Kalite Fonksiyon Yayılımı için Yeni Bir Yaklaşım

Yüklə 53,51 Kb.

tarix	29.10.2017
ölçüsü	53,51 Kb.
	#20388

Anahtar Sözcükler
Keywords
Şekil
Şekil .
2.5 Diğer Bilgi Güvenliği Oyunları
Sosyal ağların kullanımı
3. Siber Güvenlik Takım Oyunlaştırma Sistemi

Siber Güvenlik Eğitimi için Oyunlaştırma

Kemal Bıçakcı¹, Osman Abul¹, Berke Çaplı²

¹Bilgisayar Mühendisliği Bölümü, TOBB Ekonomi ve Teknoloji Üniversitesi, Ankara

²4S Bilgi Teknolojileri A.Ş., Ankara
{bicakci, osmanabul}@etu.edu.tr, berke.capli@4s.com.tr

Özet: Her geçen gün artan ve çeşitlenen siber saldırılara karşı güvenlik konularında bilinçli ve eğitimli çalışanlar kurumlar için en önemli sigortadır. Bunun nedeni bilgi güvenliği risklerinin çoğunun insan unsurundan kaynaklanmasıdır. Kurumda her kademeden çalışanın temel siber güvenlik konularında eğitimi için oyunlaştırmanın kullanımı etkin bir farkındalık için çok önemlidir. Böylelikle eğitim sıkıcı olmaktan çıkıp eğlenceli olacak ve sonuçta siber güvenlik eğitimi amacına ulaşmış olacaktır. Bu çalışma siber güvenlik bağlamında kapsamlı olarak oyunlaştırma örneklerini sunmakta ve geliştirmeye başladığımız siber güvenlik takım oyunlaştırma sistemini genel hatları ile tanıtmaktadır.

Anahtar Sözcükler: Siber Güvenlik, Bilgi Güvenliği, Oyunlaştırma.

Use of Gamification for Cyber Security Training
Abstract: In today’s growing and diversifying cyber security environment, the most important insurance for organizations is informed and trained employees. This is because the biggest information security risk stems from human factor. The use of gamification is promising for an effective corporate wide awareness training. Gamification provides trainees learning with pleasure and overcomes the difficulty of keeping the user interest alive; as a result the training will achieve its targets. This work provides a comprehensive summary of use of gamification in cyber security training, and also highlights the general outline of our ongoing system development utilizing this approach in a team environment.
Keywords:Cyber Security, Data Security, Gamification.

1. Giriş

Kimlik doğrulama için sadece parola kullanılan bir e-bankacılık uygulamasının güvenli olmayacağı iyi bilinmektedir. Fakat "iki faktörlü kimlik doğrulamanın yaygın bir örneği olan kısa mesaj servisi (SMS) tabanlı tek-kullanımlık parolalar kullanıldığında acaba ne ölçüde güvenli oluyoruz?" sorusuna hemen cevap verilemeyebilir. Bu sorunun cevabını ZITMO (Zeus InTheMObile) adı verilen bir yazılım kullanılarak yürütülen bir siber saldırıyı kısaca tanıtarak verebiliriz.

