Geri Dön

Analysis of information security frameworks for small and medium-sized enterprises (SMEs): Investigation of attacks and mitigation proposals

KOBİ'ler için bilgi güvenliği çerçevelerinin analizi, saldırıların incelenmesi ve çözüm önerileri

PDF İndir

  1. Tez No: 863986
  2. Yazar: GİZEMNUR TAŞKIN
  3. Danışmanlar: DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 89

Özet

Küçük ve orta ölçekli işletmelerin (KOBİ'lerin) günümüz iş dünyasında kritik rol taşır. Öyledir ki, Dünya Bankası dünya genelinde bütün işletmelerin %90'ını oluşturduklarını ve %50 oranında istihdam sağladıklarını belirtmektedir. Bu oran gelişmekte olan ülkeler için daha da fazladır. KOBİ'ler, ekonomik büyümenin temel taşları olarak iş dünyasında çeşitli sektörlerde faaliyet göstermekte ve geniş bir istihdam potansiyeli sunmaktadır. Teknolojinin hızlı gelişimi, çevrimiçi iş fırsatlarını geleneksel iş modellerinin ötesine taşımıştır. Böylece internetin yaygın kullanımı, işletmelerin küresel pazarlara erişimini kolaylaştırırken, çevrimiçi platformlar aracılığıyla yeni iş alanlarının kapılarını aralamıştır. Ancak, bu dijital dönüşüm, işletmeleri sadece fırsatlarla değil, aynı zamanda artan siber tehditlerle de karşı karşıya bırakır. Buna bağlı olarak, teknolojik ilerleme aynı zamanda siber saldırılar için yeni kapılar açar. İşletmelerin dijital varlıkları, hızla evrilen tehditlerle karşı karşıya kalmasına neden olur. Siber saldırılar işletmelerin bilgi sisteminin zarar görmesini, yasa düzenleyiciler tarafından cezalandırılmasını, işletme üretkenliğin azalmasını, kritik bilgilerin kaybından kaynaklanan iş sürdürülebilirliğinin azalmasını, itibar veya güven kaybı yaşamaları, kredi almalarının zorlaşmasını ve bankalardan kredi alamamalarını, veya işletme gelirinin kaybına neden olabilmektedir. Bu durum, işletmelerin bilgi güvenliği önlemlerini güçlendirmelerini zorunlu kılar. Büyük işletmeler, gerek ayırdıkları bütçe ile gerek yetenekli çalışan gücü ile bu önlemleri daha kolay alabilmektedir. Ancak, sınırlı finansal ve bilgi kaynaklarına sahip olmaları, KOBİ'lerin nitelikli çalışan veya danışman bulamamaları ve genellikle karmaşık bilgi güvenliği önlemleri ile karşılaşmaları bu işletmelerin sürdürülebilirliklerini ve büyümelerini tehlikeye atmaktadır. Yeterli güvenlik önlemleri alamayan KOBİ'ler, yapılan araştırmalarda dünya genelindeki tüm saldırıların yarısından fazlasa maruz kalmaktadır. KOBİ'lerin güvenlik altyapılarını oluşturmak ve güçlendirmek, sadece iş sürekliliği ve müşteri güveni açısından değil, aynı zamanda genel ekonomik istikrar açısından da kritik bir öneme sahiptir. Ayrıca, KOBİ'lerin yasal zorunluluklara uyum sağlamaları da gerektiği durumlar yaşanmaktadır. Örneğin, Kişisel Verileri Koruma Kanunu (KVKK) gibi düzenlemelerle işletmelerin yasal olarak koruması gereken bilgiler bulunmaktadır. Böylece yasa düzenleyiciler tarafından denetlenmek zorunda kalan işletmeler için de bilgi güvenliğinin sağlanması zorunlu hale gelmiştir. Bu tez, bu önemli aktörlerin karşılaştığı güvenlik zorluklarını anlamak ve etkili bir güvenlik çerçevesi oluşturmak için yapılan analizleri içermektedir. ISO 27001, NIST IR 7621, Sayıştay Bilişim Teknolojileri Denetleme Raporu ve İletişim Bakanlığının Bilgi ve İletişim Güvenliği Rehberi gibi dört önemli bilgi güvenliği çerçevelerinin incelenmesiyle başlayan çalışma, bu çerçevelerin özelliklerini ve avantajlarını ayrıntılı bir şekilde ele almaktadır. ISO 27001 on binlerce işletme tarafından sertifikası alınmış, en bilindik bilgi