SİBER GÜVENLİK
organizasyonunuz ne kadar en yeni siber güvenlik donanımı, yazılımı, eğitimi ve personeline para harcarsa harcasın ya da ana sistemini diğerlerinden ne kadar ayrı tutmaya çalışırsa çalışsın, nafile. Eğer misyonunuz bakımından sistemleriniz değilse ve şu yada bu biçimde internetle bağlantılıysa (siz olmadığını sansanız dahi büyük olasılıkla öyledir) asla tam anlamıyla güvenli hale getirilemez.
MEVCUT TEHDİT
Bir sabotajcının tedarik zincirini sekteye uğratmak yada bir çalışanını ayartmak dışında operasyona zarar vermesi zordu. Tek yolu tesise gidip kapı bekçi ve silahlı güvenlikçilerden oluşan fiziksel güvenlik ayağını aşmasıydı.
Dijital teknolojiler harika yeni beceri ve etkinlikler kazandırdı ama aynı zamanda siber saldırı riskine son derece açıktılar.
İyi planlanmış hedefe yönelik saldırılara karşı kendinizi korumanız hemen hemen olanaksızdır.
ARTAN KIRILGANLIK
Bu teknolojiler daha önce eşi benzeri görülmemiş bir güç sunuyor ama diğer yandan kullanıcıları daha güvensiz bir duruma düşürüyor. Getirdikleri yüksek iletişim kapasitesiyle, işbirliği ve ağ oluşturma olanağı sağlıyor ama böyle yaparak davetsiz misafirlere kapı açıyorlar. Veri ve manipülasyon gücündeki yoğunlaşma operasyonların verimliliğini ve boyutlarını muazzam ölçüde yükseltiyor ama aynı zamanda başarılı bir saldırıyla çalınabilecek veriyi kat be kat artırıyor. Karmaşık donanım ve yazılımların kapasitesi çok büyük ama kırılganlar ve davetsiz misafirlerin görünürlüğünü azaltıyorlar… Kısacası siber sistemler bizi besliyor ama aynı zamanda zayıflatıp zehirliyor.
İşin gerçeği bu teknolojiler öyle karmaşıktır ki onları yaratanlar ve eni iyi bilenler bile zaaflarını tam anlamıyla kavrayamazlar.
Bugün enformasyon sorunları o kadar karmaşık ki kişisel gizlilik, veri ve enformasyon güvenliği politikası üzerine araştırma yapan bağımsız kuruluş Ponemon Enstitüsüne göre, ABD şirketleri bir sızma olduğunu ortalama 200 günde saptayabiliyor.
Üstelik çoğu zaman bu ihlalin farkına ancak başka bir şirketin uyarısı sonucu varabiliyorlar.
“SİBER HİJYENİN” SINIRLARI
- Şirketin donanım ve yazılım varlığının kapsamlı bir envanterini çıkarmak
- Güvenlik, koruma duvarı ve saldırıları tespit sistemi gibi en yeni koruyucu donanım ve yazılım araçlarını satın alıp kullanmak.
- 3. Çalışanların, olta e postaları tanıma ve bunlardan sakınma konusunda sürekli olarak eğitmek
- “Hava aralığı” yaratmak (teoride önemli sistemleri diğer ağlardan ve internetten ayırmak.) Pratikte gerçek bir hava aralığı yaratmak mümkün değildir.
- Yukarıdakileri yapmak için çeşitli servis ve servis sağlayıcılarla desteklenen, geniş bir siber güvenlik kadrosu oluşturmak.
Bu uygulamalar mükemmel şekilde hayata geçirilse bile yine de parasal desteği güçlü, sabırlı, sürekli kendini yenileyen ve içeri sızabileceği kapılar bulmayı başaran usta hacker’ların hakkından gelemezler. Şirketinizin hijyeni ne kadar iyi olursa olsun mutlak hedefe yönelmiş bir saldırı ağınıza ve sisteminize sızacaktır. Hacker’lar haftalarca, aylarca uğraşmaları gerekse de eninde sonunda içeri girmeyi başarır.
