Kişisel Güvenlik Politikası Aksiyonları

Kişisel Güvenlik Politikası Oluşturmak başlıklı yazımda daha önce Neden? ve Niçin? politika oluşturulması gerekliliğine değinmiştim. Bu yazımızda konuyu uygulama katmanında detaylandırarak kişisel güvenlik politikası aksiyonları hakkında bilgi vererek “Dijital İz“in gizlenmesinde bir adım daha atmış olacağız.

Her ne kadar çok kural oluşturursanız oluşturun, önelmeler alıp politikalar benimserseniz benimseyin kişisel güvenlik politikası aksiyonlarının  temelinde “Farkında” olmak yatmaktadır. Farkındalığınız arttırmadığınız sürece, ne kadar önlem alırsanız alın, önlemler belirli bir süre koruma sağlayacaktır.

Kişisel Güvenlik Politikası Aksiyonları

Bu sebeple mutlaka, Cyber Security, Personal Privacy, Data Security gibi anahtar kelimelerle araştırma yapmak ve güncel kalmak önemlidir. Sonrasında; kişisel güvenlik politikası aksiyonları oluştururken kaynakları kullanımlarına göre WEB, Mobil ve Donanım olarak ayırarak temel kurallar ile önlemler almaya başlamak işleri kolaylaştıracaktır.

7 adımda güvenli olmanın kuralları;

  • Güvenlik konusunda bilgi edinin, bilgilerinizi tazeleyin.
    Güvenlik konusunda, yerli çok fazla kaynak olmamakla birlikte yurtdışında konuyla ilgili detaylı birçok kaynak bulma şansınız var. Bunların başında Electronic Frontier Foundation (EFF), Ranking Digital Rights gibi genel siteleri ve farklı siteleri takip ederek bilgilerinizi güncel tutabilirsiniz.
  • Kullandığınız uygulama ve yöntemleri belirleyin
    Bilgisayar, web ve mobil cihazlarınızda sıklıkla kullandığınız hesap bilgileri olan ve özellikle iletişim sağlayan uygulamaları listeleyin. (örn. Whatsup, Facebook Messenger, web chat, email hesapları vs.)
  • Kullandığınız uygulama ve yöntemleri inceleyin, zayıflıklarını belirleyin ve derecelendirin
    Whatsup, facebook messenger kullandığınızı düşürsek bu uygulamların ne kadar güvenli olduğunu araştırarak kullanım tercihinizdeki yerini 2015 indicators makalesindeki Bağlılık, Gizlilik ve İfade Özgürlüğü başlıları altında toplanmış olan belirteçlere göre değerlendirerek puanlayabilir ve belirli puanın altındakileri değiştirme aksiyonları alabilirsiniz.
  • Güvenilir olan ve kulanımınıza uygun uygulama ve yöntemleri belirleyin
    Bilgisayar üzerinden çivrimiçi bir WEB uygulaması ya da facebook messenger uygulamasını iletişim için kullanıyor iseniz yerine şifreleme yapan Crypto.cat i tarayıcınıza kurarak, aynı şekilde mobil cihazda kullandığınız whatsup uygulamanızı örnek olarak telegram uygulaması ile değiştirerek iletişimi güvenlik altına alabilirsiniz.
  • Takip edilmediğinize emin olun.
    En masum haliyle “çerezler” (Cookies) ve farklı yöntemlerle her an izleniyor durumdayız. Çerezlerin iyi ya da ne kadar kötü olduğunu belirlemek de arştırmadıkça zor bu sebeple çerezleri mümkün olduğunca engelleyin. (Geçtiğimiz günlerde Facebook’un, kullanıcı logout olsa da çerezler vasıtasıyla bilgi toplamaya devam ettiği için çeza alması gündeme geldi!!!)
  • Bir kez güvenli olmak her zaman güvenli olmak anlamına gelmez, gündemi takip edin
    Kullandığınız uygulamlar her güncellemelerinde farklı özellikler devreye almakta ya da sözleşemlerini güncelleyebilemektedir. Aynı şekilde uygulama güncellemeleri her zaman yeni açıkların (sadece kodlama olarak düşünmemek gerekli) devreye alınması demek de olabilir. Bu sebeple uygulama’nın ya da genel bilgilendirme gruplarına üyelik sağlayın. Gelen güncelleme detaylarını takip edin. Üşenmeyin sözleşmeleri okuyun!
  • Güvenlik politikanızı güne göre uyarlayın
    Her ana yeni güvenlik açıkları ortaya çıkmaktadır. Hatta aldığınız bir güvenlik önlemi bile bir sonraki adımda güvenlik zaafiyetiniz anlamına gelebilir. Bu sebeple gündemi takip ederek önlem ve uygulama katmanını güne uyarlayın.

