Sosyal Medya ve Güvenlik

Sosyal medya, medya ile ilgili içerik üretenler ve tüketenlerin yer aldığı bir medya kanalıdır. Web 2.0 teknolojik tabanı üzerine kurulan sosyal medya, içeriği kullanıcı tarafından belirlenen ve tüm değişimlere imkân veren internet tabanlı uygulama olarakta tanımlanabilir.

Web 2.0’ın gelişimiyle, insanların internette bloglar ve platformlar (Linkedin, Twitter, Facebook, Friendfeed vb.) aracılığıyla bilgi ve düşüncelerini paylaşmasıyla sosyal medya kavramı ortaya çıkmıştır.

Web 2.0 çevrimiçi uygulamaları ifade ederken, sosyal medya çevrimiçi uygulamaların sosyal yönlerini ifade eder.

Kaplan ve Haenlein aynı zamanda yapmış oldukları çalışmada sosyal medyanın farklı türleri için bir sınıflandırma şeması oluşturmuşlardır. Medya araştırmaları ve sosyal süreçler alanındaki mevcut teorileri kullanarak;

• içerik toplulukları (content communities),
• bloglar (blogs),
• ortak projeler (collaborative projects),
• sanal sosyal dünyalar (virtual social worlds)
• sosyal ağ siteleri (social networking sites),
• sanal oyun dünyaları (virtual game worlds)

şeklinde altı kategori belirlemişlerdir.

Bu rapora göre Youtube, en aktif sosyal medya platformu olarak belirtilmiş olup ardından Instagram, Facebook, Twitter, Snapchat ve LinkedIn gibi diğer en çok kullanılan sosyal medya platformları gelmektedir.

Chen ve Shi, yapmış oldukları çalışmada, kişisel bilgilerin sosyal ağlarda güvenli kullanımı konusunu farklı açılardan incelemiş, kişisel bilgilerin kullanılmasıyla ortaya çıkan atak tekniklerini ele almış ve kişisel bilgilerin korunması için neler yapılması gerektiğini açıklamışlardır. Direk ve zararlı yazılım olarak iki farklı şekilde yapılan saldırılardan en sık kullanılan yöntemlerin sazan avlama (phishing) ve Dağıtık Hizmet Aksattırma (DDoS) olduğunu belirtmişlerdir.

Risk sözcüğü Fransızca kökenli bir kavram olan “risque” sözcüğünden gelmektedir.

Risk sözcüğünün sözlük anlamı “bir zarara, bir kayba, bir tehlikeye yol açabilecek bir olayın ortaya çıkma olasılığı”dır.

ISACA yapmış olduğu bu çalışmada sosyal medya için ilk beş potansiyel risk olarak:

1. virüsler / kötü amaçlı yazılımlar
2. marka hırsızlığı
3. İçerik üzerindeki kontrol eksikliği
4. “İnternet hızı” hizmeti için gerçekçi olmayan müşteri beklentileri
5. Kayıt yönetimi düzenlemelerine uyulmaması

şeklinde belirlemiştir.

Sosyal medyada karşılaşabilecek tehlike ve riskleri etkileyen kavramlar şu şekilde tanımlanmıştır:

• Yasalar ve Düzenlemeler
  
• Gizlilik Politikaları ve Hizmet Şartları
  
• Sarbanes-Oxley Kanunu
  
• Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası
  
• Adil Bilgi Uygulama İlkeleri
  
• Ödeme Kartları Sektörü Veri Güvenliği Standardı
  
• Dijital Binyıl Telif Hakkı Yasası
  
• İçeriği Google’dan Kaldırma
  
• Fikri Mülkiyet ve Ticari Marka İhlali
  
• Ayrımcılık
  
• Karalama
  
• Taciz
  
• Sigorta
  
• Adli Bilişim
• Adli Bilişim Kullanım Alanları
• Adli Bilişim İnceleme Süreci ve Yöntemler
• Geriye Doğru İzleme
• Coğrafi Yerleşimi Yaklaşık Olarak Bulmak
• Facebook Kullanımı
• Sosyal Medya Sitelerinden Bilgi Edinmek
• Sosyal Ağları Tehdit Edebilecek Saldırılar

Sosyal medya siteleri, mutlaka gözden geçirilmesi gereken kurallara sahiptir. Hizmet Şartları, siteyi kullanmanın sınırlarını ve koşullarını ana hatlarıyla belirtir.

