İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Anlık Mesajlaşma Güvenliği


İş ve özel yazışmalarda anlık mesajlaşma uygulamaları sıkça kullanılmaktadır. Ancak bu uygulamalar kullanıldığında çevrimiçi gizliliğe ve güvenliğe dikkat etmek önemlidir. Kritik yazışmaların yapıldığı ve kritik belgelerin iletildiği bu uygulamaların güvenliği gündemimizden hiç düşürmemiz gereken bir konudur. Anlık mesajlaşma uygulamasının seçimi, güvenli konfigürasyonu, uygulamanın bulunduğu sistemin güvenliği gibi dikkat edilmesi gereken birçok konu bulunmaktadır.

Güvenli mesajlaşma, mesajlar üzerindeki güvenlik anlamına gelmektedir. Fakat mesajlaşma uygulaması söz konusu olduğunda birden çok niteliğin değerlendirilmesi gerekmektedir.  Mesajlaşma uygulamalarıyla ilgili temel güvenlik endişesi, üçüncü tarafların, yani uygulamaların arkasındaki şirketlerin ya da vatandaşları hakkında bilgi toplayan devletlerin, özel mesajları okuyabilme ihtimalidir. Mesajlaşma uygulamasının güvenliğini değerlendirirken en başta şunlara dikkat edilmelidir:

Uçtan uca şifreleme: iletişimde uçtan uca şifreleme ile iletişim sırasında aktarılan verilerin şifrelenmesini sağlanır. Bu bir mesajın yazıldığı andan alıcıya ulaşana kadar geçen süreçtir. Burada ne uygulama üreticisi ne internet servis sağlayıcıları ne de güvenliği sağlayan devlet kurumları dahil hiç kimse verileri görüntüleyemez.

Açık kaynak kod

Açık kaynak kod, uygulamanın harici hesap verebilirliğe ve uzman denetimlerine açık olması anlamına gelir. Bu, koddaki zayıf noktaların ve güvenlik açıklarının tespit edilmesi için faydalı bir yöntemdir.

Çok modlu iletişim: Bir platform, kullanıcıların birden fazla mod aracılığıyla mesajlar göndermesine izin verdiğinde, kullanıcının isterlerse mesajları silmesine otomatik olarak izin vererek güvenliği artırır.

Çoklu platform desteği: Mesajları mobil veya web uygulaması gibi herhangi bir platformda senkronize edebilirsiniz. Bununla birlikte, kullanıcının özel mesajlarını istediği herhangi bir konumda saklamasına ve ayrıca rahatsız olduğu durumlarda diğer konumlardan silmesine izin verir. Böylece güvenliği sağlayan kişinin veri gizliliğine büyük bir etki katar.

Bilgi ve iletişim güvenliği rehberinde yer alan anlık mesajlaşma güvenliği tedbirleri aşağıda verildiği gibidir. Kritik altyapı kurumları, kritiklik derecesine uygun olan aşağıda verilen tedbirlere uymalıdır.

Mesajlaşma Uygulaması Seçimi

Kurumsal haberleşme amacıyla sunucuları kurum kontrolünde olan mesajlaşma uygulamaları kullanılmalıdır. Kurumun kendine ait bir haberleşme uygulaması yoksa mesajlaşma amacıyla sunucuları yurt içinde bulunan yerli ve milli uygulamalar tercih edilmelidir.

İletim Ortamı Güvenliği

Mesajlaşma uygulamasının iletim katmanı güvenliği, bilinen zafiyetleri olmayan, güncel bir SSL/TLS sürümü ile sağlanmalıdır ve uygulamada SSL Pinning kullanılmalıdır.

Gizlilik Dereceli Veri Paylaşımı

Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmamalıdır.

Çoklu Cihaz Kullanımı

Uygulama birden fazla mobil cihaz üzerinde eş zamanlı olarak çalışmamalıdır. Hesaba farklı bir mobil cihazdan giriş yapılmak istendiğinde kullanıcı kimlik doğrulamaya zorlanmalı, başarılı kimlik doğrulama sonrası uygulama sadece yeni giriş yapılan cihaz üzerinde kullanılabilmelidir.

Uçtan Uca Şifreleme

Uygulamadan gönderilen tüm mesajlar ve uygulama kullanılarak yapılan tüm sesli ve görüntülü aramalar uçtan uca şifrelenmelidir.

Şifreleme Anahtarlarının Saklanması

Uygulama şifreleme için kullandığı anahtarları işletim sisteminin güvenli depolama alanlarında (TEE, HSM, keystore, keychain vb.) tutmalıdır.

Yönetim Arayüzüne Erişim

Mesajlaşma sistemlerine ait yönetim ara yüzlerine yetkili tarafların erişimi, yeterli en düşük haklarla güvenli bir şekilde yapılmalıdır. Yönetim arayüzüne erişilerek yapılan işlemlere ait denetim izleri tutulmalıdır.

Cihaz Üzerindeki Verinin Şifrelenmesi

Uygulama cihaz üzerinde sakladığı tüm veriyi şifreli olarak tutmalıdır.

Kritik Haberleşmenin Güvenliği

Kritik veri içeren her türlü sesli, yazılı ve görüntülü haberleşme uygulamalarında, kaynak kodları kurum tarafından talep edildiğinde denetlenebilen, işletmesi ve yönetimi yerel olarak yapılabilen yerli ve milli uygulamalar tercih edilmelidir.

Nazlıcan Hatice TANIN/BeyazNet Bilgi Sistemleri Denetim Uzmanı