Oluşturulabilecek Genel Kurallar;

  • VPN kullanın
    Kullanılacak birçok ücretsiz VPN uygulması ve yöntemi olmasına karşın ücretli uygulama kullanmanızı tavsiye ederim. Google da arama yaptığınızda çok farklı karşılaştırma ve öneriler karşınıza çıkacaktır. Ben gelişmiş sunucu ve diğer özelliklerinin yanında, özellikle tek hesapta 6 cihazı desteklemesi sebebiyle NordVPN i tercih ettim.
  • Her türlü mesajlaşmalarınızı güvenli uygulamalarla yapın.
    Daha önce “Güvenli İletişim için Uygulama Örnekleri” isimli yazımda messenger tarzındaki uygulamalara genel olarak bakmıştık araştırmaya başlamadan önce yazımdan faydalanabilirsiniz.
    Ek olarak Eposta güvenliğinde de İsviçre kökenli karşılıklı şifreleme ile güvenli mesajlaşmayı sağlayan ProtonMaili ve Ghostmaili kullanabilirsiniz. Protonmail benim özellikle tercih mesajlaşma uygulaması. Eposta sistemi hakkında Güvenli Eposta ve İstemci Kullanımı başlıklı yazımdan bilgi alabilirsiniz.
    Güvenli olmasına karşın bu iki uygulamanın özellikle protonmail’in bir dezavantajı var; Çok yüksek şekilde saldırıya (Sürekli yüksek mitralı DDOS saldırıları) maruz kalıyorlar. Bu yaptıkları iş sebebiyle çok fazla göz önünde olduları ve yoklandıkları anlamına gelmekle birlikte zaman zaman servisin aksamasına da sebep olabiliyor.
  • Farklı işlemler için farklı hesaplar kullanın
    Her geçen gün farklı kullnımlar için üyelik yapıp hesap açmamız gerekebiliyor. Yeni bir sosyal mecra, deneme amaçlı bile olsa uygulama kullanımı gibi işlemler için yeni üyelikler yapmanın yanında gerçekten önemli işlerimiz için hesaplar açmamız ve üyelikler gerçekleştirmemiz gerekebiliyor.Bu durumda işlemleri sınıflandırın;
    1.seviye- şahsi; adınız soyadınız ya da sürekli kullanıcı adınız gibi bilgileriniz.
    2.seviye- genel; sosyal mecra gibi kullanım yaptığınız ortamlar ve uygulamalar için kullanacağınız bilgileriniz.
    3.seviye- gereksiz; sahte veriler ile oluşturulmuş, deneme amaçlı ya da önemsiz durumlar da kullanılacak olan hesaplar ve üyelikler için (Sahte veri oluşturmak için fakenamegenerator kullanabilirsiniz.)
  • Zorlu şifreler belirleyin ve şifrelerinizi güvenli saklayın
    Detayları “Doğru Şifre Oluşturma ve Saklama” başlıklı yazımda paylaştığım şifre oluşturma belki de en kritik noktada durmakta.
  • Önemli dosyalarınızı şifreleyin
    Önemli dosyalarınız için Bulut çözümlerini kullanmayın. Disklerinizi ve üzerindeki önemli dosyaları şifreleyerek saklayın. (Diski komple şifrelemek de çözüm olmakla birlikte kullanımınızı yavaşlatacaktır.) Bitlocker ve farklı açık kaynak çözümler kullanarak şifreleme yapabilirsiniz. Unutmadan,  şifreleme için kullanacağınız uygulamanın şifreleme mimarisini ve yorumlarını incelemeniz faydanıza olacaktır.
    Kısa süreli kullanımlar için farklı çözüm de şifreleme kullanan ghostmail gibi mail uygulamalarında -kısa süreli- erişim için dosyanızı tutmak olabilir.
  • Donanımsal önlemler alın.
    Doğrulama için Yubikey donanım ürününü kullanın.

Mobil Cihazlar;

