Allianz Türkiye Bilgi Sistemleri Müdürü Cüneyt Yavuz: “UÇTAN UCA KRİTİK VERİLERİN GÜVENLİĞİ”

“Kritik verilerin ele geçirilmesi şirketler için zaman, para ve itibar kaybına neden olabilir. Kesintisiz hizmet verilebilmesi ve sürdürülebilirliğin devamı için kritik verilerin korunması tüm sektörlerde oldukça önemlidir. Günümüzde veriye internet üzerinden, her yerden erişebiliyoruz bu da beraberinde birçok riski de beraberinde getiriyor.Bu verilere erişim verinin 3 hali (kullanımdaki, saklanan, trafikteki) için değerlendirilmelidir. Bu kritik veri kişisel veri ise özellikle bizim sektörümüz olan sigortacılıkta ayrıcalıklı kişisel veri kapsamına giren sağlık verilerinin korunması çok daha önemli bir hale geliyor. Bilindiği gibi bu veriler Avrupa’da ve GPDR Türkiye’de KVKK kapsamında koruma altına alınmıştır.

• Kritik verilere erişebilen yetkililerin kontrolü, takibi ve de en önemli de saldırganlara karşı korunması konusundaki stratejiler tabii ki şirketler için önemli ve kritik konulardan biri. Bu konuda alınabilecek birçok aksiyon var;
– Kritik verilere erişim için rol tabanlı erişim yöntemi kullanılmalıdır. Ayrıca bu verilere erişim görevler ayrılığı kapsamında güvenlik ekipleri tarafından loglanmalıdır.
– Veri 3 durumunda da korunmalıdır. Saklanan veri şifrelenmiş olarak diskte saklanmalı ve private key’e sahip olmayan admin kullanıcısı için de erişilemez olmalıdır. Örneğin MSSQL veritabanı için TDE kullanılmalı ve master keyler işletim sistemi haricinde HSM gibi bir mekanizmada tutulmalıdır.

– Laptopların çalınması veya kaybolması riski için Bitlocker vb. şifreleme devreye alınmalıdır.
– Veri networkte transfer edilirken şifreli olarak gönderilmelidir. Örneğin transfer edilirken SSL vb. algoritmalarla şifrelenmelidir.
– Veri kullanılırken sadece ihtiyaç duyulan kısımları görüntülenebilmeli. Maskeleme vb. teknikler uygulanmalıdır.
– Verinin türüne bağlı olarak verilerin bütününün anlam taşıdığı süreçlerde, örneğin online seçim vb. ihtiyaçlarda homomorfik şifreleme algoritmalarıyla verinin matematiksel olarak saklandığı yerde dahi gizliliği korunabilir. Sonuçlar şifre çözme işlemi olmadan elde edilebilir.

Özetle kritik verilerin, verilere erişim yetkisi olan kişi veya kişiler tarafından da istismar edilmesi zorlaştırılmalıdır. Bunun için şirket verisinin şirkette kalmasının sağlanması adına DLP ürünleri kullanılabilir. Tabii, verinin saklandığı medyanın imha prosedürü ayrıca önemli bir konu.

Bu çözümler bulut üzerindeyse, teknoloji sunucu şirketler verinin güvenliğini ve admin tarafından erişilemediğini nasıl garanti ettiklerini bizlere anlatabilmeliler. Kullanılan şifreleme algoritmalarının şifreleme anahtar uzunluklarının günümüz güvenlik kriterlerine uyması kritik. Quantum bilgisayarlar çıktıktan sonra bizim şu anda güvenli olarak düşündüğümüz örneğin RSA algoritmasının güvenliği sıfıra inecek. Farklı bakış açıları ile değerlendirmek lazım.

Bulut çözümlerde visibility çok önemli. En çok yaşanan bulut güvenlik sıkıntıları konfigürasyon eksikliklerinden kaynaklanıyor. O yüzden bulutta neyimiz var, konfigürasyon doğru mu, kimler ne yetkiyle erişiyor, bunları bize sağlıyor olmaları gerekir.

Şirket içinde olan bir sistemi güvenlik yamaları dahil birçok alanda güncel tutuluyor ama bulutta sistemlerin güvenlik seviyesini bilmiyoruz. Bu nedenle CASB (Cloud access securty broker) çözümleri ile güvenliğin denetlenebilir olması bulut sistemleri için kritiktir. Bu bir DLP uygulaması ise workflow mekanizmaları oluşturulabilmeli, OCR teknolojileri içinde entegre edilebilmeli, esnek ve kullanıcı dostu olmalıdır.”