İNL’İN RADİKAL FİKRİ
Bu metodoloji aşağıdaki kişilerle sıkı bir işbirliği içinde uygulanacak 4 adımdan oluşuyor:
1. Bir CCE ustası (şimdilik bir İNL elemanı, ilerde bir mühendislik hizmet firmalarında İNL’in eğiteceği bir eleman)
2. Yasalara uyma, hukuki ihtilaflar ve riskleri azaltmadan sorumlu tüm liderler: CEO, Operasyon Şefi, Finans Şefi, Risk Şefi, Genel danışman ve Güvenlik Şefi (CSO).
3. Temel operasyonel fonksiyonları denetleyen kişi
4. Güvenlik sistemi uzmanları ve şirketin temel süreçlerini en iyi bilen operatör ve mühendisler
5. sistem ve ekipmanın nasıl kötüye kullanılabileceğini bilen siber uzmanlar ve işletme mühendisleri
Bunların görevleri:
⦁ En önemli işlemleri tespit etmek
⦁ Dijital alanın haritasını çıkarmak
⦁ Olası saldırı yollarına ışık tutmak
⦁ Riski azaltma ve riskten korunma olanakları üretmek
BÜGÜN NE YAPABİLİRSİNİZ
Hasımlarınız gibi düşünmeyi öğrenin. Onlardan önce siz kritik hedeflere erişmeye çalışın ve savunma gücünüzü sürekli sınayan bir iç ekip oluşturun. Süreçte ,kontrol ve güvenlik sistemi ve operasyon ağında uzman kişilere yer verin.
Eğer en kritik fonksiyonlarınızı destekleyen sisteme güvenemez noktaya gelirseniz elinizin altında devreye sokabileceğiniz bir B planınız bulunmalıdır. Bu şirketin asli operasyonlarını sınırlı düzeyde de olsa sürdürmesine imkan sağlayacak bir düzenleme olmalıdır. İdeali, bacup sisteminizin dijital teknolojilere ve bir ağa (özellikle internete) bağlı olmamasıdır. Fakat yedeğin asgari düzeyde olması ama aslının tam bir kopyası olmaması gerekir çünkü saldırganlar orijinaline sızabildiyse onun eşine de kolayca sızabilir.
Dijital teknolojilere ve internete dayalı her organizasyon yıkıcı bir siber saldırı karşısında savunmasızdır. En iyi siber hijyen bile Rusya’yı, Kuzey Kore’yi veya ileri becerilere ve güçlü kaynaklara sahip suç örgütlerini durduramaz.
⦁ En iyi uygulamalar kusursuz biçimde hayata geçirilse dahi hacker’lar çok gelişkindir. Kaynakları doludur, sabırlıdırlar, sürekli evrimleşirler ve içeri sızabilecek kadar hünerlidirler.
⦁ Bir ihlalin işinize zarar verebileceği süreç ya da fonksiyonları saptayın ve onları elinizden geldiğince internetten uzaklaştırın, dijital teknolojiye bağımlılığını azaltın. Takip ve kontrolü analog cihazlara ya da güvenilir kişilere emanet edin
⦁ Bir tehlike senaryosu düşünün ve donanım, yazılım, ve iletişim teknolojilerinizin, destekleyici süreç ve kişilerle birlikte kapsamlı bir envanterini çıkarın.
⦁ Hasımlarınız gibi düşünmeyi öğrenin ve hedeflerine ulaşmak için izleyecekleri olası geçiş yollarını belirleyin.
⦁ Çalışanların bilgisayar sistemi ve makinesindeki olağan dışı bir davranışa karşı tetikte olmasını ve hızla tepki vermesini sağlayacak bir kültür yaratın.
