3 Mayıs 2024 Cuma

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNDA NELER DEĞİŞTİ? (12.03.2024 tarihli ve 32487 sayılı Resmî Gazete ile gerçekleşen değişiklikler.)

 

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNDA NELER DEĞİŞTİ?

Ferihan Melikoğlu

 

26 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanununda “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararname’de Değişiklik Yapılmasına Dair Kanun Teklifi” 02.03.2024 tarihinde kabul edilerek 7499 sayılı “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” 12.03.2024 tarihli ve 32487 sayılı Resmî Gazetede yayımlanarak değişiklik yapılmasına karar verilmiştir. 1 Haziran 2024 tarihinde yürürlüğe girecek olan değişiklikler ise özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurtdışına aktarılması ve kabahatler maddeleri ile ilgili olarak karşımıza çıkmaktadır.

Özel nitelikli kişisel verilerin işlenme şartları

Yapılan değişikliklerin ilki Madde.6 Özel Nitelikli Kişisel Verilerin İşlenme Şartlarında karşımıza çıkmaktadır. Kanunun ilk halinde özel nitelikli kişisel veriler ilgili kişinin (kişisel veri sahibi) açık rızası olmadan işlenememekteydi. Bu durumun 2 istisnası mevcuttu. Birincisi sağlık ve cinsel hayat dışındaki kişisel veriler yalnızca kanunların öngörülen hallerde açık rıza şartı olmaksızın işlenebilmekteydi. Sağlık ve cinsel hayat verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, bakım ve tedavi gibi amaçlarla sır saklama yükümlülüğü altındaki kişilerce işlenmesine izin verilmekteydi.

Değişiklik sonrası ise özel nitelikli verilerin işlenme şartları Madde.5 Kişisel Verilerin İşlenme Şartları altındaki meşru menfaat haricindeki diğer istisnaları da kapsamış ve eklenen yeni maddelerle işlenme şartlarının kapsamı genişlemiş oldu.

Madde.6’da yapılan değişiklik ile özel nitelikli kişisel verilerin işlenmesi şartları aşağıdaki gibi olmuştur.

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

 

Kişisel verilerin yurtdışına aktarılması

Kanunda yapılan en büyük değişiklik Madde.9 Kişisel Verilerin Yurtdışına Aktarılması konusunda gerçekleşmiştir.

Yeni madde ile birlikte aktarım koşulları;

-        Kurul tarafından resmi Gazetede yayımlanacak olan yeterlilik kararı verilen kuruluşlara aktarım yapılabileceği ifade edilmiştir.  Buna ek olarak yeterlilik kararı verilmesinde dikkat edilecek hususları da tanımlamıştır.

-        Yeterlilik kararı olmayan durumlarda ise verilerin işlenme istisnalarından (Madde 5 ve Madde 6’da tanımlı istisnalar) birinin mevcudiyeti ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartı ile birlikte veri aktarım taraflarından birinin vereceği güvence ile de aktarım yapılabileceği ifade edilmektedir. Söz konusu güvenceler ise:

o   Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

o   Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı

o   Alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı (bu sözleşme taraflarca imzalanmasından itibaren 5 gün içerisinde Kuruma bildirilmelidir. Aksi durumda Kabahatler maddesine yeni eklenen fıkra ile “d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,” ceza düzenlenmesi söz konusu olacaktır.)

-        Aktarım için yeterlilik kararı olmayan ve tarafların aktarım için tanımlı güvencelerden birini sağlayamaması durumunda ise  aktarım istisnalarına göre aktarıma izin verilmektedir.

Şeklinde belirlenmiştir.

MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.”

 

Kabahatler

Kanunda değişen bir diğer madde ise Madde.18 Kabahatler maddesidir. Bu madde genel hatları ile aynı kalmakla birlikte kişisel verilerin yurt dışına aktarılması kapsamında gerekli olan ve taraflarca imzalanacak olan standart sözleşmenin imzalanma tarihinden itibaren 5 iş günü içinde Kurum’a bildirilmesi gerekliliğini yerine getirmeyenler için ekleme yapılmıştır.

“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,”

Ayrıca verilecek idari para cezalarının da uygulanacağı taraflar belirlenmiş olup Kurul’un vereceği bu cezalara karşı İdare Mahkemelerinde dava açma yolu açılmıştır.

“(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.”

 

Bu değişiklikler neticesinde özel nitelikli kişisel verilerin işlenmesindeki istisnaların kişisel verilerin işlenme şartları ile paralellik göstererek genişlediğini, kişisel verilerin yurtdışına çıkarılması ile ilgili istisnaların daha açık hale geldiğini ve aktarım şartlarının esnetildiği aynı zamanda açık rıza olmadan yurt dışına veri aktarımı gerekliliklerinin çerçevesinin daha belirginleştiği görülmüştür.

