Güvenlik mazeret dinlemez

Küresel krizle birlikte kamu kurumlarının güvenlik yatırımlarının azaldığını kaydeden Birikim Otomasyon Sistemleri Ar-Ge Müdürü Cenk Yurduseven, Küresel Güvenlik  Araştırması 2009 sonuçlarına göre, kurumların güvenlik konusunda harcamalarında hissedilir ölçüde kesinti yaptıklarını belirtti. Yurduseven, “Teknolojilerin hızla geliştiği ve kötü niyetli atakların katlanarak artış gösterdiği bir dönemde küresel krizin etkisiyle güvenlik yatırımlarının azaltılması, kurumları daha kırılgan ve tehditlere açık hale getiriyor. 2010 yılında kamu tarafında ciddi yatırımlar kaçınılmaz. Kamu sektöründe hizmetlerin kesintisiz olarak verilmesi gerekiyor. Örneğin, hepimiz vatandaş olarak vergi ödüyoruz. Ödememizi yaptığımız kamu kuruluşunun, ‘Sunucumuzda arıza oldu, verginizi ödeyip ödemediğinizi bilemiyoruz’ gibi nedenlerle karşımıza çıkması olanaksız. Bu nedenle kamuda bilgilerin güvenle saklanması, yedeklenmesi büyük önem taşıyor” dedi.
Yeni teknolojiler
Bilgi güvenliğinin öneminin her geçen gün arttığını kaydeden Türktrust Satış Yöneticisi ve Sahiplen.com Kurucusu Barış Ciner, 2010 yılında öne çıkacak yeni güvenlik teknolojilerine değindi: “Bunun en başında kimlik doğrulama teknolojileri geliyor. Bu alandaki ürün çeşitliliğinin artmasını öngörüyoruz. İçinde bulunduğumuz yıl, kimlik doğrulamada çeşitli donanım araçları daha fazla kullanılacak. Bununla birlikte, elektronik imza teknolojileri önemini korumaya devam edecek. Çünkü kimlik doğrulamanın yanında işlem bilgisinin de sonradan inkâr edilmemesi kritik bir güvenlik unsuru. İnternet üzerinden yapılan işlemlerde, tüketicinin yanında hizmet sağlayıcının da kendisini kötü niyetlilere karşı koruması bakımından e-imza teknolojileri uzunca bir zaman daha rakipsiz ve alternatifsiz kalmaya devam edecek. İnternet üzerinden ödeme yapılan alışveriş sitelerinde, gizli kalması önem arz eden hassas kullanıcı bilgilerinin paylaşıldığı bankacılık, e-devlet ve e-ticaret uygulamalarında güvenli SSL sunucu sertifikaları kullanımı oldukça yaygınlaşmış durumda. Elektronik imza kullanımıyla paralel olarak, web uygulamalarında açık anahtarlı altyapı yani PKI teknolojilerine dayanan SSL kullanımının, önümüzdeki dönemde daha da artacağını düşünüyoruz. Aynı zamanda, kurumların elektronik verilerinin ilk olarak oluşturulduğu zamanı geçmişe dönük olarak hukuki anlamda kanıtlamak zorunda olduğu durumlarda zaman damgası sayısal verisinin de yoğun olarak kullanılacağını öngörüyoruz.”
Vasco Data Security, Bölge Satış Müdürü Ziya Gökalp ise şunları aktardı: “Bilgi güvenliği tüm ekonomik zorluklara rağmen kamu kurum ve kuruluşları için vazgeçilmez bir unsur. Bu bağlamda 2009 yılında özellikle DLP, VPN, IPS ve doğrulama konularında ciddi yatırımlar yapıldı. 2010 yılında özellikle doğrulama tarafındaki yatırımlara hızla devam edileceğini düşünüyorum.”