RAKAMLARLA GÜVENLİK TRENDLERİ
⦁ Sistemler, yılardan beri kullanılan teknik yaklaşımları benimseyen hacker’ların arkası kesilmeyen saldırılarına maruz kalıyor
⦁ Organizasyonlar daha çok sayıda saldırıyı püskürtmeyi başarıyor ancak her zamankinden daha yoğun (ve şeytani) bir saldırı furyasıyla karşı karşıyalar
⦁ Saldırılar hakkında bildiklerimiz şöyle: Çoğu dış kaynaklı; başarısızlık oranı başarı oranından yüksek; en yaygın hedef kişisel veriler ve ödeme bilgileri
YÖNETİM KURUMLARI NEDEN SİBER TEHDİTLE İLGİLENMİYOR
⦁ Çoğu yönetim kurulu, siber riskleri düzenli olarak tartışmayı ve ihlal karşısında uygulanacak olağan üstü durum planını gözden geçirmeyi kapsayan sağlam bir siber güvenlik sürecinden yoksun durumdadır.
⦁ Yöneticiler risk ve güvenlik sorunlarının üzerine gitmek için gereken uzmanlıktan yoksun olduğunu düşünüyor.
⦁ Yönetim kuruları, siber güvenlik tehdidinin uzanamadığı yer olmadığını ve bu riski görmek zorunda olduklarını bilmelidir
⦁ Yönetim kuruları çok sayıda uygulama benimseyerek siber güvenlik sorunlarına öncelik verip üzerine gidebilir:
- Yanıtını bilmeseler dahi, siber güvenlikle ilgili sorunları gündeme getirmek
- Siber güvenlik sorgulamasını yönetim kurulu toplantılarının düzenli gündem maddesi yapmak
- Organizasyondan veri güvenliği ve risk yönetimi altyapı yatırımları talep etmek
- Dışarıdan danışman getirmek veya tam yetkili uzman bir yönetim kurulu üyesi belirlemek
YÖNETİCİLERİN SİBER GÜVENLİĞE YETERSİZ YATIRIM YAPMASI
siber güvenlikle ilgili olunca, bazı karar mercileri gerekli yatırım miktarlarını ve yatırım yapılacak yeri belirlerken yanlış zihinsel modeller kullanıyor. Örneğin siber savunma denilince bunun bir güçlendirme süreci olduğunu düşünebilirler (eğer bol askerli kuleleri olan sağlam güvenlik duvarları inşa edersiniz saldırganları bir kilometre uzaktan görebilirsiniz.) ya da NIST (Ulusal Standartlar Ve Teknoloji Ensititüsü) ve FISAMA (Federal Bilgi Güvenliği Modernizasyon Yasası) gibi bir güvenlik çerçevesine uygun davranmayı yeterli görebilirler (sadece bütün kutuları işaretleyerek belalı saldırganlardan kendinizi uzak tutabilirsiniz.) Görünenin ötesine bakmayı akıl edemezler (Bu yıl hiç sızma eylemi yaşamadık, demek ki yatırımızı çoğaltmaya gerek yok.) oysa gerçekte ya şansları yaver gitmiştir ya da sistemlerine sızmış kötü bir oyuncun darbe indirmek için hazır beklediğinin farkında değildirler.
⦁ Güvenlik profesyonelleri müşteri veri kaybı yada yasal düzenleme maliyeti gibi, üst düzey karar mercilerinin derin ilgi duyduğu risk alanlarıyla bağlantı kuran hikayeler anlatmalı. Bu duygusal etkiden yararlanmalıdırlar
⦁ Başarı ölçütlerini yeniden belirleyin doğru sistem yerine doğru süreci yaratmaya odaklanın. Güvenlik ekibinin ortaya çıkardığı zaaf sayısını başarısızlık olarak değil zafer olarak görün
⦁ Enformasyon güvenliği sorumlusu, şirketin sektördeki eş düzeylerine kıyasla ne durumda olduğuna ilişkin bilgilendirme yapmalı. Bu şekilde aşırı özgüveni dizginleyebilirler.