güvenliği sistemlerinden biridir. NIST IR, küçük işletmeler için ortaya çıkmış önerilerden oluşan teknik bilgiden uzak bir yapıdır. Sayıştay Bilişim Teknolojileri Denetleme Raporu ve Bilgi ve İletişim Güvenliği Rehberi ise, Türkiye Cumhuriyeti tarafından kamu kurum, kuruluş ve kritik bilgi taşıyan işletmeler için ortaya çıkmıştır. Fakat her iki belge de tüm işletmelerin de isteğe bağlı olarak kullanabileceği vurgulanmıştır. Türkiye tarafından yayınlanan bu iki belgenin de hala yürürlükte olması, ve iki belge hakkında yeterli kaynağın bulunmaması da analize eklenmelerinde büyük rol oynamıştır. Farklı karakteristik özelliklere sahip olan bu dört güvenlik yapısı; tanım, yapı, mekanizma, kapsam, iş akışı, belgelendirilebilir olması, zorunlu belgelere sahip olması, karmaşıklık, hedef organizasyon ve mevcudiyet açısından değerlendirilmiştir. Bu değerlendirmenin sonucunda da bazı sonuçlar ortaya çıkmıştır. ISO 27001 ve Bilgi ve İletişim Güvenliği Rehberi belirtilen yapılar içerisinde en kapsamlı iki çerçevedir. ISO 27001'in sertifikalandırma özelliği kullanıcılara güven aşılamaktadır. Ayrıca, hedeflenen işletme türü boyutundan veya endüstrisinden bağımsızdır. Esnek yapısı ile her türden işletmeye uyum sağlayabilir. Dili teknik dilden uzaktır, fakat uygulanan işletmede bilgi teknolojisi gerekmektedir. Ek olarak, diğer üç yapıdan farklı olarak mevcudiyet açısından değerlendirildiğinde, erişimi daha zordur. ISO 27001 ücret karşılığında erişilebilir olmasıdan ve bir denetçi tarafından sertifikalandırıldığından maliyetli ve erişimi zor bir seçenektir. Küçük işletmeler için hazırlanmış olan NIST IR 7621, 20 teknik olmayan öneri ile belirttiği kapsamları karşılamaktadır. Kapsam bakımından sınırlı olan bu belge, küçük işletmeler için maliyetsiz önlemler sunar. Kolay ulaşılabilir ve uygulanabilirdir. Sayıştay Bilişim Teknolojileri Denetleme Raporu mali sorunları önlemek için kabul edilen, bilişim teknolojileri kullanımını ve güvenliğini değerlendirmek amacıyla kullanılan bir rehberdir. Devlet tarafından yönlendirilen denetçiler tarafından kullanılır. Bu yüzden teknik terimler açıklanmamıştır. Kapsamı geniştir, fakat bilgi ve iletişim güvenliği rehberindeki tüm kapsamları karşılamamaktadır. Belge kolay ulaşılabilir olmakla birlikte diğer bağımsız işletmeler tarafından isteğe bağlı uygulanabilir ve yine isteğe bağlı denetlenebilirdir. Son olarak, diğer en geniş kapsamlı çerçeve ise Bilgi ve İletişim Güvenliği Rehberidir. Bu belge de denetim raporu gibi bazı kurum, kuruluşlar ve kritik bilgi taşıyan işletmeler için hazırlanmıştır. Esas belgesinin dışında bilgi ve iletişim güvenliği denetim raporuna da sahiptir. Bu sayede yine isteğe bağlı denetlenebilir ve sertifikalanabilirdir. Fakat tek başına bu rehber sertifika özelliğine sahip değildir. Dili genel olarak teknik değildir, fakat güçlendirme bölümlerinde teknik dil kullanılmaktadır. Bu da belgenin KOBİler açısından karmaşıklığını artırmıştır. Belge karmaşık olsa da, işletmeler tarafından kolay ulaşılabilecek durumdadır. Kolayca ulaşılıp, indirilebilir. Güvenlik yapılarının karakteristik özellikleri tablo halinde verilmiş ve KOBİ'lere güvenlik mekanizmasına ulaşma yolunda yardımcı olması hedeflenmiştir. Ayrıca, detaylı kapsam analizleri ile, uygunluk ve kapsam seviyeleri de karşılaştırılmıştır. Detaylı kapsam karşılaştırılmasında, bu yapıların hangi kapsam maddesi üzerinde hakim olduğu açıkca belirtilmiş ve derecelendirilmiştir. Belirtilen karşılaştırma adımları iki farklı tablo ortaya çıkartır. KOBİ'lerin güvenlik