25 Ocak 2020 Cumartesi

Siber Güvenlik

Kıymetli arkadaşlar merhaba,

Harvard Business Review tarafından yayınlanan ve dilimize Optimist yayınevi tarafından çevirilen Siber Güvenlik adlı kitabı sizler için özetlemek istiyorum. Kitap içerisinde birçok makale bir araya getirilerek Siber Güvenlik konusuna genel bir bakış sağlamak amaçlanmış.

Kitap şu şekilde başlıyor; eğer misyonunuz gereği kritik sistemleriniz dijital ve şu ya da bu şekilde internet ile bağlantılı ise asla tam anlamıyla güvenli hale gelemezsiniz.

Yukarıdaki cümle gösteriyor ki aslında tam bir güvenlik yoktur. Sadece arttırılmış güvenlik vardır. Kullandığımız teknolojilerin karmaşıklığı arttıkça, onları oluşturanlar bile tam olarak bunları kavrayamayabiliyor. Bu sebeple birçok sızma girişimi başarılı olabiliyor. ABD şirketlerinin bir sızma yaşadıklarını ancak 200 günde saptadıkları belirtiliyor.

Siber güvenlik uygulamalarında olması gerekenler şu şekilde belirtiliyor:
- Şirketin donanım ve yazılım varlığının envanterini çıkarmak
- Güvenlik koruma duvarı ve saldırı tespit sistemi gibi koruyucu önlemler almak
- Çalışanları olta e-posta saldırıları konusunda eğitmek
- Yapılabiliyorsa önemli sistemleri diğer sistemlerden ayırmak (hava aralığı oluşturmak)
- Geniş bir siber güvenlik kadrosu oluşturmak
- Hasımlar gibi düşünmeyi öğrenmek. Bir iç ekip oluşturup verilere ulaşmayı denemek.

Güvenlik ihlalleri ile ilgili rakamlara geçtiğimizde karşımıza şu gerçekler çıkıyor:

2017 yılında dünya çapında birçok şirket ile yapılan bir araştırmaya göre saldırıların %70'i etkisizleştirilirken, 2018'de bu rakam %87'e çıkmış. Öbür taraftan da saldırı miktarı da gittikçe artmaya devam etmiş. 2017'de toplam 106 saldırı raporlanırken 2018'de bu rakam 232'ye çıkmış.

Peki bu sızmayı yapanlar kimler? Kabaca söylersek ihlallerin dörtte biri iç kaynaklıdır. Sektörlere göre bunu söylersek;  konaklama, eğitim, imalat ve perakendecilikte dış kaynaklı ihlaller olurken, eğitim, sağlık ve kamu yönetimi gibi alanlarda iç kaynaklı ihlaller de önemli oranlara çıkmaktadır. Özellikle sağlık hizmetlerinde iç kaynaklı ihlaller %55 ile diğerlerinden ayrışmaktadır.

Yapılan saldırılar özellikle kişisel verilerin ve ödeme bilgilerinin alınması şeklinde sonuçlanıyor. Saldırganlar özellikle konaklama, perakendecilik ve gıdada ödeme bilgilerini ele geçirmeye çalışırken; eğitim, enformasyon, sağlık hizmetleri gibi alanlarda kişisel verileri hedeflemektedir. Çok büyük ölçüde tek enformasyon türünü içeren ihlallerle karşılaşan sektörler savunmalarını iyice keskinleştirebilir. Çünkü burada risk belirlidir ve kötü adamlar hep aynı şeyin peşindedir. Fakat birden fazla veriyi hedefleyen saldırganlarla karşılaşan sektörler her alanda savunmalarını doğru konumlandırmalı, esnek olmalıdırlar.

Bugün gelinen noktada şirketler saldırıları geri püskürtme yeteneklerini geliştirmiş olsalar da başarıya ulaşan saldırıların yol açtığı hasarı azaltamıyorlar.  Bu nedenle şirketler çevrimiçi sistemlere sahip olmanın getirisinin bu risklere deyip değmeyeceğini düşünmelidirler. Bu nedenle sızma olduğunda bir felakete yol açabilecek kritik sistemleri internet dışında tutma konusunu değerlendirmelidirler.

Yine yapılan bir araştırmaya göre yöneticilerin %38'i siber güvenlik riskleri konusunda ileri derecede kaygılı olduğunu belirtirken, çok daha küçük bir oranı bu konulara hazırlıklı olduğunu söyledi. Şirketler için halen denetim ve saygınlık riskleri siber güvenlikten daha önde geliyor. Yaklaşık 3000 kişiye yapılan bir ankette sorulan "şirketinizin stratejik hedeflerine ulaşmasının önündeki en büyük üç tehdit nedir?" sorusuna verilen yanıtlardan sadece yüzde sekizinde siber güvenlik beyan edilmiştir.  Bunun yanında yöneticiler güvenlik sorunlarının üzerine gitmek için gereken uzmanlıktan da yoksun olduklarını düşünüyorlar.

Firmalar şu üç can sıkıcı gerçeği kabullenmek ve gereken karşılığı vermek zorundalar. Birincisi siber risk Moore yasası uyarınca evrimleşiyor. İkinci olarak tüm tehdit yöntemlerinde olduğu gibi savunma saldırıdan çok daha zor bir iştir. Saldırganların kazanması için bir kez bile başarılı olmaları yeterlidir. Üçüncü ve en kötüsü sabır ve gizlilik her zaman saldırgandan yanadır. Şirket rehavete düşerse saldırgan uygun zamanda başarılı olabilir.

2014 yılında IBM şirketi incelediği güvenlik vakalarının %95 inin insan hatası içerdiğini açıklamıştı. Veri ihlallerinin %90 ı da e-posta oltalama sonucudur. Bu durumda çalışanların bilinçlendirilmesi oldukça önemli oluyor. Verizon raporuna göre siber saldırıların önemli bir kısmı da çalışanların bilgilendirmeleri sebebiyle ortadan kaldırılabiliyor. Fakat çalışanlar kendilerinden istenen bilgi güvenliği uygulamalarını kabullenemiyor. Bu nedenle uzun ve sık değişen şifreler yerine çok aşamalı doğrulama yapılması, gün boyu süren eğitimler yerine kişiye özel eğitim verilmesi, IT departmanındaki çalışanların denetleyen değil danışılan bireyler yapılması oldukça önemlidir.

Şirketlerin veri ihlali gerçekleştikten sonra da aşağıda yer verilen aynı hataları tekrarladıklarını görüyoruz:
- Müşterilerini uyarmak için çok beklemeleri,
- Onlara destek vermede yetersiz kalmaları,
- Şeffaf olmamaları,
- Sorumluluğu üstlenmekten kaçınmaları.

Eninde sonunda tüm işletmeler veri güvenliği noktasında faaliyetlere başlayacaklar veya bunu genişletecekler. Güvenilir görünmek isteyen şirketler, gizliliğe ve güvenliğe öncelik vermeye başlayacak, tüketiciye bunu açıkça gösterecek ve şeffaf davranarak müşteri ilişkilerini güvenceye almaya çalışacaklardır.

Bir güvenlik uzmanının dediği gibi tümüyle güvenli olan tek bilgisayar, kimsenin kullanmadığı bilgisayardır. O sebeple yaşadığımız dünyada bu tarz ihlallerin olabileceği gerçeğiyle yaşamayı öğrenmeli ve tehditlere karşı hazır olmalıyız.

Hiç yorum yok:

Yorum Gönder