ZITMO Android markette de yer alan zararlı bir mobil yazılımdır. Truva atı türündeki bu yazılım kurulduğu cep telefonuna gelen SMS mesajlarını diğer tüm uygulamalardan önce ele geçirmekte ve dışarıdaki bir sunucuya göndermektedir. Bu sayede bir kişinin bilgisayarına kurulmuş zararlı yazılımla parolasını elde eden bir saldırganın saldırısını başarıyla tamamlamak için ihtiyaç duyduğu ikinci öğe de, SMS tek kullanımlık parola da, elde edilmekte ve bu sayede kişinin hesabından yüksek meblağlar çalınabilmektedir. Bu saldırı ile 2012 yılı içinde Avrupa hesaplarından 36 milyon avro çalınmıştır [1].
ZITMO ile yapılan bu saldırının diğer pek çok saldırı ile ortak bir özelliği vardır. Bu saldırı mobil telefonda, işletim sisteminde veya uygulamada bulunan herhangi bir açıklıktan yararlanmamaktadır. Bilakis çok daha basit bir yöntem ile- telefona gönderilen bir linke kullanıcının tıklamasıyla yüklenmektedir. Bu tehdide karşın alınması gereken önlem de aslında bellidir: kullanıcıların gönderilen linke tıklamaması.
Yukarıda bir örnek saldırı ile desteklediğimiz “güvenlik bir zincirdir ve bu zincirin en zayıf halkası kullanıcının kendisidir” sloganından hareketle kullanıcıların eğitilmesinin siber güvenlik için ne kadar hayati olduğunu anlayabiliriz. Fakat gerek son kullanıcılara güvenlik farkındalığı kazandırmak amacıyla gerekse daha profesyonel kişilere daha yüksek düzeyde verilen güvenlik eğitimlerinin amacına ulaşabilmeleri için bu eğitimlerin nasıl verildiğine özen göstermek gerekmektedir. Örneğin kendine popüler basında da sıkça yer bulan “güvenlik için en önemli 10 tavsiye” tarzındaki listelerin çoğunda kuvvetle muhtemeldir ki kaynağı bilinmeyen kişilerden gelen linklere tıklanmaması tavsiyesi de yer almaktadır. Fakat bu tavsiyenin yukarıdaki örnek saldırı karşısında ne kadar yeterli olduğu sorusu ise büyük bir soru işaretine yol açmaktadır.
Hiç bir kullanıcı bilgisayarın başına "bugün İnternet'i güvenli bir şekilde kullanayım" diye oturmaz. Son kullanıcıların siber ortamda birinci öncelikteki esas amaçlarına yoğunlaştıklarında ikincil düzeyde kalan güvenlik konusunu ihmal etmekte oldukları gözlemlenmiştir [2]. Güvenliğin ikincil olma özelliği sebebiyle verilen eğitimin etkinliğini arttırmak bilhassa güvenlik söz konusu olduğunda çok kolay olmamaktadır. Bu konuda bir diğer zorluğun kullanıcıların dikkatini yeteri kadar uzun bir süre devam etmesini sağlayabilmek olduğu belirtilmektedir [3]. Bilhassa hedef kitleye verilen eğitim zorunlu tutulmuşsa ve günlük çalışma mesaisini bölüyorsa bu eğitim sıkıcı ve banal bulunmaktadır.

Mevcut tüm güvenlik eğitim yöntemlerini dört ana gruba ayırmak mümkündür [3]:

1. Geleneksel ders yöntemi: Bir eğitmenin sınıf ortamında bir veya daha fazla oturumda verdiği eğitimdir. Başarısı büyük oranda katılımcıların eğitim materyaline dikkatlerini ne oranda verebildiklerine bağlıdır.

2. Bilgisayar ortamında verilen pasif eğitimler: Bu eğitimler uzaktan İnternet üzerinden de verilebilmektedir. Katılımcıların istediği zaman ve hızda bu eğitimi alabilmeleri bir avantaj olmakla birlikte bu tür eğitimlerin katılımcılar tarafından genelde minimum efor ile tamamlandıkları görülmektedir.

3. Farkındalık mesajları: Bülten, e-posta, poster, vb. pek çok farklı ortam ile kullanıcılara ulaştırılmaya çalışılan ve temel düzeyde bilinç kazandırmak amacını taşıyan sınırlı etkisi olan bir yöntemdir.

