Kendi çözümlerimiz, gerçek güvenliğimiz!

Son yıllardaki siyasi gelişmeler yerli ve milli teknolojilerin kullanılmasının ne kadar önemli ve gerekli olduğunu da gösterdi. Koronavirüs süreci ise bu gerekliliği iyiden iyiye pekiştirdi.

Güvenlik, bilişim dünyasının temel başlığı ve her ölçekte şirketin yatırım önceliği. Ama güvenlik çözümlerinin yerli ve milli kimliği de gerek gelişen saldırı ekosistemi ve çeşitlenen riskler gerekse ülkeler arasındaki hassas dengeler nedeniyle önem kazanıyor. BTvizyon Dijital de bu gerçeklerden yola çıkarak, 10 Haziran’da “Yerli ve Milli Bilgi Güvenliği Teknolojileri” etkinliğine imza attı. “Siber Güvenlikte Yerli Çözüm İmajını Yönetmek” başlıklı sunumuyla EY Türkiye Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen ise açılış sunumunu yapan isim oldu ve yerli siber güvenliklere olan bakış açısını izleyenlerle paylaştı. “Veri güvenliği, verinin Türkiye’de kalmasıyla ilgili bir takım yasal düzenlemeler var. Veriyi koruyan siber güvenlik teknolojilerinin de buna uyması gerekiyor” vurgusunu yapan Ümit Yalçın Şen’e göre, siyasi gelişmeler, ülkeler arası ticari rekabet gibi konular da bunu tetikliyor. Son 5-6 yıldır bu konudaki beklentiye, belirli sektörlerde bazı ekipmanların yerli olarak üretilmesi konusunda belirli düzenlemelerin varlığına işaret eden Yalçın Şen, şöyle devam etti:

“Lisans, iyileştirmeler, bakım ve destek açısından işin maliyetleri var. Kurların artmasıyla maliyetler de artmaya başladı. Buna müteakip, firmaların alternatif arayışına girdiğini biliyoruz. Türkiye’de üretilmiş bir çözümün daha hızlı ve esnek olma potansiyeli söz konusu. Çünkü bazen yabancı firmaların herhangi bir çözüm geliştirmesinin bir sonraki sürüme kalacak durumlarda bizleri zora sokabiliyor. Özellikle siber güvenlik gibi anında müdahale etmek gereken noktalarda kritik olabiliyor.”

Bilgi güvenliği için nitelikli çözümler

Nebula Yönetici Ortağı Caner Dağlı ve Nebula & Sechard Genel Müdürü Serkan Akcan “Neden Yerli ve Milli Ürünler Yapmak Zorunda Kaldık?” başlıklı sunumlarıyla hem kurumsal geçmişlerini paylaştılar hem de yerli ve milli ürünlerin güvenlikte önemine dikkat çektiler. 2005 Ocak’ında Nebula’yı kurduklarını, amaçlarını ‘nitelikli bilgi güvenliği çözümleri sunabilmek’ olarak gösteren Serkan Akcan, şöyle devam etti:

