‘Siyah şapkalı saldırganlar gibi düşünmeli’
Siber güvenlik açısından sektörünü incelediğimizde, son zamanlarda tüm dünyayı etkisi altına alan WannaCry Petya gibi siber ataklar, birçok kurumsal firmanın ve kamu kuruluşunun bilişim altyapılarına ciddi zarar verdi, gizli bilgilerin sızdırılmasını sağladı, saldırganlar ciddi fidye paraları kazandı. Bildiğimiz gibi, bu ataklar hedef bilgisayardaki dosyaları özel bir kriptolama algoritması ile şifreleyen, daha sonra da mağdur kullanıcıdan, eğer dosyalarını geri almak istiyorsa, birkaç yüz dolar ödeme yapmasını isteyen bir fidye atağı (Ransomware) tipi.
“İşin kötü yanı, çoğu kurumda, “konvensiyonel” olarak tanımlayabileceğimiz güvenlik önlemleri ile siber ataklara karşı gerekli korunmanın sağlandığı düşünülmekte” diyen Forcepoint Türkiye Ülke Müdürü Levent Turan, şu bilgileri verdi: “Birçok kurum; bilgisayarlarına bir antivirus uygulaması kurup, bir de güvenlik duvarı aldığında, gerekli önlemi aldığını düşünüyor. Halbuki, konvensiyonel güvenlik araçları, üzerinde çalıştıkları sistemleri, imza tabanlı (signature based) dediğimiz, zafiyet ortaya çıkıp ilgili üretici tarafından tanımlandıktan sonra güvenlik ürününe gelen imzalanmış güncellemeler aracılığı ile korumaya çalışmakta.
Kurumlar, WannaCry, Petya gibi saldırılara maalesef hazırlıklı değil. Bu nedenle siber güvenlik konusunda her kurumun farklı ve kendi kurumuna özel savunma teknikleri geliştirmesi gerekiyor. Her kurum kendi ihtiyacına yönelik entegre güvenlik çözümlerini kullanmalı. Bir şirketin tüm verilerine erişebilecek mobil cihazların da koruma altına alınması gerekli.
Kurum bünyesinde bilgi varlıklarına yönelik risklerin sistematik olarak yönetilmesi, sistemlerin yasal çerçevedeki standartlarla dokümante edilmesi, belgelendirilmesi ve sürekli iyileştirilmesi bunlara uyun teknik yetkinlik geliştirici eğitimler kurgulanması ve tüm bu sistemleri bütünsel bir şekilde yöneterek sürdürülebilirliğin sağlanması büyük önem teşkil etmektedir. Siber atakları engellemek için güvenlik ekipleri kuran, firmalar ile yaptığımız görüşmelerde; hala tek bir konunun en önemli sorun olarak önde yer aldığını görmekteyiz. Kullanıcıların bilinçlendirilmesi ve bilgilendirilmesi en büyük risk kaynağı olarak öne çıkmakta. Bilgiye ulaşımın son derece kolaylaştığı ve her türlü mobil cihazdan da veriye ulaştığımız günümüz dünyasında, siber atakların nereden ve nasıl geleceğini öngörmek de imkansız. İlgili projeler yapan tüm müşterilerimize, tasarlayacakları teknoloji çözümlerinde öncelikle bu konuya dikkat etmelerini tavsiye ediyoruz.”
Bir kurumun siber saldırılardan korunmasını sağlamanın ilk yolu, öncelikle kurum içindeki sorumlu teknik birimlerin, saldırganlar ile aynı bilgi ve düşünce seviyesinde olmasının sağlanması. “Siyah şapkalı bir saldırgan” gibi düşünmeden, saldırganlara karşı önlem alınmasının imkansız olduğunu belirten Levent Turan, açıklamalarını şöyle sürdürdü:
“Sıfırıncı gün atağı dediğimiz, bu tip bir açığı kullanarak çalışan siber saldırıları ancak daha akıllı teknolojiler ile önlemek mümkün. Kötü amaçlı yazılımların davranış şekillerin analiz ve taklit ederek çalışan, bir sistemin normal davranışından daha farklı bir aktivite tespit ettiği anda, saldırı ihtimalini düşünerek engelleme yapan yeni nesil güvenlik ürünleri bu konuda kurumlara çözüm olabilir.”