  • Mesajlaşma uygulamanızı mesajları şifreli şekilde iletip alan bir uygulama ile değiştirin.
    Telegram, Signal gibi farklı uygulamalar ile mesajlaşmalarınızı güvenli ortamlara taşıyın.
  • Sosyal paylaşım kullanımınızı gözden geçirin
    • Lokasyon paylaşımı
      Twitter, facebook gibi sosyal paylaşım uygulamalarındaki paylaşımlarınızda bilerek ya da öntanımlı olduğundan farkında olmadan lokasyon bilgilerinizi paylaşıyor olabilirsiniz. Yerleşke bilgierinizin paylaşılmasını engelleyin.
    • WEB’de paylaşığınız fotoğraflarınızda lokasyon bilgilerinizin exif datasında gömülü olup olmadığını kontrol edin. (Bu bilgi çok fazla göz ardı edilmekle birlikte, devlet başkanlarının bulunduğu fotoğraflarda yerlerinin koordinatlarının rahatlıkla bulunduğu ve FBI’ın bu yöntemle bir çok yakalama gerçekleştirdiği de bir gerçek.)
    • Meta Verileri
      Paylaştığınız tüm dosya tiplerinde meta verileri incelenebilir ve işletim sisteminden tutun da ip numarası, kullanıcı adı, istemci ve sunucu bilgilerine kadar birçok bilgi rahatlıkla elde edilebilir. (örnek bir bakanlık sitesinde paylaşılan 300 dosya incelendiğinde; kullanıcı adları, eposta adresleri, işletim sistemi, dosya yolu vs. bilgilerine rahatlıkla erişilebilmiştir.)
  • Gerekli olmadığı durumlarda data trafiğinizi kapalı tutun.
  • Uygulamalarınızın veri paylaşım ayarlarını kontrol edin.
  • Yeni yükleyeceğiniz uygulamaları yüklemeden önce araştırın ve yükleme sonrası ayarlarını düzenleyin.

WEB;

  •  İzlenmemeye çalışın.
    Tarayıcı çerez ayarlarınızı (firefox, Chrome) katı kurallara bağlayın. Ghostery gibi eklentilerle çerezleri denetiminize alın. Malwarebytes vb. uygulamalar ile bilgisayarınızı düzenli taramalardan geçirin.
    İzlenmeme konusu registery kayıtlarınızın denetimine ve değiştirilip değiştirilmediğinin kontrolüne kadar detaylandırılabilir. En azından en basit ve hızlı çözüm ile bilgisayarınız üzerindeki denetiminizi arttırın.
Ghostery, ziyaret ettiğiniz web sayfalarındaki üçüncü taraf sayfa öğelerini (veya “izleyiciler”) arar. Bunlar izleme, analiz vb. için kullanılan sosyal ağ widget’ları, reklamlar, görünmez pikseller gibi şeyler olabilir. Ghostery bu tür öğelerin bulunduğu ve bunları hangi şirketlerin çalıştırdığı konusunda sizi uyarır. Bu siteler hakkında daha fazla bilgi edinebilir ve isterseniz çalıştırdıkları izleyicileri engellemeyi seçebilirsiniz.
  • Kullanımlarınızı kısıtlayın.
    Kullanmayacağınız hesaplar açmayın, açtığınız eski hesaplar var ise kapatın. (Hesabınız kapatılsa dahi, bilgileriniz tamamen silinmeyeceğini unutmayın.)

Ağ ve Bilgisayar;

  • Kablosuz Ağ güvenliğinizi gözden geçirin
    Kablosuz ağlarda SSID nizi yayımlamayın, şifrenizi en güvenli seçenek ile değiştirin ve sıradn olmayan karmaşık bir şifre belirleyin.
  • Kontrolü ele alın, İzlemeye başlayın
    Kullandığınız işletim sistemininden tutun da uygulamaların davranışlarına kadar sisteminizi kontrol altına alın ve takip edin.(Ağ güvenliği  ucu bucağı olmayan ayrı bir yazı konusu. İlgileniyorsanız faydalı olması için Bilgi Güvenliği Akademesi sunumlarından ve eğitimlerinden faydalanabilirsiniz.)
  • Sık sık Yorumlayın
    Ağ’ınızdaki dinlemelerinizin çıktısını düzenli kontrol edin alarmlar üretin, Önlem almada gecikmeyin.

İşi bir üst seviyeye taşımak isterseniz; işletim sisteminizi alışkanlıklarınızı ve önyargılarınızı bir kenara bırakarak stabil bir sistemle değiştirin, ağ ya da bilgisayaranızı Dinleyin/ Gözlemleyin,  Farkında Olun ve Hakimiyetinizi Arttırın.

Tüm bu temel önlemlerle birlikte güvende olduğunuzu düşünmeyin. Aldığımız önlemler bireyler için temel seviyede olduğunu unuatmayın. Güvenli kalma teorisini genişlettiğimizde, lokasyonunuzu ne kadar gizlerseniz gizleyin tweet’lerinizin incelenerek lokasyonlarınızı bulan algoritmaların yazıldığı, kullanıcıların son 200 twitine bakarak şehir, bölge, zaman dilimi bilgilerinin kesin tahminlerde bulunduğu gibi gerçekleri kabullenin ve kullanımınızı bu bilgiler ışığında yönlendirin.

Bir Cevap Yazın