7 Kasım 2022 Pazartesi

 ISO/IEC 27001:2022 ve ISO/IEC 27002:2022 İncelemesi

Sinem Varol, ISO 27001 LA

Geçtiğimiz günlere kadar ISO/IEC 27001 standardının ulusal çapta geçerli olan 2013 versiyonu kullanılmaktaydı. Şubat ayında ISO/IEC 27002 standardının 2022 versiyonunun yayınlanmasından sonra, ISO/IEC 27001 standardının yeni versiyonu 25 Ekim 2022 tarihinde yayınlandı. Bu yazımızda standardın yeni versiyonunda yapılan değişiklikleri ve yenilikleri inceleyeceğiz.

1.       Değişiklikler incelendiğinde ilk göze çarpanın standardın ismi olduğu görülüyor. 2013 versiyonunda “Bilgi teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler” olan standart ismi yeni versiyonuyla birlikte “Bilgi güvenliği, siber güvenlik ve mahremiyetin korunması– Bilgi güvenliği yönetim sistemleri – Gereksinimler” olarak güncellendi.

2.       Standardın içeriğinde yapılan değişikliklerle birlikte 2013 versiyonu 23 sayfa uzunluğundayken 2022 versiyonunda bunun 19 sayfaya düştüğü fark ediliyor.

3.       2022 versiyonunda standardın Madde 3 Terimler ve tarifler başlığında kullanılabilecek terminoloji veri tabanları bilgileri paylaşılmış. Yapılan ekleme “ISO ve IEC, standardizasyonda kullanılmak üzere aşağıdaki adreslerdeki terminoloji veri tabanlarını sürdürür:

                — ISO Çevrimiçi tarama platformu: https://www.iso.org/obp adresinde mevcut

                — IEC Elektropedia: https://www.electropedia.org/ adresinde mevcut

4.       Madde 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması” maddesine “c) Bilgi güvenliği yönetim sistemi vasıtasıyla bu gereksinimlerden hangilerinin ele alınacağı” ifadesi eklendi. Güncel madde aşağıdaki gibi:

                “Kuruluş aşağıdakileri belirleyecektir:

                a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar;

                b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri;

                (yeni) c) Bilgi güvenliği yönetim sistemi aracılığıyla bu gereksinimlerden hangilerinin ele alınacağı.”

                Not - İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan                 yükümlülükleri içeriyor olabilir.”

5.       Madde 4.4’e yapılan eklemeyle birlikte yeni versiyonda süreçlere daha fazla odaklanıldığı fark ediliyor. Güncel madde: “Kuruluş, ihtiyaç duyulan süreçleri ve bu süreçlerin etkileşimlerini içeren, bu standardın şartları çerçevesinde bir bilgi güvenliği yönetim sistemini kurmalı, uygulamalı, sürdürmeli ve sürekli iyileştirmelidir.”

6.       Yeni versiyonda bilgi güvenliği hedefleri için 6.2 maddesine yeni gereksinimler eklendi (yenilikler kalın harfle belirtilmiştir).

        Kuruluş, uygun işlevler ve seviyelerde bilgi güvenliği amaçlarını tesis etmelidir.

        Bilgi güvenliği amaçları aşağıdakileri sağlamalıdır:

        a) Bilgi güvenliği politikası ile tutarlı olmalı,

        b) Ölçülebilir olmalı (uygulanabilirse),

        c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını            dikkate almalı,

        d) İzlenmeli,

        e) Duyurulmalı,

        f) Uygun şekilde güncellenmeli ve

        g) Yazılı bilgi olarak mevcut olmalıdır.

7.       Yeni versiyonda “6.3 Değişikliklerin planlanması” adlı yeni bir madde eklendi.

        6.3 Değişikliklerin planlanması

        Kuruluş bilgi güvenliği yönetim sistemindeki değişiklik ihtiyacını belirlediğinde, değişiklikler           planlı bir şekilde gerçekleştirilmelidir.

8.       7.4 İletişim maddesindeki gereksinimlerde değişiklik yapıldı, yeni bir gereksinim eklendi.

        Eski versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı,

        d) Kimin iletişim kuracağı ve

        e) İletişimin hangi süreçten etkileneceği.

        Yeni versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı ve

        d) Nasıl iletişime geçileceği.

9.       8.1 İşletimsel planlama ve kontrol maddesine yeni gereksinimler eklendi:

        Eski versiyon: Kuruluş bilgi güvenliği şartlarını karşılamak ve Madde 6.1’de belirlenen      faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Kuruluş, Madde 6.2’de belirlenen bilgi güvenliği amaçlarını başarmak için aynı            zamanda planları uygulamalıdır.

        Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri     saklamalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

        Yeni versiyon: Kuruluş;

-        süreçler için kriterler oluşturarak ve

-        kriterlere göre süreçlerin kontrolünü uygulayarak

        şartları karşılamak ve Madde 6’da belirlenen faaliyetleri gerçekleştirmek için gerekli olan               süreçleri planlamalı, uygulamalı ve kontrol etmelidir.

        Yazılı bilgiler, süreçlerin planlandığı gibi yürütüldüğünden emin olunduğu noktaya kadar                 mevcut olmalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, bilgi güvenliği yönetim sistemiyle ilgili dış kaynaklı süreçler, ürünler ya da       hizmetlerin kontrol edilmesini temin etmelidir.

