Kılavuz Notları
Gerçek şu ki, tüm bilgilerinizi tehlikeye girebileceği her yoldan korumak mümkün olmayacaktır ve bu nedenle öncelikleri belirlemelisiniz. Risk konusunda sistematik olarak ilerlemelisiniz. Hem işiniz için bilginin değerini hem de tehlikeye girmesi veya kaybolması durumunda size ve başkalarına gelebilecek potansiyel zararları göz önünde bulundurmalısınız. Ayrıca, değerin gerçekleşmesinin veya belirli bir zararın meydana gelmesinin ne kadar muhtemel olduğunu da dikkate alabilirsiniz. Bu, dikkatinizi vermeniz gerekenleri öncelik sırasına için rasyonel bir temel sağlar. Genel olarak, hem düşük değer hem de düşük zarar veren bilgileri arşivleyebilir, düşük değer ancak yüksek zarar veren bilgileri silebilir ve yüksek değer ve düşük zarar veren bilgileri yedekleyebilirsiniz. Daha sonra ilk etapta hem yüksek değeri hem de yüksek zararı temsil eden bilgiler için güvenlik önlemlerini uygulamaya odaklanabilirsiniz.
Bilgileri başkalarıyla paylaştığınızda ya gönderilme noktasında, transferin kendisi sırasında ya da alıcıya ulaştıktan sonra düşmanlarınıza erişme şansı verir. Hassas bilgileri yüz yüze ileterek (çevrenize dikkat ederek) veya bu mümkün değilse Signal ve ProtonMail gibi uçtan uca şifreleme (E2EE) kullanan araçlar aracılığıyla aktarım sırasında başarılı bir müdahale olasılığını azaltabilirsiniz.
Bir mesaj veya e-posta göndermek için (özel anahtarınızı kullanarak)uçtan uca şifrelemeyi kullandığınızda ve mesaj cihazınızdan alıcının cihazına yollanmadan önce (alıcının açık anahtarını kullanarak) kodlanmış bir hale getirilip (açık anahtarınızı kullanarak) imza kontrolü sağlandıktan sonra mesaj veya posta (alıcının özel anahtarını kullanarak) okunabilir bir metne dönüştürülecektir. Ne sağlayıcılar ne de aktarım sırasında metni alıkoymaya çalışan herhangi biri, mesajı pratik olmayan bir çaba göstermeden okuyamayacaktır.
Uçtan uca şifrelemeyle ilgili hala birkaç risk var. Sistemin mesajı veya e–postayı aranızda doğru bir şekilde yönlendirmesi gerektiğinden, kimliğiniz ve alıcının kimliği – ve ikiniz arasındaki bağlantı - gizlenmeyecektir. E-postanın konu satırı da şifrelenmeyecektir. Ayrıca, mesaj veya e-posta aktarım sırasında güvenli olabilirken, cihazınızda veya alıcının cihazında tehlike altında veya ele geçirilmişse (kaybolan mesajlar bu riski azaltabilir ancak kopyalar hala mevcut olabilir) hala savunmasızdır. Ayrıca, uçtan uca şifreleme kullanmak, özellikle ülkenizde bu tür bir teknolojiyi kullanma yasağı varsa, yetkililerde şüpheye yol açabilir.
Unutmayın, tıpkı daha önce tanışmadığınız biriyle yüz yüze iletişimde olduğu gibi, iletişimin diğer ucundaki kişinin düşman değil, olduğunu düşündüğünüz kişi olduğunu doğrulamanız çok önemlidir. Farklı araçlar bunu yapmanın farklı yollarını sunar; Örneğin, Signal, hiçbir saldırının gerçekleşmemesini sağlamak için benzersiz güvenlik numaralarını yüz yüze veya farklı bir iletişim kanalı aracılığıyla doğrulamanıza olanak tanır.
Bir düşmanın bilgilerinize erişmesinin en kolay yollarından biri, cihazlarınıza fiziksel erişim sağlamaktır. Daha sonra, örneğin diskinizin tam bir kopyasını oluşturabilir veya tuş kaydedici gibi fiziksel bir izleme aygıtı yükleyebilirler.
Bu tür bir erişimi önlemek söz konusu olduğunda kati kurallar yoktur. Örneğin, tüm cihazlarınızı bir eyleme getirmek pratik olmayabilir ve polis tarafından ele geçirilme riskini artırabilir. Evde bırakmak ise bir düşmana bilginiz olmadan onlara erişme fırsatı verir. Koşullarınızı ve düşmanlarınızın olası niyetlerini ve yetkinliklerini göz önünde bulundurmalı ve her durumda verebileceğiniz en iyi kararı vermelisiniz.