3. Bilgisayar ortamında verilen etkileşimli eğitimler: Siber güvenliğin gerçek ve hissedilir bir tecrübe haline getirilmesi katılımcıların bu konuya değer vermeye başlamalarını sağlamaktadır [5]. Bu amaç ile bir laboratuar ortamı oluşturmak ve bazı saldırı ve koruma alıştırmaları ile öğrencileri eğitmek mümkündür. Elbette bu tür bir eğitim pasif bir eğitime göre çok daha etkin olmaktadır. Fakat laboratuar alıştırmalarının dahi

(i) korunan varlıkların değeri;

(ii) hangi değerin ne amaçla korunmasının gerektiği; ve

(iii) saldırganların tesir gücü ve motivasyonlarının anlaşılması noktalarında öğrenci algısını yeteri kadar geliştirmedikleri belirtilmiştir [5].
Etkileşimli eğitimler bilgisayar oyunları yardımı ile de verilebilmektedir. Oynayanları sanal bir dünyanın içerisine çeken ve bu dünyada onların duygularına da hitap eden bu tür oyunların çok büyük bir potansiyele sahip bir siber güvenlik eğitim aracı olabileceği öngörülmektedir [3].

Bir sonraki bölümde siber güvenlikte oyun ve oyunlaştırma kullanan yazılımlar verilmiştir. Üçüncü bölümde ise halen geliştirme faaliyetlerini sürdürdüğümüz siber güvenlik takım oyunlaştırma sistemi genel hatları ile tanıtılmıştır. Son bölüm ise sonuç kısmıdır.

2. Literatür Özeti

Bu bölümde bilgisayar oyunları ile siber güvenlik eğitimi konusunda akademik ve endüstri dünyasında şu ana kadar yapılmış olan çalışmalar özetlenecektir.

2.1 CyberCIEGE

Güvenlik eğitimi konusunda bilgisayar oyunlarından yararlanma fikrinin ilk uygulamasının 2005 yılında ABD Deniz Kuvvetleri Lisansüstü Okulu tarafından geliştirilmeye başlanan CyberCIEGE oyunu olduğunu söyleyebiliriz [3]. Bu oyunun temel amacının kurumların güvenlik politikalarını desteklemek ve güvenlik farkındalığını artırmak olduğu belirtilmektedir. Oyunun geniş bir kitleye hitap etmesi hedeflenirken bilhassa deniz kuvvetlerinde bulunan askeri ve sivil personelin eğitilmesi amaçlanmıştır. CyberCIEGE oyun motoru C++ ve 3D grafik kütüphanesi kullanılarak geliştirilmiştir. Oyunun önemli bir özelliği ayrı bir senaryo geliştirme aracına sahip olmasıdır ve bu araç için Java programlama dili kullanılmıştır.

CyberCIEGE oyununda oyuncular kendi ağlarını işletmekte ve savunmaktadırlar. Amaç bu ağı kullanan sanal kullanıcıların üretkenliklerini artırmak ve amaçlarına ulaşmalarını sağlamaktır. Yapılan saldırılar karşısında oyuncular kendi tercihlerinin sonuçlarını oyun içerisinde görebilmektedirler.
CyberCIEGE projesi halen aktif olarak sürdürülmektedir. Oyunun en son sürüm Haziran 2013'te yayınlanmıştır. http://www.cisr.us/cyberciege/ adresinden ücretsiz eğitim sürümü elde edilebilmektedir. CyberCIEGE oyununda ele alınan temel güvenlik farkındalığı konularından bazıları şunlardır: temel tanımlar, bilginin değeri, erişim kontrol yöntemleri, sosyal mühendislik, parola yönetimi, zararlı yazılımlar, verinin korunması, fiziksel güvenlik mekanizmaları.
2010 yılında Jones ve arkadaşları CyberCIEGE oyununun eğitimsel etkinliğini ölçmek ve ABD Savunma Bakanlığı’nın geliştirmiş olduğu bir bilgi güvenliği farkındalığı videosu ile karşılaştırmak amacıyla bir kullanıcı çalışması yapmışlardır [6]. Bu çalışmada bir öğrenci grubuna önce bir ön-test uygulanmış sonrasında bu grup iki alt gruba ayrılarak bir gruba CyberCIEGE oyunu oynatılmış diğerine ise video seyrettirilmiştir. İki hafta sonra gruba bir test daha yapılmış ve bu testin sonuçları analiz edilmiştir. Analiz sonrası CyberCIEGE oyunun oynayanların sorulara daha kapsamlı ve ayrıntılı cevaplar verdikleri anlaşılmıştır. Ayrıca, çalışma sonrası yapılan anket ile CyberCIEGE oyunu oynayan alt grubun bu oyun ile ilgili olumlu görüşlerinin video seyreden alt gruba göre daha fazla olduğunun anlaşıldığı belirtilmektedir.

