Bu risk dünyasında, seviyeli bir paranoya da şart

Bilişimdeki gelişim, güvenlik risklerini tetikliyor. Öyle ki, bir zamanlar ütopya gibi gözüken tehlikeler, artık gündelik hayatın parçası. EY Küresel Bilgi Güvenliği Raporu 2015 yılı analizlerine bakınca, sofistike ve karmaşık saldırılar, suç örgütlerinin bireysel bazda hamlelerinin süreceği aşikar. Hacktivistler kadar, kurumun kendi çalışanları, yani kurumun kendi içinden kaynaklanabilecek saldırılar da güç kazanıyor. İşte bu nedenle kapsamlı ve sürekli güncellenen bir güvenlik politikanız olması şart.

Ülkeler siber saldırı ve savunma tarafında çok ciddi çalışıyor. Bazı ülkelerin profilleri, savunmanın yanında saldırıyı da teşvik edecek durumda. Hatta basında bu haberler yer alıyor, bazı ülkeler bu konuda resmi açıklamalar yapabiliyor. Bu devleşen risk dünyasında şirketler de siber savunma yatırımı yapıyor, ama bunlar ‘pasif yatırımlar’ şeklinde. Yani öncelik ‘zamanında bir saldırıyı fark edeyim, bunun etkisini gidermeye çalışayım ve saldırı sonrası kendimi hızlı biçimde toparlayabileyim.’ Ama minimum zararla kurtulmak için bazı savunma yatırımları da yapmak gerek. Ülkelerden farklı olarak, şirketler bir saldırı ekibi kuramıyor. Çünkü bu, hukuki olarak gri bir bölge. EY Türkiye BT Risk ve Güvence Hizmetleri Ortağı Emre Beşli de, “Evet şirketler, hukuki gerekçeler ışığında saldırı yapmamalılar. Ama pasif defans anlayışından çıkıp, daha aktif defansa da geçtiler” diyerek, bunun en önemli değişiklik olduğuna da işaret etti. Yani 2016 ve sonrasında şirketlerin bilgi güvenliği ile ilgili yapacağı en önemli faaliyet pasif defanstan aktif defansa geçmeleri.
 
Bu iki savunma yapısı arasındaki temel farklar neler?
Aktif tehdit incelemesi ile nereden tehditler gelebileceği detaylı ele alınmalı. Bilgi güvenliği açıklarının, tespit edilen yeni tehditlerin veya yapılan haklama faaliyetleri ile ilgili güncel, anlık istihbarat toplanması şart. Sonuçta şirketlerin kendilerine yapılabilecek bir saldırıyı önceden öğrenebilmeleri ya da hangi tekniklerin kullanıldığına dair bazı bilgileri hızlı edinebilmeleri artık çok hayati. Keşif odaklı ‘tehditlere yönelik aktif istihbarat’ yapılmalı. Ama şirketlerin önemli bir bölümü de bu alana yatırım yapmadı.
 
Bu başlıkta yatırımın ana başlıkları nedir?
Piyasada bu tehditleri size önceden bildiren, istihbarat sağlayan bazı profesyonel şirketler var. Bu tarz bir dışkaynak hizmeti alınabilir. Çok yaygın değil, ama bu eğilim başladı ve önümüzdeki senelerde gelişimini göreceğiz. Tehdit istihbaratı sunan şirketlerle masaya oturup, bir sözleşme kapsamında hizmet alınabilecek. Bilgiyi aldıktan sonra, aktif defansın ikinci bacağı içerdeki savunma mekanizmalarını güçlendirmek.
 
Bu ikinci başlık neleri içeriyor?
Bir saldırı daha gerçekleşmeden, proaktif savunma mantığından ziyade, direkt önlemek mümkün. Ama bunu yapabilmek için önce istihbaratı doğru almanız lazım. Bu da sürekli çok güncel bir risk haritası tutmanız gerektiğini gösteriyor. Risklerinizi sürekli bilmelisiniz ve bunlar ışığında kendinizi, artı ve eksi yönlerinizi tanımanız, güncel risklere karşı kendinizi sürekli yenilemeniz şart. 2016 ve önümüzdeki yılların bilgi güvenliği yaklaşımları bu şekilde devam edecek. Eski pasif yaklaşım alt tarafta bir savunma mekanizması olarak yine duracak, ama bunun üzerine konulması gereken bir katman var.
 
