Reklam

Siber Güvenlik Teknolojileri – Platin Bilişim

Platin Bilişim Satış Müdürü Elif Yargıcı ile siber güvenlik teknolojilerini, siber saldırı türlerini ve güvenlik trendlerini konuştuk.

Elif Hanım, son yıllarda siber saldırılarda yaşanan artışa dikkat çekerken, firmaların siber saldırılara karşı alması gereken tedbirleri de anlattı.

Yakın dönemde büyük firmaların siber saldırıya uğrayarak verilerinin çalındığı haberini aldık. Siz bu ve benzer durumdaki şirketlere ne öneriyorsunuz? KVKK kapsamında ceza almamak için kurumların öncelikle ne gibi yatırımları yapması gerekiyor? Bu alanda ne gibi çözümler sunuyorsunuz?

Son yıllarda bu gibi saldırılarla karşılaşan küçük, büyük pek çok firma ile karşılaşıyoruz. Bundan sonra da benzer durumlarla karşılaşma olasılığımız oldukça yüksek. Özellikle pandemi döneminde; değişen satın alma davranışımız ile birlikte e-ticaret sitelerinin iş hacminin çok fazla büyümesi, sağlık sektörünün oldukça önem kazanması bu alanlara yönelik saldırıların da artmasına sebep oldu.

Platin Bilişim olarak; kurumların karşılaşabileceği bu gibi problemlere karşı tedbir olabilecek tabi ki kapsamlı bir çözüm portföyümüz bulunuyor. Fakat son dönemde siber saldırıların hedefi olan bu gibi e-ticaret firmaları, her türlü teknolojiyi bünyelerine entegre ederek kapsamlı bir güvenlik yatırımı yapsalar dahi; siber saldırganlar da inovatif yaklaşımlarla çok hızlı bir şekilde yeni bir saldırı yöntemi geliştirebiliyorlar. Bu saldırılara karşı da bizler ise, yeni tedbirler geliştiriyoruz. Dolayısıyla karşılıklı ve bitmeyen bir savaş söz konusu. Ama bu da %100 güvenlik diye bir şeyin olmadığını gösteriyor.

İlgili konunun ceza kısmına değinirsek eğer, ülkemizde verilen cezaların bir caydırıcılığının olmadığını düşündüğümü söyleyebilirim. Bahsedilen miktarlar sadece bir güvenlik ürününün maliyeti kadar görünüyor. Burdan diğer kurumların da ders çıkarması gerekiyor. Benim başıma gelmedi şeklinde yaklaşmamak, benzer olayların yaşanmaması, benzer cezalarla karşı karşıya kalınmaması için gerekli önlemlerin  alınmasına ve yatırımların yapılmasına önem verilmeli.

Aslında yapılan yatırımlar, kurumun kendi marka değerini korumak üzerine yapılmalı. Bilgi güvenliğini ve siber güvenliği, gerçek hayattaki fiziksel güvenlikten yola çıkarak irdelemeliyiz. Siz, evinize veya iş yerinize birilerinin girip kasanızdan para veya dosyalarınız arasından müşteri bilgilerinizi çalmasını ister misiniz? İstemediğiniz için güvenli kasalar, çeşitli sensörler ve güvenlik kameraları kullanır, bunları gözetecek de güvenlik görevlileri tutarsınız. İşte bu düşünceden yola çıkarak kendinizi korumanız gerekir.

Pandeminin de etkisi ile daha hızlı dijitalleşen bir dünyada, yapılan güvenlik yatırımları da hiç  olmadığı kadar önemli bir konumda. Pandeminin getirmiş olduğu bu süreç; bizleri hem evden çalışmaya, hem de ihtiyaçlarımızı evden giderme yoluna doğru adapte etti. Doğal olarak e-ticaret, sağlık gibi sektörler de elde ettikleri ilerlemeyle birlikte kötü niyetli kişilerin de yeni hedefi haline geldi.