Şekil . CyberCIEGE oyunundan bir ekran görüntüsü [3]

2.2 Anti-Phishing Phil

Bilgi güvenliği alanında diğer bir oyun Anti-Phishing Phil olarak isimlendirilmiştir [7]. Carnegie Mellon Üniversitesi’nden kalabalık bir araştırma grubu tarafından yürütülen çalışma daha sonrasında Wombat Security Technologies firması tarafından ticarileştirilmiştir. Anti-Phishing Phil CyberCIEGE oyununa göre çok daha özel bir güvenlik amacına sahiptir: kullanıcıların olta saldırılarından sakınmalarını sağlamak.

Flash 8 ile geliştirilen ve tüm İnternet kullanıcılarını hedefleyen bu oyunda temel karakter Phil isminde genç bir balıktır. Phil interweb körfezinde yaşamakta ve gerçek kurtçukları (gerçek web sitelerinin URL bilgilerini) yiyerek yaşamaktadır. Olta yemlerini (olta saldırısı için kullanılan URL'ler) ise yememesi gerekmektedir. Örneğin Şekil 2'deki görülen ekranda kurtçuğun yanında beliren URL oyuncu tarafından hızlıca incelenmeli ve bir olta yemi olduğu anlaşılmalıdır. Şekil 2'de sağ alt köşede yer alan ise Phil'in babasıdır ve oğluna bazı tavsiyelerde bulunmaktadır.
Oyun hedeflerine ulaşabilmek için Anti-Phishing Phil oyununun tasarımında öğrenme biliminin bazı prensiplerinden yararlanılmıştır. Bu prensipler şunlardır: (1) Yansıma prensibi: Oyunun her turu sonrasında o turda gösterilen tüm URL bilgileri ve bu URL'lerin doğru tanınıp tanınmadığı bilgisi kullanıcı ile tekrar paylaşılmış ve bu sayede kullanıcıların o turda öğrendikleri bilgiler pekiştirilmiştir. (2) Hikaye-temelli temsilci kullanımı: Kullanıcıların Phil isimli bir balığı kontrol etmelerinin ve bu balığın yaşamak için olta saldırılarını öğrenmeye olan gereksiniminin kullanıcıların bilişsel süreçlerinin uyarılmasında etkili olduğu düşünülmektedir. (3) Kavram-prosedür prensibi: Oyun tasarımında kullanıcılara aktarılan bilgilerin sadece prosedürel olması yerine bu bilgilerin kavramsal bilgiler ile desteklenmesi sağlanmıştır. Örneğin URL bilgisinin farklı kısımlarının ne olduğu öğretilmezse "tire (-) kullanılan bir URL gerçek bir siteye ait değildir" kuralı bazı kullanıcılar tarafından yanlış uygulanabilmektedir.
Anti-Phishing Phil oyununun kullanıcıların olta saldırılarından korunması amacına ne ölçüde hizmet ettiğini tespit etmek ve etkinliğini mevcut eğitim materyalleri ile karşılaştırmak amacıyla toplam 42 kullanıcının katıldığı bir kullanıcı çalışması yürütülmüştür [7]. Bu çalışma ile Anti-Phishing Phil oynayan katılımcıların geleneksel yöntemler ile eğitim alanlara oranla olta saldırısı için kullanılan URL bilgilerini daha kolay ayırt edebildikleri gözlemlenmiştir.