önlemleri yolunda bu iki tablo yardımcı olmayı hedeflemiştir. Analizlerin tamamlanmasının ardından, KOBİ'lerin karşılaştığı saldırı türleri detaylı bir şekilde incelenmiş ve bu saldırıların kapsamlarına göre sınıflandırılması yapılmıştır. TÜİK raporuna göre, gelişmekte olan ülkelerden Türkiye'de 2022 yılında işletmelerin yaklaşık %28,5'i en az bir güvenlik ihlaline maruz kalmıştır. Dünya genelinde de bakılan iki farklı saldırı raporlarına bakıldığında bu oranın tutarlı olduğu görülmüştür. TÜİK raporunun ve bahsedilen diğer iki raporun incelenmesi sonucunda hizmet kesintisi, web sitesi engelleme, kimlik avı, veri ihlali, kişisel tanımlanabilir bilgi sızıntısı, kötü amaçlı yazılım ve yetkisiz erişim ana saldırı türlerindendir. Sınıflandırma ise bu atak türlerinin kaynaklarını ve önlemlerinin hangi güvenlik kapsamı ile ilişkili olduğunu belirtmekle bulunmuştur. İlişkilendirme sonucunda ağ ve sistem güvenliğinin %37,64, uygulama ve veri güvenliğinin %10,81, personel güvenliğinin %17,60, fiziksel mekanların güvenliğinin %17,10, kişisel veri güvenliğinin ise %16,83 oranında görüldüğü belirlenmiştir. Analizlerle bulunan kapsam değerleri ve ataklara olan zaafiyeti açısından yaklaşım ile önceliklendirme çalışması yapılmıştır. Öncelik derecesi, atak sıklığı, kapsam kolaylığı ve kapsamın ağırlık derecesi ile bulunmuş ve karşılaştırılmıştır. Uygulamanın kolaylık değeri, karmaşıklık, finansal maliyet, zaman çerçevesi, kaynaklar ve uyum faktörleri ölçütlerine bağlı olarak belirlenmiştir. Ayrıca, her bir kapsam konusunun ağırlık katsayısı ise, risk ve potansiyel zararın değerlendirilmesine dayanmaktadır. Saldırı türlerinin güvenlik kapsamları ile ilişkisinden de yararlanarak, öncelik derecesi Saldırı sıklığı, ağırlık katsayısı ve kolaylığın çarpımı sonucunda bulunur. En iyi senaryoda bulunabilecek öncelik değeri 0,23 olmuştur. Yapılan hesaplamalar sonucunda ISO 27001 0,0469 ile en iyi senaryoya %20.002, NIST IR 7621 0,0987 ile en iyi senaryoya %42.032, Sayıştay BT denetim raporu 0,0581 ile en iyi senaryoya %24.748, bilgi ve iletişim güvenliği rehberi 0,0469 ile en iyi senaryoya %20 yaklaşmıştır. Buna dayanarak bu güvenlik yapıları NIST IR 7621, sayıştay BT denetim raporu, ISO 27001 ve Bilgi ve İletişim Güvenliği Rehberi olarak öncelik derecesine göre sıralanmıştır. Bu bulguların yanı sıra karşılaştırma özelliklerine bağlı olarak farklı açılardan da sıralamalar ortaya çıkmıştır. Kapsam genişliğinin hiyerarşik sınıflandırması, KOBİ'lerin ihtiyaçlarına uygun olarak aşağıdaki gibi belirlenmiştir: ICSG, ISO 27001, TCA's IT Audit ve NIST IR7621. KOBİ'lerin seçebileceği yapıların karmaşıklık bağlamında hiyerarşik düzenlemesi ise NIST IR 7621, ISO 27001, ICSG ve TCA's IT Audit şeklindedir. Belirtilen sıralamalara ek olarak, sertifikasyon veya güvenlik yapılarının işletmelere sağlayabileceği güvenilirlik ve müşteri güveni avantajları açısından sıralama ISO 27001, ICSG, TCA's IT Audit ve NIST IR 7621 şeklinde bulunmuştur. Ayrıca, tezde, kolay, maliyetsiz ve etkili güvenlik sağlama potansiyeline sahip birkaç öneri sunulmuştur. Bu öneriler, KOBİ'lerin bütçe kısıtlamaları içinde en uygun güvenlik çözümlerini bulmalarına yardımcı olacak şekilde ele alınmıştır. Ele alınan 5 maddelik öneri listesi, KOBİ'lerde en sık karşılaşılan saldırıların %72'sini kapsamayı vadetmektedir. Sonuç olarak, bu önerilerin de değerlendirildiği kapsamlı bir derecelendirme sistemi, KOBİ'lerin ihtiyaçlarına en uygun bilgi güvenliği çözümlerini seçmelerine rehberlik etmek amacıyla sunulmuştur.

