Migros Ticaret A.Ş. Network, sistem ve güvenlik altyapısı direktörü Lütfi Karagöz’e son siber güvenlik gelişmelerini sorduk;
Son dDOS saldırıları konusunda neler düşünüyorsunuz? Yani yeterince hazırlıklı mıydık? Saldırı iyi karşılanabildi mi? Hatalar nelerdi? İleriye yönelik önlemler neler olmalı? USOM-SOME çalışmaları konusunda neler düşünüyorsunuz? Türkiye’deki düzenlemelerde eksik var mıdır? Varsa nedir? Ayrıca İnternet Servis sağlayıcılar ya da bulut sağlayıcılarla ilişkilerinizde gördüğünüz sorunlar nelerdir? (örnegin tüm bankaların tek bir ddos filtresinden geçmesinin son saldırıda yarattığı sorunlar gibi)
Türkiye`de başta USOM olmak üzere Servis Sağlayıcıların ve firmaların bu tarz saldırılara hazırlıklı olmadığı yeterince açık … Oysaki saldırı komplike bir saldırı değildi. Net tanımlanabilen ve alınacak önlemi de belirli olan bir atak tipiydi. Gerek vatandaşları gerekse firmaları zor durumda kalmalarına neden olan, çeşitli maddi ve manevi zararlar yaratan bu saldırı haftasında bazı yaşanan olaylara bakacak olursak;
- USOM`un saldırıların arttığı gece, yurtdışından DNS erişimlerini engellemesi ve takribi 4 saat sonra tekrar erişimlere izin vermesi
- Türkiye`nin en büyük Servis Sağlayıcısının omurgasında yaşanan darboğazlar nedeniyle hizmet barındırma hizmeti verdiği müşteri web sitelerine erişimlerin sağlanamaması ve birtakım erişim hizmeti aldığı müşterilerin ise bazı hizmetleri verememeleri,
- E-kamu hizmetlerinde aksama ( noter, eczane, sgk gibi …)
- Direk saldırı alan finans kurumlarının mobil ve internet sitelerinin erişilememesi, ve hatta çok küçük büyüklükteki POS işlemlerinde provizyon dahi alınamaması
Bu tespitler neticesinde çözümlere odaklanacak olursak:
- USOM yapılanmasının Kamu ve Siyasi ağırlıklı değil Güvenlik ve Teknolojik Altyapı ile uğraşan firma temsilcileri ve en önemlisi firmaların güvenlik ile uğraşan yetkin kişilerinin yer alacağı şekilde adil yapılandırılması gereklidir. Bu tarz felaket durumlarında Finans, Perakende, Sağlık, İthalat gibi sektörlerinin etki alanları ve teknolojik kabiliyetleri çok farklıdır. Dolayısıyla sektörel farklılıklardan dolayı, konseyde çeşitlilik önemlidir. Felaket durumlarında konseyin çoğunluğu kararı ile hareket edilecek ve hızlı karar alınabilinecek iletişim mekanizmaları kurulmalıdır.
- Saldırıların ve yaşanan zararın boyutunu tespit edebilecek kontrol ve izleme sistemlerinin kurulması önemli bir husustur. Saldırının nerden, nasıl ve ne şekilde yapıldığını bilmeden engellemek mümkün değildir.
- Internet üzerinden verilen hizmetlerin sürekliliği açısından, kurumların internet erişimlerinde aynı anda birden fazla servis sağlayıcıdan hizmet almaları değerlendirilmesi gereken bir husustur. Genelde tek bir Servis Sağlayıcıdan hizmet alan Kamu kurumları içinde bu gereklidir.
- Gerek özel sektörde gerekse kamuda Kritik hizmetler için bu tarz saldırılardan etkilenmeyecek şekilde izole iletişim altyapıları kurulmalıdır.
- Trafiğin Bulut üzerindeki sistemlerde bloklanması neticesinde saldırılar durdurulmuştur. Ama halen ülkemizde bulut sistemlerin kullanılabilmesine yönelik regülasyonlar yetersizdir. Gelişmiş ülkelerdeki regülasyonlar etraflıca ele alınmalıdır.
