir şekilde Bilgi İşlem Daire Başkanlığına bildiriniz.

Gerekli güvenlik önlemlerini almadığınız taktirde, sizlerin haberi dahi olmadan, siber saldırganların virüs bulaşmış cihazınız ile yapacakları her türlü kanun dışı işlemden, hem sizlerin hem de kurumumuzun uğrayacağı maddi ve manevi zararlardan sizlerin sorumlu olacağını unutmayınız.

Gerekli güvenlik tedbirlerini almamanız nedeni ile meydana gelecek herhangi bir siber olay halinde kurumumuz aşağıdaki işlemleri yapacaktır:

- Kullanıcı sözlü ve/veya yazılı olarak uyarılır
- Kullanıcıya tahsis edilmiş KTÜN Bilişim Kaynakları sınırlı veya sınırsız süre ile kapatılabilir
- Üniversite bünyesindeki akademik/idari soruşturma mekanizmaları harekete geçirilebilir
- Adli yargı mekanizmaları harekete geçirilebilir.