10.   9.2 İç tetkik ve 9.3 Yönetimin gözden geçirmesi maddelerinin yapısı değişti ve 9.3.2 Yönetimin gözden geçirmesi girdileri maddesine yeni bir gereksinim eklendi.

        Eski versiyon: 9.2 İç tetkik

                                   9.3 Yönetimin gözden geçirmesi

        Yeni versiyon: 9.2 İç tetkik

                                    9.2.1 Genel

                                    9.2.2 İç tetkik programı

                                    9.3 Yönetimin gözden geçirmesi

                                    9.3.1 Genel

                                    9.3.2 Yönetimin gözden geçirmesi girdileri

                                    9.3.3 Yönetimin gözden geçirmesi sonuçları

        c) Bilgi güvenliği yönetim sistemiyle ilişkili ilgili tarafların ihtiyaç ve beklentilerindeki                 değişiklikler

11.   10 İyileştirme maddesinin yapısında değişiklik yapıldı.

        Eski versiyon: 10.1 Uygunsuzluk ve düzeltici faaliyet

                                   10.2 Sürekli iyileştirme

        Yeni versiyon: 10.1 Sürekli iyileştirme

                                    10.2 Uygunsuzluk ve düzeltici faaliyet

12.   Ek-A bilgi güvenliği kontrollerinde değişiklikler yapıldı. A.5’ten A.18’e kadar giden domain yapısı değiştirildi, kontroller 4 kategoriye ayrıldı. Kontroller aşağıdaki gibi kategorize edildi:

a.       Eğer bireysel kişileri ilgilendiriyorsa İnsan

b.      Fiziksel nesnelerle ilgiliyse Fiziksel

c.       Teknoloji ile ilgili ise Teknolojik

d.      Aksi takdirde Organizasyonel

          Kontroller için sadece 2022 versiyonunda olan beş yeni nitelik tanımlandı.

1.       Kontrol türü (Önleyici, Tespit Edici, Düzeltici)

2.       Bilgi güvenliği özellikleri (G-B-E)

3.       Siber güvenlik kavramları (Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma)

4.       Operasyonel kabiliyetler

5.       Güvenlik alanları

        Toplam kontrol sayısının 114’ten 93’e düştüğü görülüyor. 11 yeni kontrol eklendi. Eklenen            kontroller aşağıdaki gibi:

-        A.5.7 Tehdit istihbaratı

-        A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

-        A.5.30 İş sürekliliği için bilgi ve iletişim teknolojilerinin hazırlığı

-        A.7.4 Fiziksel güvenlik izleme

-        A.8.9 Konfigürasyon yönetimi

-        A.8.10 Bilgi silme

-        A.8.11 Veri maskeleme

-        A.8.12 Veri sızıntısını önleme

-        A.8.16 İzleme faaliyetleri

-        A.8.23 Web filtreleme

-        A.8.28 Güvenli kodlama

 

                Yeni eklenen niteliklerle birlikte kontrol örneği aşağıda verilmiştir.

                5.1 Bilgi güvenliği için politikalar

Kontrol türü

Bilgi güvenliği özellikleri

Siber güvenlik kavramları

Operasyonel kabiliyetler

Güvenlik alanları

#Önleyici

#Gizlilik #Bütünlük #Erişilebilirlik

#Tanımlama

#Yönetişim

#Yönetişim_ve_Ekosistem #Dayanıklılık

 

                Kontrol

                Bilgi güvenliği politikası ve konuya özel politikalar tanımlanmalı, yönetim tarafından          onaylanmalı, yayınlanmalı, ilgili personel ve ilişkili ilgili taraflara bildirilmeli ve tanınmalı,              planlı aralıklarla ve önemli değişiklikler meydana gelirse gözden geçirilmelidir.

                Amaç

                Bilgi güvenliği için yönetimin yönlendirmesi ve desteğinin, ticari, yasal, düzenleyici ve      sözleşmeye dayalı gereksinimlere göre sürekli uygunluğunu, yeterliliğini, etkinliğini sağlamak.

Bilgi Güvenliği Yönetim Sistemi işletiyorsanız, versiyon geçişi için aşağıdakileri yapmanız tavsiye edilir:

1.       Risk işleme planı yeni yapıya ve kontrollere göre gözden geçirilmelidir.

2.       Uygulanabilirlik Bildirgesi (SoA) gözden geçirilmeli ve güncellenmelidir.

3.       Bilgi Güvenliği Yönetim Sistemi yönetimin gözden geçirme prosedürü (girdiler için) gözden geçirilmeli ve güncellenmelidir.

4.       Bilgi güvenliği hedefleri ve izleme, ölçme, analiz ve değerlendirme prosedürü gözden geçirilmeli ve güncellenmelidir.