Şirketlerde güvenliğe para harcama ilgisi ne seviyede?
Araştırmamızda da görülüyor: Yurtiçinde de yurtdışında da bilgi güvenliği yöneticileri, kendilerine ayrılan bütçeyi yetersiz buluyor. Burada çözüm, farkındalık noktası, yani yönetim kurullarının, üst yönetimin bu konuda farkındalığı. Bu konunun öneminin bütçeyi onaylayacak kişilerce idrak edilmesi gerek. Oysa C seviyesi yöneticiler ve yönetim kurulu için ya kendi başlarına bir sorun gelmesi ya da sektörde bir başka şirketin sıkıntı yaşaması lazım ki bu bütçe ayrılsın. Genel anlamda bilgi güvenliğinin önemine dair her sektörden ve her ölçekte şirketten örnekler var, günde sayısız saldırı oluyor ama bunlardan en medyatik olanları öne çıkıyor. Üst yönetim ve yönetim kurulunun önemli bir kısmı da riski tam olarak anlamıyor. Oysa önde gelen yabancı iş dergilerinde, bilgi güvenliği ile ilgili haberler artıyor. Yani iş dünyasında farkındalık yaratma çabası ve medyadan kurumsal yapıya giden bir mesaj var. Bilgi güvenliği ekonomisi üzerine içerikler ekonomi ve finans yayınlarında öne çıkıyor. ‘Görünmeyen değer’ olarak, yapılan yatırım karşılığında neler elde edildiğine de analistler eğiliyor. Yönetim kurulunda eksiği gidermek adına ‘Artık kurulumuza bu işlerden anlayan birini atayalım’ yöntemi etkili. Direkt yönetim kuruluna bağlı bağımsız bir danışman şeklinde de olabilir. Yani tepe yönetim yapısında teknoloji ve risklerden anlayabilecek, bütçe ve kararları buna göre yönlendirecek biri yönetim kurulunda konumlanabiliyor. Finansal hizmetler ve telekom gibi sektörlerde bu yapılanma önemli.  
 
Bunun ardından operasyon nasıl ilerleyecek? Bu ayrı bir birim mi olmalı?
Güvenlik, BT biriminin işi değildir aslında, ama güvenlik risklerinin önemli bir bölümü de hala BT'den kaynaklanıyor. Dijitalleşme, bağlantılı dünya, kullanıcı BT cihazları gibi başlıkların hepsi BT birimi odaklı. Bunlar aslında kurumun kendi problemi, ama bunun operasyonunda BT muhakkak var. Yani bu şirketin sorunu, ama bu sorunların önemli bir bölümünün çözülmesinde, operasyonel olarak doğru yönetiminde BT'nin payı olmak zorunda. Bir yanlış konusunda çalışanı uyarmak ise BT biriminin değil, C seviyesinde yetkililerin görevi olmalı. Bilgi güvenliği herkesin ciddiye alması gereken bir olgu. Bu güvenlik algısını şirket kültürünün parçası haline getirmek için bu sorumluluk yapısı şart.
 
Kurumları bekleyen ne gibi tuzaklar var?
Araştırmamızda ortaya çıktığı gibi, sosyal mühendislik ve ‘phising’, en büyük tehditler. İnsanlar e-posta ile çalışıyor ve başlığı çekici olan, tasarımsal olarak güzel bir e-posta alınca merakla bir yeri tıklıyor. Bankalar, büyük kurumlar, operatörler bu risk konusunda müşterilerine uyarı yapıyorlar. Ama yine de gazetelerde haberler okuyoruz. Şirket içinde ve kültürel meselelerle ilgili başka sorunlar da var. Bunu sahada gözlemliyoruz. Yıllık iznini kullanan bir personelin, diğer personele kendi şifresini vermesi, ‘ben yokken şu bilgiyi sen onaylarsın’ demesi gibi… Bu nedenle güvenlik algısı tabandan başlamalı. Teknik bilgi gerekmeden, sadece bazı temel unsurları bilerek ilerlemek mümkün.
 