Cihazlarınızdaki hesapları, bir düşmanın bunları makul bir zaman dilimi içinde tahmin etmesini önleyecek kadar karmaşık şifreler veya şifrelerle korumak önemlidir. Ayrıca, bir parola veya şifre belirli bir sayıda yanlış girilirse, cihazın tüm verileri için şifreleme anahtarlarını sileceği bir otomatik silme özelliği uygulamayı da düşünebilirsiniz. Ancak bunu yanlışlıkla tetikleme ve verilerinizi kaybetme riskine dikkat edin.
Ayrıca modern cihazlar genel olarak parmak izi veya yüz tanıma gibi cihaz kilidini açmak için bazı biyometrik girdilere izin verir. Bu yararlı olsa da, şifre veya parola sağlamaya gerek kalmadan cihazınızın kilidini bu şekilde açmaya kolayca zorlanabileceğinizi unutmayın. Cihaz üreticileri bu endişeyi fark etti ve gerekirse biyometrik erişimi hızlı bir şekilde devre dışı bırakmak için bazı basit yollar geliştirdi.
Cihazınıza şifre veya parola koymanın yalnızca bir düşmanın kullanıcı hesabınıza giriş yapmasını engelleyebileceğini ve gerçek verileri korumayabileceğini unutmayın. Bir saldırgan yine de depolama ortamının bir kopyasını alabilir ve şifre ihtiyacını tamamen atlatabilir. Bunu ele almak için tam disk şifrelemesinin etkinleştirildiğinden emin olmalısınız. Bu, otomatik olarak tam disk şifrelemesi uygulayamayan dizüstü ve masaüstü bilgisayarlar için oldukça gereklidir.
Bir cihazda çalışan neredeyse her yazılım parçası, saldırı için potansiyel bir yol sağlar. Bu sebeple cihazınızda yüklü yazılımları yalnızca gerçekten ihtiyacınız olanlarla sınırlandırmalısınız. Ayrıca, önemli güvenlik yamaları içerebileceğinden, işletim sisteminizde ve yüklü yazılımlarda güncellemeleri sık sık – ve otomatik olarak – kontrol etmeli ve bunları mümkün olan en kısa sürede uygulamalısınız.
Saldırganların, bu tavsiyeden istifade etmeye çalışıp cihazınıza kötü amaçlı yazılım yükleyecek güncellemeleri (resmi olmayan bir kanal aracılığıyla) yüklemek sahte uyarılar kullanmaya çalışabileceğini unutmayın. Herhangi bir uyarıyı, işletim sisteminiz için normal bir şekilde bir güncelleme yapmanız gerektiğinin bir göstergesi olarak ele almalısınız ve eğer bir güncelleme gerçekten mevcut değilse, o zaman bir hack girişiminin hedefi olmuş olabilirsiniz.
Tam disk şifreleme (FDE), işletim sistemi ve verileriniz de dahil olmak üzere bir aygıtın neredeyse tüm sabit diskini (veya USB flaş bellekler gibi harici depolama ortamlarını) şifreler. Bu, cihazınız kaybolur, çalınır veya ele geçirilirse, düşmanın yalnızca depolamanın bir kopyasını alarak verilerinize erişemeyeceği anlamına gelir. Tam disk şifrelemesini etkinleştirirken güçlü, benzersiz bir parola kullanmanız (ve cihazınıza giriş yapmak için kullandığınız parolayla aynı parolayı kullanmamanız) çok önemlidir. Ancak bu parolayı unutursanız verilerinize erişiminizi kaybedebileceğinizi unutmayın. Ayrıca, güçlü bir FDE parolasının FDE anahtarının kilidini açabildiği takdirde zayıf bir kullanıcı hesabı parolası tarafından zayıflatılacağını unutmayın. Kullanıcı hesabı şifresi ile FDE şifre çözme anahtarları arasındaki kesin ilişki cihazınıza ve işletim sistemine bağlı olacaktır.