5.       Bilgi Güvenliği Yönetim Sistemi iletişim planı gözden geçirilmeli ve güncellenmelidir.

6.       Gerekliyse, diğer politikalar, standartlar ve prosedürler gözden geçirilmeli ve güncellenmelidir.

7.       Dahili ve harici olmak üzere, denetimler için kullanılan kontrol listeleri ve anketler gözden geçirilmeli ve güncellenmelidir.

8.       Kullandığınız kayıtların yeni gereksinimlere uyumluluğunu göstermek için, üçüncü taraf güvenlik araçları (örneğin GRC, SIEM, VM) değerlendirilmelidir ve imkan dahilinde uyarlanmalıdır.

16 Şubat 2022 Çarşamba

ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri

(Özet Bilgiler)

ISO 27001 ve ISO 27002 standartları BGYS (Bilgi Güvenliği Yönetim Sistemi) konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler.

ISO 27001 standardı BGYS’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için gereksinimleri ortaya koyar. Belgelenebilir bir standart olması nedeni bilgi güvenliği alanında en yaygın bilinen standarttır. ISO 27001 standardının EK-A kısmında bilgi güvenliği kontrolleri yer almaktadır. ISO 27002’de ise ISO 27001 EK-A kısmında yer alan bilgi güvenliği kontrollerinin iyi uygulama pratikleri yer almaktadır.

Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002 standardında gerçekleşmiştir.

Temelde neler değişmiştir? Değişecektir?

-          ISO 27001 standardı Annex SL uyumlu olarak yayınlanacağı bildirilmiştir. Madde 4 ila 10 arası zorunlu maddeler varlığını koruyacaktır.

-          ISO 27002 de bulunan kontrol grubu sayısı ve kontrol sayısı değişmiştir. Kontrol grubu sayısı 14’ten 4’e düşmüştür. Kontrol sayısı ise 114’ten 93’e inmiştir.

-          Toplamda 11 yeni kontrol getirilmiştir. Kaldırılan herhangi bir kontrol yoktur. Birçok kontrol birleştirilerek kontrol sayısı düşürülmüştür.

ISO 27002 2022 sürümünde bilgi güvenliği kontrolleri aşağıdaki şekilde gruplandırılmıştır.

-          Organizasyonel kontroller (Organizational controls)

-          Personel/insan ile ilgili  kontroller (People controls)

-          Fiziksel kontroller (Physical controls)

-          Teknolojik kontroller (Technological controls)

Bulut servislerinin kullanımı için bilgi güvenliği, Bilgi güvenliği olaylarının (Event) değerlendirilmesi ve karar verilmesi, kesinti sırasında bilgi güvenliği, veri sızıntısı önleme, veri maskeleme, web filtreleme gibi ek kontroller getirilmiştir.

ISO 27001:2022 sürümünün yıl içinde ne zaman yayınlanacağı henüz açıklanmamıştır. Ancak ana süreçlerde değişiklik beklenmediği için temelde aşağıdaki çalışmalar ile uyumluluğun sağlanacağı değerlendirilmektedir. 

-          Değişen kontrol isimleri, sayısı ve grupları nedeni ile ilgili kontrol dokümantasyonunda güncellemeler.

-          Yeni kontroller nedeni ile teknik bazı işleyişlerin yeni yapıya adaptasyonu.

-          Uygulanabilirlik bildirgesinin yeni yapıya göre yenilenmesi

-          Risk değerlendirmelerinin yenilenmesi ve bu sayede yeni kontrol yapısına göre risk eşleştirmeleri.


12 Nisan 2021 Pazartesi

Cowrie Honeypot Kullanarak SSH Sunucularına Gelen Saldırı Trendi Analizi

Günümüzde otomatikleştirilmiş araçlar ile birlikte internete açık (public) sunuculara yapılan parola deneme saldırıları çok fazla artmıştır. Bu yazıda saldırganların el ile (manuel) ve otomatik araçlar ile yaptığı saldırılarda denedikleri kullanıcı adı, parola ve saldırının hangi ülkeden geldiği gibi bilgileri cowrie honeypot kurarak analiz ettik.

Analiz işlemini gerçekleştirirken DigitalOcean üzerinden kiraladığım 8 farklı lokasyondaki (New York, Amsterdam, San Francisco, Singapur, Londra, Frankfurt, Toronto, Bangalore) virtual private server (VPS)'lerin üzerine honeypot kurma işlemini gerçekleştirdik. DigitalOcean üzerindeki sunucuları 2 gün boyunca açık bıraktık ve gelen verileri analiz ederek otomatize araçların ve saldırganların davranışlarını inceledik.

Bu yazıda öncelikle honeypot Nedir? Nasıl Çalışır? ve cowrie honeypot nasıl kurulur? bunu anlatacağım. Daha sonra kurduğum canlı sistem üzerinde analiz ettiğim verileri paylaşarak saldırgan hareketlerine değineceğim. 

Honeypot Nedir ?

6 Nisan 2021 Salı

802.1x Nedir? Nasıl Çalışmaktadır?

802.1x Nedir?