Platin Bilişim olarak; her ölçekten kurumun siber güvenliğe daha çok önem göstermesi ve alanında uzman firmalardan destek almasını öneriyoruz. Bu gibi sorunlar ile kurumların karşı karşıya kalmaması adına dışardan denetlenmesi ve güvenliğinin kontrol edilmesi daha sağlıklı.

Diğer taraftan her bireyin kendisi ile ilgili bir veri girişi yaparken, hangi bilgilerin işin yapılması için gerekli olup olmadığını sorgulaması gerekiyor. Verdiğiniz bilgilerin ne eksik ne de fazlası olmadığından emin olmalısınız. Örneğin; bir yemek siparişi veriyorsanız siparişinizin adresinize ve size teslim edilmesi için adınız, soyadınız ve iletişim bilgilerinizi paylaşmalısınız ama doğum tarihiniz ya da kimlik numaranız bu işin yapılması için gerekli değildir. Bu anlamda KVKK tarafından firmaların sadece gerekli bilgileri alması konusunda da yaptırımları olmalı.

Ama her vatandaş için siber güvenlik farkındalığı eğitimlerinin çok önemli olduğunu düşünüyorum. Bilgi güvenliği ile konfor ters orantılıdır. Farkındalık kazandırmak noktasında da bizler ve medyaya oldukça görev düşüyor.

Evden çalışma ile öne çıkan güvenlik açıkları ve saldırılar hakkında bilgi verebilir misiniz? 2021 güvenlik trendlerinde neler var?

Evden çalışma sürecinin devam etmesi ile birlikte zayıflayan kurumsal güvenlik, içeriden istenmeden de olsa gerçekleşen tehditlerin artmasına neden oluyor.

Evdeki cihazlar daha fazla baskı altında oluyor ve ev altyapısı bir hedef haline geliyor. Evden çalışanların sayısının artmasıyla siber suçlular IoT cihazlarına saldırabilir ve odağını aynı ağı kullanan kurumsal cihazlara yöneltebilir.

Fidye yazılımı hala ciddi bir tehlike oluşturuyor!

2020 yılında fidye yazılımı siber suçluların en popüler tercihi oldu ve bu sene de olmaya devam ediyor gibi gözüküyor. 2021 yılı sonunda fidye yazılımında artış raporlanacağı tahmin ediliyor. Bu durum, saldırıları başarılı bir şekilde gerçekleştirebilmek için farklı yeteneklerde uzmanlaşan suçlulardan oluşan bir ekosistemin büyümesine neden oldu. E-posta yoluyla gönderilmiş kötü amaçlı yazılımlar, genellikle insan faktörünün olduğu fidye yazılımlarına öncülük ediyor.

Oltalama alanında konuyu ele geçirme (thread hijacking) ve özel oltalama saldırısı (whaling) gibi yeni saldırı türleri ortaya çıkacak!

2021’de oltalama denemeleri, kullanıcıları kandırmak ve saldırıların daha zor saptanmasını sağlamak için daha da inovatif yaklaşımlar kullanılıyor. Emotet botnet tarafından kullanılan e-posta konusunu ele geçirme (e-mail thread hijacking), görülen en inovatif kitlesel oltalama tekniğini olarak öne çıkıyor. Emotet, güvenliği aşılan sistemlerden e-posta verilerini çalarak hedefli oltalama (spear-phishing) denemelerini otomatik olarak oluşturuyor. Daha sonra bu e-posta adresleri üzerinden e-posta konuşmasına kötü amaçlı yazılım içeren mesaj gönderiliyor ve bu sayede ikna edici görünüyor. Kişinin fiziksel varlığı yerine güçlü güvenlik aşamalarını kullanan her şey, uzaktan çalışan bireyleri hedef alan saldırıların artmasına neden olacak. Çünkü siber suçlular için sosyal mühendislik yöntemleriyle çalışanlardan önemli bilgileri ele geçirerek daha fazla kazanç elde etme imkânı bulunuyor.