Enron, WorldCom ve diğer şirketleri içeren finansal skandallara cevap olarak, Sarbanes-Oxley Yasası (SOX) hissedarları korumak için yürürlüğe konmuştur.

Sarbanes-Oxley yasasının amacı şirketlerin finansal durum raporlamalarındaki kontrollerini sağlayarak kurumsal yönetimi desteklemektir.

HIPAA, standartlar bütünü olarak hazırlanmış olan “Amerikan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası”’nın kısaltılmış şeklidir.

HIPAA Standartları’nda tanımlanan tedbirler; Fiziksel, İdari ve Teknik Tedbirler olarak üç kısımda incelenir.

• Fiziksel tedbirler; sağlık bilgilerinin tutulduğu ortamlara yapılan fiziksel erişimlerin, kontrol altında tutularak izlenmesidir.
  
• İdari tedbirler; sağlık sistemi içerisinde konuya hâkim ilgili idari sorumlunun tanımlanması, uyulması gereken prosedürlerin belirlenmesi, seviyelendirilmiş elektronik ortamdaki bilgilerin kimler tarafından, hangi sınırlamalarla ulaşabileceğinin tanımlanması, organizasyon dışında faaliyet gösteren yüklenici firmaların belirlenen standartlar çerçevesinde rollerinin tanımlanması, sözleşme yapılması, acil durumlar ve bu durumda yapılacak faaliyetlerin tanımlanması, verilerin bütünlük kontrollerinin yapılandırılmasını içerir.
  
• Teknik tedbirler; sağlık sistemimizdeki bilgi kaynaklarına yapılabilecek siber saldırılara karşı koyabilme, izlenebilme ve kayıt altına alınabilmeyi kapsar. Veri gönderimlerinde gelişmiş şifreleme tabanlı metodolojilerin kullanılması, verinin bütünlüğünün korunması, risk analizlerinin düzenli olarak yapılarak organizasyonun risk yönetiminin belgelendirilmesini içerir.
  

Kişisel bilgi toplanıldığında ve kullanıldığında tüketicileri korumak için tasarlanmış temel ilkeler şunlardır:

1. Kişisel bilgilerden önce haberdar olmakla ilgili Uyarı / Farkındalık,
2. Kişilere kime veri toplandığı, nasıl toplandığı, nasıl kullanılacağı, potansiyel alıcıları ve gizliliğin sağlanması için atılan adımlar, bütünlük ve verilerin kalitesi hakkında bilgi verilmelidir.
3. Seçim / Onay, tüketicilere bilgilerin nasıl seçileceğini seçme şansı verir.
4. Tüketiciler veri toplanmasına katılma veya katılmama seçeneğini kullanabilmelidir.
5. Tüketicilerin toplanan verileri gözden geçirmelerini sağlayan Erişim / Katılım.
6. Tüketiciler, doğruluğunu veya eksiksiz olduğunu doğrulayabilir veya itiraz edebilirler.
7. Bütünlük / Güvenlik, verilerin doğru ve güvenli olması gerektiğini belirtir.
8. Toplama ve kullanma politikalarının olduğu gerçeğini ele alan Yaptırım / Tazminat

"Ödeme Kartları Sektörü Veri Güvenliği Standardı"dır.

Dijital Binyıl Telif Hakkı Yasası 'dır. Bu yasa ile kişilerin her türlü fikri emeği ile ortaya çıkartmış olduğu ürünlerin dijital ortamda korunması amaçlanmıştır.

"DMCA" internet ortamında yayınlamış özgün bir  içeriğin korunması amacıyla ortaya konulmuş yasal koruma sistemidir.

Telif hakkını kaldırmak için geri alma prosedürü olarak Google’ın www.google.com/dmca.html adresindeki aracı kullanılabilir.