Münferit projeler

Kamuda oluşturulmuş bir bilgi güvenliği politikasının ve standartların söz konusu olmadığını belirten Türkiye Bilişim Güvenliği Derneği (TBGD) Yönetim Kurulu Başkanı Faruk Kekevi, şunları aktardı: “Kurumların münferiden yatırımlar yaptıklarını ve bunun da yeterli olmadığını gözlüyorum. Aslında e-devlet projesiyle birlikte bilgi güvenliğine önem verileceğini bekliyordum. e-Dönüşüm Eylem Planı’nda bulunan birçok eylem maddesi halen gerçekleştirilmedi. Bilişimi ve özellikle güvenliğini koordine edecek bir kurum, mesela Bilişim Bakanlığı oluşturulmadan sağlıklı bir yapı oluşturulamayacağını düşünüyorum. Münferit yatırımlar ile kamusal bilgi güvenliği sağlanamaz. 2010 yılı için münferit projeler olabilir.” Kamu bilgi güvenliğinin, sadece kamu kurumlarının bilgilerinin güvenliği olmadığını belirten Kekevi, “Kamudan, ulusal bilgi güvenliğini, yani bilişimi kullanan ve kullanmaya teşvik edilen her ferdin güvenliğini anlamalıyız. Kişilerin bilgi güvenliğinin sorumlusu kimdir? Halkın internet kullanması teşvik ediliyorsa, bilginin ve güvenliğinin önemi ve yönteminin de öğretilmesi gerekmez mi? Kamunun görev ve sorumluluğunda değilmidir? Kamunun bu görevini de ilave ederek değerlendirirsek, güvenlik konusunda yapılanların son derece yetersiz olduğunu söyleyebiliriz” dedi.

Kamu bilgi güvenliğini sahiplenmeli

Bilgi güvenliğinin tüm kamu oyuncuları tarafından sürekli sahiplenilmesi gerektiğini vurgulayan Trend Micro Akdeniz Bölge Müdürü Ercan Aydın, “Eğitim döneminden profesyonel yaşama kadar her aşamada dikkate alınması ve yapılan çalışmaların, gerek hükümet gerekse basın tarafından kamuoyuyla paylaşılması gerekiyor. Bu nedenle, önlem almak ve bu konularda bilinçlenmek, son derece önemli” şeklinde konuştu.

Güvenliğe kriz gölgesi

Sophos Türkiye Genel Müdürü Güngör Gündoğdu, bunun etkilerinin ise belirli bir süre daha tüm sektörlerde görüleceğini kaydetti. Gündoğdu, “Geçtiğimiz yılda kamuda yapılan bazı araştırmalara baktığımızda, bilgiişlem yöneticilerinin yaklaşık yüzde 20’lik kısmı genel BT bütçelerinde düşüş olacağını, yaklaşık yüzde 40 kısmı ise bütçelerin aynı kalacağını ifade etmiş. Ama burada gözden kaçırılmaması gereken bir nokta var ki elektronik ortamdaki tehditler ve istenmeyen kurumsal bilgi sızıntıları muazzam ölçüde büyüyor ve yöntemi değişiyor. Bu bağlamda kamudaki bilgi güvenliği yatırımlarının artacağına fakat daha dikkatli harcama yapacaklarına inanıyorum” dedi.

İşletmeler tehditleri anlamalı

KOBİ’lerin bilgi güvenliği yatırımlarını değerlendiren McAfee Türkiye Kanal Müdürü Özgür Civek, şunları aktardı: “Dünya üzerinde bulunan yaklaşık 19 milyon civarındaki KOBİ’nin en az büyük şirketler kadar risk altındadır. Özellikle son yıllarda KOBİ’lere yönelik tehditlerde önemli artışlar meydana geldi. McAfee Güvenlik Paradoksu  2009 Raporu’na (The Security Paradox Report of McAfee 2009) göre sadece 2008 yılından 2009’a bu tarz saldırılarda yüzde 322 artış görülmüştür. Aynı raporda 50 ile bin çalışana sahip şirketlerde bu tarz saldırıların yol açtığı ortalama kaybın ABD’de 43 bin dolar olduğu ortaya çıkarılmıştır. Bunun sebeplerinden biri de aslında oluşmuş olan yanlış izlenimdir. Birçok KOBİ karar vericisi aslında 500 üzeri çalışana sahip şirketlerin daha fazla atak altında olduğunu düşünüyor. Halbuki bu doğru değil. 500 çalışan altındaki şirketler çok daha fazla atağa maruz kalıyorlar ve kesinlikle daha korumasız yakalanıyorlar. Kısıtlı sayıda teknik personel, güvenlik bütçesi ve az sayıda yedekleme desteği olan KOBİ’ler, bu saldırılar karşısında gerçek anlamda  zarara uğrayabilirler.” Civek, KOBİ’lerin neden risk altında olduklarını ve işletmelerini en iyi şekilde nasıl koruyacaklarını anlamaya çalışması gerektiğini vurguladı.