Şekil . Anti-Phishing Phil oyunundan bir ekran görüntüsü [7]
2.3 Auction Hero

Auction Hero (Açık-artırma Kahramanı) kullanıcıların güvenlik tehditleri ile ilgili oluşturdukları zihinsel modellerin çoğu zaman yetersiz olduğundan hareketle bu tehditler ve ilgili savunma yöntemleri ile ilgili kullanıcıların zihinlerinde doğru modeller kurmalarını sağlamak amacıyla geliştirilmiş bir bilgisayar oyunudur [4]. Daha çok lise-sonrası genç kullanıcılar için tasarlanmış olan oyun Flash, PHP ve mySQL kullanılarak geliştirilmiştir. Oyunda kullanıcılar bir çevrimiçi açık artırmaya katılmaktalar ve amaçları bir robotun montajı için gerekli tüm malzemeleri satın almaktır. Ayrıca, bazı güvenlik risklerine karşı da uyanık olmaları beklenmektedir. Bu riskler arasında olta saldırısı e-postaları, zayıf parolalar ve kötücül yazılımlar bulunmaktadır.

Auction Hero oyununun tasarımında en dikkat çekici özellik oyunun gerçek hayatta olduğu gibi güvenliği ikincil bir görev olarak modellemesidir. Kullanıcıların birincil amaçları robotlarını montaj etmek iken yapmış oldukları güvenlik tercihleri oyundaki başarılarına da etki edebilmektedir. Bu sayede güvenlik eğitimi için gerçek hayata benzer bir ortam kurulması hedeflenmektedir.

Önceki çalışmalardan farklı olarak Auction Hero oyununun ilk işlevsel sürümünün değerlendirilmesi için Bilişsel Anlatım (Cognitive Walkthrough) yönteminden yararlanılmıştır. Kullanılabilir güvenlik ve ciddi oyun tasarımı gibi uzmanlık alanları bulunan bilgisayar-insan etkileşimi uzmanlarından 7 tanesi ile ikişer saat süren ve videoya alınan seanslar ile oyunun iyileştirilmesi yönünde bazı tavsiyeler edinilmiş ve bu tavsiyeler ışığında ikinci bir prototipin tasarımına başlanılmıştır.

Şekil . Auction Hero oyunundan bir ekran görüntüsü [4]

2.4 Ajan 4141

Bilgisayar oyunlarının güvenlik eğitimi için kullanılması sadece akademik dünyada ilgi gören bir konu değildir. Ajan4141 isimli oyun Hrika Çözümler isimli bir Türk firması tarafından geliştirilmiş uluslararası pek çok ödül almış olan ve ticari olarak başarılı bir bilgi güvenliği bilinçlendirme oyunudur [8]. Oyunu oynayan kullanıcılar bilgi güvenliği denetimi yapan bir firmanın görevlendirdiği bir özel ajan rolü oynar. Ajan4141 kod adlı bu ajan mesai saatinden sonra müşteri firmanın merkezine gider. Görevi ofisi dikkatle incelemek ve kurumsal bilgi güvenliğindeki zayıf noktaları saptamaktır. Ajan4141 ofisi dolaşır ve bilgi güvenliği ihlaline yol açan dokümanlar ve objeler için inceler. Bulunan objeler ihlal kategorisi seçilerek oyuncu tarafından işaretlenir. Her kategoriden en az bir ihlal bulununca eğitim tamamlanır.

Ajan4141 oyununda da CyberCIEGE gibi bir kurumun bilgi güvenliği politikasını desteklemek ve ofis çalışanlarında bu konuda bir farkındalık oluşturmak ana hedeftir. Ajan4141 oyunu “mavi interactive game engine” ismi verilen bir oyun motoru kullanılarak gerçekleştirilmiştir. Ayrıca Flash, Javascript ve HTML teknolojileri kullanılmıştır. Web üzerinden oynanabilen oyunun beşinci versiyonunda dokuz adet bilgi güvenliği tehdit kategorisi yer almaktadır. Ayrıca bir web tabanlı e-öğrenme standardı olan SCORM (Sharable Content Object Reference Model) ile uyumlu olması dikkat çeken bir diğer özelliğidir.
Formal bir etkinlik değerlendirme çalışması bulunmamakla birlikte oyunun Ocak 2010 ve Ağustos 2010 tarihleri arasında 1323 gerçek oyuncu tarafından oynanması ile toplanan bazı istatistiksel veriler oyunun web sayfasında paylaşılmıştır [8]. Bu verilere göre aktif katılımcıların %98'i en düşük başarı kriterini geçmiştir. Bir diğer ilginç istatistik katılımcıların yarısının kendi boş zamanlarında bu oyunu oynayarak eğitimlerine devam etmeleridir.
2.5 Diğer Bilgi Güvenliği Oyunları

