Siber güvenlikle başımız dertte!

0
442

Bilgi Güvenliği Akademisi

Huzeyfe Önal – Genel Müdür

HuzeyfeÖnal

Ülkemizde bilgi güvenliği farkındalığı ne durumda, bu konudaki düşünceleriniz nelerdir?

Bilgi güvenliği farkındalığı  kavramının genellikle yaşanan musibet ve olaylarla doğru orantılı olarak arttığını görmekteyiz. Türkiye’deki duruma sektör basında göz atacak olursak güvenlik farkındalığı en yüksek sektör hiç şüphesiz bankacılık sektörü, bu sektörü takip eden ikincisi yok. Kamu kurumlarındaki güvenlik algısı maalesef henüz özel sektörü veya dünya standartlarını yakalayabilmiş değil, bunun temel nedeni kamu kurumlarındaki güvenlik anlayışının hatalı olmasıdır. Güvenlik harcanan para ile ya da alınan donanım/ürünlerle doğru orantılı değildir. Bir kurumun güvenlik farkındalığını ölçmek için sorulacak çok temel bir soru vardır: “Güvenlik denildiğinde aklınıza ne geliyor?” ya da “Bilgi güvenliğini sağlama amaçlı neler yapıyorsunuz?. Kamu kurumlarında bilgi güvenliği denildiğinde genellikle yapılan pahalı yatırımlar ve alınan güvenlik çözümleri akla geliyor. Kamu kurumları arasında bilgi güvenliğine en fazla değer veren kurumlar savunma sanayi firmaları ve askeri kurumlar, bunun nedeni ise bu kurumlarda bilgi güvenliğinin temel ve en değerli bileşeni olan insana yatırım yapılmasıdır.

Diğer yandan özel sektör için bilgi güvenliği kavramı henüz standart bir olgunluk seviyesine ulaşmadı. Özellikle KOBİ olarak adlandırabileceğimiz küçük ve orta ölçekli işletmelerde güvenlik, gereksiz harcama olarak görülmektedir. Bu algı son zamanlarda yaşanan güvenlik problemleriyle her ne kadar değişmeye başlasa da henüz yolun başında sayılır.

Dünyada ön plana çıkan kritik altyapıların güvenliğini incelediğimizde Türkiye bu konuda sınıfta kalacak derecede kötü durumda diyebiliriz. Son kullanıcı güvenliği, kaçak yazılım kullanımı ve gereğinden fazla sosyal medya-sosyal ağ bağımlılığı sayesinde Türkiye’de dünya standartlarının üstünde kalıyor. Bu sorunu çözmek için ilkokuldan başlayarak güvenli bilgisayar, hatta güvenli teknoloji kullanım dersleri konulmalıdır.

Günümüzde virüslerden siber saldırılara tüm saldırılar daha akıllı. Yeni nesil virüslerin ve saldırıların bireylere, kurumlara ve devlete verebileceği zararlar nelerdir?

Eskiden saldırılar daha çok güç gösterisi veya reklam yapma amaçlı gerçekleştiriliyordu, şimdilerde ve bundan sonra süreçlerde daha çok organize siber saldırılara şahit olmaktayız. Bu sebepten saldırıları temelde ikiye ayırıyoruz. İlki bir hedef göstermeksizin yapılan saldırılar, bunlar çok tehlikeli değildir, zira saldırıda ana amaç siz ya da kurumunuz değildir, şiddet içeren bir eylemde yoldan geçen eylemcilerin sizin binanızda hoşlarına gitmeyen bir şey görerek oraya da saldırmaları gibidir.

Diğer saldırı yöntemi APT olarak da adlandırılan hedef odaklı, belirli bir amacı olan saldırılardır. Bu saldırılarda genellikle hedef bilgi sızdırma, sistemlere sonradan delil olarak kullanılabilecek sizden habersiz verilerin yerleştirilmesi, v.b. nedenlerdir. Saldırının basitliği ile sonuçları arasında doğru bir oran yoktur. Yani basit saldırılar önemsiz sonuçlar doğurmaz, saldırının düzeyi saldırı ile de doğru orantılı değildir. Siber dünyada bunu kolaylıkla ölçemeyiz. AP haber ajansının Twitter hesabı hacklenerek yapılan saldırı sonucu borsadaki sert düşüşler bunun en temel göstergesidir. Son zamanlarda kurum ve kişilere yönelik daha sofistike APT saldırıları yapıldığına şahit oluyoruz.

