Kamuda bilinçli adımlar atılıyor

Kamu kurumlarında BT sistemlerinde karşılaşılan güvenlik risklerinin azaltılması hedefi, BThaber’in dijital etkinliği “Kamuda Veri Güvenliği” ile ele alındı.

6 Ekim’de düzenlenen dijital etkinliğin ilk konuşmasını Bilgi Güvenliği Derneği Başkanı Taha Yücel yaptı. “Siber Güvenlik Eğitiminin Önemi” başlıklı konuşmasına Türkiye’de veri güvenliğinin sınır güvenliği kadar önemli olduğunu vurgulayarak başlayan Taha Yücel, kritik verilerin ülkemizde kalması, yanlış ellere geçmemesi gibi noktaların herkes için önemine dikkat çekti. Bu noktada devletin yanı sıra STK’ların kamuoyunu bilinçlendirmek adına yayınlar yapmasının önemli olduğunu belirten Taha Yücel’in verdiği bilgiye göre, ülkemizde önemli bir siber güvenlik kümelenmesi var. Bu kümelenme kapsamında yer alan Savunma Sanayi Bakanlığı, yabancı firmalar gibi tüm paydaşların bir araya gelerek bu anlamda çalışmalar yapmalarının önemine dikkat çeken Taha Yücel, siber güvenlik uzmanı açığının ise önemli olduğunun altını çizdi. “Bu konu kapsamında hem ulusal hem de uluslararası pek çok olay yaşandı.

Bu noktada kamuda çalışan tüm memurlara temel bir siber güvenlik farkındalık eğitimi verilmesi gerekiyor. Şirketlerde de bilgi teknolojileri, siber güvenlik alanında arkadaşlarımızın birbirleriyle görüşmeleri gerekiyor” vurgusunu yapan Taha Yücel, dernek olarak bunlarla ilgili çözümler de hazırladıklarını belirtti. “Bu konuda uzman olduğunu belirten bir siber güvenlik çalışanının bir testten geçirilerek gerçekten nerelerde iyi olduğunun ya da o işe uygun olup olmadığının ölçülmesi lazım. Bu anlamda Bilgi Teknolojileri Derneği olarak Cyber Age adında bir ürünümüz var. Bu şekilde siber güvenlik alanında belirli ölçümlemeleri yapabiliyoruz” bilgisini paylaşan Taha Yücel, eğitim yapılarını şöyle anlattı:

Topyekün bir mücadele var

“Çalışanlara yönelik siber güvenlik farkındalık eğitimlerimiz var. Bir rehber de meydana getiriyoruz. YouTube kanalımızda mevcut olan bu rehberlerin ilki; “Hibrit Bulut Sistemler ve Bunun Güvenliği”. Yerli bulut çözümlerinin nasıl yapıldığı, verinin nasıl Türkiye’de kalacağı detaylı bir şekilde anlatıldı. Hibrit bulutun ne olduğu, nasıl kullanılacağı, bazı verilerin hangi veri merkezlerinde nasıl işleneceği detaylı bir şekilde ele alındı. İkinci olarak Eylül sonunda Vodafone tarafından verilen “Mobil Cihazlarda Güvenlik: Casus Yazılımlar” adında iki günlük kapsamlı bir eğitimi tamamladık. Ekim sonunda Aselsan ile “Uygulama ve Sızma Testleri” konusunda iki günlük bir webinarımız oldu. Genç ekibimiz ile birlikte Siber Güvenlik Kampı organize ettik. Lise ve üniversitede okuyan, bu alanla ilgili kardeşlerimizi önemli uzmanlarla buluşturacağız. Her sene sektöre katkı olarak yaptığımız ISC Turkey etkinliğimiz 2-3 Aralık tarihlerinde Cumhurbaşkanlığı Millet Kütüphanesi’nde düzenlenecek. Burada Sağlıklı Siber Güvenlik temasını ele alacağız. Panellerimiz de olacak. Bu topyekün mücadelede sektörden gelecek taleplere de açığız.”

Artık birçok sistem kritik

“Kritik Altyapılarda Güvenlik” başlıklı panel sektörden önemi isimleri buluşturdu. BTHABER Şirketler Grubu Başkanı Murat Göçe’nin yönettiği panelin katılımcıları Oracle Kamu Sektörü Satış Direktörü Dinçer Çetin, Dell Technologies Veri Koruma Çözümleri Satış Yöneticisi Gurur Tanırer ve Adeo CSO’su Halil Öztürkci oldu. Murat Göçe, Oracle ile saldırı öncesini, Adeo ile saldırı anını, Dell ile de saldırı sonrasını ele almayı hedeflediğini belirterek sözlerine başladı ve “Kritik altyapılarda açık kaynak kod kullanımı bir risk mi?” sorusunun yöneltti. Dinçer Çetin, öncelikle kritik sistemleri tanımlayıp onun üzerine gitmek gerektiğini belirterek sözlerine başladı. Kritik sistemlerin sürekli ulaşılabilir, her an ayakta olması gereken sistemler olduğuna değinen Dinçer Çetin, “Bu sisteme performansla ulaşılabilmesi gerekiyor” dedi. Bu iki temel üzerine kritik sistemleri konumlandırmak mümkün. Bu arada, Çetin’ni belirttiği gibi, sistemin kendi başına kritik olmamasına rağmen beslediği sistemlerin kritik olması gibi durumlar söz konusu olabiliyor. Örneğin; e-devlet ile bir takım bilgiler paylaşan sistemin de kritik olması şart. “Bankacılık ve telekomda hangi sistemlerin kritik olduğu belli; ancak kamuya döndüğümüzde kritik sistem kavramı biraz daha gri alanda kalıyor” çıkarımını paylaşan Dinçer Çetin, “Kullanıcı gözüyle baktığımda, bana hizmet veren her sistem kritiktir” vurgusunu da yaptı. Pandemi sonrası dönemde dijitalleşme hayatımızın bir parçası olunca, Dinçer Çetin’in belirttiği gibi birçok sistem kritik olmaya başladı. Şu anda açık kaynaklı kodlar yayılıyor. “Bunu birkaç kategoriye ayırmamız lazım” diyen Dinçer Çetin, şöyle devam etti:

“Özellikle DevOps network’ümüz içindeki açık kaynak kodlar dünya üzerinde kullanılıyor. Kubernetes, GitHub gibi yapıları Oracle dahil birçok şirket destekliyor. Değerli verileri kritik sistemler için açık kaynak kodunda mı tutulmasına ilişkin soru söz konusu. Açık kaynak kodunun bir sahibi yok. Oracle’ınsa veri tabanını geliştiren 20 binin üzerinde yazılım geliştirenlerimiz var ve 7/24 destek veriyoruz. Lisanslı bir yazılımsa, “A” firmasından destek alabiliyorsunuz. Diğer durumda bu desteği alamıyor ya da sistem entegratörü adı verilen kişilerden alıyorsunuz. Bu kişiler aslında yazılımın gerçek sahipleri değil. Dolayısıyla bir sorun durumunda yamaların yazılması gecikebiliyor. En önemli sorun; doğru yamaların doğru zamanda yazılamaması. Oracle bu noktada hemen aksiyon aldığı için güvenlik açıkları çok hızlı kapatılıyor. Açık kaynaklı kodlarda bu yamalarda ciddi sıkıntılar yaşıyoruz. Açık kaynak kodlarda kodu birinin sahiplenmesi gerçekleşmiyor. İstanbul ve Ankara’da destek ekiplerimiz var. Onlar sahada arıza durumlarında müşterilerle çalışan arkadaşlarımız. Açık kaynak kod aldığınızda bunlara ulaşma şansınız da kalmıyor. Sahiplik, ulaşılabilirliğin ardından söz konusu olan veri tabanı kapsamında Oracle veri tabanı özellikle güvenlik opsiyonlarıyla kendi kendini koruyabilen bir veri tabanı. Veri tabanımızdaki Oracle kurulumumuz gerekli güvenlik opsiyonlarını aktive ederek herhangi bir kişinin herhangi bir alana ulaşımını engelleyebiliyor. Elinizde bu ihtiyaçlarınızı karşılayabilen lisanslı, güvenli bir ürün varken lisanssız açık kaynak bir ürüne yönelmek güvenlik anlamında kritik sistemler için açık yaratacaktır. Kamunun bu süreçten sonra ciddi bir bulut girişiminin olacağını öngörüyoruz. Bu konuyla ilgili çalışma grupları oluşturuldu. Kendileri konu ile ilgili yeni bir yönerge yayınlamak üzere çalışıyorlar. Bulut bilişimin pek çok şirketin, kurumun kendi veri merkezinde kullanmasından daha az riskli olduğunu görüyoruz. Güvenlikte bulutu kullandığınızda bir-iki adım öne geçmiş oluyorsunuz. Bulut bu noktada risk değil, bilakis artı bir değer kazandırıyor. Burada kamu için soru; kamuya özel bir veri merkezin olup olmaması yönünde olabilir. ABD, İngiltere’de tamamen kamuya özel bulut bilişim alanları var. Bunu biz Oracle olarak sağlıyoruz.”

Teknoloji bize yardımcı olmalı

Bir saldırı durumunun ne kadarını teknolojinin, ne kadarını insanların koruduğu yönündeki soruya yanıt veren Halil Öztürkci’ye göre, teknoloji işin bir parçası. Ancak işin içinde her zaman bir insan, bu insanın o teknolojiyi kullanarak veriyi tanımlayacağı bir iş sürecine ihtiyaç var. “Karşımızda artık saldırganlar olarak insanlar, devlet destekli saldırganlar ya da temel motivasyonu finansal olan siber saldırganlar var. Bu insanlar sizin altyapınızı, network’ünüzü sizden çok daha iyi biliyorlar” gerçeğine dikkat çeken Halil Öztürkci, ekledi: ”Teknolojiyi kesinlikle kullanmalıyız; ama altyapıları bir teknoloji çöplüğüne çevirmemek gerekiyor.” Çünkü böyle bir durumda, teknoloji de bir süre sonra temel görevi olan korumadan çıkıp, Öztürkci’nin tanımıyla ‘bizim onu yaşatmaya yönelik ciddi kaynaklar sarf edeceğimiz’ noktaya gidiyor. Bu nedenle Öztürkci, “Dolayısıyla teknoloji bizim kaynaklarımızı tüketmemeli, bize yardımcı olmalı” dedi. Siber güvenlik anlamında teknolojiden temel beklentisini; altyapıları korurken saldırılara esnek ve hızlı şekilde cevap verebilecek bir partner olması olarak gösteren Öztürkci, şöyle devam etti:

“Güvenlik operasyonlarında insanların gözüne ihtiyaç duymayan bir takım süreçleri otomatize çalıştırıyoruz. Bunun için Security Operations platformlarımız var. Bunlar Level B seviyesinde analistlerin yapacakları işleri otomatize hale getiriyor. Ancak siber güvenlik alanında otomatize edemeyeceğimiz yerler var. Bunların bilinip işin uzmanları tarafından bakılması lazım. Saldırganlar kendi içlerinde bir paylaşım modeli geliştirmiş durumdalar. Sistemin üçüncü bir göz tarafından denetlendiği bir yapıya geçmek gerekiyor. Kamu, özel sektör olarak bu paylaşma modelini birlikte işletmemiz lazım. Bulut sağlayıcının sunduğu altyapıda sizin sorumluluğunuzda olan şeyler var, bulut servis sağlayıcısının sorumluluğunda olan şeyler var. Hangi servisi seçtiğinizi ve oradaki siber güvenlik sorumlusunun kim olduğunu çok iyi seçmeniz gerekiyor. Artık konsept hibrit ve multi-cloud kullanımına doğru gidiyor. Tek bir bulut sağlayıcısına bağlı olmak siber güvenlik açısından da riskli. Son yıllarda buluta doğru çok ciddi bir transformasyon var. İş birlikteliklerinin mutlaka olması gerekiyor. Saldırganlar bile kendi içlerinde uzmanlıklarına göre destek alıyorlar. Şirketlerin siber güvenliği uzmanlarına bırakıp, kendi işleri ile ilgilenmeleri gerekiyor. Firmalar çok fazla teknoloji alıyorlar. Fakat bir süre sonra bu teknolojiler bir araya geldiğinde siber güvenlik alanı kolay yönetilemez bir hale geliyor. Adeo olarak son zamanlardaki ana motivasyonumuz; daha az teknoloji, daha çok insan eli ile akıllı bir şekilde yapılması. Bazı kilit noktalarda laboratuvarımızın seçmiş olduğu bir takım testlerden geçen teknolojiyi kullanarak, olası siber saldırı aşamasına hazır hale getirmek, siber saldırı öncesinde bunları 7/24 izlemek, olası bir siber saldırı anında da en hızlı müdahaleyi vermek önceliğimiz. Belirli başlı kritik teknolojileri müşterilerimiz olan kurumlarda konumluyor, bunları 7/24 izliyoruz. Adeo’nun önemli bir ekibi de geri kazanım (recover) tarafı. Bir siber saldırı durumunda, eğer hiç kapı yoksa sıfırdan kurma opsiyonu değerlendiriliyor. Bu noktada TecOps adı altında ayrı bir ekibimiz var. Görünürlük alanları, veri tabanı, uç aktiviteler gibi temel noktalara implemente ettikten sonra saldırganların metodolojisini anlayacak bir analistle bunlara karşılık vermeniz gerekiyor.”

Güvenli bir yedek, altın değerinde

Bir saldırı sonrası Dell’in sunduğu çözümlere değinen Gurur Tanırer, Halil Öztükci’nin futbol maçı benzetmesine, “Bir buçuk saat süresince gerçekleşen saldırı öncesinde hackerların 180-200 günlük saldırı öncesindeki hazırlıklarının hakkını yemeyelim” eklemesini yaparak sözlerine başladı. Gurur Tanırer’in verdiği bilgiye göre, 2025 yılında dünya üzerindeki siber saldırıların maliyeti 10.5 trilyon dolara çıkacak. Siber saldırılar pandemide 4 katına çıktı; ama Gurur Tanırer’e göre, yıllardan gelen bir şey var: İster kamu, ister özel şirketler bu saldırıya uğrayacak. “Dell Technologies olarak işin son aşamasındayız” diyen Gurur Tanırer, şöyle devam etti:

“Bu önlemlerin tümü alınmasına rağmen saldırganın içeriye girdiği durumda öncelikli olarak müşterilerin yedeklerinin pattern’lerini uçurmak söz konusu oluyor. Çünkü sistemleri haklanan bir kurum, şirket yedeklerine geri dönmek isteyecek. Bunu önceden şifreler ya da silerseniz müşterinin dönecek bir durumu kalmıyor, orada tüm sistemlerin yeniden kurulması gerekiyor. Bu noktada yedeklerin silinmemesini, değiştirilememesini, bunların sistemlere bağlı olmamasını, bağlı olsa dahi çok kısa bir sürede alıp tamamen offline olmasını sağlamaya çalışıyoruz. Bir saldırı durumunda güvenliğinden emin olduğumuz bir yedek ise bizim altınımız. Fidyeyi ödeseniz bile şifrelemeyi açmanız çok uzun sürebilir. O noktada elinizden sağlam bir veriniz olması gerekiyor. Özellikle kamuda oluşacak bir sorun tüm bu hizmetlerin bizlere verilemez hale gelmesini beraberinde getirecek. Biz, “Siber Geri Dönüş” adı altında bir çözüm sunuyoruz. Sunduğumuz çözüm, yedeklerinizi gün içerisinde rastgele bir aralıkta hava boşluğunun arkasında fiziksel olarak hafif bir alanda saklayıp bunun üzerinde sürekli bir algoritma çalıştırarak yedeğin üzerinde bir vektör olmadığından emin olmanızı sağlayacak bir çözüm. Siber saldırının gerçekleştiği günde kopyadan geri dönüşün sağlanması söz konusu olacak. Bizim bu kadar kritik verilerimizi saklayan kamu kurumlarında da çalışabilmek bizim için onur ve gurur kaynağı olacak. Kamu bizi destekliyor. Sistemler, son kullanıcı cihazlar kapsamında uzun yıllardır kamuda hemen hemen her bakanlık, genel müdürlükte çözümlerimizle yer alıyoruz. Biz Dell olarak bu noktada hizmet vermek adına İstanbul ve Ankara’da bir ekiple bulunuyoruz. Özellikle Ankara’da var olmanın oldukça pozitif olduğunu, kamunun desteğiyle birlikte buradaki çözüm portföyümüzü de genişletmeyi düşünüyoruz.”