Bilgi güvenliği eğitimi için bilgisayar oyunlarından yararlanılması konusuna duyulan ilginin son yıllarda artmakta olduğunu görüyoruz. Bu konuda yapılan diğer bazı çalışmalar aşağıda kısaca özetlenmiştir.

Sosyal ağların kullanımı: Labuschagne ve arkadaşları Facebook veya benzeri bir sosyal bir ağ üzerinden oynanabilen bir güvenlik farkındalığı oyununun genel tasarımını tartıştıkları makalelerinde oyuncuların çoktan-seçmeli güvenlik sorularını cevapladıkları ve skor durumlarını sosyal ağdaki arkadaşları ile paylaştıkları basit bir oyun önermektedirler [9]. Bu oyunun işlevsel bir prototipi henüz geliştirme aşamasındadır.

Mobil oyunlar: Arachchilage ve Cole mobil cihazlar üzerinden oynanan ve amacı olta saldırıları konusunda eğitim vermek olan Anti-Phishing Phil oyununa çok benzer bir oyun önermişlerdir [10]. Oyun Google App Inventor Emulator üzerinde geliştirilmiştir.
Kart oyunları: Bilgi güvenliği kavramlarını öğretmek için sayısal ortam yerine fiziksel ortamda oynanan kart oyunlarından da yararlanılması mümkündür [11]. d0x3d! gibi zor bir isim verilen bir kart oyununda oyuncuların birbiriyle yarışmak yerine yardımlaştıkları bir oyun tasarımının bulunması dikkat çekicidir. Her kullanıcının özel bazı "hacker" yetenekleri vardır ve bu yetenekleri ile ortak bir amacı elde etmeye çabalarlar. Ortak amaç dört tane sayısal varlığın bir ağdan toplanması ve bu ağdan yakalanmadan kaçılmasıdır.
Pek çok kişinin kart oyunlarına aşina olması sebebiyle bu tür oyunların nasıl oynandığı daha kolay öğrenebilmektedir. Kart oyunlarını fiziksel dünyadan bilgisayar dünyasına taşımak da mümkündür. Örneğin Cash City ismi verilen ve Monopoly oyununa benzeyen bir bilgisayar oyunu Monk ve arkadaşları tarafından önerilmiştir [13]. Bu oyunda oyuncular zar atarak bir oyun kartı üzerinde ilerlemekte ve bu kart üzerindeki karelerin her birinde rasgele bazı olaylarla karşılaşmaktadırlar. Örneğin mülakat karesinde kullanıcılara bazı sorular yöneltilmektedir. Cash City oyununda bir bilgisayar masaüstü ekranı Şekil 5'de gösterildiği gibi simüle edilmiştir.

Şekil . d0x3d! kart oyunu oynanırken çekilmiş bir fotoğraf [12]

Şekil . Cash City oyununda simüle edilmiş masaüstü ekranı [13]

Newbould ve Furnell tarafından tasarlanmış sayısal ortamda oynanan Playing Safe isimli kart oyununda ana amaç çoktan seçmeli sorular yardımı ile sosyal mühendislik saldırılarına karşın kullanıcıların farkındalıklarının artırılmasıdır [14].