Cihazlar, Local Area Network (LAN) veya Wide Local Area Network (WLAN) noktalarına bağlanmak için kimlik doğrulama mekanizmaları kullanmaktadırlar. IEEE 802.1X, Port-Based Network Access Control (PNAC) için IEEE Standartları tarafından belirlenmiş olan ve korunmuş bir kimlik doğrulama sağlayan güvenli network erişimi standardıdır.

Bir 802.1x ağını, ev ağından büyük ölçüde ayıran bir yol vardır. Bu da kimlik doğrulama sunucusu dediğimiz RADIUS sunucusudur. RADIUS Sunucusu kullanıcının kimlik bilgilerini kontrol ederek, organizasyon içinde bu kimlik bilgileriyle aktif bir kişinin olup olmadığına dair kontrol sağlamaktadır. Kullanıcı, RADIS sunucusu tarafından onaylanırsa, network kurallarına göre ve kimlik bilgilerine tanınan izinlere göre kullanıcıya erişim sağlanmaktadır.

802.1x Nasıl Çalışmaktadır?

802.1x, kurum ağına erişmek isteyenler için port açarak, organizasyondaki kullanıcıları doğrulamakta ve networke erişmeleri için yetki vermek üzerine kurulmuş bir network kimlik doğrulama protokolüdür. Kullanıcıların kimlikleri, organizasyon tarafından belirlenen sertifikalarla veya kullanıcılara ait bilgilerle tespit edilmekte, RADIUS sunucusu tarafından onaylanmaktadır. RADIUS sunucusu kimlik doğrulama için gerekli olan iletişimi kuruma ait dizinlerden yapmaktadır. Bu iletişim genel olarak LDAP veya SAML protokolleri üzerinden olmaktadır.

802.1x EAP Güvenliği Nedir?

Extensible Authentication Protocol (EAP), kullanıcıların güvenli bir şekilde kimlik doğrulama gerçekleştirmeleri için tasarlanmış bir protokoldür. Networke ait kimlik doğrulama sunucusu ile kullanıcı arasında iletilen kullanıcıya ait kimlik bilgilerini kriptolojik olarak şifrelemektedir. 802.1x standart olarak iletişimini EAP kullanarak gerçekleştirmekte ve bunu hem kablolu erişimlerde hem de kablosuz (LAN) erişimlerde kullanmaktadır. EAP oluşturduğu şifreli tünel sayesinde dışarıdan yapılacak olan bir dinleme veya araya girme saldırılarına karşı önlem almaktadır. EAP protokolü kullanıcılara ait bilgiler(kullanıcı adı – parola) ile (EAP-TTLS/PAP ve PEAP-MSCHAPv2) veya dijital bir sertifika yolu ile (EAP-TLS) kimlik doğrulaması işlemini güvenlik altına almaktadır.

WPA-2 Enterprise Protokolleri Şifreleme Seviyesi Kimlik Doğrulama Hızları Dizin Desteği Kullanıcı Deneyimi
EAP-TLS Public-Private Anahtar Şifrelemesi Hızlı – 12 adım SAML/LDAP/MFA Sunuculari İyi
PEAP-MSCHAPV2 Şifrelenmiş Kimlik Bilgileri Orta – 22 adım Active Directory Kabul Edilebilir
EAP-TTLS/PAP Kimlik Bilgileri Şifrelenmez Yavaş – 25 adım Non-AD LDAP Sunucuları Kötü

802.1x Neden Kullanılmaktadır?

802.1x güvenli network erişimi için kullanılmaktadır. Eğer kurum hassas ve önemli veriler barındırmaktaysa, bu bilgilerin güvenli bir metot ile taşınması gerekmektedir. 802.1x kullanıldığı zaman cihazlar güvenli bir şekilde erişim noktaları (kurumsal router’lar) ile haberleşebilmektedir. Geçmişe de bakıldığı zaman 802.1x şirketler, üniversiteler ve hastaneler gibi büyük organizasyonlar tarafından kullanıldığı görülmüştür; fakat günümüzde siber güvenlik tehditlerinin artmasıyla beraber küçük işletmeler hızlıca 802.1x konusuna adapte olmaktadırlar.

802.1x sıklıkla WPA2-Enterprise olarak karşımıza çıkmaktadır. WPA2-Enterprise, Pre-Shared Key kullanan ve genel olarak evlerimizde hizmet veren WPA2-Personal ile karıştırılmamalıdır. WPA2-Personal, önemli ve hassas veriler ile işlem gören organizasyonlar için etkili bir protokol değildir ve büyük siber güvenlik riski oluşturmaktadır.

802.1x ve Wi-Fi Farkları

802.1x ve Wi-fi için neredeyse aynı şey denilebilir. IEEE 802.1x standardı ilk olarak Kablolu Ethernet networkleri için dizayn edilmiştir. Wi-fi standart olarak 802.11x olarak belirlenmiştir ve orijinal standardın değiştirilmiş versiyonudur.

Çoğu güvenlik ve network profesyoneli, kablolu ve kablosuz ağlar için 802.1x terimini kullanmaktadır ve bu WPA-2 Enterprise için de geçerlidir.

Kablolu 802.1x Nedir?