Fikri mülkiyet kavramı; ticari markalar, tasarımlar veya telif hakkı materyali gibi kavramları
içeren, bir bireye veya gruba ait bir kavramdır.

Karalama, kötü niyetli bir şekilde birine sahte suçlamalar yapma veya birini yanlış beyan etme eylemidir.

Bilişim sistemlerinde herhangi bir suçun aydınlatılmasında kullanılan bir kavram olan dijital delil, veri kaydetme özelliği bulunan elektronik cihazlarda depolanan verilere verilen addır.

Adli bilişim, hukuk ve ceza davaları için teknikleri ve araçları kullanma sürecini tanımlamak için
kullanılan bir terimdir. Adli bilişim elektromanyetik ortamlarda tutulan-iletilen; görüntü, ses, veri/bilgi veya tüm bunların birleşiminden oluşan bilişimsel nesnenin, mahkemede dijital delil olacak şekilde: tanımlanıp elde edilmesi, saklanması, incelenip mahkemeye sunulması çalışmalarına verilen addır.

Stenografi denilen saklanmış verilerin tespit edilmesinde, verilerin saklanmasında, verilerin silinerek kalıcı olarak imha edilmesinde, istenmeyen şekilde silinen verilerin kurtarılmasında, gizlenmiş dosyaların bulunması, suistimallerin tespit edilip önlenmesi çalışmalarında adli bilişim kullanılır.

Adli Bilişim inceleme çalışmalarında dört ana yöntem kullanılır. Bunlar:

• Elde etme
• Tanımlama
• Değerlendirme
• Sunum

Dijital delil oluşturacak verilerin toplanmasında dikkat edilmesi gerekenler:

1. Dijital delil yerel bir ağda ise mevcut ağ içerisinden ayrılarak güvenli bir yerde saklanmalıdır.
2. Kanunlar çerçevesinde deliller taşınmalı ve koruma işlemleri yapılarak kimler tarafından, nasıl yapılacağı tutanak çerçevesinde belirlenmelidir.
3. Tüm dijital delillerin yedeklemesinin yapılması gerekir.
4. Dijital delil olabilecek tüm veriler teknik yeterlilikler çerçevesinde, uygun disk üzerine imajı alınmalıdır.
5. Dijital delil kapalı konumdaysa delil özelliğinin kaybolmaması için açılmaması gerekir.
6. Delil açık ise RAM imajı alınarak kapatılması gerekir.
7. Kopyalanan verilerin “Hash Değeri” denilen, adli bilişimde, belirli bir zaman sürecinde depolama alanında bulunan bilgiler üzerinde bir değişiklik olup olmadığının anlaşılmasını sağlayan değerleri alınmalıdır.
8. Delili inceleyecek kişi haricinde kimsenin delile erişememesi gerekir.
   

Sosyal ağları tehdit edebilecek saldırılar şunlardır:

• Parola Saldırıları
• Ortadaki Adam (Man in the middle) Saldırıları
  
• Oltalama Saldırıları
  
• Key Logger
  
• Zero Day ve Uygulama Güvenlik Açıkları
  

  Ortadaki Adam (Man in the middle) Saldırıları. 

Maillerle gelen linkleri açmayarak veya açılan web sitesi adreslerini kontrol ederek bu saldırılardan korunulabilir.

Bu uygulamalara "Key Logger" ismi verilir.

Bu tür saldırılar için yalnızca antivirüs yazılımı kullanmak yetersizdir. Sezgisel analiz yapan güvenlik çözümlerini kullanmak daha güvenilirdir.

Sosyal medyada çocukların karşılaşabileceği tehlikeler aşağıdaki şekilde sıralanabilir:

• Çocuklar oyun oynarken veya sosyal ağlardaki kayıt formlarında kendisi veya ailesiyle ilgili bilgiler paylaştığında kimlik hırsızlığına, çocuk tacizine, dolandırıcılığa, müzik veya video vb. dosyalardaki pornografik görüntülere, düşmanlık, öfke ve şiddet içeren görüntülere, yasa dışı içeriklere, pedofili, istismar gibi yıkıcı sonuçları olan çeşitli zararlara maruz kalabilirler.
  