⦁ Olası risklere dikkat çekmek ve lideri altyapı yatırımını artırmaya motive etmek için, CEO’yu hedef alan içerden ve güvenli bir saldırı başlatın.
YÖNETİCİLER SİBER RİSK KONUSUNDA AYNI ÖLÇÜTLERİ KULLANMALI
Üst düzey yöneticiler siber risk konusunda her zaman aynı dili konuşmaz; raporlama ise bu ayrışmaları daha da pekiştirir. Örneğin hukuk müşaviri konuya Avrupa Birliği Genel Veri Koruma Yönetmeliği gibi bilgi güvenliği yasalarına uygunluk çerçevesinden yaklaşırken enformasyon güvenliği sorumlusu, ekibin başarıyla iyileştirdiği teknik zaafları raporlar. Risk sorumlusu probleme risk transferi ve siber sigorta maliyeti açısından bakar. Finans sorumlusu ise olası finansal etkileri araştırır.
Birimler arasındaki iletişim ve koordinasyon eksikliği, siber riskin tüm iş üstündeki etkisini de değerlendirmeyi veya ortak ölçütleri geliştirmeyi çok zorlaştırır ayrıca en acil risklere öncelik vermeyi, çaba ve kaynağı uygun şekilde yönlendirmeyide güçleştirir.
CEO, riskle ilgili gerçekçi ve bütünlüklü bir resim ortaya çıkarmak için tüm paydaşlar arasında iletişimi ve iş birliğini sağlamak adına yöneticileri bir araya getirmelidir. Böylece risk altındaki kritik veri ve varlıkları tespit etmek; teknik zaafları değerlendirmek; tehdidi kavramak; siber saldırının potansiyel yasal sonuçlarını ölçmek; saldırının finansal etkisini hesaplamak (işin kesintiye uğramasının bedeli, açılan davalar, zayıflıkları iyileştirme maliyeti, işletme değer kaybı, marka ve itibar hasarı) ve hisse değeri üzerindeki etki hakkında daha net bir resim çizmek mümkün olur.
⦁ Üst yönetim ekibini toplayın ve birlikte risklerin gerçekçi ve bütünlüklü bir haritasını çıkarın
⦁ Çalışanların rahatça siber risk, yeni teknoloji ve sistemler, birleşim ve satın almaların enformasyon sistemi ve güvenlik kültürü üzerindeki etkisini tartışabileceği açık bir kültür yaratın
⦁ Karşılık planı üretin. Bunu açıklayarak ve saldırı simülasyonlarıyla düzenli olarak test ederek çalışanları siber saldırıya karşı hazırlayın
⦁ Şirketin hazırlık derecesini ölçen düzenli denetimler gerçekleştirin
EN İYİ SİBER GÜVENLİK YATIRIMI DAHA İYİ EĞİTİMDİR
⦁ Teknoloji çözümleri, dinamik siber tehditlerin temposuna asla tek başına ayak uyduramaz
⦁ Savunma yapmak her zaman saldırı yapmaktan daha zordur. Sabır ve gizlilik saldırgandan yanadır. Bir saldırının bir organizasyona zarar vermesi için sadece bir kez üstün gelmesi yeter.
