TR-20-260 (Uzaktan Çalışma Döneminde Videokonferans ve Toplantı Yazılımları ile İlgili Önlemler)

Ülkemiz ve tüm dünyanın içinde bulunduğu COVID-19 döneminde uzaktan çalışma yöntemi kullanan kamu kurum ve kuruluşları, özel sektör ve çalışanlar için dikkat edilmesi gereken genel hususlar, alınması gereken tedbirler ve uyulması gereken kurallar USOM tarafından yayınlanan TR-20-159 (Güvenli “Uzaktan Çalışma” Kuralları) güvenlik bildirimi ile duyurulmuştur. Bu dönemde kurumlar, çalışanlarının kurum kaynaklarına erişebilmesi için farklı yöntemler uygulamaktadır. Söz konusu kurum uygulamalarında güvenlik riskleri doğmaması adına güncel zafiyetler ve ataklar dikkate alınarak dikkat edilmesi gereken bazı önemli hususlar aşağıda sunulmuştur.

 

 

Videokonferans ve Toplantı Yazılımlarına İlişkin Önlemler

  1. Kamu kurum ve kuruluşları ile özel şirketlerin kendi sunucuları üzerinde uzaktan çevrimiçi toplantı amaçlı çalışanlarına sunduğu altyapıların/sistemlerinin güvenlik güncellemelerinin ve yamalarının son versiyonlarının uygulandığından emin olunmalıdır.
  2. Kurum ve kuruluşların kendi videokonferans çözümlerinin bulunmaması halinde açık kaynak kodlu ve güvenliği denetlenebilir uygulamaları tercih etmeleri önerilmektedir.
  3. Kurum ve kuruluşların kendi çözümleri olmayan veya açık kaynak kodlu olmayan üçüncü taraf (3rd party) uygulamaları zorunlu olmayan hallerde kullanmamaları gerekmektedir. Zoom, Webex ve benzeri bu tür video-konferans uygulamaları için yukarıdaki tedbirlere ek olarak;
    1. Yakın geçmişte ortaya çıkmış (örnekleri aşağıda sunulan) güvenlik açıkları göz önünde bulundurulduğunda;
      1. Video-konferans uygulamalarının gizlilik içeren kritik/hassas görüşmelerde kullanılmaması,
      2. Kredi kartı, telefon numarası, kimlik numarası vb. kişisel bilgilerinin uygulamaların herhangi bir sürümü üzerinden paylaşılmaması gerekmektedir.
    2. Uygulamaya üye olurken tahmini zor şifreler kullanılmalı ve belirli periyotlarda değiştirilmelidir.
    3. Uygulamaya kayıt olurken ya da giriş yaparken sosyal medya hesaplarını bağlama yöntemi kullanılmamalıdır.
    4. Bağlantı (toplantı linki) veya toplantı kimlikleri sosyal medyada paylaşılmamalıdır.
    5. Dosya transferleri mümkün olduğunca başka platformlar üzerinden yapılmalı ve katılımcıların dosya transferi izni devre dışı bırakılmalıdır.
    6. Görüşme sırasındaki ekran paylaşımı ana bilgisayar ile sınırlanmalıdır.
    7. Cisco Webex Meeting : Toplantı araçları arasında bulunan ve kurumlarca çok yaygın kullanılan Cisco Webex Meeting aracında yakın zamanda yayınlanan toplantılara yetkisiz kişilerin katılmasına neden olan bir zafiyet bulunmaktadır.

      CVE-2020-3142 – TR-20-59 Cisco Webex Meetings Suite
      https://www.usom.gov.tr/tehdit/893.html
       
    8. Kurumunuz tarafından bu ürünün kullanılması durumunda güncellik durumu kontrollerinin yapılarak güncelleme dahil gerekli önlemlerin alınması önerilmektedir.
    9. Zoom : Son zamanlarda kullanımı yaygınlaşmış olan “Zoom”, bulut teknolojisini kullanarak hizmet veren bir video-konferans uygulamasıdır. Zoom uygulamasının kullanımının yaygınlaşması ile birlikte kritik zafiyetlerinin ortaya çıktığı ve uygulamanın güvenlik açıklarını kapatmak için güncellemeler yayınlandığı bilinmektedir.

      Örn. Zoom’un Facebook SDK kullanması nedeni ile facebook’a gönderdiği veriler hk.
      https://blog.zoom.us/wordpress/2020/03/27/zoom-use...

      Bu nedenle; Zoom uygulamasının zorunlu olmadıkça kullanılmaması, zorunlu hallerde gizlilik içeren kritik/hassas görüşmelerden kaçınılması ve aşağıdaki hususlara da dikkat edilmesi önerilmektedir:
      1. Uygulama mutlaka resmi sitesi olan www.zoom.us adresinden indirilmeli ve güncel versiyonu kullanılmalıdır.
      2. Yetkisiz kişilerin görüşmeye katılmasını önlemek için Zoom'daki görüşmeler parola kullanılarak oluşturulmalı ve bu parola güvenli ortamlarda sadece katılımcıların ulaşabileceğinden emin olacak şekilde paylaşılmalıdır.
      3. Tanımadığınız katılımcıların izinsiz olarak konferansa girmesine engel olmak için mutlaka Waiting Room / Bekleme odası aktifleştirilmelidir.
      4. Görüşme başladıktan sonra yeni kullanıcı girişini önlemek için "Lock Meeting" özelliği kullanmalıdır.
      5. Zoom temalı kötü amaçlı yazılımlardan ve oltalama saldırılarından korunmak için katılımcıları davet ederken bağlantılar yerine toplantı kimlikleri kullanılmalıdır.

PDF Olarak indirmek için tıklayınız.

2020-04-22