Günümüzde bireysel ve kurumsal olmak üzere tüm işlemler Online yapılıyor. Bireyler için e-devlet, bankacılık işlemleri, kurumlar için ihaleler vb. kullanıcılar Online platformlarda ne gibi sorunlarla karşılaşabilirler?

Online işlemlerde güvenliği sağlamanın iki başlığı vardır, biri hizmet veren  kurumların kendi sistemlerini güvenli tutmaları, diğeri de bu hizmetleri kullanacak son kullanıcıların dikkatli olması. Sahtecilik Online işlemlerdeki en büyük problem. E-posta ya da internet ortamında bir postanın ya da sitenin gerçek mi sahte mi  olduğunu kolaylıkla son kullanıcılara anlatabilecek bir yöntem yok. E-posta ve bankacılık işlemlerinde ikili kimlik doğrulama bu tip sahtecilik olaylarının etkisini en aza indirebilmektedir. Sisteme giriş için sadece bir şifre, parola değil bununla birlikte sahip olduğunuz bir donanım (çoğunlukla SMS ile doğrulama) ile de sisteme yapılacak yetkisiz girişleri kontrol altına alabilirsiniz. Öyle ya da böyle parolanızı bir yerlerde çaldırabilirsiniz ama cep telefonunuza gelecek ikinci SMS’i birilerinin ele geçirmesi kolay değildir. Online yapılan ihale sistemlerinde tehlike büyük. Düzenli güvenlik denetimlerinden geçmeyen ihale sistemlerinde başka rakiplerin verdiği fiyat bilgilerinden tutun da özel yazışmalara kadar birçok şey okunabiliyor. Bu konuda online ihale sistemlerinin ciddi bir güvenlik sertifikasyonuna ihtiyaç olduğunu söyleyebiliriz.

Ev kullanıcıları ve dolayısıyla son kullanıcılar için antivirüslerin yeterli olmadığını görüyoruz. Kullanıcılar bilgisayar ve mobil cihazlarında sistemlerini, verilerini doğru şekilde korumak için neler yapmalı?

Aslında burada gerçek hayattakine benzer bir yaşam döngüsü var, normal hayatta sağlıklı kalabilmek için nasıl bazı konulara dikkat ediyorsak, aynı şekilde bilgisayar veya daha geniş anlamda teknoloji kullanırken de dikkat edilmesi gereken konular vardır. Mesela daha ucuz diye hiç tanımadığımız bilmediğimiz bir yerdeki marketten ismini daha önce hiç duymadığınız markalardan yiyecek, içecek almıyorsak siber ortamda da buna dikkat etmemiz gerekir.  Klasik antivirüs mantığının kullanıcıları gerçek tehditlerden korumadığı yıllardır söylenen bir şey. Dolayısıyla Antivirüs kullanın korunursunuz diyemeyiz, Antivirüsler sosyal hayattaki Aspirin’e benzer, çok temel sağlık problemleri için geçici bir çözüm olabilir. Kullanıcıların lisanslı yazılım kullanmaları hatta kullanabilenlerin Linux gibi daha güçlü işletim sistemi kullanmalarını önerebiliriz.

Mobil cihazlarda güvenlik son dönemlerde daha fazla önem kazanmaya başladı. Burada özellikle Android kullanıcıları daha dikkatli olmalı, daha fazla özgürlük daha fazla risk taşıdığı için indirip kurulan yazılımların büyük çoğunluğu içinde ya özel bilgi toplama bileşenleri ya da zararlı fonksiyonlar içermektedir.

Penetrasyon testleri ve büyük şirketlere yaptığınız testlerde genel durum nedir? Sonuçlar hakkında istatistiki bilgiler nelerdir?