Yani eğitim şart.
Evet. Kurumsalda C yönetim seviyesinde kurumsal güvenlik öncelikleri ve gereklilikleri içeren eğitim setinin tüm çalışanlar için hazırlanması, bunun düzenli aralıklarla güncellenerek yine eğitimlerle çalışanlara sunulması, bireysel farkındalığı geliştirip kurumsalı da geliştirmek için tüm birimlerinin BT birimi ile entegre çalışması gerek. Bu konuda, yani teoride varız. Ama misal kurum eğitim düzenler, çalışan gereken ilgiyi göstermez. Kurumlara bu eğitimi veriyor ve bakış açısını görüyorum. Bu eğitimlerin bireye dokunması için evlerde neler yapmaları gerektiğine de değiniyoruz. Zira güvenliğe bir bütün olarak bakmak lazım. Bir grup bu bilgileri ciddiye alıyor, ama bir grup aldırmıyor. Kültürel bakış açısı ve üst yönetimin sahiplenmesi bu nedenle önemli. Bir kriz politikanız olmalı, komplo teorilerini sürekli güncellemelisiniz. Yani bu, yaşayan bir süreç olmalı.
 
Aktif defansa ek olarak neler yapmalı? 
Bilgi güvenliği risklerinden etkilenmek kaçınılmaz. Bu noktada kriz yönetimini nasıl yapacaksınız, kendinizi nasıl düzelteceksiniz? Bu da önemli. İlk başlık aktif defans, ikincisi de süreklilik ve sürdürülebilirlik, eski duruma geri dönebilmek. Yani riski doğru yönetip, itibarı korumak. Bunun bir parçası olarak siber güvenlik sigortaları ortaya çıkıyor ve örnekleri yurtdışında var.
 
Bu nasıl bir sigorta yapısı?
Sigorta çok kompleks bir konu ve detay hesap noktaları içeriyor. Bilgi güvenliği konusunda bunu yapmak çok daha zor. Bu nedenle bir yangın sigortası veya kaskoda olduğu gibi, çok oturmuş bir yapı henüz dünyada da yok. Bilgi güvenliği başlığında sigorta sektörünün alışık olduğu detay istatistikleri toplayıp analiz edecek veri de yok ve bu bilgiler paylaşılmıyor. Dolayısıyla bu sigortalar yapılmadan önce, sigorta yapılacak şirketin detaylı profili ortaya çıkartılmalı ve bu yapı terzi usulü şekillenmeli. Bu bir süre daha böyle gidecektir. Türkiye’de bu konuya belli belirsiz ilgi var. Ama Türkiye’de sigorta algısı zaten zayıf. Dolayısıyla önümüzdeki dönemde bu gelişecek ve kurumlar kendi yapabileceklerini içerde yapacak, bir kısmını hizmet olarak dışkaynak kullanımına aktaracak, bilgi güvenliği risklerini makul bir seviyeye getirmeye çalışacaklar. Buna ek olarak, hala kalan riskleri de sigortalatma yoluna gidecekler. Bu konuda doğru kurgu ve risk analizi yapmış olmak önemli. Sonuçta kurumsal varlıklarınızın dışında gelişen bir risk dünyası var.
 
Mobilite ve burada risk farkındalığı ne seviyede?
Yetkin bir mağazadan PC alırken güvenlik paketi de ona dahildir. Bu aynı zamanda bir pazarlama stratejisidir. Ama mobil cihazlarda böyle bir ek paket dahil değil. Yurtdışında da bu tarz bir sunum yok. Çünkü son kullanıcı gözüyle riskler daha az gibi algılanıyor. Cihaz üreticilerinin de cihaz ve kullandıkları işletim sistemleri ile ilgili güvenlik odaklı güçlü mesajları var. Ama çok daha fazla ve daha kişisel verilerinizi mobil cihazda tutuyorsunuz. Orada uygulamaların ve işletim sisteminin belli güvenlik özellikleri var. Bunlar belli avantaj sağlıyor ama ciddi riskler de var. Görece yeni olduğu için ortaya çıkan vakaların daha az bilinmesi nedeniyle farkındalık sınırlı. Mobil cihaz, günlük hayatın parçası, ama gündelik hayatta bu vazgeçilmezliğine karşılık, yeterli güvenlik hassasiyeti gösterilmiyor. Yine de süreç içinde bu da oturacaktır. Yani zamanla bu algı gelişecek, satışta PC veya laptop satışında olduğu gibi güvenlik bir paket olarak sunulabilecek.
 
2016 yılında güvenlik odaklı yatırımların Türkiye’de nasıl bir seyir izlemesini bekliyorsunuz?
Bu çerçevede küreselle paralel gider. Türkiye bu anlamda her türlü ürün ve hizmeti bulabileceğiniz bir nokta. Küresel eğilimler de yakından izleniyor. Sonuçta aynı riskler ve eğilimlerle karşı karşıyayız.