Kablosuz ağlarda olduğu gibi, kablolu ağlarda da kimlik doğrulama için benzer bir süreç işlemektedir. Kablolu ağlarda kullanıcı güvenli ağa kendi cihazı üzerinden bağlanmalı ve kullanıcı kendini doğrulamak için imzalı bir dijital sertifika veya kimlik bilgileri kullanmalıdır.

Kablolu 802.1x’in kablosuz ile arasındaki en büyük fark güvenli bağlantının sağlandığı switch’in 802.1x doğrulaması desteği ve Ethernet desteği olması gereğidir. Kablolu bağlantının sağlandığı cihaz ile RADIUS sunucusu,birlikte uyumlu çalışabilmesi sayesinde kullanıcılar doğrulanabilmektedir.

802.1x Güvenliği Nasıl Sağlamaktadır?

802.1x doğru olarak kullanıldığı zaman network kimlik doğrulama güvenliği için altın değerinde bir standarttır. Man-in-the-middle saldırıları ve Evil Twin (Şeytan İkiz) Proxy saldırılarını engelleyerek iletişim sırasında yollanan verilerin çalınmasını önlemektedir. Pre-Shared Key kullanan WPA2-Personal protokolünden kat kat daha güvenlidir.

Ancak, 802.1x’in bu kadar güvenli olması dışında bu standardın güvenliği iki faktöre dayanmaktadır. Faktörler arasındaki ilk değişken 802.1x için gerekli olan konfigürasyondur. Konfigürasyon ayarları bilgi teknolojileri konusundaki uzman bilir kişilere bırakılmalı, son kullanıcı bu ayarlar üzerinde herhangi bir değişiklik yapmamalıdır.

İkinci değişken, kurumun sertifika tabanlı veya kimlik bilgisi tabanlı doğrulama metotlarından birini kullanmasıdır. Sertifika tabanlı EAP-TLS kuruma ait verilerin çalınma riskini en aza indirmekte ve güvenliği yüksek derecede korumaktadır. Kimlik bilgileri ile olan doğrulama noktasında kullanıcıların kimlik bilgileri çalınırsa güvenlik riske atılmaktadır. Sertifika tabanlı doğrulama metodu ile kullanıcıların cihazları üzerinde doğru konfigürasyon ile ağ katılmalarını zorlamaktadır. Bu da güvenliği sağlamaktadır.

802.1x Kriptolojisi

802.1X WPA, genel olarak evdeki Wi-Fi gibi kişisel ağlar için kullanılmaktadır. RC4 tabanlı TKIP (Temperal Key Integrity Protocol) şifrelemesini kullanmaktadır. WPA2’ den daha az güvenlidir fakat genel olarak ev için kullanışlıdır.

802.1X WPA2, TKIP ile uyumlu çalışabilmektedir, fakat genel olarak AES(Advanced Encryption Standart) kullanmaktadır. AES şu anda en güvenli standarttır. Network kurulurken uygulanması daha zor ve maliyetlidir ancak güvenliğin önemli olduğu işletmelerde kullanılmaktadır.

802.1x’in Bileşenleri

802.1x’in çalışabilmesi için gerekli olan birkaç bileşen vardır. Gerçekçi olmak gerekirse, eğer erişim noktanız ve yedek veya kullanmadığınız bir sunucu varsa, güvenli ağ için gerekli olan donanım bileşenlerini elinizin altında bulundurmaktasınız. Bazen sunucuya bile ihtiyacınız olmamaktadır. Bazı erişim noktaları 802.1x için gerekli olan yazılımı yüklü olarak içerisinde taşımaktadır.

Profesyonel olarak çözüm getirerek ürün satın alsanız da veya evde kendinizde yapsanız da, 802.1x’in kalitesi ve güvenilirliği meydana getirilen dizayn tarafından sağlanmaktadır.

İstemciler/Cihazlar

802.1x’in kimlik doğrulamasında yer almak için 802.1x için uyumlu olacak bir cihazınız olmalıdır. Switch veya ağı kontrol eden cihaz için başlatılacak olan EAP işleminde yer almak için ve kullanıcı bilgilerini 802.1x ile uyumlu paylaşabilmek için istemcilerin uyumlu olması gereklidir. Eğer kullanıcıya ait uyumlu değil ise EAP istekleri switch veya ağı kontrol eden cihaz tarafından görmezden gelinmekte, kimlik doğrulama işlemi gerçekleşememektedir.

Günümüzde üretilen cihazların büyük çoğunluğu içinde 802.1x desteği bulunmaktadır. 802.1x için istisna olan cihazlar oyun konsolları, yazıcılar gibi başka cihazlardır. Genelleme yapacak olursak , bu cihazlar ağınızdaki cihazların %10’undan azına denk gelmektedir ve istisna olarak düşünülmektedir.

Switch/Erişim Noktaları/Kontrol Cihazları

802.1x işlemleri için switch’ler ve kontrol cihazları önemli rol oynamaktadır. İstemci, kimlik doğrulamasını sağlayana kadar networke erişemeyecektir. İstemci ile switch arasındaki iletişim 802.1x için değiş tokuş olarak söylenebilmektedir.