Virüs, bir bilgisayarın çalışma şeklini değiştiren bir tür kötü amaçlı kod veya programdır. Anti virüs yazılımı geleneksel olarak bilinen virüsleri ve diğer kötü amaçlı yazılımları gösteren işaretleri tarayacaktır. Bunun etkili bir şekilde çalışabilmesi için anti virüs, araması gereken işaretlere uygun bir şekilde güncellenmeli ve söz konusu zararlı yazılım depolama cihazına yazılmalıdır. Programlar içerisinde yeni, bilinmeyen bir virüse işaret edebilecek şüpheli davranışları kontrol eden deneme yanılma yöntemini kullanan bu imza tabanlı yaklaşım üzerine geliştirmeler yapılmış olsa da yine de yeterince sağlam olduğu söylenemez.
Güvenlik duvarı, cihazınıza gelen ve diğer cihazlara giden verilerin bağlantılarını ve akışını yönetmek için kullanılır. Güvenlik duvarı, kötü amaçlı gelen bağlantı girişimini algılayabilir ve engelleyebilir. Bununla birlikte, genellikle kullanıcı veya yasal programlar tarafından başlatıldıkları için giden bağlantı girişimlerini otomatik olarak engellemek pek tercih edilmez. Saldırganlar bunu size bir virüs göndererek ve sizi onu etkinleştirmeniz için kandırarak kullanabilir. Kötü amaçlı yazılımlar etkinleştirildikten sonra komut almak, kötü amaçlı ek bir kod almak ve verilerinizi aktarmak için sunucuyla bir bağlantı kurulmasını sağlayacaktır.
Her güvenlik önlemi gibi, bu sınırlamalar da hem güncel bir anti virüsün hem de uygun şekilde yapılandırılmış bir güvenlik duvarının gerekli olduğu, ancak kendi başlarına yeterli olmadığı anlamına gelir.
Birçok mobil cihazda güvenlik kısıtlamaları vardır; ancak, bunlar kullanıcılar tarafından her zaman istenmez veya değeri bilinmez. Örneğin, kullanıcının cihazdaki ayrıcalıklarını kullanılabilecek maksimum seviyeye yükselten (rooting) veya çalıştırabilecekleri komutlardaki bazı kısıtlamaları kaldıran (jailbreak) rooting (Android) veya jailbreak (iOS) yoluyla bu engelleri aşmaya çalışabilirsiniz. Bu, cihazı tasarımcıların göz önünde bulundurmadığı bir duruma sokar, bu da cihazın daha az stabil hale gelmesine, güvenlik önlemlerinin zayıflamasına ve kötü amaçlı yazılımlara karşı savunmasız kalmasına neden olabilir.
Bir saldırganın bilgilerinizle ilgili olarak neler yapabileceğini belirleyen iki temel unsur vardır: saldırı yüzeyi (mekan) ve saldırı aralığı (zaman).
Saldırı yüzeyi, bilgilerinizin bulunduğu tüm cihazlardan, harici depolama ortamlarından ve yazılı veya basılı materyallerden oluşur. Ayrıca sizi ve bilgileri bilen diğer kişileri de içerir. Var olan bilgilerin ne kadar çok kopyası olursa, saldırı yüzeyi o kadar büyük olur ve bir saldırganın başarılı olması için o kadar çok fırsat olur. Bunu sınırlamak için, bilgilerinizin nerede bulunduğunu ve hangi biçimleri kullandığını kısıtlayabilirsiniz.
Saldırı aralığı, saldırı yüzeyinin her bir bileşeninin savunmasız olduğu zamanı ifade eder. Ertesi gün imha edilen elle yazılmış notlarda yer alan bilgiler yalnızca o gün için savunmasızdır (bilgileri aklınızda tutmamanız şartıyla). Aynısı cihazlarınız için de geçerlidir; uzaktaki bir saldırgan yalnızca açık ve çalışır durumdayken bir cihaza saldırma fırsatına sahip olacaktır. Cihazlarınızı kullanmadığınız zamanlarda tamamen kapatarak saldırı aralığını azaltmış olursunuz.
Cihazlarınızı kapatarak elde edilen ek bir güvenlik avantajı daha vardır. Virüsler yalnızca açıklarından yararlandığı yazılım çalıştığı sürece eylem gerçekleştirebilir. Saldırganlar bunu aşmak için tehlikeye atılan cihaz üzerinde kalıcılık kazanmaya çalışacak, böylece cihaz her çalıştığında virüs aktif hale gelecektir. Cihazlarınızı kapattığınızda, yalnızca kalıcı olabilecek, daha karmaşık olan kötü amaçlı yazılımlar uzun vadede etki gösterebilir. Ayrıca, kalıcı kötü amaçlı yazılımların çoğunu (ancak hepsini değil) kaldırmak için mümkün olduğunca sık aralıklarla cihazlarınızdaki bilgileri ve yazılımları silmeyi ve her şeyi yeniden yüklemeyi de düşünmelisiniz. Sık sık silme işlemi gerçekleştirmek, cihazınıza yüklenen yazılımı yalnızca gerçekten ihtiyacınız olanlarla sınırlamanızı da sağlayacaktır.