⦁ Şirketinizin ihlaller karşısında dayanıklılık sergileyebileceğini varsayın ve bütün çalışanlara şüpheli faaliyetleri nasıl tanıyacağını ve bir ihlal durumunda ne yapması gerektiğini öğretin
DAHA GÜÇLÜ SİBER GÜVENLİK ÇALIŞANLARIN ALIŞKANLIKLARINI DEĞİŞTİRMEKTEN GEÇER
⦁ İnsanın elindeki işten başka bir şeye odaklanamamasına sebep olan şimdi zaman eğilimini aşmak için çalışanlardan yazılım güncellemesi için tarih taahhüdü alın
⦁ Çalışanlarla eş düzeylerinin neler yaptığına dair verileri paylaşarak ( enerji dağıtım şirketlerinin faturalara komşuların tüketim düzeyini karşılaştıran bilgileri eklemesi gibi) insanın değerleri gibi davranma eğiliminden yararlanın. Çalışanın internette kullandığı güvenlik önlemleri gibi davranışları araştırın, bu davranışları puanlandırın ve sonuçlarını puanını yükseltebileceği önerilerle birlikte paylaşın
⦁ Çalışanın ne zaman yanlış yaptığını ve bu hatadan nasıl kaçınabileceğini öğrenmesi için geribildirime ağırlık verin ve böylece farkındalık eğitimini kesintisiz bir sürece dönüştürün
DAHA İYİ BİR SİBER GÜVENLİK İÇİN ÇALIŞANLARA BASİT KURALLAR VERİN
⦁ Karmaşık şifre zorunluluğu gibi güvenlik kuralları çoğu zaman öyle zahmetlidir ki insanları kısa yollara sapmaya yöneltir. Şifre yöneticisi yada çok aşamalı doğrulama kullanarak bu yükü hafifletin.
⦁ Gün boyu süren sorumlu eğitimler yerine kişiye özel, kişiye özel eğitim ve yol göstericilik yaklaşımına geçin
⦁ IT departmanı çalışanlar tarafından çoğunlukla “trafik polisi” gibi görülür. Olağan çalışma saatlerinde IT elemanları ile diğer çalışanların etkileşim olanaklarını artırarak, onları çalışanlar için güvenilir ve yardımsever danışmanlar haline getirin ve böylece bu dinamiği değiştirin.
YÖNETİCİLERİN VERİ İHLALİ SONRASINDA SÜRDÜRDÜĞÜ HATALLAR
⦁ Liderler saldırı sonrasında genelde aynı hataları tekrarlıyor. Müşterileri uyarmak için fazla bekliyor, sonrasında müşterilere destek vermede yetersiz kalıyor, saldırıyla ilgili kafa karıştıran ve doğru olmayan bilgiler yayıyor ve sorumluluklarını kabul etmeye yanaşmıyorlar
⦁ Yöneticiler sızma olabileceğini öngörmeli ve önceden bir karşılık planı hazırlamalıdır.
⦁ İhlal sonrası öncelik müşteri olmalıdır. Lider, kullanıcı şifresini yenilemek yada ücretsiz kredi istihbaratı sunmak gibi müşteriyi koruyacak proaktif yöntemlere başvurmalıdır.
⦁ Müşterilere ihlale ilgili açık ve düzenli bilgilendirme yapılarak markaya duyulan güven tazelenmelidir
⦁ Üst düzey yöneticiler ihlali teknolojik yenilgi olarak değil sorumluluğu kendinde olan organizasyonel bir arıza olarak görmelidir.
AKTİF SAVUNMA VE GERİ HACK’LEME
⦁ Uzmanlar arasında aktif savunmanın tanımı konusunda görüş birliği yok. Yine de şöyle iş görür bir tanım yapılabilir: Aktif savunma, dost güç ve varlıklara yöneltilen siber tehdidi ortadan kaldırmak, boşa çıkarmak yada zayıflatmak için başvurulan bir doğrudan savunma eylemidir.
⦁ “Geri hack’leme” de tek tanımı olmayan bir kavram ve sık sık aktif savunma ile karıştırılıyor. Geri hack’leme kendi sistemi üzerinden saldırma çabasını ifade eder; tıpkı bir başkasının hava sahasına füze göndermek gibi. Aktif savunma ise saldırganın füzesi sizin hava sahanıza girdiği an vurmaktır.