• Çocuklarında bu ortamlarda tanımadığı, kötü niyetli olabilecek yabancılarla iletişimde bulunabilirler.
  
• Çocuklar anlık mesajlaşma uygulamaları, formlar veya sosyal paylaşım sitelerinde her an tacize uğrayabilirler.
  
• Çocuklar sosyal paylaşım sitelerinde yaşıtlarından baskı görebilirler.
  
• Çocuklar, bomba yapımı, uyuşturucu kullanımı vb. her türlü tehlikeli bilgileri sosyal paylaşım sitelerinden öğrenebilirler.
• Yasadışı ürün ve hizmetlere ulaşıp tehlikeli gruplara dâhil olabilirler.
  
• Çocuklar sosyal paylaşım sitelerinde bölücü, yasadışı faaliyetlere yönelik propagandalara maruz kalabilirler.
  
• Sosyal paylaşım sitelerinde uzun süre zaman geçiren çocuklar, görme sorunları ve radyasyon riskinin yanı sıra daha az hareket etmekten kaynaklanan fiziksel problemler, duruş ve iskelet sorunları yaşayabilirler.
  

Sosyal medyada çocuk kullanıcılar için ailelerin dikkat etmesi gereken hususlar bulunmaktadır. Bunlar:

1. Aileler sosyal medyada çocukların karşılaşabilecekleri tehlikeli durumlara karşı birinci derecede sorumludurlar.
2. Aileler, mümkün mertebe çocuklarını sosyal ağ sitelerinden uzak tutmalı, bu mümkün değilse sosyal ağların güvenli kullanımı konusunda çocuklarını bilgilendirmeli, onları karşılaşılabilecekleri tehdit ve tehlikeler konusunda uyarmalı, sosyal ağların güvenli kullanımıyla ilgili eğitmelidir. Konu hakkında, çocuklarıyla yüz yüze konuşmalı, bilinmeyen ve anlaşılmayan, eksik kalan noktaları aydınlatmalıdır.
3. Aileler, çocukların sosyal ağ sitelerinde gerçek adlarını kullanmadığından, adres, okul, sınıf, telefon numarası, kimlik bilgileri gibi bilgileri paylaşmadığından emin olmalıdırlar.
4. Aileler, çocuklarının sosyal medya hesaplarını kontrol etmelidirler. Çocuklarını, ayrıntılı bilgi taşıyan kişisel fotoğraf paylaşmaması, fotoğraf etiketlemelerinden kaçınması ve tanımadıkları kişilerle iletişimde bulunmamaları konusunda uyarmalıdırlar.

Sosyal ağlarda kişisel güvenlik çözümleri; teknik, sosyal, yasal olmak üzere üç farklı kısımda incelenir.

Sosyal çözüm önerilerini şu şekilde sıralanabilir:

1. Kimlik bilgileri detaylı paylaşılmamalı, zorunlu durumlarda bile bu bilgiler küçük değişiklikler yapılarak verilmelidir. Gerçek ad soyad yerine takma isimler kullanılmalıdır.
2. Sosyal saldırılardan korunmak için yeni ve bilinmeyen gruplara katılmamalı, arkadaş listesine eklenecek kişiler konusunda seçici davranılmalı, yeni sosyal ağ davetleri araştırılmadan kabul edilmemelidir. Sosyal ağda bulunan sahte profillerin atakta bulunabileceğinin farkında olunmalıdır.
3. Sosyal ağ sitelerinde, kullanılan e-posta adresi şirket alan adı uzantılı olmamalıdır. Kurumsal bilgiler, profil sayfalarında paylaşılmamalıdır. Bölge, şirket adı, çalışma alanı gibi özel kurulan gruplara sızmaya çalışan bilişim korsanlarına karşı önlem alınmalıdır.
4. E-posta haberleşmesi sırasında, bulunulan durumu, pozisyonu, işi vb. en genel hatlarıyla anlatacak mesajlaşma yaklaşımları seçilmelidir. Yaşadığınız problemleri ve şehir dışına çıktığınızı ifade eden e-postalar gönderilmemelidir. Benzer şekilde coğrafi konum belirten mobil uygulamalar kullanılmamalıdır. Bu tip bilgilerin, bilişim korsanları, organize suç örgütleri gibi tehlikeli üçüncü kişilerin eline geçebileceği, bu tip bilgilerin kötü amaçlar için kullanılabileceği unutulmamalıdır.
5. Fotoğraf paylaşımında sadece profesyonel temalara sahip fotoğrafların paylaşım ağlarına yüklenmesine dikkat edilmelidir. Aile üyelerinizin olduğu fotoğrafları yüklemekten ve başkaları tarafından yüklenilen fotoğraflarda etiketlenmekten kaçınılmalıdır. Bunu yapan kişiler net bir şekilde uyarılmalıdır. Paylaşılan fotoğraflara yapılan yorumlarında özel bilgi içermemesine dikkat edilmelidir.
6. Profillerinizde veya arkadaş sayfalarınızda; kişisel bir konuyu, durumu, mali durumunuz gibi özelinize yönelik açıklamalar yazmaktan kaçınılmalıdır.
   