“Süreç boyunca içeride birçok yazılım geliştirdik. Nebula Acil Müdahale Aracı adında 2003 yılından bu yana geliştirdiğimiz bir yazılımımız var. Sisteme bir virüs bulaşırsa çok hızlı bir şekilde binlerce bilgisayarı kurtarmak için tasarladığımız bir yazılım bu ve geçmişte 3-4 bin bilgisayarı 10-15 dakikada kurtardığımız durumlar da var. Şifreleri gizleme konusunu da 10 yıldır Nebula’da yapıyoruz. Müşterilerimize teknik personelimiz bağlanırken şifreleri görmüyorlar. Hiçbir şifre bilgisine sahip olmadan teknik personelimiz bağlantıları gerçekleştiriyor. UTM cihazları satıyoruz ve bunları test etmek, veri tabanlarının kalitesini ölçmek için geliştirdiğimiz bir yazılımımız var. Pentest Manager, tamamen kendi içimizde kullandığımız, müşteriye hiçbir zaman göstermediğimiz, penetrasyon süreçlerimizi yönettiğimiz bir yazılım. Nebula’nın penetrasyon testi hizmetlerinde girdi ve çıktı bellidir. 5-10 gün süren penetrasyon raporlama, bizde 30 dakikada çıkar. Bugünlerde KVKK ve GDPR’den kaynaklı veri tabanlarının şifrelenmesi söz konusu. Veriye kimin hangi amaçla ulaştığı, veri önemliyse şifrelenmesi gibi kontrollerin yapılması gerekiyor. Database Tester yazılımımızda binlerce kredi kartını veri tabanına yazıyoruz. Hem veri tabanının, hem de veri tabanını şifreleyen cihazların performanslarını ölçmeye çalışıyoruz. Müşterimizin yoğun bir kullanımda ne ile karşılaşacağını test etmiş oluyoruz. Bilgi güvenliğini mutlaka özelleştirmek, müşterilerin ihtiyaçlarına göre çeşitli testler geliştirmek gerekiyor. 2010 yılından bu yana çeşitli ödüller alıyoruz bu bakış açılımızla.”

Türkiye’ye özel içerikler yakın takipte

2014 yılında Ankara ofisini açtıkları bilgisini veren Caner Dağlı ise “Yazılım geliştirme kabiliyetimiz açısından, bulduklarımızı üreticilere bildirmeden kendi veri tabanımızı yaparak müşteri cihazlarını beslemek adına yazılım yazmaya başladık” dedi ve ekledi: “Tamamen Türkiye pazarına özel, buradaki derdi çözen bir ürün haline geldi.” 2019 yılında kendilerine ait zafiyet yönetimi ürününü çıkarttıklarını, üç ürünü de Nebula Secure altında markaladıkları bilgisini veren Caner Dağlı, şöyle devam etti:

“Savunma Sanayi Müsteşarlığı tarafından kurulan Türk Siber Güvenlik Kümesi’ne üyeyiz. Neden zafiyet yönetimi yazılımı geliştirdiğimiz noktasında hem kendimiz hem müşterilerimiz için bunun iki cevabı var. Kendimiz için olan kısmında, mühendislerimiz birçok tool’u farklı sistemler için kullanmak zorunda kalıyorlardı. Bunları merkeze raporlamak için birçok süreç yaşıyorduk. Yazılım kabiliyetlerimizi burada kullandık ve bunu otomatize ederek güzel bir araç ortaya çıkardık. Müşteri kısmında, müşterilerimizin çeşitli zafiyet tarama ihtiyaçları var. Bazı müşterilerimiz için bu süreçlerin yönetilmesi sıkıntı olabiliyor. Biz de bu kapsamda kendi çözümümüzü geliştirdik. Böylece zafiyet taramayı sistem seviyesine indirip, web uygulamasındaki açıkları kapatıp, birçok modülü kullanabileceğimiz bir çözüm haline getirdik. TSE’ye uygun bir raporlama formatıyla kabul görecek biçimde bunu ayarlayabiliyoruz. Bu, KVKK gibi süreçler için de zorunluluk arz ediyor. Tehdit istihbaratı tarafına yönelik de bir modülümüz var. Bu modülde Türkiye’ye özel içerikleri izliyoruz. Bir siyasi parti geçmişte trafik cezalarının iadesi ile ilgili bir iddia ortaya atmıştı. Hemen ardından hackerlar bunu sosyal medyada ya da e-posta ataklarında “trafik ceza iadeleri” gibi başlıklarla insanları kandırarak kredi kartı bilgilerini çalmak hedefiyle sahtecilikler yaptılar. Türkiye’ye özel gündemleri takip ettiğimiz için kurumların Türkiye’ye özel karşılaşabilecekleri zafiyetleri öngörüp bunlara özel önlemler alabiliyoruz. Bir diğer modülümüz marka koruma. Kendi gündemimizi yurtdışındaki firmalardan daha iyi biliyoruz. Bununla alakalı ülkemizi ilgilendiren bir tehdit olduğunda bunları tespit edip bunların kapatılması ile ilgili faaliyetler alabiliyoruz. Nebula Secure altındaki tüm paylaşımlarımızı rapor şeklinde TSE’nin uygunluk seviyelerine göre sağlayabiliyoruz.”