İstemci, ağa bağlanmak istediği zaman switch/kontrol cihazı EAPOl-Start paketi ile istemci ve kendisi arasındaki oluşan değiş tokuşu başlatır. İstemcinin bu pakete cevabı, switch/kontrol cihazı tarafından yapılan güvenlik konfigürasyonuna göre RADIUS sunucusuna yönlendirilir. Kimlik doğrulaması tamamlandığında switch/kontrol cihazı RADIUS sunucusundan Access_Accept paketine göre switch/kontrol cihazına kullanıcının erişim seviyesine göre yetki vererek ağa erişimini sağlamaktadır.

Kimlik doğrulamanın sonucu olarak RADIUS sunucusu Access_Accept paketi yollar. Bu paketin içinde switch/kontrol cihazının kullanıcıyı ağa nasıl bağlayacağı üzerine bazı önemli özellikler bulunabilmektedir. Bu paket içindeki özellikler ile kullanıcının hangi vlan’a ait olduğu ve hangi haklara sahip olduğu belirlenmektedir.

RADIUS Sunucusu

RADIUS sunucusu, ağın bodyguard’ı olarak davranmaktadır. Kullanıcı ağa bağlanmak ister, RADIUS kimliklerini doğrular ve kullanıcılara belli bir poliçeye göre yetki verir. Kullanıcı, sertifika tarafından kaydedildiğinde veya kimlik bilgileri doğrulandığında, yetkisi tanımlanarak ağa erişimi sağlanmaktadır. Kullanıcı ne zaman bağlanmak isterse, RADIUS her seferinde sertifikayı veya kimlik bilgilerini doğrulayarak, istenmeyen kişilerin networke erişmelerini önlemektedir.

RADIUS için en önemli güvenlik mekanizması, sunucu sertifika doğrulamasıdır. RADIUS sunucusu, sunucunun sertifikasını kontrol ederek, kullanıcının sahip olduğu cihaza göre ayarlanan konfigürasyon ile beraber ağa erişimi garantilenmektedir. Eğer kullanıcının sahip olduğu cihazın sertifikası, RADIUS’taki ile eşleşmezse veya kimlik bilgileri RADIUS’taki ile eşleşmezse, RADIUS kullanıcıya cevap olarak bilgileri geri dönmez. Bu sayede kullanıcıları Evil Twin (Şeytan İkiz) Proxy saldırısına karşı korumuş olur.

802.1x Neden RADIUS Sunucusuna İhtiyaç Duyar?

802.1x, RADIUS sunucusuna ihtiyaç duyar; çünkü kullanıcılara ait bilgilerin doğrulanması gerekmektedir. Kimlik doğrulama işlemi de RADIUS sunucusunda gerçekleşmektedir. RADIUS sunucusu dizinleri kontrol ederek yetkili kullanıcının yetkilerini ve izinlerini onaylar, bu bilgileri kullanıcıya iletmek üzere switch/kontrol cihazına yollar. RADIUS sunucusu olmadan da kimlik doğrulama işlemi gerçekleşebilmektedir. Bu işlem switch/kontrol cihazı gibi noktalarda gerçekleşebilir fakat güçlü bir erişim noktası tahsil edilmelidir.

Kullanıcı Bilgileri/Dizinler

Kullanıcı bilgileri olarak bahsedilmekte olan bilgiler, kullanıcı adı(username) ve paroladır(password). Çoğu durumda bu bilgilerin bulunduğu noktalar Active Directory veya LDAP sunucularıdır. Herhangi bir RADIUS sunucusu, kullanıcı bilgilerini doğrulamak adına Active Directory veya LDAP sunucularına bağlanabilmektedir. LDAP kullanıldığı zaman birkaç uyarı gerektiren durum olmaktadır. Özellikle şifre hash’lerinin LDAP sunucusunda nasıl tutulduğuna dair uyarılar önemlidir. Eğer şifreniz temiz metin(cleartext) veya NTLM hash’i olarak LDAP sunucusunda saklanmıyorsa, EAP metodunu dikkatli bir şekilde seçmeniz gerekmektedir. Çünkü EAP metodu ile LDAP arasında uyum farklılığı olabilmektedir. Bu sorun RADIUS sunucusundan değil, şifre hash’lerini saklayan sunucu tarafından çıkmaktadır.

Güçlü bir WPA2-Enterprise ağı için ek olarak ayar yapmak gerekmektedir. PKI(Private Key Infrastructure) veya CA(Certificate Authority) gibi sertifikalara sorunsuz bir şekilde kullanıcılara dağıtılmalıdır. Daha önce de bahsedildiği gibi kullanıcılara, kullanıcı adı ve şifre vererek de 802.1x gerçekleştirilebilmektedir. Fakat sertifika ile doğrulama en güvenli yoldur. Son zamanlarda, çoğu kurum EAP-PEAP metodundan EAP-TLS metoduna geçmektedir. Bağlantı hızı ve güvenliğin fark edilebilir bir şekilde artması önemli bir faktördür. Tercihinizi değiştirmek istediğiniz zaman herhangi bir altyapı değişikliğine veya yeni bir cihaz almanıza gerek yoktur. Güncellemelerle bu sorunu giderebilmektesiniz.