Penetrasyon testleri aslında günümüz güvenlik ihtiyaçlarını karşılama açısından oldukça yetersiz kalmaktadır. Bir gün içinde sık kullanılan yazılımlarda ortalama 48 adet güvenlik zafiyeti yayınlanıyor bu sayı yılda 15.000 civarına denk geliyor. Sızma testi ise yılda sadece bir kere yaptırıldığından aslında kurumun o andan itibaren geçmişe yönelik durumunu ortaya çıkarıyor. Düzgün güvenlik açıklığı yönetimi yapamayan kurumlar için sızma testi çok büyük bir anlam ifade etmez. Yılda ortalama 100 kuruma sızma testi hizmeti veriyoruz. Gözü kapalı bunların ortalamasını düşündüğümüzde kurumların en zayıf yanı şüphesiz oltalama, sosyal mühendislik olarak adlandırılan son kullanıcı testleridir. Bunu web ve mobil uygulamalardaki güvenlik zafiyetleri takip ediyor.

Şunu rahatlıkla söyleyebiliriz ki; teste tabi tutulan her mobil uygulamada önem seviyesi yüksek en az 3 güvenlik zafiyeti çıkıyor. Türkiye’de mobil uygulama geliştiren firmalar henüz yazılım geliştirme süreçlerine güvenliği dahil etmemiş gözüküyor. Bir başka dikkat çeken konu ise; kurumların kendilerini korumaları için para yatırdıkları güvenlik cihazlarının durumu. 100 firmada bir iki istisnayı kapsam dışı tutarsak kendilerini korumaları için aldıkları güvenlik cihazlarının onları gerçek manada korumadığını biz testlerimizde ispat ediyoruz. Bu da aslında şunu gösteriyor, kurumlar profesyonel bir siber saldırı ile karşı karşıya kaldıklarında aslında sonuç belli.

Siber saldırılar konusunda ülkemiz bankacılık sektörü ile yurtdışı bankacılık sektörünü karşılaştırır mısınız?

Avrupa ve Amerika’ya göre önde olduğumuz tek konu bankacılık konusundaki güvenlik diyebilirim. Türkiye’de güvenliğe en fazla değer veren ve yatırım yapan kurumlar bankalar ki böyle de olması gerekir. Şahsi fikrim yapılan yatırımların yine de yetersiz olduğu yönünde. Zira Türkiye’deki bankalar ciddi siber saldırılara hedef olmuyorlar ve bu nedenle kendilerini güvende hissediyorlar. En kötü duygu güvende olmadığı halde kendini güvenli hissetmektir. İnternet bankacılığında en önemli konu güvendir. Güvenin bir kere gitmesi tüm dengeleri değiştireceği için siber güvenlik konusundaki yatırımların sınırı daha yukarıda olmalıdır.

Edindiğiniz verilere göre ülkemizdeki en yaygın veya en büyük açık gördüğünüz siber tehditler nelerdir? Örneğin geçtiğimiz yıl yaşanan büyük elektrik kesintisinin sebebinin siber saldırı olduğu tartışılmıştı. Ülkemizde bu alanlarda güvenlik yeterli seviyede alınıyor mu? Enerji piyasasında güvenlik ne durumda? Türkiye’de ve dünyada akıllı şebekeler yeterince güvenli mi?

Türkiye’nin siber güvenlik problemini hem kişisel hem de kurumsal olarak algılama şekline bakarsak, siber güvenliği önemsemeyen, hatta biraz küçümseyen bir yapıdayız. Başımıza bir iş gelmediği sürece, siber güvenlik bizim için haberlerde okunacak heyecanlı bir konu olmaktan öteye gitmiyor.

Son üç yıldır Amerika, Çin ve Rusya’nın gündeminde özellikle ICS/SCADA olarak kısaltılan Endüstriyel IT sistemleri ve Kritik Altyapılar yer almaktadır. Her üç ülkedeki uzmanlar da gelecekteki siber savaşların en büyük zararı bu alanlarda vereceğini düşünüyor. Türkiye’de bu yıl yaşanan elektrik kesintisinin bu konuyla doğrudan ilgili olma ihtimali var, elimizde herhangi bir somut veri olmadığı için %100 siber saldırı ya da değil diyemiyoruz. Bence en büyük sorun da bu, yani sorunun neden kaynaklandığını en yetkili kişiler dahil kimsenin bilemiyor olması. Enerji piyasası için yeni yasal yükümlülükler çıkartılarak bilgi güvenliği belirli seviyelere çekilmeye çalışılıyor ama bu uzun bir süreç. Akıllı şebekeler dünyanın en güvensiz sistemleridir, çünkü o sistemler hep kapalı devre çalışacak şekilde tasarlandığından fiziksel güvenliğe önem verilmiş, IT güvenliği hep kapsam dışı bırakılmıştır.