Saldırganlar özellikle kritik altyapı, ilaç sektörü, sağlık sektörü, endüstriyel IoT ve eğitim gibi alanlara göre ürün veya hizmet geliştiren şirketlere özel saldırılar oluşturacak!

2021’de en çok risk altında bulunan sektörlerden birisi de sağlık. Özellikle pandemi ile birlikte insanlar için çok daha büyük bir öneme sahip olan sağlık sektörünün yanında bu sektöre bağlı olan veya bu sektörde yer alan kurumların genellikle yeterli kaynağı bulunmuyor. Bu kriterlere uyan eğitim sektörü de bir başka ana hedef. Bu tehlike, hastanelerden ve ameliyatlardan daha kritik alanlarda risk yaratıyor. Yeni bir aşı üretmek için devam edilen bu yarışta, ilaç şirketleri ve araştırma tesisleri de risklerle karşı karşıya kalmaya devam edecek.

Sıfır Güven yaklaşımı kalıcı olma yolunda ilerliyor ama kullanıcı için daha şeffaf olacak şekilde uygulanması gerekiyor.

Sıfır Güven yaklaşımı yeni bir konsept değil. Ancak uzaktan çalışmanın artışı ile organizasyonlar bu yeni gerçekliğe ayak uydurmalı. Şirket ağına geleneksel güvenlik yöntemleriyle giriş yapmak artık ideal bir yol olmaktan uzaklaştı. Güvenlik hatları da geri kaldı. Yıllar geçtikçe hizmet olarak yazılım yaygınlaştı ve çalışanlar farklı noktalara dağıldı. Bununla birlikte kritik veriler şirketin güvenlik duvarı dışında yer alıyor. Kurumların artık Sıfır Güven yaklaşımını kullanıcılara şeffaf bir şekilde sunarak kendilerini bilinmeyen siber saldırılara karşı koruma zamanı geldi.

Güvenlikte yeni bir yaklaşıma ihtiyaç var.

2020, birbirinden çok uzakta yer alan cihazların altyapısını yönetmek için kritik hale geldiğini ve kurumların geleceğin farklı noktalardan çalışmakta şekilleneceğini kabul etmesi gerektiğini gösterdi. Uzaktan çalışanların cihazlarından endüstriyel IoT cihazlarına kadar her şey, giderek siber-fiziksel hale gelen dünyamızda siber güvenlik savaşının yeni cepheleri haline geldi. Bu zorluğun üstesinden gelmek için kurumların güvenlik mimarilerini ve kontrollerini yeniden düşünmesi ve bu yeni ortamı desteklemesine yardımcı olacak teknolojilerdeki ve süreçlerdeki gerekli yeniliği uygulaması gerekiyor.

Yapay Zeka ve CCTV

CCTV teknolojilerini kullanırken, daha fazla yapay zekaya rastlayacağız. Fakat yapay zekanın bazen diğer sektörlerde yetersiz kaldığı görülebiliyor. Şüphesiz güvenlik kamera sistemlerinde de aynı şekilde hatalar ile karşılaşılabilir. Fakat, yapay zekalı yazılımlar sayesinde, operatörler dikkatini tek bir yere verebilir ve dikkat etmesi gereken nokta sayısı azalır. Bunun sonucunda, operatörler daha efektif ve başarılı bir operasyon çıkarmış olur. Operatörlerin ilgilenemediği noktalar, yapay zeka tabanlı yazılım ile denetlenir ve şüpheli yerler ve kişiler varsa tespit edilir. Sonuç olarak, güvenlik uzmanları, insan faktörünün neden olduğu hatalardan arınmak için yapay zeka kullanımını arttırmak istiyor ve proaktif bir şekilde güvenliği sağlama çalışmalarını sürdürüyor.

