Artan risklere karşı hazırlıklı olma zamanı
11-13 Ekim tarihleri arasında Londra’da düzenlenen RSA Conference Europe 2011, gelişen küresel bilişim risklerini detaylarıyla masaya yatırırken, etkinlik boyunca düzenlenen oturumlarda bu konuda alınabilecek önlemler de değerlendirildi.
RSA Baş Teknolojisti Sam Curry’e göre, mobilite giderek ön plana çıkıyor. Her türlü eğilimin sektörü bazen yavaş bazen de tsunami misali sert dalgalarla etkilediğini belirten Curry, “En hızlı ve en büyük etkiyi yapanlar ise köklü olanlar. Yani eğilimin ardından ortaya çıkan ortam, öncekinden çok farklı oluyor. İşte mobil de bu yapıda, aynı bir tsunami gibi” yorumunu yaptı. Curry, mobil cihazların karmaşasını şu sözlerle tanımladı:
“Ortalama bir PC, en fazla 2-3 yolla bağlantı kurar. Bu yıllardır böyle ve bunun için güvenlik altyapılarını oluşturmak artık kolay. Çünkü bağlantılı riskleri biliyor, bunları kontrol edebiliyoruz. Ama cep telefonunuzu düşünün, içinde Wi-Fi, NFC, RFID ve iki işlemci, IP ve Bluetooth var. Bu, kişisel bazda çok güçlü bir yapı. Bilgisayarınız ya evinizde ya ofisinizdedir, ama cep telefonu sizinle her yere gider, size bir PC’den daha yakındır ve onun kadar güçlüdür. İşte bu yüzden güvenlik modellerinin hepsi de çökmüş durumda.”
Riskleri bilmek
gerek
Curry’e göre, her biri kendi özelinde birer güvenlik sorunu olan, hepsi için tam bir çözüm de bulunmayan dört konu var: Birincisi cihaz güvenliği. Curry’ye göre bir Android telefonu haklamak hiç de zor değil. İkincisi, ağ. Birçok telefonun en az 2 işlemcisi olduğunu söyleyen Curry, bunlardan birini haklayıp, mobil cihazı odadan ses veren bir mikrofona dönüştürmenin zor olmadığını belirtti. Üçüncü konu, kişisel ve kurumsal veri. Sahip olunan mobil cihazla şirket verilerine erişim, bunların gönderimi, kişisel bazda Facebook’a giriş riskli adımlar. Dördüncü sırada ise işlemler geliyor ve bankacılık işlemi, veri paylaşımı gibi adımları içeriyor.
Curry’e göre, tüm bu karamsar tablo karşısında çözümler olacak, olması gerek. Curry, şöyle devam etti:
Yeni teknikler şart
“Tehditleri bilmek, önemli bir ipucu demek. Tehditlerin iki türü var: Finansal ve finansal olmayanlar. Finansal olmayanlar; ülkeleri, teröristleri ve ‘hactivistleri’ kapsıyor. Finansal tehditler kapsamında ise hırsızlar ve suçlular var. Gerçek kötüler bunlar ve büyük bir sektör yarattı. ‘İşlem bazında kâr’ gibi bir yapı kurgulandı. Tek hedefleri para. Bu zamanda banka mı soyarsınız, phising mi yaparsınız? Bu hedeften ne kadar para elde edilebileceği, parayı elde etme mekanizmasını ne kadar kolay ve ne kadar az maliyetle harekete geçirebilecekleri önemli onlar için. PC’ler sayıca daha çok olduğu için onlara yönelik saldırılar da daha çok gibi görünüyor. Bu nedenle cihazı değil, ortamı güvenli kılabilmeniz gerek. Mobil giderek büyüyen bir yapı ve kişiye ulaşmada en iyi araç. Bu teknik için herkes hücum ediyor, çünkü ortada savunma yok. Bu nedenle mobil, saldırı tekniklerinde ön planda.”
Curry’e göre, bazı büyük şirketler tüm bu risklerin farkında. Ama küçük ölçekliler hazırlıksız görünüyor. Aynı teknolojinin, farklı ellerde, farklı amaçlara hizmet verebileceğini hatırlatan Curry, “Ama biz bu adamları durduracak teknikler geliştirirsek, durum farklı olabilir” dedi.
Şirket kültürü sil baştan
Sam Curry’e göre, dev şirketleri vuran son haklamalar ışığında, kurumsal BT ve risk kültürünün değişmesinin gerekliliği de ortaya çıktı.
“Bu değişim hem çalışanlar hem de yöneticiler için hayata geçmeli. Çalışanlar, kurumsal BT yapısının kontrolünde olmayan kendi cihazlarını kullanmak istiyor. O yüzden BT’yi bir bütün olarak yeniden ele almalı, bazı yönetimsel kültürleri yeniden düşünmelisiniz. Genel bir yasak koymak, Facebook erişimini veya mobil cihazları şirket içinde yasaklamak çözüm olmaz, insanlar bunların etrafından dolaşır, çözümünü bulur. Orduda; ‘Uygulanmayacağını bildiğin emri verme’ denir ve bu, şirketler için de geçerli. Bu nedenle takip edilecek kuralların neler olacağı konusunda biraz kafa yormak gerek. Sayfa sayfa kurallara kimse uymaz. Bir şeyler güvenlik yüzünden mi, yoksa insanlar işlerine daha çok ilgi göstersin diye mi yasaklanıyor, bunun da belli olması gerek. Araçlarla bağlantılı güvenlik sorunlarını çözebilirsiniz, ama herşeyin çıkış noktası şirket kültürü. Ayrıca nesil sıkıntıları da var. Y ve Z neslinin elinde çok fazla araç var ve onlara, bunları kullanmamalarını söylemek kolay değil. 60 ve 70’li yıllarda masalarda telefon olup olmayacağı tartışılırdı, savunma ve benzeri sektörlerdeki şirketlerde ofiste cep telefonu yasaktı, bunlar güvenlik riski olarak algılanırdı. Ama bugün tam anlamıyla ‘bağlı’ insanların bundan vazgeçmesini bekleyemezsiniz.”