Endüstri 4.0’a merhaba derken siber güvenlik…
Burak Bozkurtlar
Dijital dönüşüm ile beraber hayatımıza dahil olan yeni terimler ise bilgi güvenliğidir. Bilgi güvenliği terimini bu denli kıymetli kılan ise elbette ki kişisel verilerdir. Kişisel veri nedir ve neden bu kadar önemlidir diye sorulduğunda öğreneceğimiz tek bir gerçek vardır; kişisel veri, hakkımızda işlenmiş ve kullanıma hazır veri, yani bilgidir. “Bilgi Güçtür” sözü ise son zamanlarda giderek popülerlik kazanırken, bilginin kıymeti de her geçen gün artmakta, bilgi güvenliğinin önemi anlam kazanmaktadır. Bu doğrultuda strateji belirlenirken her kesimin bilgisine ihtiyaç duyulmaktadır. Bu ihtiyaç “Ulusal Siber Güvenlik Stratejileri 2016-2019 ” başlığı ile ilgili kurum tarafından yayınlanmış; Ek-A, Ek-B ve Ek-C’de belirtilen kamu kurumları, özel kurumlar , sivil toplum kuruluşları ile gerçek ve tüzel kişilerin sorumlukları belirtilmiş, bizlerden de destek istenmiştir. Bireysel ya da kurumsal olarak yapılması gerekenlerin, “Milli Bilişim Seferberliği” başlığı altında ivedilikle hayata geçirilmesi ve ülkemizin tüm kesimleri tarafından da desteklenmesi gerektiğini düşünmekteyim. Ancak, bilgi güvenliği başlığı altında, özel iştiraklere ve/veya kamuya ait kurumların “hemen adapte olalım” telaşı yüzünden, yanlış veya tam anlamıyla güvenli diyebileceğimiz bir çözümden bahsetmek için oldukça erken olduğunu da düşünmekteyim.
Verilerimize kimler erişiyor?
Öncelikle işlenmiş veriye bilgi diyelim. Daha sonra da verilerimizin neler olduğunu ve nerelerde kimler tarafından erişilebilir olduğunu tahmin etmeye çalışalım. Örneğin, bir interset sitesinden alışveriş yapıyorsunuz ve kredi kartı ile ödemenizi tamamlıyorsunuz. Sipariş ettiğiniz ürünün kargo süreçlerini de takip edebiliyorsunuz. Düşünsenize, milyonlarca insan aynı siteden alışveriş yapıyor. Üstelik üyelik sözleşmesi sırasında “kişisel verilerinizin işlenmesi konusunda” izin de verdiniz (Ancak burada kişisel verinin tam olarak bir tanımı yapılmış değil). Kişisel veri olarak kabul gören artık ne ise siz bu verileri verdiniz. Tabi bu arada bankalarda bizlerden istenen ve imzaladığımız “kişisel verilenizi pazarlama, reklam ve benzeri başlıklarda kullanılmak üzere” diyerek izin veriyoruz. İyi de bu konunun hukuksal olarak birçok defa yok hükmünde sayılması gerçeği de var. Şöyle ki; mahkeme ilk olarak vatandaşın kişisel verisini ne derce bildiğine yani ehliyetine bakmaktadır. Sonra da kanundaki kişisel verinin tanımına bakmaktadır. Neticede anonimleştirilememiş ama sızma endişesi olan bir konuyu vatandaşın bilmek için yeterli bilgiye sahip olmadığına hükmedebilir. Peki sizler gibi milyonlarca insanın kişisel verisi olarak tabir edilen verilere kimler ne zaman erişebiliyor? Bilgisi sizlerde olacak mı? Kişisel verilerin olduğu sunuculara kim ne zaman nerede ve ne için ulaşmış? Bilgisi bize de verilecek mi? Elbette ki hayır. Üstelik bu konuda yeterli bir denetim de yok. Ancak kurumsal tarafta bir çoğumuzun da bildiği ve hatta kurulumu sırasında aktif rol aldığı audit gibi detaylı loglama yapan ürünler piyasada cirit atmaktadır. “Kim? Nerede? Ne zaman? Ne yaptı?” gibi soruların aslında sunucu tarafında ya da aktif dizinde yer alan bir kullanıcı tarafında denetim anlamına geldiğini biliyoruz. Hakikaten faydalı bir platform olduğunu da inkar etmiyoruz. Aynı zamanda Veri Kaybı Önleme (Data Loss Prevention – DLP) platformlarının da yine bilgi güvenliğini sağlamak için büyük önem taşımaktadır. Ayrıca DLP VE Audit; Bilgi Güvenliği Yönetim Sistemleri (BGYS) standartları için gerekli olan uluslararası akreditasyon sağlayan ISO27001, BS10012 gibi belgelerin alımında vazgeçilmez, olmazsa olmaz başlıklardır. Hassas verilerin sınıflandırılması, korunması, tanımlanması ve kriptoloji uygulanması da bu platformların ne derece vazgeçilmez bir çözüm olduğunu da belirtmek isterim.
Nasıl bir çözüme ihtiyacım var?