Temassız Teknolojiler

Covid 19’la beraber oluşturulan düzenlemeler, kurallar ve tüketici alışkanlıkları 2021 yılında da devam ediyor. İnsanoğlu şu anda Covid 19 sebebiyle, herhangi bir şey ile temasta bulunmak istemiyor. Dolasıyla, özellikle geçiş sistemlerinin kullanıldığı alanlarda temassız veya az temaslı teknolojilerin kullanımı gün geçtikçe artıyor. Buna ek olarak, güvenlik sektöründe insan saymak amacıyla kullanılan yazılımlar trend olma yolunda ilerliyor. Bu yazılımlar, hem sosyal mesafe düzenlemelerine sadık kalmayı sağlıyor hem de kolay bir şekilde insanlara temas etmeden insan sayımını sağlayabiliyor.

Türkiye’de güvenlik yatırımlarına ayrılan bütçenin yeterli olduğunu düşünüyor musunuz?

Teknoloji her geçen gün gelişirken tehditler de aynı hızda artıyor. Bu doğrultuda Türkiye’de de veri güvenliğine ve siber güvenliğe ciddi anlamda yatırımlar yapılmaya başlandı. Ama henüz bu bilincin kazanılması ve bir kaybın yaşanmadan önlem olacak yatırımların yapılması anlamında daha gideceğimiz çok yol var. Bir taraftan üst düzey yöneticilerin % 48’i veri sızıntılarını ve kayıplarını önlemek için veri güvenliği ve gizlilik çözümleri arayışında. Güvenli olmayan uç noktalardan gelen tehditler artışta iken pandemi döneminde gündeme gelen uzaktan çalışma sistemi ve kendi cihazını getir (BYOD) uygulaması, uç nokta güvenlik açıklarının ortaya çıkmasında ve artışlarda önemli rol oynadı.

Bu noktada uzaktan çalışma sisteminde şirketlerin kimlik doğrulama ve yetkilendirme düzeyini daha da yükseltmesi gerekiyor. Bu kapsamda Platin Bilişim olarak çok yönlü kimlik doğrulama (MFA) ve Token (şifre üreten anahtar yazılımları) çözümünü sunuyor ve bu çözümün kurulum, bakım, danışmanlık gibi hizmetlerini de sağlıyoruz.

Bunun yanı sıra şirket çalışanları güvenlik çözümleri ve tehdit farkındalığı konusunda eğitilmediğinde de herhangi bir teknolojiyi uygulamak yeterli olmayacaktır. Bu nedenle çalışan farkındalık eğitimleri her geçen gün daha da önemli bir konu haline geldi.

Siber güç sıralamasında ise Türkiye, Harvard Üniversitesi’ndeki Belfer Center’ın yaptığı Ulusal Siber Güç Endeksi (NCPI) çalışmasına göre 30 ülke arasında 22. sırada yer alıyor. Uzun bir süredir uluslarası standartların olmasına rağmen Türkiye’de yasal zorunluluklar çok kısıtlıydı. Fakat yakın zamanda kurumların faaliyet alanlarına ve büyüklüklerine bağlı olarak hemen hemen her kuruma regülasyonlara uyma zorunluluğu da geldi. Pek çok firma, henüz bu konuda bir aksiyon alabilmiş değil. Bu noktada her geçen gün önem kazanan regülasyonların güvenlik yatırımlarını da dolaylı olarak arttıracağını öngörüyoruz.

Firmalar en çok hangi talepler ile size başvuruyorlar?

Platin Bilişim olarak  firmalardan gelen taleplerden önce onların risk haritasını çıkarıyor ve güvenlik ihtiyaçlarını kapsamlı bir şekilde belirleyerek bu konuda danışmanlık veriyoruz. Dolayısıyla her firmanın ölçeği ve güvenlik ihtiyacı da farklı. Fakat pandemi sürecini genel olarak değerlendirdiğimizde özellikle uzaktan çalışma sisteminin yaygınlaşması ile beraber etkili hesap yönetimi konusundaki taleplerin oldukça arttığını söyleyebiliriz. Yine en sık karşılaşılan siber saldırılara yönelik çözümlerimize, veri sızıntılarını önlemek için sunduğumuz DLP hizmetlerine ve veri arşivleme çözümlerimize de ilginin arttığını gözlemliyoruz.