Bulut depolama gibi çevrim içi hizmetler, verilerinizin ihtiyacınız olduğu her zaman kullanılabilir olmasını sağlayabilir. Bununla birlikte, verilerinizi birden fazla yerde çoğaltmak ve her zaman açık durumda bırakmak hem saldırı yüzeyini hem de saldırı aralığını potansiyel olarak artırmaktadır.
Bu nedenle, aynı cihazlarınızda olduğu gibi, her çevrim içi hizmet için güçlü ve benzersiz bir parola kullanmak önemlidir. Her parola benzersiz olmalıdır; aksi takdirde saldırgan, bir parolayı ele geçirdikten sonra aynı parolayı kullandığınız diğer tüm hizmetlere erişebilir. Parola oluşturmak için kullandığınız herhangi bir örüntü bile saldırgan için yararlı olabilir. (Have I Been Pwned? adresini ziyaret ederek bir veri sızıntısında gizliliği ihlal edilmiş hesabınız olup olmadığını kontrol edebilirsiniz.)
Kullandığınız çevrim içi hizmetlerin sayısı göz önünde bulundurulduğunda, çok sayıda güçlü, benzersiz parola oluşturmak ve hatırlamak, muhtemelen imkansız olacaktır. Bunun yerine, hem uygun parolalar oluşturmak hem de oturum açma bilgilerinizi depolamak için 1Password veya LastPass gibi şifrelenmiş bir parola yöneticisi kullanabilirsiniz. Şifre yöneticisi verilerinize erişen bir saldırganın tüm çevrimiçi hesaplarınıza erişebileceğini unutmayın. Bu nedenle, parola yöneticinize giriş yapmak için kullandığınız parolanın güçlü, benzersiz ve akılda kalıcı olduğundan ve iki faktörlü kimlik doğrulamayı etkinleştirdiğinizden emin olmalısınız. Bu parolayı saklamak için parola yöneticisinin kendisini kullanamayacağınız için güçlü ama akılda kalıcı bir parola oluşturmak için iki benzer yöntemden birini kullanabilirsiniz. Cihazınızdaki kullanıcı hesapları ve tam disk şifrelemesi için parola oluşturmak üzere bu yöntemleri de kullanabilirsiniz:
'Passphrase' yöntemi: Gözünüzde canlandırabileceğiniz dört ila altı alakasız kelimeden oluşan bir dizilim oluşturun. Daha sonra bu kelimelerdeki bazı harflerin yerine sayılar veya semboller koyun (fakat ’leetspeak’ olarak da bilinen A için 4 ve E için 3 kullanmak gibi yaygın yöntemlerden kaçının).
Cümle yöntemi: Gözünüzde canlandırabileceğiniz uzun bir cümle seçin. Her kelimenin ilk harfini ekleyerek parolayı oluşturun ve daha sonra, yukarıda belirtildiği gibi bu harflerin bazılarını sayılar veya sembollerle değiştirin (yaygın değişikliklerden kaçınarak).
Parmak izinizi veya yüzünüzü kullanarak parola yöneticinize biyometrik erişimi etkinleştirdiyseniz, bunun bir saldırgana parola olmadan da erişim imkanı sağlayabileceğini unutmayın.
İki faktörlü kimlik doğrulama (2FA), bir şeye erişmek için iki ayrı kimlik doğrulama biçimi gerektiren ek bir güvenlik önlemidir. 2FA'yı destekleyen çevrim içi hizmetler için ilk faktör, bildiğiniz bir şey (parolanız) ile sahip olduğunuz bir şey (doğrulama uygulamasından gelen sayısal kod) veya olduğunuz (parmak izi, yüz tanıma veya sesli imza) bir şey olacaktır. Saldırgan, yalnızca parolanızı kullanarak erişim sağlayamayacağı için bu yöntem çevrim içi hesaplarınıza ek bir güvenlik katmanı ekler.