3. Siber Güvenlik Takım Oyunlaştırma Sistemi
İkinci bölümde anlatıldığı üzere oyunlaştırma siber güvenlik farkındalığı ve eğitimi konusunda kullanılmaya başlamıştır. Fakat bu uygulamaların tamamında eğitim bireyseldir. Siber güvenliğin gerçekte bir takım işi olması nedeniyle geliştirilecek oyunların da takım oyunu olması halen geliştirdiğimiz sistemin sistemin en önemli özelliğidir. Takımda her kişinin bir rolü olacaktır.

Siber saldırılara hazırlıklı olmak farklı düzeydeki kullanıcıların farklı yetenekleri olmasını gerektirir. Bunun için kurumdaki bilgi işlem harici personel ve bilişim teknolojileri (BT) personeline yönelik farklı müfredatın geliştirilmesi gerektiği noktasından harekâtla oyun seviyeler halinde ünitelere ayrılacaktır.

Temelde dört farklı oyun seviyesi ve müfredat içerikleri şu şekilde olacaktır.

1.Temel Seviye Eğitimi: Güvenli E-mail Hesabı Oluşturma ve Kullanma, Güvenli Sosyal Paylaşım Sitesi Kurulumu ve Kullanımı, Güvenli Sosyal Video Paylaşım Sitesi Kullanımı, İnternet Kullanımı (zararlı siteleri tanıma), Diğer saldırıları tanıma (Phising ve Spear-Phising Saldırıları, Şifre Tahmin ve Kırma Saldırıları, Sosyal Mühendislik, Zararlı Yazılımın Penatrasyonu).

2. Orta ve İleri Seviye Eğitimi: Ağ Güvenliği, Tarayıcı Güvenliği, Anti-Virüs Yazılımının Doğru İdamesi ve Kullanımı, Bilgisayar Güvenlik Ayarları, Güvenli İnternet Kullanımı.

3. Temel Seviye BT Personeli Eğitimi: Güvenlik Açıklarını Tanıma, Zararlı Yazılımların Çalışma Dinamiklerini Tanıma, Bilgi Ağı Güvenlik Açıklarını Tanıma, İnsan Kaynaklı Güvenlik Açıklarını Tanıma, Siber Güvenlik Vakalarında Yapılması Gerekenleri Tanıma, Stratejik Düşünme ve Karar Alma.

4. Orta ve İleri Seviye BT Personeli Eğitimi: Güvenli Wifi kurulumu ve İdamesi, Güvenli Ağ Topolojisi Kurulumu, Siber Güvenlik Politikalarının Seçimi, Vaka Yönetimi.
Her seviyede eğitime ilginin artırılması için oyun zengin görsel unsurlarla desteklenecektir. Ayrıca oyunda iki takım olacak ve her bir yarışmacı karşı takıma karşı yarışırken aynı zamanda kendi takımı içinde de yardımlaşmaya çalışacaktır. Böylelikle rakibi yenme ve kendi takımı içinde işbirliği yapma dürtüleri harekâta geçirilerek eğitimden maksimum fayda sağlanmaya çalışılacaktır.

Oyun bir kurguya sahip olacak ve erişilmek istenen hedef ve kişinin ilerleme seviyesi anlık geribildirimlerle sağlanacaktır. Oyunda başarısızlık özgürlüğü de olacaktır. Böylelikle deneme yanılma yoluyla eğitim pekiştirilecektir.