Önerilen yasal önlemleri şu şekilde sıralanabilir:

1. Sosyal ağ sitelerinde üyelik işlemlerine başlanmadan önce kullanım şartları - özel şartlar, gizlilik politikası okunmalı, karşılaşılabileceğiniz tehdit ve tehlikelerin farkında olunmalı, hangi şartlarla, hangi bilgilerin üçüncü taraflarla paylaşılabileceğinin bilincinde hareket edilmelidir.
2. Hizmet sunan ve hizmet alan taraflarca sosyal ağ sitesinin gizlilik politikası ve kullanım şartlarına, uygun olup olmadığı kontrol edilmelidir.
3. Sosyal ağ hesaplarındaki bilgilerin silinme veya pasif duruma getirilme durumunda bile, hiçbir zaman tam olarak yok olamayabileceğinin bilincinde davranıp, aynı zamanda arama motorlarında size ait taranan bilgilere de erişimi kısıtlamak amacıyla sadece genel, önemsiz bilgiler paylaşılmalıdır.
4. Sosyal ağ kullanıcılarının hukuki haklarını bilerek kişisel verilerin korunması kanununa uyacak şekilde bilgi ve belge paylaşımlarını sosyal ortamlarda yapması önerilmektedir.
5. Aileler çocuklarının, sosyal ağ ortamlarının gizlilik politikalarında belirtilen yaş sınırlarına uygun olup olmadıklarını kontrol etmelidirler.

Önerilen teknolojik önlemler şu şekilde sıralanabilir:

1. Sosyal ağ sitelerine giriş şifresi, şifre belirleme güvenlik uyarılarını dikkate alacak şekilde alınacak hizmet türüne özgü olarak belirlenmelidir. Belirlenecek şifrenin farklı karakter kombinasyonlarından oluşması, içerisinde büyük harf, küçük harf, sözcükler, sayılar, işaret, rakam vb. özel karakterlerin hepsini kapsayacak şekilde olması önemlidir. Belirlediğiniz şifrelerin, belirli periyotlarda sürekli olarak güncellenerek kimseyle paylaşılmaması gerekir. Ayrıca şifrelerinizin doğum tarihi, yılı, çocuklarınızın isimlerini de içermemesi önemlidir. Belirlenen şifrelerin bilgisayarınıza ya da herhangi bir mobil cihaza da kaydedilmemesi gerekir. Güvenli şifreler oluşturabilmek, her hesap için farklı şifreler belirleyebilmek için şifre yöneticisi olarak; Password Boss Premium, Dashlane, LastPass, Sticky Password, Keeper Security vb. kullanılabilir. “İki adımlı doğrulama özelliği” kullanılarakta size gönderilen SMS’teki kod sayesinde sosyal medya hesabınızın “hack”lenmesi önlenebilir. Ayrıca mobil cihazınızda bildirimlerinizi açmanız da, hesabınıza giriş yapmaya çalışan farklı bir cihaz olduğunda, size e-posta ile uyarı gelmesini sağlar.
2. İşyerinde ortak herhangi bir bilgisayar veya herhangi bir mobil cihaz kullanılıyorsa üçüncü parti uygulamalarının sosyal medya hesabınıza erişmesini engelleyebilmek için kullandıktan sonra mutlaka çıkış yapılmalıdır. Kullanılmayan sosyal medya hesapları kapattırılarak kötü niyetli kişilerin sizin adınıza hesabınızı kontrol etmelerinin önüne geçilmelidir.
3. Bilişim korsanları kendilerini, karşısındaki kişinin arkadaşı olarak göstererek zararlı e-postalar gönderebilirler. Alınan e-postaların gerçekten belirtilen kişi tarafından gönderilip gönderilmediği kontrol edilmelidir. E-postaların eklentisinde dosya ya da bağlantı varsa mutlaka eklentide belirtilen linkin tarayıcıya kopyalanarak daha sonra tarayıcıdan açılmasına dikkat edilmelidir.
4. Sosyal ağların arkadaş grubunuzun e-posta adreslerine ulaşmasını engellemek için e-posta adres defterlerinin taranmasına izin verilmemeli, bu özelliğin pasif konumda olup olmadığı kontrol edilmelidir.
5. Yeni bir sosyal ağa üye olduğunuzda üye olduğunuz sosyal ağ sitesinin sizin tüm e-postalarınızı tarayabileceği, bu e-posta adreslerinin reklam firmalarına satılabileceği unutulmamalıdır.
   