Kurumlar buluta güvenlik perspektifinden ne kadar hazır?​

Türkiye’de firmalara bulut kelimelerini kullandığınızda hep bir adım geri gittiklerine şahit oluyoruz. Bu konuda da haksız değiller. Bulut dediğinizde aslında verilerinizin ikincil hatta üçüncül sahipliği ortaya çıkıyor. Bu da mahremiyete, gizliliğe önem verenler için dikkate alınacak bir durum. Şahsi fikrim bulut ortamlarının henüz güvenlik açısından yeterli olgunluğa sahip olmamalarıdır. Bu konuda her gün yeni güvenlik firmaları çıkıyor, kısa sürede bulut ortamları da kendi iç ortamlarımız kadar güvenli hale gelecektir. Buluttan kaçış yok, bir şekilde herkes ilerde bulut kullanacak.

Büyük şirketler saldırılar karşısında daha iyi önlemler alabiliyorlar, KOBİ’ler açısından durum nedir?

Güvenlik demek maliyet demek. Burada bulut çözümleri devreye giriyor. Türkiye’de bu konuda çok fazla fırsat var. Düşünün aynı güvenlik sistemi lisansını 100 KOBİ’nin alması ile bir firmanın alıp 100 KOBİ’ye 1/10 maliyetine sunması maliyet açısından ne kadar değerli. KOBİ’ler için ekmek aslanın ağzında olduğu için gider gösterilecek her kalem on kere düşünülür. Güvenlik de bunlardan birisi. Biraz da tehdit algısı ile ilgili bir durum. Mesela Cryptolocker saldırısının son iki yıldaki zararını ölçümleme amaçlı yaptığımız çalışmada %65 oranında KOBİ’lerin bundan etkilendiğini tespit ettik. Bunu yaşayan bir KOBİ güvenliğe artık önem veriyor ve çevresini de uyarıyor. Burada yine başa dönüyoruz, bizim güvenlik anlayışımız musibet tabanlı yani başa bela gelmeyince güvenlik yok.

Nesnelerin internetinde güvenlik nasıl gelişecek, sürücülü otomobiller bile hacklenirken, sürücüsüz otomobiller ne olur, geleceğin büyük güvenlik tehditleri nelerdir?

IOT kavramı bu kadar hayatımıza girmişken söyleyeceğimiz tek şey ilerde dijital kıyamete bu cihazların sebep olacağıdır.

Siber güvenlik alanında ülkemizde devlet kurumlarında ve özel kurumlarda istihdam edilmek üzere yeterli miktarda kalifiye eleman var mı? Bu konuda yurtdışındaki rakamlar ile Türkiye’deki rakamları karşılaştırır mısınız? Yeterli değilse ne yapılmalı, sorunun kaynağını ne olarak görüyorsunuz?

Dünyada olmadığı gibi Türkiye’de de yeterli derecede yetişmiş insan kaynağı yok, daha da kötüsü Türkiye’de bu konuda insan yetişmesi için kurumsal bir politika da yok. Son zamanlarda üniversitelerde yüksek lisans programları ile bir nebze adım atılmış olsa da dünyada ilkokul, lise seviyesinde yapılan bu işlere bizde en az üniversite seviyesinde başlanılmalı.

Bilgi Güvenliği Akademisi olarak bu konuda somut eleştiri ve önerilerimizin yanında elimizi taşın altına sokarak her yıl sektöre 50-60 kişinin adım atabilmesi amacıyla gönüllü çalışmalar yapmaktayız. Siber Güvenlik Kampı, Bilişim Güvenliği Staj Okulu ve Siber Güvenlik Sertifika Programı bunlardan birkaçıdır.