RSA SecurID saldırısından alınacak dersler

Detaylarını biliyorsunuz; 826 sayılı BThaber’de okudunuz. Yüksek yetenekli bir hacker (veya bir grup hacker) önce EMC/RSA sunucularını ele geçirip, (büyük bir ihtimalle) SecurID seri numaralarını cihaz içindeki gizli anahtarlarla ilişkilendiren bilgileri (master tabloyu) ele geçirdi. Yine, büyük bir ihtimalle, aynı grup, Mayıs sonlarında ise sahtesi yapılmış (klonlanmış) SecurID cihazları ile Lockheed Martin sunucularına girdi ve buradan da birtakım değerli savunma teknolojilerine (belki) ulaştı.
BThaber gazetesindeki röportajda, güvenlik şirketlerinin böyle saldırı durumlarında, inkarcı olmak yerine açık olmalarının gerektiğini ve bu gerekliliğin (tokenleri kullanan) müşteri şirketlerin hızlı hareket ederek kendilerine korumaları için önemli olduğunu vurgulamaya çalıştım. Ancak, BThaber dışındaki Türkiye medyası, konuyu suskunlukla geçirdi. Gözlerimizi kaparsak daha güvenli olacağımızı düşünüyorsak, çok yanılıyoruz. Teşekkürler BThaber ve Handan Aybars!
Bana soranlara, bir an önce bu tokenleri emekli edin dedim. Bunda yalnız değildim. Yazılarını okuduğum başka güvenlik uzmanları, kendi müşterilerine veya elemanlarına (Lockheed Martin olayından hemen sonra) yeni cihazlar (bir kısmı RSA ve bir kısmı başka firmaların) vermeye başladılar.
Alınacak dersler var. Her şeyden önce, “benim cihazlarımı kullanın ve yüzde 100 güvenli olun” diyen satıcılar, kendilerini ve sizi kandırıyorlar. Bilgi güvenliği bir risk yönetim problemidir ve hep öyle kalacaktır. En güvenilen teknoloji bile bir gün çok zekice bir metotla güveninizi sarsabilir; risk yönetimine her zaman hazır olun. Son olarak da, sizin güvenliğinizi ikinci planda tutan şirketlerle çalışmayın, onların ürünlerini kullanmayın. Kendi ünlerini korumayı öncelikleri haline getirmiş güvenlik şirketlerinden uzak durun. Müşteri önce gelir!