6. Uygulama Programlama Arayüzü API (Application Programming Interface) üzerinden hesabınıza erişerek kontrol edebilen uygulamaların engellenmesi gerekir.
7. API, izin verilen sınırlandırmalar haricinde bir uygulama, servis ya da bir platformun kullanılmasını engeller. Bunun için ayarlar kısmından uygulamalardan izin kaldırma işleminin etkinleştirilmesi gerekir.
8. Sahte sitelere karşı gönderilen bağlantılar tıklanarak değil, ilgili web sitenin adresi tarayıcıya yazılarak erişim sağlanmalı ve tuzak sitelerden uzak durulmalıdır.
9. Erişmeye ya da üye olmaya çalıştığınız sitelerin, sahip olduğu 3. parti uygulamalarla bilgisayarınıza yazılım yükleyerek sizin kişisel bilgilerinize erişim sağlayabileceği unutulmamalıdır. Gönderilen ilgi çekici bir resim veya video paylaşımıyla profilinize erişim denetimi açılmış olabilir. Eğer bu tarz bir uygulamaya daha önceden izin vermiş iseniz uygulama ayarları kısmına girilerek sahte uygulamalar ortadan kaldırılmalıdır. Böylece sizin adınız kullanılarak arkadaşlarınızın profiline gönderilebilecek olan reklam mesajlarını da önlemiş olursunuz.
10. Kullandığınız uygulama yazılımları, işletim sistemleri vb. yazılımlar zamanında güncellenerek, antiviral güvenlik duvarı yazılımları, spam engelleyici filtreler kullanılarak oluşabilecek güvenlik zafiyeti engellenmelidir.
11. Sakıncalı olabilecek içeriklerin en fazla paylaşıldığı platformlar olan Facebook, Twitter gibi hesapların kamuya kapatılması gerekir. Paylaşımların yalnızca arkadaşlarınız ve takipçileriniz tarafından görülebilmesine izin verilmelidir.
12. Facebook hesabınız kamuya açık olsa bile yaptığınız bazı paylaşımları sadece arkadaşlarınızın görmesini sağlayabilirsiniz. Facebook gizlilik ayarlarından mutlaka faydalanın.
13. Facebook’un “Takip et” özelliğini kendi profilinizde kullanmayın.
14. Facebook zaman tünelinizi ve profillerinizi Facebook içi ve dışı aramalara kapatın.
15. Arama motorlarında kişisel hesaplarınız açıkken arama yapmayın. Örneğin Google’da özel bir konuda arama yapacaksanız öncelikle Gmail hesabınızı kapatın. Ya da farklı anonim arama motorlarını kullanın.