Kamu çalışanlarına ‘WhatsApp’ yasağı

0

BEÄžENDÄ°M

ABONE OL

News

0

CumhurbaÅŸkanlığı Dijital DönüÅŸüm Ofisi tarafından kamu için hazırlanan ve bilgi sistemlerindeki tedbirlerin uygulanması zorunlu olan güvenlik rehberinde yerli sistemlere geçiÅŸ önceliÄŸi istendi. Rehberde, WhatsApp, Telegram gibi yabancı mesajlaÅŸma programları yerine yerli mesajlaÅŸma programlarının kullanılması zorunluluk haline getirildi. Kamu personeli özel hayatında bu programları kullanabilecek, ancak kurumsal iÅŸlemlerde kullanmayacak. Kamuda “bilmesi gerekenler prensibi” ile evraklara ulaşımın hedeflendiÄŸi rehberle tüm kamu kurumlarında siber saldırıların engellenmesi, bilgi sızdırılmasının kontrolünün saÄŸlanması hedefleniyor.

Üç seviye tedbir

CumhurbaÅŸkanlığı Dijital DönüÅŸüm Ofisi, kamu kurumlarının bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması amacıyla baÅŸlattığı çalışmayı tamamlayarak, “Bilgi ve Ä°letiÅŸim GüvenliÄŸi Rehberi” yayımladı. Rehberle “Yerli ve milli ürün kullanımının teÅŸvik edilmesi”, “Mükerrer çalışmaların ve yatırımların önüne geçilmesi”, “Güvenlik tedbirlerinin üç seviyeli olacak ÅŸekilde derecelendirilmesi”, “Güvenlik tedbirlerinin uygulanıp uygulanmadığının denetlenebilmesi” gibi 12 baÅŸlıkta hedefler ortaya konuldu.

Zayıf noktalar

GizliliÄŸi veya eriÅŸilebilirliÄŸi bozulduÄŸunda milli güvenliÄŸi tehdit edebilecek kritik türdeki verilerin güvenliÄŸinin saÄŸlanması amacıyla hazırlanan rehbere göre, kurumun tüm bilgi ve iletiÅŸim envanteri ve varlıkları çıkarılacak. Her bir çalışan hazırlanan özel bir anketi dolduracak ve ne kadar kritik bilgiye sahip olduÄŸu ile kimlerin eriÅŸim imkanı olduÄŸu tespit edilecek. Buradaki puanlamalara göre, kurumların güvenlik altyapıları da derecelendirilecek. Kurumlar derecelere göre bir altyapı çalışması yapacak ve tüm bilgi iÅŸlem altyapıları saldırılara hazır ve korunaklı olacak. Bu çalışma ile kurumdaki tüm “bilmesi gerekenler prensibi”, “zayıf noktalar”, “asgari yetkiler”, “yetkin personel” baÅŸlıklarında tespitler yapılacak. Bu çalışma ile tüm kamu kurumlarının siber saldırılar, bilgi sızdırılması ile evrakların kontrolünün saÄŸlanması hedefleniyor.

Yerliye öncelik

Rehberde kurumsal haberleÅŸme amacıyla WhatsApp ve benzeri yabancı mesajlaÅŸma uygulamaları yerine sunucuları kurum kontrolünde olan mesajlaÅŸma uygulamalarının kullanılması da istendi. Rehberde, “Kurumun kendine ait bir haberleÅŸme uygulaması yoksa mesajlaÅŸma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir. Mevzuatta kodlu veya kriptolu haberleÅŸmeye yetkilendirilmiÅŸ kurumlar tarafından geliÅŸtirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleÅŸme yapılmamalıdır” denildi.

Bilgisayarlarda karmaşık parola

Rehberde kurum tarafından satın alınan kullanıcı bilgisayarlarının sabit disklerinin veri kurtarmaya imkân saÄŸlamayacak ÅŸekilde güvenli silme iÅŸlemine tabi tutulduktan sonra sistemlere dahil edilmesi de istendi.

Kuruma dışarıdan gelen e-posta eklerinin çok katmanlı güvenlik analizinden geçirilmesi istenen rehberde, bu içeriklerin, “beyaz liste/kara liste” olarak listelenmesi ve imza tabanlı anti-virüs testinde geçirilmesi istendi. Rehberde, “Bu aÅŸamadan sonra hala kategorilendirilmemiÅŸ e-posta ekleri kum havuzunda çalıştırılmalıdır. Kum havuzu çözümlerinde dosyalar yurt içinde yerleÅŸik olan sunucularda taranmalıdır” denildi.

Kuruma uzaktan baÄŸlanacak cihazların; zararlı yazılımdan korunma, iÅŸletim sistemi ve uygulama güncelliÄŸi gibi hususlarda denetimden geçirilmesi de istenirken kurum politikalarına uygunluÄŸu güvenli uzaktan baÄŸlantı saÄŸlayan sistemler üzerinden kontrol edilmesi belirtildi.

Parola giriÅŸ alanlarının uzun ve karmaşık olması istenirken rehberde, “Parola cümle kullanımına izin vermeli ya da teÅŸvik etmelidir. Kurumlar güvenlik gereksinimlerine göre parola politikası belirlemelidir. Ayrıca parolalar için bir en uzun geçerlilik süresi tanımlanmış olmalıdır. DeÄŸiÅŸen parola fonksiyonu eski parolayı, yeni parolayı ve bir parola onayını kapsamalıdır” denildi.