802.1X Kimlik Doğrulaması Nasıl Çalışmaktadır?

Kimlik doğrulama sürecinde 4 aşama vardır: İlk Adım(Initilization), Başlatma(Initation), Anlaşma(Negotiaton), Kimlik Doğrulama(Authentication)

Aşağıdaki adımlarda switch, kontrol cihazı ve erişim noktaları gibi network cihazlarından, kimlik doğrulayıcı(authenticator) olarak bahsedilecektir.

İlk Adım(Initialization)

İlk adım, yeni bir cihazın switch veya kontrol cihazına bağlanmak istemesiyle başlamaktadır. 802.1x protokolünde kimlik doğrulayıcı(authenticator) cihazları kendisine gelen istekleri sadece 802.1x isteklerini kabul edecek şekilde ayarlamaktadır ve üzerindeki portları ona göre ayarlamaktadır. 802.1x haricindeki tüm istekler düşürülmektedir.

Başlatma(Initiation)

Kimlik doğrulayıcı(authenticator), bağlanmak isteyen cihaza EAP-isteği atmaktadır. Daha sonra gelen EAP-cevabını, RADIUS sunucusuna erişim paketi olarak iletmektedir. RADIUS sunucusuna gönderilen bu pakette bağlanmak isteyen cihazın bilgileri bulunmaktadır.

Anlaşma(Negotiaton)

Kimlik doğrulayıcı(authenticator), kendisine gelen isteği RADIUS sunucusuna, cihazın bilgileri ve hangi EAP metodunu kullanmak istediği bilgileriyle iletmektedir. RADIUS sunucusu bağlanmak isteyen cihazdan gelen paketi değerlendikten sonra kimlik doğrulayıcısına(authenticator) cevabını yollar ve kimlik doğrulayıcı(authenticator) gelen paketi bağlanmak isteyen cihaza yönlendirmektedir.

Kimlik Doğrulama(Authentication)

Bağlanmak isteyen cihazda EAP metodu belirlendikten sonra ve gelen bilgileri RADIUS sunucusu onayladıktan sonra, RADIUS sunucusu cihaza gerekli olan konfigürasyon bilgilerini iletmektedir. Süreç tamamlandıktan sonra, kimlik doğrulayıcı(authenticator) üzerindeki port “yetkili” olarak ayarlanacak ve 802.1x işlemi tamamlanmış olacaktır.

Ek Olarak


RADIUS Hesapları

802.1x kullanarak bağlantı sağlamış cihazlardan oturum sırasında kendi bünyesinde cihazlar hakkında bilgi kayıt edebilmektedir. Bu bilgiler, cihazın MAC adresi ve port rakamı olabilmektedir. Bir dahaki bağlantıda RADIUS bu bilgileri tanıyarak kullanıcıya cevap mesajı döner ve bağlantıyı başlatabilmektedir.

VLAN

VLAN, LAN noktalarını bölümleyerek sistemi yönetilmesini ve güvenliği iyi yönde etkileyen bir network konfigürasyon metodudur.

Basitçe, VLAN’lar ağınızı belli kurallar çerçevesinde segmentlere ayırarak ağınızı organize etmenizde fayda sağlamaktadır. Örnek olarak Çalışanların ve Misafirlerin bağlandığı VLAN’lar birbirinden ayrılarak güvenli ağ elde edilmektedir. Bu sayede VLAN’lar arasında olan kötü olaylar birbirini etkilemeyecektir.

Dijital sertifikalar, RADIUS doğrulamasını kullanarak belli rol ve izinlere göre belli VLAN’lere atanabilmektedir. Örnek olarak “it.company.com” ile “satis.company.com” noktasını birbirinden ayırarak kullanıcılara farklı rol atayabilmektesiniz.

MAC Kimlik Doğrulaması

Mac kimlik doğrulaması, cihazların network’e MAC adreslerini kullanarak bağlanmasına yarayan basit bir güvenlik önlemidir. Yaratılan MAC adresi listesine göre cihazların ağa erişimleri denetlenmektedir.

Maalesef ki, MAC adreslerinin taklit edilmesi zor değildir, bu yüzden de MAC kimlik doğrulaması kurum seviyelerinde genel olarak tercih edilmemektedir.

MAC RADIUS

MAC RADIUS, kimlik doğrulama olarak sertifika veya kullanıcı bilgileri yerine cihazın MAC adresini kullanmaktadır.

MAC Bypass

MAC Bypass’ın genel olarak yapılabildiği yerler 802.1x’i varsayılan olarak desteklemeyen cihazlardır. Bu cihazlar yazıcı, oyun konsolu ve benzeri gibi cihazlardır. RADIUS sisteminde bu cihazlar kullanılacaksa, zafiyetli olduğu için farklı VLAN içine alınmalıdır.