“Güvenlikte minimum gereklilikler noktasına henüz ulaşamadık”

Türkiye’de güvenlikte minimum gereklilikler noktasına henüz ulaşılamadı.Bilişim güvenliğinde yerli üretim yapan en eski şirketlerden birisi olan Labris’in Araştırma Planlama Müdürü ve Kurucu Ortağı Oğuz Yılmaz ile e-Devlet süreçlerinde güvenlik yaklaşımlarını ve ortak sertifikasyon sürecini değerlendirdik.
Ağ güvenliği alanında çok önemli aşama kaydedildiğini belirtmek gerekli diyen Yılmaz ancak Türkiye’de minimum gereklilikler noktasına henüz erişilemediğini ifade etti.

“Güvenlikte sabit bir hedef verilemez”
Minimum noktanın da sabit olmayacağını ve devamlı ileri kayacağına dikkat çeken Yılmaz, temel güvenlik gereksinimleri ile ilgili şunları söyledi: “Bilişim güvenliği, bilişim bilimi içerisinde en aktif alandır, bu nedenle orta-uzun vadeli planların, ileri görüşlü hazırlanması gereklidir. Gereksinimleri belirlerken, sadece ağ bileşenleri, donanım ve yazılımlar olarak algılamamak, personel ve süreçleri de ele almak gerekiyor. Hedeflenen yapının, kurumun sahip olduğu bilginin gerektirdiği seviyede güvenli olması gereklidir. Dikkat ederseniz sabit bir hedefi burada vermiyorum, veren de hata yapıyordur. Güvenlik hedefleri, korunacak materyali temel almadan, bağımsız bir anlayışla belirlenemez. Çünkü tehdidin niteliğini, korunan şey belirler. Alan terminolojimizde söylemek gerekirse, Yüksek Seviye Güvenlik, kurumda kabul edilebilecek optimum risk seviyesi ile belirlenir.”
Tehdidi sadece dışarıdan algılardurumda olunmaması gerektiğini vurgulayan Yılmaz, katı bir politika uygulanmamasından dolayı, içerideki zayıflıkların dış tehditlerden çok daha fazla zarar verebileceğini aktardı. Yılmaz, “Bu noktada günümüz tehditlerini düşündüğümüzde temel ağ gereksinimleri temelden detaya doğru şu şekilde oluşmaktadır. Güvenlik duvarı, URL/içerik filtreleme, antivirüs/antispam, anonim kullanıcıların kimliklendirilmesi, ağ kayıtlarının kanuni şekilde tutulması, merkezi yetkilendirme ve politika uygulama (AD ve benzeri), uzak erişimlerde VPN, saldırı tespit ve önleme” şeklinde sözlerini devam ettirdi.

En çok saldırı DOS ve DDoS türünden
Günümüzde DOS, DDoS ve benzeri saldırı tipleriyle hizmetin aksatılmasına yönelik saldırıların yoğun olarak yaşandığını hatırlatan Yılmaz, günümüz saldırı türleri ve açıkları hakkında ise şu bilgileri verdi: “Veri sahibinin belli olmaması ve verinin farklı devlet kurumlarında farklı güvenlik anlayışları ya da altyapı-bilgi yetersizlikleri nedeniyle uygun güvenlikte sunulmaması ve sonuçta açık edilmesi sıkça yaşanan bir durumdur. Uygulama/Yazılım geliştirme seviyesinde açıklar nedeniyle, veri gizliliğinin ve bütünlüğünün korunamaması durumları oluşmaktadır. İnternet erişim politikası zayıflığından kaynaklı olarak, tüm zamanların klasiği virüs/worm/trojan/malware dörtlüsünden kaynaklı ağ aksamaları, iş ve veri kayıpları bilgiişlem çalışanları için önemli bir zaman kaybına neden olmaktadır. Uygun ürün ve uygun politikayı disiplinli bir şekilde kullandığınızda bu tehditlerden önemli ölçüde korunabiliriz.”
İnternet saldırılarının en sorunlu yanının bu saldırıların önlenmesi için gerekli olan uluslararası işbirliğinin sağlanmasında yaşanan güçlük olduğunu kaydeden Yılmaz, “Türk Telekom ve diğer operatörlerin üst operatörler ile hızlı çalışan kanallar oluşturmaları elbette bir çözüm olur. Ancak bugün Türkiye içindeki ISS’ler ve müşterileri arasında ilişkilerin zayıflığından söz ederken bunun sağlanması zor görünüyor. Kendi yöntemlerimizle başbaşayız. Üst katmanlara çıkmadan daha Labris Güvenlik Duvarı seviyesinde DDoS özel uyguladığımız yöntemlerle önemli ölçüde başarı elde ediyoruz” dedi.
Yılmaz, terör, savaş ve düşmanlık siber dünyada da kendilerine yer bularak, insanları, kurumları ve ülkeleri etkilemeye ve risk oluşturmaya devam ettiğini söyledi ve sözlerini şu şekilde sürdürdü:  “Siber ortamın ülke savunması açısından sadece farklı bir ortam, ama önemli bir bileşeni, en az Kara, Hava ve Deniz savunması kadar. Bir de güvenlik olaylarını kesintiye yol açanlar ve bilgi hırsızlığıyla sonlananlar olarak ikiye ayırmak lazım. Normalde ele geçirilemeyecek bilgiler, yine siber ortam üzerinden edinilebiliyor olabilir. Bunları da değerlendirmek gerekir.”