Açıkça söylemek gerekirse, sayılardan oluşan bir kodu (kimlik doğrulayıcı uygulaması kullanmak yerine) metin mesajıyla gönderdiğinizde bu, iki aşamalı doğrulamaya girer (2SV) çünkü kod, sahip olduğunuz bir şey değil, size gönderilen bir şeydir. Bu yöntem alıkoymalara karşı savunmasızdır ve mümkünse SMS kullanmak yerine daima Authy gibi bir kimlik doğrulama uygulaması kullanmayı tercih etmelisiniz. Ancak iki adımlı doğrulama, yalnızca şifre kullanmaktan yine de daha güvenlidir.
İnternete eriştiğinizde, internet servis sağlayıcınız (İSS) ziyaret ettiğiniz web sitelerini kaydedebilir ve bu bilgileri yetkililerle paylaşabilir. İnternet trafiğinizi cihazınızdan şifrelenmiş bir tünel aracılığıyla Mullvad gibi bir VPN sağlayıcısının sunucularından birine ve daha sonrasında ziyaret ettiğiniz web sitelerine yollayabilirsiniz. Bu işlem IP adresinizi bahsi geçen web sitelerinden, ISS'nizden ve bazı ağ tabanlı gözetimlerden gizleyecektir (yine de cihaz parmak izi ve web sitesi izleyicileri gibi başka yollarla izlenebilirsiniz).
VPN'ler, bir kafe veya otel gibi herkese açık veya güvenilmeyen bir ağ üzerinden internete eriştiğinizde yararlı olabilir. Ağ sağlayıcısı kötü niyetli ise, çevrim içi trafiğinizi izleyebilir ve hatta çevrim içi hesaplarınızın şifrelerini alabilir. VPN, cihazınızdan VPN sağlayıcısının sunucularından birine güvenli bir tünel sağladığından, ağ operatörü diğer çevrim içi etkinliklerinizi izleyemez.
VPN sağlayıcısının veya kullandıkları herhangi bir üçüncü taraf veri merkezinin (ve ISS'lerinin) trafik günlüklerini ve kimliğinizi belirlemek ve/veya izlemek için kullanılabilecek diğer verileri tutabileceğini unutmayın. VPN sunucusu, veri analizi yoluyla sizin ve faaliyetlerinizin gizliliğini ortadan kaldırabilecek kitle izleme veya toplu veri toplama uygulayan bir yargı alanında bulunabilir. Ayrıca, VPN kullanmanın üzerinize şüphe çekebileceğini ve VPN'lerin yasa dışı olduğunu veya birkaç ülkede devlet tarafından kontrol edildiğini de unutmamalısınız.
Bu yöntemin etkinliği, cihazlarınızdan veya harici depolama ortamınızdan bilgileri sildiğinizde değişiklik gösterebilir. Bir sabit disk sürücüsü (HDD) çoğunlukla tüm depolama alanına tekrar tekrar rastgele veriler yazılarak silinebilir; ancak, bu modern katı hal sürücülerinde (SSD'ler) mümkün değildir. Bir SSD'de, diskteki aşınma ve yıpranmayı sınırlamak için yedeklenen bir alanda önemli miktarda veri tutulur. Bu, şifrelenmemiş veri içeren depolama ortamlarının güvenli bir şekilde silinmesinin yalnızca yazılımla mümkün olmayabileceği anlamına gelir; diskin düzgün bir şekilde fiziksel olarak yok edilmesi tek güvenli seçenek olabilir. SSD'li olanlar da dahil olmak üzere bir cihazda tam disk şifrelemesi kullanıyorsanız, güvenli silme ihtiyacınız azalır fakat yine de mevcuttur.
Tüm bilgilerinizin elektronik cihazlarda saklanmayacağını unutmayın. Dizüstü bilgisayarlar veya çıktılar gibi hassas bilgiler içeren fiziksel ortamları güvenli yerlerde saklamalısınız. Bilgiye artık ihtiyaç duyulmuyorsa veya var olması çok büyük bir risk teşkil ediyorsa, en etkili yöntem bulunduğunuz ortama göre değişiklik gösterecek olsa da evrak imha makinesiyle veya yakarak imha etmelisiniz. İmha sonrasında geriye kalanlardan asıl belgeyi yeniden oluşturmak mümkün olmamalıdır. Yetkililerin belgelere ve diğer risk teşkil edecek bilgilere ulaşmak için ev ve ofis atıklarını aramaları oldukça yaygın olduğundan hassas bilgileri asla çöpe atmamalısınız.