Özet (Çeviri)

Small and Medium-sized Enterprises (SMEs) are crucial on a global scale, constituting 90% of all businesses worldwide and providing 50\% of employment. These figures are even higher in developing countries. With the increasing opportunities for online business, every enterprise is making technological advancements. However, the rate of cyber attacks is also rising dramatically. As a result, cybersecurity measures have become essential for businesses of all sizes. Larger and more developed enterprises are often resilient to such attacks due to the budget and time they allocate to cybersecurity, as well as the qualified professionals they employ. However, SMEs are more susceptible. Hence, over half of the attacks on businesses worldwide target SMEs. While large enterprises benefit from well-established cybersecurity frameworks like ISO 27001, the need for information security management also arises for SMEs. Unfortunately, there is a limited number of informative articles or studies on information security specifically tailored to SMEs, unlike the abundant resources available for larger enterprises. This thesis aims to conduct a detailed analysis and comparison of security frameworks such as ISO 27001, NIST IR 7621, the Turkish Court of Accounts (TCA)'s IT audit, and the Communication Security Guide from the Presidency of the Republic of Turkey digital transformation office (ICSG), specifically focusing on the context of SMEs. ISO 27001 is a globally recognized security framework with certifications obtained by tens of thousands of businesses worldwide. Although NIST IR 7621 has been developed for small and medium-sized enterprises (SMEs), its methods and content are not widely represented in studies. On the other hand, TCA's IT audit and ICSG are structures that provide security solutions for businesses in Turkey, and there is a limited amount of research available on both. Each of these structures, with distinct focuses, offers various standards and guidelines for businesses in managing information security. The aforementioned frameworks, along with analyses of the attack types commonly encountered by SMEs, have been assessed, ranked, and presented. Furthermore, based on these analyses, cost-effective and easily implementable security measures have been proposed for SMEs. The effectiveness of these security measures in addressing evolving security issues has been evaluated.

Benzer Tezler

  1. Tez No

    609258

    Kanat profili üzerinde oluşan buzun iki boyutta matematiksel modellenmesi ve sayısal çözümü

    Two dimensional mathematical modelling and numerical solution of accumulated ice on wing profiles

    RAMAZAN DÖKME

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Uçak Mühendisliğiİstanbul Teknik Üniversitesi

    Uçak ve Uzay Mühendisliği Ana Bilim Dalı

    PROF. DR. AHMET CİHAT BAYTAŞ

  2. Tez No

    887200

    İnsansız deniz araçları (İDA) geliştirilmesinde model tabanlı sistem mühendisliği (MTSM) ile gereksinim yönetimi ve örnek olay incelemesi

    Requirements management with model-based systems engineering (MBSE) in the development of unmanned surface vessels (USV) and case study

    EYÜP AYDIN

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Denizcilikİstanbul Teknik Üniversitesi

    Deniz Ulaştırma İşletme Mühendisliği Ana Bilim Dalı

    DOÇ. İSMAİL ÇİÇEK

  3. Tez No

    143039

    Marshalling/demarshalling performance analysis of sun'JAVA IDL by using static invocation interface

    Sun'ın JAVA IDL derleyicisinin statik çağrı arayüzü kullanılarak hizalama/geri hizalama başarımının incelenmesi

    TACETTİN AYAR

    Yüksek Lisans

    İngilizce

    İngilizce

    2003

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. MEHMET BÜLENT ÖRENCİK

  4. Tez No

    511669

    Yapım projeleri yöneticilerinin dijital yeterlikleri

    Digital competence of construction project managers

    YELDA ÖZGE DOĞAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2018

    Mimarlıkİstanbul Teknik Üniversitesi

    Mimarlık Ana Bilim Dalı

    DOÇ. DR. EMRAH ACAR

  5. Tez No

    794171

    قياس كفاءة أداء المصارف الإسلامية العراقية باستخدام مغلف البيانات دراسة تحليلية مقارنة مع المصارف الإسلامية الأردنية والسعودية للمدة (2011- 2020)

    Veri zarfını kullanarak Iraklı islami bankaların performansının etkinliğinin ölçülmesi Ürdün ve Suudi islami bankalarla ile (2011-2020) dönem için karşılaştırmalı bir analitik çalışma

    MORTAZA KHUDHAIR HUSSEIN AL-BADRI

    Yüksek Lisans

    Arapça

    Arapça

    2023

    MaliyeKarabük Üniversitesi

    Finans ve Bankacılık Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ESSIA RIES AHMED ABU RIES

Geri Dön