4. Sonuç
Bilhassa son on yılda siber ortamın kritik öneme haiz işlemler için de yoğun olarak kullanılmaya başlamasıyla birlikte sayısal varlıklara ilişkin güvenlik riskleri de belirgin oranda artmıştır. Bu risklerin pek çoğunun sadece teknik önlemlerle bertaraf edilemeyeceği kısa zamanda fark edilmiş ve teknik önlemler kadar belki de daha önemli diğer bir unsurun insan kaynaklı güvenlik riskleri olduğu sonucuna ulaşılmıştır. Bu durum farklı seviyedeki kullanıcıların farkındalığının artırılması yönündeki eğitim faaliyetlerini öne çıkarmıştır. Örneğin ISO 27001 standardına [15] göre sertifika alabilmek için kurum çalışanlarının güvenlik farkındalığı eğitimi almaları gerekmektedir. Söz konusu eğitimin farklı şekillerde verilebildiği ve veriş şeklinin eğitimin kalitesini doğrudan etkilediği anlaşılmaktadır.
Bu çalışmada siber güvenlik eğitimi için bilgisayar oyunlarından yararlanan çalışmalar incelenmiştir. Bu çalışmalarda oyun tabanlı eğitimin etkinliğini ölçmeye yönelik bazı kullanıcı çalışmalarının da yapılmış olduğu görülmüştür. Yapılan kullanıcı çalışmalarının tamamı bilgisayar oyunlarının siber güvenlik eğitiminde kullanılmasının yüksek potansiyel taşıdığı sonucunu ortaya koymaktadır.
Şu an geliştirmeye başlamış olduğumuz siber güvenlik takım oyunlaştırma sistemi ile siber güvenlik eğitimleri kurumsal boyuta taşınacaktır.
Kaynaklar
[1]http://news.techworld.com/security/3415014/eurograbber-sms-trojan-steals-36-million-from-online-banks/
[2] Whitten, A., & Tygar, J. (1999). Why Johnny can’t encrypt: A usability evaluation of PGP 5.0. In 8th USENIX Security Symposium.
[3] Cone, B., Irvine, C., Thompson, M., & Nguyen, T. (2007). A video game for cyber security training and awareness. Computers & Security, 26, p.63-72.
[4] Chiasson S., Modi M., Biddle R. AuctionHero: The Design of a Game to Learn and Teach about Computer Security. AACE World Conference on E-Learning in Corporate, Government, Healthcare & Higher Education (E-LEARN), October 2011.
[5] Irvine CE, Thompson MF. Expressing an information security policy within a security simulation game. In: Proceedings of the sixth workshop on education in computer security. Monterey, CA: Naval Postgraduate School; July 2004. p. 43–9.
[6] Jones, J.; Xiaohong Yuan; Carr, E.; Huiming Yu; , "A comparative study of CyberCIEGE game and Department of Defense Information Assurance Awareness video," IEEE SoutheastCon 2010 (SoutheastCon), Proceedings of the, vol., no., pp.176-180, 18-21 March 2010.
[7] Sheng, S., Magnien, B., Kumaraguru, P., Acquisti, A., Cranor, L., Hong, J., et al. (2007). Anti-phishing Phil: The design and evaluation of a game that teaches people not to fall for phish. In ACM Symposium On Usable Privacy and Security (SOUPS).
[8] Ajan 4141 işbaşında, http://hrika.com.tr/ajan4141/.
[9] Labuschagne, W.A., Burke, I., Veerasamy, N., Eloff, M.M.: Design of cyber security awareness game utilizing a social media framework. In: 10th Annual ISSA Conference ISSA 15-17 (2011).
[10] N.A.G. Arachchilage, M. Cole, Design a mobile game for home computer users to prevent from "phishing attacks", Information Society (i-Society) (2011), pp. 485–489.
[11] Gondree, Mark, and Zachary NJ Peterson. "Valuing Security by Getting [d0x3d!].", CSET'13, 6th Workshop on Security Experimentation and Test, Usenix, 2013.
[12]https://www.usenix.org/sites/default/files/conference/protectedfiles/gondree_cset13_slides.pdf
[13] Thomas Monk, Johan Van Niekerk, Rossouw von Solms: Sweetening the medicine: educating users about information security by means of game play. SAICSIT Conf. 2010: 193-200.
[14] Newbould, Michael, and Stephen Furnell. "Playing Safe: A prototype game for raising awareness of social engineering." Australian Information Security Management Conference. 2009.
[15] International Organization for Standardization and International Electrotechnical Commission.
ISO/IEC 27001:2005, information technology - security techniques - information security management systems- requirements, 2005.

Yüklə 53,51 Kb.

Dostları ilə paylaş: