IoT kurumları zorluyor

Bireylerin kullandıkları cihazların yanı sıra internete bağlı diğer cihazların artması kurumlara yönetim ve özellikle güvenlik konusunda zorluklar yaşatıyor. Artık yeni yatırımlarla işleri kolaylaştırırken, güvenlik endişelerini de gidermek gerekiyor.

2020 yılına kadar nesnelerin interneti (Internet of Things) ve her şeyin interneti (Internet of Everything) gibi kavramların hayatımızın en önemli parçalarından biri haline geleceğini göreceğiz. Birçok bilim kurgu kitabında karşımıza çıktığı üzere araştırma şirketleri de öngörülerinde bu kavramlara yer veriyor. IDC’nin öngörülerine göre, 2020 yılında 30 milyar uç noktadan internete otonom olarak bağlantı sağlanacak ve bu alanda 8.9 trilyon dolarlık bir piyasa oluşacak.
Bu piyasada ise birçok güvenlik kaygısı ortaya çıkacak. Zira güvenlik araçları yeni nesil eğilimlere yanıt verme konusunda henüz yeterli kapasitede değil. Yeterli olsalar bile BT yöneticilerinin karar almada zorlandıkları görülüyor.
Artan cihaz ve ağ kapasitelerine paralel yönetim ve güvenlik çözümlerinin de kapasite/performanslarını geliştirmesi öncelikli ihtiyaçlar arasında olduğuna değinen Fortinet Güvenlik Danışmanı Melih Kırkgöz, “Kolay ölçeklenebilir, merkezi yönetilebilir şekilde planlanmış bir altyapıyla artan ve zorluk yaratması muhtemel bu çoklu cihaz yönetimini gerçekleştirmek mümkün olabilecektir” şeklinde görüş belirtti.
İnternete bağlanan cihaz sayısının artmasıyla güvenlikteki zorluklar veri hırsızlıkları, bulut, mobil ve sosyal medya gibi yükselen teknolojilerin artan kullanımıyla tehditler ortaya çıktığını belirten IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı, “Kurumların verileri muhafaza etme biçiminde ciddi değişim gözlemliyoruz. Günümüzde veriler mobil cihazlarda, bulut ortamlarında ve sosyal medya platformlarında, kısacası her yerde bulunuyor. Bu durum; çok büyük veri hacimleri oluşturuyor ve kurumların güvenlik zekâsını daha kapsamlı bir şekilde ele almalarını zorunlu kılıyor” şeklinde konuştu.
Ağ ve internet güvenlik çözümlerini seçerken çözümlerin dünya standartlarında araştırma ve geliştirme kapasiteleriyle desteklendiğinden emin olmak gerektiğine değinen Konakçı, “Siber güvenlik tehditlerine önleyici koruma sağlamak için; sonuç tabanlı risk değerlendirmesi, hızlı ve çevik koruma ve çok katmanlı güvenlik metotları sunan yeni yaklaşımlar gereklidir” dedi.
Yeni ihtiyaçlar farklı güvenlik katmanlarını gerektiriyor
İnternete bağlı cihaz sayısının artmasının getirdiği birçok risk olduğunu söyleyen KoçSistem İletişim Teknolojileri ve BT Güvenlik Yönetilen Hizmetler Grup Yöneticisi Fatma Hacıoğlu Doğar, “Öncelikle internete erişim platformlarının yaygınlaşması şirketlerin internet bant genişliği kullanım ihtiyacını artırmış, bu da maliyetlere yansımıştır” dedi. Doğar’ın ifadelerine göre, internet üzerinde daha fazla cihaz olması toplam saldırı gerçekleştirebilen cihaz sayısındaki artışı da paralelinde getiriyor.
“Özellikle zombi tipi yapılara üye olabilecek daha fazla cihaz söz konusudur. Diğer taraftan kişilerin şirkete ait özel verilere, kişisel cihazlarından erişim imkânına sahip olması ve bilginin gizliliğine yönelik tehditlerin artması şirketler açısından değerlendirilmesi gereken en önemli teknoloji konularından biri olmuştur” diyen Fatma Hacıoğlu Doğar sözlerini şu şekilde tamamladı:

SDN konusunda zamana ihtiyaç var
Avaya Sistem Mühendisi Nail Yavuz ise SDN ile alınabilecek önlemleri açıklarken şunları söyledi:
“Öncelikle belirtmeliyiz ki, SDN gelişim eğrisinin henüz başında, çok yeni bir teknoloji. Çok büyük vaatler içeriyor, ancak bu vaatlerin ne kadarını sağlayabileceğini zaman içerisinde göreceğiz. Geçmişte buna benzer gelecek vaat eden teknolojilerin maalesef yeterli gelişimi gösteremediklerine ve zaman içerisinde kaybolduklarına şahit olduk. Örneğin kurumsal yapılarda ATM (Asynchronus Transfer Mode) geçmişte ağlar üzerinde gerçek zamanlı trafiğin taşınması için gelecek vaat eden bir teknoloji idi, ancak yarışmadan Ethernet teknolojisi galip çıktı. SDN konusunda OpenSource, OpenStack, Open Daylight gibi çok farklı çalışma alanları ve grupları mevcut. Kurumlara ve BT yöneticilerine bu çalışma alanlarını yakından takip etmelerini salık veriyoruz. Şu an için sektörde OpenSource eşittir SDN gibi bir algı oluşmuş durumda ancak aslında bu, tüm akıllı telefonlar eşittir iPhone demek gibi. SDN konusunda OpenSource dışında da çok ciddi çalışmalar var. Örneğin OpenStack. NASA ve Rackspace’in başlangıç temellerini attığı OpenStack, sunucu, depolama ve ağ kaynaklarının merkezi bir yönetim platformu üzerinden yönetilebileceği açık kaynak kodlu bulut bilişim işletim sistemi oluşturmayı hedefliyor.”
SDN’i hayata geçirmek isteyenler için üç ana yaklaşım olduğunu hatırlatan Dell Türkiye Çözüm Grubu Direktörü Didem Duru, bu yaklaşımları şu şekilde özetledi:
“Birincisi, Açık Ağ Vakfı’nın (ONF) 2010’da oluşturduğu ve anahtarlar içinde veri düzlemi işlevlerinin uzaktan programlanmasını sağlayan güvenli bir iletişim protokolü sağlayan OpenFlow standardıdır. Çok sayıda anahtar tedarikçisi veri düzlemi mimarisinde bu standart için destek sağlarken, bir kısmı da kendi anahtar yönetimini tek bir noktada birleştirmek için merkezi bir denetim sistemi yazılımı geliştirmektedir. İkinci SDN yaklaşımı ise VMware ve Microsoft gibi sanallaştırma şirketleri tarafından sağlanmaktadır ve NVO (ağ sanallaştırma katmanı) olarak adlandırılan bir hipervizör tabanlı ağ sanallaştırma modelini temel almaktadır. Bu modelde, sunucu sanallaştırmada olduğu gibi sanal anahtarların kullanılması bir organizasyonun birden çok sanal ağın tek bir fiziksel ağ üzerinde çalışmasını sağlarken, aynı zamanda her sanal ağ, fiziksel ağların çalışma özelliklerini barındırmaktadır. Üçüncü yaklaşım ise anahtarın yerel veri düzlemi işlevlerinin denetimine sahip olmasını sağlayan bir Uygulama Programlama Arayüzü ile (API) anahtarların kendi denetim düzlemi işlevlerini koruduğu programlanabilir bir sistemi içermektedir.”
SDN için karma bir yaklaşım da gösterilebileceğini dile getiren Didem Duru, “SDN’e geçiş, veri merkezi ağındaki diğer önemli geçişler gibi (örneğin IPv4 ile IPv6) aşamalar halinde gerçekleşecektir ve mevcut teknolojiler ile belirli bir süre aynı alanı paylaşacaktır; burada da birlikte çalışılabilirlik önemli bir olgu olacaktır. Bunların yanı sıra SDN teknolojisinin can damarı sayılan kontrol ünitesinin yukarıda bahsi geçen protokollerden hangisini baz alarak çalıştığı, hangi marka ürünleri kontrol edebileceği konusu oldukça büyük önem arz etmektedir. Aksi halde SDN esnekliği beklenirken belli bir marka özelinde çalışmak gibi bir sınırlama içerisine sıkışılması gibi bir durum ile karşı karşıya kalınabilir” şeklinde konuştu.

Kişisel mahremiyet önem kazanacak

Biznet Bilgi Güvenliği Uzmanı Oben Kuyucu’ya göre, bilgi işlem ekipleri, kuruma her yeni gelen ağ ya da güvenlik çözümüne tedbirli yaklaşır. Çünkü çözümlerin yönetimi için bir ya da birden fazla kişiyi eğiterek, yönetebilir hale getirebilmelidir.
Oben Kuyucu, internete giren her yeni nesnenin yönetim zorluğuna ek bir yük getirdiğini belirterek sözlerini şu şekilde sürdürdü:
“Kurumlar buna karşı hangi nesnelerden verim alabileceğini iyi tartmalı, hangi cihazdan hangi veriyi, ne kadar almak istediğine karar vermelidir. Diğer taraftan, nesnelerin internete girişi konusunda güvenlik kesinlikle göz ardı edilmemelidir. Nesnelerin Internet üzerinden haberleşmesi konusunda taşınan verinin kişisel mahremiyet, bilgi güvenliği ve gizliliği, tartışılması ve önlem alınması gereken konular olarak önümüze çıkacaktır. Kurumun güvenlik seviyesi sadece en zayıf halkası kadar güçlü olduğundan, nesneleri yönetirken bu yönünü de değerlendirmek gerekir.”

Veri ihlali en büyük riskler arasında

Cihazların artmasının, altyapıya erişim sağlayan, hassas ve riskli bilgilere rahatça erişebilen son kullanıcı sorunları ile ilişkilendirilebileceğine değinen ODYA Teknoloji Uzman Teknik Danışman ve Takım Lideri Ramazan Karadavut, “Veri ihlali ise en büyük riskler arasındadır, çalışanların şirket ağına erişim sağladıkları cihazları kaybetmeleri ya da işten ayrılmaları durumunda güvenilir olmayan şahıslar hassas bilgilere erişim sağlayarak şirketin tüm operasyonları için sorun oluşturabilir” dedi.
Ramazan Karadavut şu şekilde devam etti:
“Cihazların içerisinde yer alan uygulamaların çeşitliliği, performansı, cihazların birbiriyle olan iletişimleri ve bunların oluşturduğu sorunların tespiti ve tedavisi zorlaşmaktadır. Bunların daha kolay yönetilebilir ara yüzler ve küresel bakış açısı ile servislere parçalanarak izlenerek, yönetilebilir, izlenebilir ve delege edilebilir bir yapı ortaya çıkarılabilir. Ayrıca şirketlerin günümüzde kendi içlerinde uyguladıkları sıkı prosedürler ciddi anlamda gözden geçirilerek tamamen değiştirilecek hatta ortadan tamamen kalkacaktır. Dolayısıyla bu çalışma prensibini benimseyen şirketler, verileri ve ağlarını dış tehditlerden korumak aynı zamanda da etik kuralları ihlal etmemek adına özel prosedürler geliştirmelidir. Korunması gereken hassas şirket bilgilerinin belirlenmesi ile bu bilgilere kimlerin erişebileceği net ifade edilerek tüm kullanıcılar eğitilmek durumundadır.”

75 milyar cihaz bağlı hale gelecek

Trend Micro Akdeniz Ülkeleri Genel Müdürü Yakup Börekçioğlu ise alınması gereken önlemleri şu şekilde sıraladı:
“Her Şeyin İnterneti (Internet of Everything – IoE) kavramı 2014 ve sonrası için teknoloji dünyasının en önemli değişimi olarak öne çıkıyor. Etrafımızdaki hemen her cihazın internete bağlanarak bilgi oluşturması öngörülüyor. Morgan Stanley’nin tahminlerine göre, 2020 yılında kişi başına yaklaşık 9.4 cihaz düşerek 75 milyar cihaz internete bağlı hale gelecek.
BT yöneticilerinin ilk aşamada alması gereken önlemler ise şu şekilde olmalı:
• Web uygulamaları daha iyi şifrelenmeli,
• Daha güçlü şifreler kullanılmalı,
• İşletim sistemleri ve zararlı yazılım karşıtı çözümler güncel tutulmalı,
• Saldırıları bulut üzerinde tespit ederek, sistemlere sızmasını önleyen güvenlik çözümleri tercih edilmeli.”

IPv6 yaygınlaştıkça etkileri artacak

İnternetin artık standart bir teknoloji haline geldiğini belirten DevoTeam Sistem Destek Uzmanı Rıza Utku Batıralp, “Bilgisayarlar ve akıllı telefonlardan sonra günümüzde M2M bütünleştirmeleri, günlük hayatımızdaki pek çok cihazın internet üzerinde haberleşebilmesini sağlıyor. Özellikle IPv6 yaygınlaştıkça her cihaz bir IP ve internet bağlantısına sahip olacak” dedi.
Batıralp’e göre, böylelikle günlük hayatımızda kullanmakta olduğumuz TV, beyaz eşya, kombi, araba gibi pek çok cihaz üzerinde yazılımlar çalışan akıllı cihazlara dönüşecek. Dolayısıyla bütün bu cihazlar internet üzerinden gelebilecek saldırılara açık cihazlar olmaya başlayacaklar. Batıralp, şöyle devam etti:
“Bu durumun hem üretici hem de tüketici tarafında sonuçları olacak. Üreticiler ürettikleri cihazların donanım kalitesini olduğu kadar yazılım kalitesini ve güvenlik düzeyini de rekabette farklılaşmanın bir aracı olarak kullanabilecekler. Tüketici tarafında ise güvenlik bilincinin daha da artması, evlerde sınır ve şifre güvenliği konusunda daha etkili önlemlerin alınması sonucunu doğuracak. Ayrıca iş dünyasında hızla yaygınlaşan akıllı telefonlar ve tabletler için bir MDM (Mobile Device Management) çözümünün kullanılması bir kurumlar için zorunluluk halini almış durumda.”

Cihazın IP adresine göre güvenlik olamaz

Gelecekte şu anda öngöremediğimiz birçok cihaz aracılığıyla kurumsal bilgilere ulaşacağımızı hatırlatan Palo Alto Gelişmekte olan Ülkeler Direktörü Ercan Aydın, “Güvenlik çerçevesinden bakıldığında, kullanıcıların hangi uygulamalara erişmekte olduğuna dair güvenlik politikalarının etkili olduğuna inanıyoruz. Kullanılan cihazın IP adresine göre güvenlik politikalarının belirlenmesinin önümüzdeki dönemde pratik olmayacağına inanıyoruz. Bu nedenle birçok kullanıcı tanıma platformuna da destek vermeye çalışıyoruz” şeklinde konuştu.

Türkiye’de iki tür CIO var

Şirketlerin mobil cihazların artmasıyla birlikte yaşayacakları yönetim ve güvenlik karmaşasını BYOD kavramıyla birlikte değerlendirmek gerektiğini belirten Microsoft Türkiye Genel Müdür Yardımcısı Tolgar Elverici, “Çünkü bu ikisi gerçekten birbirine çok bağlı ve birbirini tetikler nitelikte. Bu alana yönelik bakış açısına göre CIO’lar temel olarak ikiye ayrılıyor” dedi ve ekledi:
“Bir kesim CIO, bu kavramı Türkiye’de gündeme getirmek için henüz erken olduğunu ve kurumsal bilgi işlem ortamında, özellikle tabletler ve bilgisayarlar konusunda uzunca bir süre işin şirketin belirlediği cihazlar, uygulamalar ve kurallar eşliğinde yürüyeceğine inanıyor.
Diğer yandan ilginçtir ki bu kesim akıllı telefonları daha farklı bir yere koyuyor. Seçeneğin çok daha fazla olduğu akıllı telefon dünyasını iş odaklı kullanım için daha uygun bir alan olarak değerlendiriyorlar. Fakat bunu yaparken de akıllı telefonları tam anlamıyla kurumsal bir araç olarak konumlandırmıyorlar. Örneğin kritik iş uygulamalarını, bankacılık sistemini, ERP’yi bu cihazlarda kullanmak yerine cihazların görevini yalnızca internet bağlantısı ve e-posta gibi temel işlevlerle sınırlandırıyorlar.”
İkinci kesim CIO’ların cihaz çeşitliliği ve kişisel tercihlerin kaçınılmaz olduğunun farkında hareket ettiğine değinen Elverici, “Özellikle küresel şirketlerin Türkiye uzantıları, teknoloji alanında iş yapan şirketler ve nispeten genç çalışanı olan şirketler, bu kavramı hızla anlamanın ve benimsemenin gerekli olduğuna inanıyorlar. BYOD kavramını gündeme getirmezlerse, sosyal ağları çalışanlarına açmazlarsa bundan zarar göreceklerini, genç ve yeni yetenekleri kaybedeceklerinden korkuyorlar. Bu nedenle bu kavramı kuruma uyarlamak istiyorlar, ama yönetilebilirlik ve güvenlik konusunda endişeliler ve şirketi riske atmadan bu işi nasıl yapacaklarını kurgulamanın peşindeler” şeklinde konuştu.

Uygulama ihtiyacı artıyor

“Bağlantılı cihazların artışı, hem kurumun cihazlarının kontrol edilmesini ve yönetilmesini oldukça zorlaştırıyor” diyen Eset Türkiye Teknik Müdürü Erkan Tuğral sözlerini şu şekilde sürdürdü:
“Ayrıca bu cihazlarla erişilen ve taşınan bilgilerin önemiyle birlikte de bir güvenlik sorunu ortaya çıkıyor. Bu anlamda bağlı cihazların tamamını bir yerden yönetilebilecek, bunları kontrol edebilecek, yetkilendirmeler yapabilecek uygulamalara olan ihtiyaç gittikçe artıyor. Yine bu türden bağlı cihazlara bir erişim standardı getirmek ve bunları kurum içi genel kabul görmüş bir politikaya bağlamak zorunlu hale geliyor.”

Masaüstü sanallaştırma öne çıkıyor

Anadolu Bilişim Veri Merkezi Müdürü Yakup Kadri Ünal’a göre, internete bağlı cihaz sayısının artışı söz konusu olduğunda güvenlik kurumlar için en kritik alan haline geliyor. Teknolojinin hayatımıza ilk girdiği dönemi düşünürsek, geçmişte bilgisayarlar kurum içerisinde sadece özel kullanıcılara açıktı. Şimdi ise mobil cihazlar başta olmak üzere birçok teknolojik araç herkes tarafından kolaylıkla alınabiliyor. Kadri Ünal sözlerini şu şekilde sürdürdü:
“Gerekli güvenlik tedbirleri alınmadığı takdirde, bu seviyedeki bağlantılarla her türlü bilgiye rahatlıkla erişilebiliyor. Uygulama, işletim sistemi, veritabanı, fiziksel ve çevresel güvenlik unsurları dikkate alınması gereken en kritik konular olarak öne çıkıyor. Tüm bunların yanında her kurumun kendi güvenlik politikasını oluşturması gerekiyor. Özellikle mobil cihazların kullanımı göz önüne alındığında hem mobil cihazlar üzerindeki şirket bilgilerinin güvenliğini sağlamak hem de mobil cihazlar üzerinde kişisel kullanım için yüklenmiş uygulamaların güvenliğini sağlamak şirketler için en kritik güvenlik problemleri arasında yer alıyor. Masaüstü sanallaştırması yine bu modelde ele alınması gereken en önemli teknolojilerden biridir, böylece çalışanların yetkilendirmeleri, şirket bilgilerine güvenli erişimleri sağlanmakta ve hem güvenli hem esnek bir çalışma ortamı sunulabilmektedir.”

Kum havuzu oluşturulabilir

Güvenliğin temelinde “saldırı yüzeyinin küçültülmesi” kavramı olduğunu hatırlatan Netaş Güvenlik Hizmetleri Kıdemli Danışmanı Can Değer, internet bağlı cihaz sayısının hedeflenen duruma tamamen ters bir yapı sunduğunu bildirdi. Değer’e göre, her zaman bu cihazların güvensiz bir ortam oldukları kabul edilmeli ve erişim yapıları buna göre tasarlanmalı. Can Değer sözlerini şu şekilde tamamladı:
“Hali hazırda çalışanlar kendi cihazlarını aktif olarak kullanıyorlar. Güvenlik açısından bakıldığında kurumlar bu cihazları ya tamamen güvensiz olarak kabul edip erişimlerini izole edecekler ya da cihazlar üzerinde tam yönetim hakkına sahip olup kurum uygulamaları için bir ‘kum havuzu’ alanları oluşturup, sistemin kendisinden bağımsız şekilde bunun içinde uygulamaları çalıştıracaklardır.”