Günümüzde siber güvenlik riskleri ve buna bağlı gelişen güvenlik anlayışı karmaşık ve iç içe geçmiş bir yapıya ulaştı. Artık, risklerin sadece özel sektörü ya da devlet kurumlarını kapsadığını düşünmememiz gerekiyor. Gelişen tehditler, küresel anlamda devlet destekli ya da devletlerin bir şekilde desteğini almış yapılar tarafından da organize edilebildiği için dünya genelinde hem devletler hem de özel sektör zaman zaman büyük riskler ile karşılaşabiliyor. Risklerin sadece kendilerine yakın alanlardan kaynaklanabileceğini düşünen kamu ve özel sektör kurumlarının aldıkları önlemler ise ne yazık ki yetersiz kalıyor.
Hükümetler, kolluk kuvvetleri ve istihbarat servisleri aracılığı ile potansiyel siber tehditlere karşı sürekli tetikteler ve güvenliği sağlamak için ellerinden geleni yapıyorlar. Bu birimler, belki de yapıları gereği, tehditleri ticari riskten ziyade ulusal güvenlik açısından görme eğilimindeler. Konu siber güvenlik olduğunda ise bürokrasi, jeopolitik durum ve ihaleler ile uğraşmak zorunda kalıyorlar.
Şirketler ise kendi yapılarına ve sektöre özgü risk bilgilerine sahipler ve devletler ile karşılaştırıldığında genellikle siber güvenlik ürünlerine ve hizmetlerine daha kolay ulaşıyorlar. Buna karşın özel sektör, makro ekonomik anlamda bir bakış açısına sahip değiller ve küresel düzeyde devlet destekli saldırılara maruz kaldıklarında elleri kolları bağlanıyor.
Hem devlet kurumlarının hem de özel sektör kuruluşlarının ihtiyacı olan şey ise kaynaklarını ortak bir havuzda birleştirmek ve birbirlerine fayda sağlamak olmalıdır.
Ulusal güvenlikten endişeleniyorsak bunun sadece kamu kurumlarını ilgilendirdiğini düşünmek naiflik olur. Örneğin milyonlarca hastanın verilerine sahip özel bir hastanenin, tüm ülkeye yedek parça sağlayan bir otomotiv fabrikasının veya bir bölgeye elektrik sağlayan özel bir santralin fidye saldırısına uğraması da en az bir bakanlığın sunucularının saldırıya uğraması ve verilerinin şifrelenmesi kadar endişe vericidir.
Diğer yandan yazıcılarda kullanılacak kağıtlar için ihale açmak zorunda olan kamu kurumlarının siber güvenlik ürün ve hizmetleri için de aynı şartlarda ihale açmak veya yıllık doğrudan satın alma bütçesine sığacak fiyattaki ürünü almaya yönelmek zorunda olması da devlet açısından doğru bir yaklaşım olmasa gerek. Ülkemiz de içinde olmak üzere ne yazık ki dünyada bir çok ülkede aynı sorunlar söz konusu. Kamu kurumlarından birinde çalışmakta olan bir IT müdürü, kurumunu en iyi koruyacağına inandığı ürün veya hizmeti satın almak için konu ile ilgisi ve belki de bilgisi olmayan birçok bürokrata dert anlatmak ve ihale süreçleri ile uğraşmak zorunda kalmamak için satın alma bütçesine uygun ürünü tercih etmek zorunda kalabiliyor. Bu da en iyi ihtimalle ortalama veya kötü bir ürüne veya hizmete razı olmak anlamına gelebiliyor.
Her iki tarafa da fayda sağlayacak bazı öneriler;
Tehdit istihbaratı paylaşımı yapılmalı
Hükümetler ve şirketler farklı bilgi, iç görü ve istihbarat kaynaklarına sahip. Bunları belirli aralıklarla yapılan toplantılarla veya ortak kullanılan platformlarda paylaşmak her iki tarafında siber tehditleri daha net ve güncel takip edebilmelerini sağlayacaktır.