Üretici firmalarla yaşadığınız sorunlar nelerdir? Bu konuda nelerin eksik olduğunu düşünüyorsunuz? Son dönemde ortaya çıkan “arka kapı” açıklarını nasıl değerlendiriyorsunuz?
Üretici firmalar müşteri perspektifinden ihtiyaçları ve sıkıntıları belirlemekte maalesef yeterli değiller. Sadece ürün satma hedefine odaklanmış durumdalar … Çözümden ziyade ürün odaklılar… Bu bakış açılarını değiştirmeleri gereklidir. Güvenlik çözümlerini sadece korkutarak satma stratejisi yerine firmaya yaratacağı değere odaklanmaları gereklidir. Gerek güvenlik gerekse teknolojik ürünlerde çıkan zaafiyetler ise ürün/çözümlerdeki entegrasyonların artmasıyla doğru orantılı artacaktır. Mutlaka ürünlerde yaşanan zaafiyetler ve güncelleme istatistikleri gözönüne alınarak tercih yapılmalıdır.
Güvenlik elemanı bulmakta zorluk çekiyor musunuz? Neden? Bu konuda sizce eğitim kurumlarının ya da devletin yapması gereken nedir?
Sigara ve alkol ile yapılan mücadeleye benzer şekilde “E-Güvenlik” ile ilgili de etkin çalışmalar yapılması ve bunu devletin desteklemesi önemlidir. Bu tarz etkinlikler güvenlik farkındalığını arttıracağı gibi sektörü de cazip hale getirecektir. Başlangıçta orta ölçekli firmalarda Bilgi İşlem yetkilileri çalıştırılması zorunlu hale getirilmeli, kurumsal ve büyük firmalarda ise Bilgi İşlem yapılarının büyümesi desteklenmelidir. Bayanların çok az olduğu BT sektöründe bayanların sektöre çekilmesine yönelik programlar hazırlanmalıdır. BT ile alakalı eğitimlerin belli oranlarda desteklenmesi vergisinin azaltılması gibi …
Şirketler açısından en sorunlu alan nedir? Mesela mobil çalışanlar sorununu çözebiliyor musunuz?
- IoT ile giderek büyüyen atak alanı
- Kalifiye güvenlik personeli bulmak
- Mobil erişimlerde veri güvenliğinin sağlanması
- Artarak büyüyen bulut sistemlerinde güvenliğin sağlanması
- 3rd parti firmaların kurumsal kaynaklara güvenli erişimi
Yukarıdaki konular alınması gereken önlemleri belirleyicidir. Fakat önlem aldıktan sonra ise bu sistemlerin takibi ve sürekliliği önemlidir. Firmalardaki en büyük eksiklik birçok güvenlik çözümü kullanmalarına ragmen başlarına gelen bir sorunu önceden tespit etme (proaktif müdahale) konusunda son derece zayıf olmaları ve güvenlik mimarisini 7×24 izleyememeleri … Mesai saatleri dışında güvenlik zaafiyetlerinin takip edilememesi …
Denetleyici firma ihtiyacı var mı? Bu firma nasıl olmalı?
Türkiye`de yetkin denetleyici firmanın az olması, yeterince uzman ve uluslarası iş yapan firmaların danışmanlık bedellerinin çok fazla olması en büyük sıkıntı …
Ulusal bir siber tatbikat yapılması konusunda ne düşünüyorsunuz? Yapılmalı mı?
Yapılacak tatbikatlarda mutlaka özel sektör de aktif mevzunun içinde olmalı …
ABD ve AB’de siber saldırıların açıklanması zorunluluğu kanun haline getirildi. Türkiye’de bu olmalı mı? Neden?
Kesinlikle … İnsanlar özel bilgilerini paylaştığı kurumlarda bu tarz bir durum hasıl olduğunda haberleri olmalı ki gerekli önlemi alabilsinler. Şeffaflık hem kaliteyi arttıracaktır hem de farkındalığı …