Platin Bilişim için ilk çeyrek nasıl geçti? Yılın kalanında Platin Bilişim ve sektörün geneli için iç talebin nasıl seyredeceğini öngörüyorsunuz?

İlk çeyrek potansiyel müşteri anlamında verimli geçti fakat satış anlamında ikinci çeyreğin daha verimli geçtiğini söyleyebilirim. Bilişim sektöründe diğer sektörlere göre satış döngüsü süreçleri daha uzun oluyor. Bu yüzden genellikle yılın ilk ve üçüncü çeyreğini ekme dönemi, ikinci ve dördüncü çeyreğini ise biçme dönemi olarak nitelendiriyoruz.

Bu yıl için potansiyel müşterileri mevcut müşterilere dönüştürmek anlamında en çok büyümeyi ise ikinci çeyrekte göreceğimizi tahmin ediyorum. Pandemi nedeni ile geçtiğimiz yıla göre bu yıl her firmanın duruma daha fazla adapte olduğunu ve iş planlarını daha doğru organize ettiğini düşünüyorum. Bunun yanı sıra geçen yıldan biriken bir talep de var. Fakat doların yükseliş trendinde olması nedeni ile müşterilerimize enflasyonun üzerinde bir bütçe yansıtmak durumda kalıyoruz ve dolayısıyla sektörümüz de olumsuz yönde bu artıştan etkileniyor.

Genel olarak değerlendirdiğimizde ise pandeminin kazanan sektörlerinden birinin de bilgi teknolojileri sektörü olduğunu söylemek mümkün. Bu noktada bilişim sektörü bu yılı nispeten daha rahat geçirecek. Gartner öngörülerine göre bilişim sektöründe totalde 2021’de yüzde 7 oranında bir büyüme bekleniyor. Ülke olarak olağanüstü bir gelişme yaşanmadığı takdirde, ben de totalde 2021 yılı büyümesinin yüzde 5 seviyesinin üstünde olabileceğini öngörüyorum. Bu rakamdan bilişim sektörü de payını alacak ve 2021’de bilişim sektörünün büyüme fırsatları devam edecek. Teknoloji yatırımları, girişimcilik ve inovasyonun yanı sıra startup’ların dinamizmi, dijital dönüşümün olgunlaşması ve yeni çözümlerin pazara çıkması, yapay zekaya dayalı uygulama alanlarının artması, bulut bilişim yatırımları, siber güvenlik ve mevcut sistemlerin modernizasyonu gibi alanların öncelik alacağını öngörebiliriz. Siber güvenlik yatırımları ise hiç olmadığı kadar artacak.

Uzaktan çalışmanın backup sistemlere ve buluta olan ihtiyacı arttırması “hizmet olarak altyapı” segmentine yüzde 28’lik bir sıçrama yaşatacağını ve bu segmentteki hacmin 64 milyar dolara yükseleceğini tahmin ediyoruz. IT harcamaları yıl genelinde yüzde 4 gibi ılımlı bir oranda artarak 3,7 trilyona ulaşacak ama bu rakamın pandemi öncesine göre yüzde 3 ekside olduğunu vurgulamak isterim. Donanıma olan talebin evden çalışma nedeniyle yüzde 14 düşeceğini öngörüyoruz. Siber saldırıların maliyeti ise 6 trilyon dolarla 2015 yılına göre iki kat artacak.

Zayıf Akım

Sitemizde yayınlanan içeriklerin izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması, satılması ve dağıtılması kesinlikle yasaktır. Bu hakları ihlal eden kişiler, 5846 sayılı Fikir ve Sanat eserleri Kanunu'nda yer alan hukuki ve cezai yaptırımlara tabi olurlar. zayifakim.com ilgili yasal işlemleri başlatma hakkına sahiptir.
Başa dön tuşu