Bu alanda bazı değerli girişimler zaten var, ancak görüyoruz ki bilgi paylaşımı henüz yeterince tutarlı veya zamanında değil. Şirketler gerektiğinde veri sağlıyor gibi görünüyorlar fakat hükümet kanadı genellikle paylaşıma pek yanaşmıyor. İstihbarat servisleri ellerindeki bilgiyi devlet sırrı kategorisinde değerlendirdikleri için potansiyel tehditleri açıklamak istemiyorlar. Bununla birlikte bazı şirketler ise, başlarına gelen siber olayları açıklamanın incelemelere veya cezalara neden olabileceğini düşünerek konuyu kapatma yoluna gidiyorlar.
Eğitim sisteminin günün şartlarına uygun olarak güncellenmeli
Dünyadaki hükümetler, şirketler ve diğer kurumlar, şu anda sahada çalışan yaklaşık 3 milyon kişi kadar daha siber güvenlik uzmanına ihtiyaç duyuyor. Ülkemizde siber güvenlik uzmanları genellikle üniversitelerin bilgisayar mühendisliği, elektrik/elektronik mühendisliği ve haberleşme mühendisliği bölümlerinden mezun olanlar arasından tercih ediliyor. Son yıllarda başta özel üniversiteler olmak üzere siber güvenliğe özel programların açıldığını görmek ümit verici. Fakat devlet üniversitelerinin de kısa zamanda bu bölümlere daha fazla yönelmeleri gerekiyor. Çalışan açığı olduğunu bildiğimiz bir alana yatırım yapmak binlerce atanamayan öğretmen veya ihtiyaç fazlası işletmeci yetiştirmekten daha faydalı olacaktır.
Olaylara müdahale yetenekleri geliştirilmeli
Şirket ağındaki tüm olayları izlemek “büyük veri” işidir. Ağdaki tüm uç noktalarda, sunucularda, yönlendiricilerde ve diğer altyapılarda gerçekleşen oturum açmalardan indirmelere, komut dosyalarına, güncellemelere, yapılandırma değişikliklerine kadar her olay kısa süre içerisinde içinden çıkılamayacak kadar çok olay günlükleri oluşturmaya başlar.
Siber güvenlik analisti, sistemlerde gerçekleşen bağımsız görünümlü olayların arkasında daha sinsi bir plan keşfederse bilgisayar güvenlik olayı müdahale ekibini (CSIRT) uyaracaktır. İyi düşünülmüş bir olay müdahale planıyla, iyi eğitimli bir CSIRT sayesinden tehditlerin üstesinden gelinebilir.
Güvenliği baştan ve doğru tasarlamak
Başarılı olan siber saldırıların %95’i kimlik avı kampanyalarına aldanan ve zararlı yazılım indiren çalışanlardan kaynaklanıyor. Bu güvenlik açığını ortadan kaldıramayız, ancak teknolojik cihazları satın alırken güvenliği ön planda tutanları tercih ederek, kullanıcıların kendi dillerinde ve basitçe anlayabilecekleri uyarılar veren yazılımları kullanarak başlayabiliriz.
Siber güvenlik stratejinizi geliştirmenin önemli bir adımı da kurum ağını ve dijital ortamını tam olarak anlamaktır:
- Kurumunuzun dijital ağına erişimi olan tüm cihazları belirleyin. Mobil cihazlar (kurumsal olarak verilen veya çalışanlara ait) uç nokta güvenliğinize dahil olmayabilir veya kullanıcı tarafından çıkarılabilir. Ayrıca, planlarda IoT cihazları da hesaba katılmalıdır.
- En önemli dijital varlıklarınızın ve veri tabanlarınızın nerede olduğunu, ne içerdiğini ve bunlara kimin erişip erişmemesi gerektiğini belirleyin.
- Siber güvenlik planının ve çözümlerin mevcut halini belirleyin, nerede geliştirilmesi gerektiğini tespit edin ve güvenlik açıklarını sürekli izleyin.
- Sektörünüz göz önüne alındığında, işletmenizin karşılaşacağı en olası tehditleri bilin ve kendinizi sürekli güncelleyin.