Bireysel kullanıcıların bilinç eksikliği daha yoğun
Fortinet Ülke Müdürü Derya Aksoy’a göre, güvenlik teknolojilerinin gelişimi sonucu her güvenlik fonksiyonunu gerçekleştirmek için ayrı bir üreticiden çözüm alma metodu, bu sefer ortaya karmaşık bir topoloji, birbiriyle bütünleşik olmayan ve her biri ayrı üreticilere ait, her biri farklı bilgi, deneyim gerektiren birçok ürünün yönetimiyle beraber operasyonel problemler yaratıyor. Aksoy, “Bunun yerine konsolide güvenlik sistemlerinin tercih edilmesi hem daha etkin bir güvenlik sunarken, hem de yönetim, analiz ve sorun giderme işlevlerini oldukça kolaylaştırıyor. Kurumlar konsolidasyona yöneldikçe, ürünlerin özelliklerini anlama ve bunlardan faydalanabilme konusunda daha etkin olacaklar. Elbette işin uzmanı güvenlik konusunda deneyimli iş ortaklarından yardım, eğitim ve destek almak her zaman bu süreci kısaltacak ve kolaylaştıracaktır” diyor.
Bireysel ve kurumsal kullanıcıları karşılaştırdığında bireysel kullanıcıların bilinç eksikliğinin daha yoğun olarak görüldüğünü düşünen ABH Genel Müdürü Tayyar Bacak, özellikle internet servis sağlayıcıların hızla çoğalmasıyla neredeyse internet girmeyen ev kalmadığını, diğer yandan bilgisayarı internete bağlayıp Google’a girmekle işin bitmediğini, bilgisayarın düzenli olarak antivirüs taramalarının yapılması, spam, fishing gibi uygulamalara karşı korunma yazılımlarının kurulması ve sürekli güncellenmesi gerektiğini vurguladı. Bacak şunları kaydetti:
“Tamamen korunmasız bir bilgisayarın internete bağlanmasının ardından saldırılabilme süresi 17 dakika. Eğer ki internet bankacılığı veya çevrimiçi alışveriş siteleri de kullanılıyorsa, bireysel kullanıcıların dikkatli olmalarında son derece fayda var. Diğer yandan kurumsal kullanıcılar için yapılacaklar listesi biraz daha kısıtlı ama en ufak bir dikkatsizlikte karşılaşılacak zarar bireysel kullanıcılarla mukayese edilemez, şirketin başta itibarı olmak üzere pek çok maddi manevi zarara yol açması mümkün. Şirketlerde merkezi olarak bilişim departmanları tarafından yukarıda saydığımız önlemler alındığı için kurumsal son kullanıcıların virüs yazılımını güncellemek ya da spamle savaştan söz etmek mümkün değil. Kurumsal kullanıcıların daha farklı güvenlik açıklarıyla baş etmeleri ve bu konuda kendilerini bilinçlendirmeleri daha da önemlisi kurumun çalışanlarını bilinçlendirmesi gerekiyor. Bu tehditlerin başında da sosyal mühendislik gelmekte. Örneğin TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü yaklaşık 1,5 yıldır kamu kurumlarına sosyal mühendislik saldırıları gerçekleştirmekte. Bu kapsamda 48 kullanıcı ile yapılan telefon görüşmesinin ardından ve 30’una ait şifre elde edildi. Aslında burada rakamsal oranlara bakmak pek de doğru olmayabilir. Çünkü siz saldırgan olarak kurumdan sadece bir kişinin bile şifresini ele geçirseniz, bu şifreyle pek çok bilgiye ulaşabilmeniz mümkün olur. ”
“Nereye gittiğini bilmeyenin yolu olmaz” deyişini hatırlatan Elmer Yazılım Satış Müdürü Ali Yakup Durşen, politikalar safhasında yapılan yanlışlıkların uygulama safhasında ortaya çıktığı görüşünde. Durşen, şunları söylüyor: “Ürün/çözüm esaslı günlük davranış biçimleri zaman içinde eksiklikleri ile pratikte karşımıza çıkıyorlar. Beklentilerin doğru deklare edilmemiş olması, yanlış ürün seçimleri, ürünün amaca uygun kullanımında ki eksiklikler her gün karşılaştığımız sorunlar. Dünyanın hiçbir yerinde, bizdeki kadar, hele bir alalım deneyelim diye ürün alımına gidilmiyor. Bütün dünyada alıcı davranışı, kendi sorunlarına çözüm getiren ürünün araştırılması, denenmesi ve alım kararının verilmesi şeklinde olurken bizde genellikle eğilimlere bağlı, aynı sektördeki rakibin seçimini taklit etmeğe dayalı, sektörde bu çok kullanılıyor dezenformasyonuna tabi alım süreçleri yürütülüyor. Böylesi süreçler sonunda biz çok memnunuz diyen bu kadar kurum olması bile bir şans.”
Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre, güvenlik yazılımı ve donanımı kullanımında yapılan en büyük sorunlar, pek çok cihazın ve yazılımın varsayılan ayarlarıyla geldiği gibi bırakılması, yanlış konfigüre edilmesi ve kullananlar tarafından yeterince bilinmemesi. Akkoyunlu, “Eğer bu yanlışlar yapılıyorsa, güvenlik sistemi ne olursa olsun istenen güvenlik seviyesi sağlanamayacaktır. Bu tür durumların önüne geçebilmek için öncelikle bu tür cihazları kuran ve kullanan personelin yeterli ve sağlam bir temel ağ ve güvenlik bilgisine sahip olması gerekli. Ayrıca kullanılan güvenlik donanımları ve yazılımları, tüm özellikleri inceledikten sonra şirket gereksinimlerine göre, özelleştirilebilmeli ve buna göre konfigüre edilebilmeli” dedi.
“E-imzanın tüm özellikleri ile kullanıldığını söylemek çok olası değil”
E-GÜVEN Genel Müdürü Can Orhun’a göre, elektronik imzanın tüm özellikleri ile kullanıldığını söylemek çok olası değil. Orhun, “Kamu uygulamalarından bahsettiğimiz zaman elektronik imza kullanımı genelde uygulama zorunluluğu ile başlarken Adalet Bakanlığı’nın UYAP gibi projelerinde bu süreç daha çok kullanıcının hayatını kolaylaştırması açısından önem kazanıyor. Ancak ağırlıklı olarak mobil elektronik imzanın kullanımının yaygın olduğu internet bankacılığı uygulamalarında, elektronik imza yasal bağlayıcılık özelliğinin yanında yüksek güvenlik özellikleri nedeniyle de kullanılıyor. Aslına bakılırsa, elektronik imza kullanımı bireylerin talebinden çok hizmet ve uygulama sağlayıcıların sağladığı olanaklar çerçevesinde yaygınlık kazanıyor. Bu açıdan elektronik imza kullanımının yaygınlaşması için bireylerden çok, bireylere hizmet veren kurumların elektronik imza içeren yeni uygulamalara yer vermesi önem taşıyor. Bireylerde ise hâlâ bir çekingenlik olduğunu gözlemliyoruz. Örneğin kurumların iç uygulamalarında veya sözleşmelerin imzalanması gibi uygulamalarda da elektronik imza kullanımı mümkün ancak maalesef yeterince yaygın değil” şeklinde konuşuyor.
“Karar verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapılacağı”
Prolink Güvenlik Takım Lideri Cenk Hasırlıoğlu, bir ağın güvenliğinin sağlanması için öncelikle kurumun ihtiyaçlarının belirlenmesi ve ağdaki hangi alanların daha çok güvenliğinin sağlanılması gerektiğinin tespit edilmesi görüşünde. Ağ yöneticisi güvenlik duvarını seçmeden önce iç ağında bulunan alt ağları listelemeli, güvenlik matriksi oluşturarak hangi ağların hangi ağlara ve sunuculara ulaşacağını ve ne tür haklar tanınacağını belirlemeli. Buna göre bir alt ağı güvenlik duvarının bir bacağına alıp almamaya da karar verilebilmekte. Hasırlıoğlu, şunları kaydetti:
“Saldırı Tespit Sistemleri gibi çözümlerle ağ takip edilmeli ve ağın belirli noktalarından geçen tafik, trafiğin cinsi ve bağlantı sayısı ölçülmeli. Kurum böylece ağdaki veri akışı hakkında bilgi edinebilecek. Analiz süreci tabii ki burada özetlendiği kadar basit değil. Her türlü verinin analitik metotlarla incelenmesi ve irdelenmesi gerekmekte. Güvenliği sağlama konusunda yararlanılabilecek bir başka araç da şifreleme. Pek çok güvenlik duvarı üreticisi, şifreleme araçları ile çalışmayı desteklemekte. Yönlendirici üreticileri de bu konuda çalışmakta olup, şifrelenmiş bilgileri yönlendirebilen yönlendiriciler de üretilmiştir. Uygun bir güvenlik sistemi oluşturmak için, ağa ve iletilecek bilgilere ilişkin bazı unsurların göz önüne alınması gerekiyor. Karar verilmesi gereken konulardan ilki, şifreleme işleminin nerede yapılacağıdır. Bazı çözümler uygulama seviyesinde bu işi yapıyorken bazıları IP yığınında yapmakta. Uygulama seviyesinde yapılan şifrelemede ağ yöneticilerine şifrelemeyi istedikleri şeyleri seçme şansı da verilmekte.”