DLP sayesinde hassas verilerinizi sınıflandırırsınız. Kanunda hassas veri tanımı yapılmıştır. Buna göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri özel nitelikli kişisel veri sınıfına girmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler hassas veri olarak kabul edilmektedir. Pekala bu verilerin başkaları tarafından erişilebilir olup olmadığını, erişildiğinde bana ait veriye bakılıp bakılmadığını ya da başka bir yere kopyalanıp kopyalanmadığını denetleyebileceğim, güvenebileceğim ya da anlık olarak izleyebileceğim bir çözüm var mı? İşte burada DLP ve AUDIT çözümleri devreye alınabilir. DLP hassas verilerinizi sınıflandırırken uç noktalardan dahi hassas veri olarak sınıflandırdığımız ne varsa kurum dışına çıkmasını engeller ve yetkili kişiler arasındaki veri akışını oldukça başarılı bir yöntemle şifreleme (encrypt) ve çözümleme (decrypt) ise yalnızca yetkili kişide olarak hassas veri yetkisiz kişilerce ve izinsiz olarak alınmamış olur. Audit ise burada” Kim? Nerede? Ne zaman?” gibi soruları sorar ve yanıtlarını da sistem yöneticisi dahil herkesi denetlerim mantığı ile cevaplayıp bilgi güvenliği tarafında vazgeçilmezlik hissi uyandırır. Üstelik yukarıda belirttiğim daha birçok uluslararası standartlar da bu tip güvenlik yazılım ya da donanımlarını desteklenmektedir. Şimdi ben çıkıp sizlere desem ki, “Sistem Yöneticisi dahil herkes denetlenir cümlesi oldukça iddialıdır”. Şöyle ki; eğer ben sistem yöneticisi isem, istediğim an sisteme girerek istediğim veriyi alır ve ardımda hiçbir iz bırakmam. Bu iz, Audit konularında detaylı olarak kayıt edilse bile sistem yöneticisi isterse “root yetkisinin bana verdiğine dayanarak” diyerek suçu başkasının üzerine bile yıkabilirken bu yıkım işlemleri sistem yöneticisi dahil herkesin bir hacker tarafından riske edilmesi anlamına gelir. Bu arada; hiçbir yönetici, bilişimcilere güvenmek ya da teslim olmak zorunda değildir. Merkezi kontrol sistemleri sayesinde kurumunuzun siber güvenlik tarafında ne durumda olduğunu anlık ya da alarm durumlarında öğrenebilirsiniz. Teknik terimleri bilmeseniz bile konunun algoritmasını bilen sizler olduğunuz için detay ve önlemleri fark etmeniz için bir çok öneriyi de hayata geçirebilirsiniz.
Kimler denetlenebilir, kimler denetlenemez?
Şu anda denetim kurumları arasında yer alan BTK, BDDK, vb. kurumların bilgi güvenliği standartları için tüm belgeleri olsa bile hiç kimse şunu söyleyemez ve “Sistem Yöneticisi Dahil Herkes Denetlenebilir” diyemezler. Çünkü henüz ülkemizde kullanılan böyle bir çözüm yoktur. Peki bu işin çözümü yok mudur? Yani bize sunulan çözümler arasında mı yok? Yoksa hakikaten dünya da mı yok? Sorusunu sorduğunuzu duyar gibiyim. Elbette ki dünyada hassas veriye önem verenler var ve bu önemi “FIVE EYES” başlığı altında kabul eden ve stratejik ortaklığa giden ülkeler var. Yani geliştirdikleri teknolojileri kullanan hangi ülke varsa, o ülkeye ait verilerin depolandığı ve gerektiğinde FIVE EYES üyesi olan ülkeler ile paylaşıldığını zaten bir çoğumuz biliyor ve FIVE EYES üyelerinin de sistem yöneticilerini denetlemek adına tamamen kendilerine özel bir terminoloji ile çalışıp çabaladıklarını da biliyoruz. Aslında bize ait milli diyebileceğimiz bir standart için hakikaten milli diyebileceğimiz bir teknolojiye sahip olmalıydık. Şimdi ise teknoloji, bu standart da bu denilerek hareket ediyoruz. Hal böyle olunca “bilişimden yalnızca bilişimci anlar”, “yönetici de işini yapsın” denilerek garip bir yapıda siber güvenlikten bahsediyoruz.
Son olarak, Risk Management Forum’da gerçekleşen ve sektörün öncülerinin konuşmacı olduğu Siber Risklerin Yönetimi etkinlik notlarında görüldüğü üzere, sigorta firmaları bilgi güvenliği üzerine poliçe düzenleme arayışındalar. Ancak ne yazık ki dünyada bilinen ve hackerlara karşı yüzde 100 garantili bir ürün bulunmamaktadır. Özellikle endüstri 4.0 ile bahsi geçen dijital dönüşüm kapsamında, daha çok dikkatimizi çeken “nesnelerin interneti” standartları da yeni yeni belirlenirken, yazılım geliştiricileri ile yatırımcıların bir araya gelerek; endüstri 4.0’a yakışan güvenlik önlemlerini de alabilirler düşüncesindeyim. En azından fikir verebileceğini düşündüğüm geliştiricilerin de etrafındayken, sanırım endüstri 4.0 başlığı ile her siber güvenlik çözüm önerisi de aynı başlangıç çizgisinden yarışa başlama şansını elde edecektir.
Ülkemizde geliştirme ve denetim mekanizmaları yok değil. Ancak daha çok katılım ile, daha hızlı ve çok güçlü bir mekanizma geliştirmemiz, kurgulamamız gerekmektedir. BThaber’de ilk yazımın yayınlanması ve siz değerli okuyucular ile bir an bile olsa aynı cümleler içerisinde aynı mantığı solumak bile benim adıma oldukça heyecan vericiyken, sizleri daha fazla yormadan bir sonraki yazımda DLP, AUDIT ve BGYS üzerine daha fazla detay vererek tamamen bizlere ait standartlar ile yazılım ve teknoloji ihracatı yapan bir ülke konumuna gelmek adına sürekli paylaşımcı olacağımı da bu vesile ile belirtmek isterim. Unutmayın; bilgi güçtür ve bilgi paylaşılınca güzeldir
burak@cybertech.istanbul