⦁ Geri hack’lemenin tanımı üzerinde görüş birliği olmasa da uzmanlar, şirketlerin çoğu zaman da yasal olmayan bu uygulamalardan uzak durması konusunda hemfikir.
SİBER GÜVENLİK MÜŞTERİ GÜVENİNİ REKABETİN MERKEZİNE KOYAR
⦁ Güven ölçülemez yada kanıtlanamaz, markalaşma, pazarlama, ve benzeri yollarla gösterilmelidir.
⦁ Şirketiniz, ister salt dijital ürünler isterse içinde yazılım bulunan fiziksel ürünler sunsun, güveni her ürünün anahtar özelliği kabul etmelidir.
⦁ Organizasyonlar veri korumanın önemini göz önüne sermek için dolaysız ve açık bir süreç geliştirmelidir.
⦁ Şirket ve tüketici birbirine karşı dürüst olmalı; bazen güvenlik ve gizlilik yenilgilerinin kaçınılmaz olduğunu kabullenmelidirler.
Kişisel Gizlilik ve Siber Güvenlik İç İçe Geçiyor
Günümüzde bireylerin dijital dünyada bıraktığı izler, siber güvenlik tehditlerinin en zayıf halkasını oluşturuyor. Kişisel gizliliğin korunması yalnızca bireyin değil, çalıştığı kurumun da güvenliği için hayati önem taşıyor. Veri sızıntılarının çoğu, zayıf kişisel güvenlik alışkanlıklarından kaynaklanıyor. Bu nedenle şirketler, çalışanlarının sadece iş güvenliğini değil, kişisel veri güvenliğini de önemsemeli.
Ticaret ve Siber Güvenlik Çakıştığında Neler Yapılabilir?
Devletler arası ticaret günümüzde yalnızca ekonomik anlaşmalarla sınırlı kalmıyor, aynı zamanda dijital altyapıların güvenliğiyle de doğrudan ilişkili hale geliyor. Bir ülkenin kritik veri altyapısına yapılacak bir siber saldırı, yalnızca teknik bir kesinti değil, aynı zamanda ticari yaptırım aracı olarak da kullanılabiliyor. Bu nedenle devletlerin ticaret politikalarıyla uyumlu siber güvenlik stratejileri geliştirmesi, uluslararası ilişkilerde siber diplomasi kavramını güçlendirmesi gerekmektedir.
Yapay Zeka, Siber Güvenliğin Geleceğidir
Yapay zeka destekli güvenlik sistemleri, tehditleri daha hızlı algılayıp otomatik önlem alabilir. Makine öğrenimi algoritmaları, normal dışı davranışları tespit ederek siber saldırılara karşı erken uyarı mekanizmaları oluşturur. Ancak yapay zekanın kendisi de manipülasyonlara açık olabilir, bu yüzden insan denetimiyle birlikte kullanılması gerekir.
Sonuç
Siber güvenlik artık sadece teknik bir mesele değil, bireylerden kurumlara, şirketlerden devletlere kadar herkesin doğrudan sorumluluk aldığı bir güvenlik alanıdır. Karmaşık sistemler, gelişmiş tehditler ve insan faktörü, bu alanın ne kadar dikkatle yönetilmesi gerektiğini ortaya koyar. En iyi sistemler bile insan hatası veya ihmaliyle tehdit altında kalabilir. Bu nedenle sürdürülebilir bir güvenlik kültürü oluşturmak, teknolojik yatırımları stratejik farkındalık ve eğitimle desteklemek hayati önemdedir. Yapay zeka gibi yeni teknolojiler, güvenliği güçlendirme potansiyeline sahiptir, ancak bu araçların doğru kullanımı ve denetimi de bir o kadar önemlidir. Unutulmamalıdır ki siber güvenlik, sadece bugünü değil, dijital geleceği de koruma mücadelesidir.
Referans
Harvard Business Review Press.Dijital Dönüşüm: Siber Güvenlik Kitabı.
Leave a Reply