Risk değerlendirmelerinde süreklilik esas

Küresel bazda yükselen güvenlik algısının Türkiye’deki yansımalarının yıllar içinde gelişimine odaklanan BTHABER Şirketler Grubu Başkanı Murat Göçe, bu dijital etkinliğin panelinin de moderatörü oldu. Kullanıcı tarafındaki bilinç ve algının istenen seviyeye hala gelmediği eleştirisini yapan Murat Göçe, kamu tarafında BTK’nın yoğun çalışmaları neticesinde bir miktar yol alındıysa da daha yapılması gerekenlere de dikkat çekti. Tüm bu konseptlerin sonunda yerli ve milli güvenlik konusunun gündeme geldiğini, kendi yerli ve milli ürünlerimizi bir an evvel geliştirmemiz gerektiğini vurgulayan Murat Göçe’nin yönettiği panelin katılımcıları da Albaraka Türk Bilgi Güvenliği Servis Yöneticisi Mehtap Kılıç, Kale Holding BT Direktörü Murat Enez, Pegasus Airlines Bilgi Sistemleri Güvenlik Müdürü Murat Zaralı ve Nebula & Sechard Genel Müdürü Serkan Akça oldu. Mehtap Kılıç, pandemi sürecinde aldıkları önlemleri şöyle anlattı:

“Bilgi güvenliği servisi olarak uzaktan çalışma konusunda çok sıkı tedbirlerimiz vardı. Hem firmalara hem içerideki çalışanlara çok zorunlu iş ihtiyaçları olması durumunda kontrollü yetkiler veriyorduk. Corona döneminde uzaktan erişim yetkileri bir anda arttı. Güvenlik ile ilgili sıkılaştırmaları daha fazla yapmak durumunda kaldık. Tüm paydaşlarımızla birlikte bir risk değerlendirme çalışması yaptık. Bizim bir kriz yönetim komitemiz vardı ve çok hızlı bir şekilde iyileştirici ya da ek önlemleri artırıcı kontroller yaptık. Bundan sonraki süreçte de evden çalışma büyük ihtimalle devam edecek. Bunun iyi taraflarını da gördük. Bundan sonraki süreçte hem izlemeleri artırarak hem mevcut riskleri azaltarak devam etme kararı aldık. Teknik tarafta, uzaktan erişim süreçlerinde kontrollerimiz mevcuttu. Çağrı merkezi çalışanlarımız da bu dönemde evden çalışmaya geçtiği için farkındalık artırıcı çalışmalarımızı artırdık. Bilgi güvenliği farkındalık eğitimlerine uzaktan sınıflar meydana getirerek devam ettik.”

Güvenlik daha da öncelik halini aldı

Kale Grubu’nun 63 yıllık bir firma olduğunu, bunun gelişiminde dijitale dokunduğu noktanın son 20 yıl olduğunu vurgulayan Murat Enez de sözlerine şöyle devam etti:

“15 yıl önce Nebula ile çalışmaya başladığımızda güvenlik konusu bilinçli bir şekilde yaklaşılan bir konu değildi. Herhangi bir hizmet ya da sürdürülebilirlik konusunda bir plan dahilinde işlemler yapılmıyordu. Kale Grubu, savunma-havacılık tarafına girdi ve vizyonda bir değişiklik olmak durumunda kaldı. Çünkü çalıştığımız Amerikan firmalar güvenlik gerektiren firmalar. Bunlar, bizim kültürümüzde ve anlayışımızda bir sıçrama etkisi yarattı. Savunma tarafı, grubun hacim olarak büyük tarafı değil, ama yatırımlarımız ciddi bir şekilde bu tarafta yer almak zorunda kalıyor. Belirli yöneticiler hem yapı grubunda belirli fonksiyonları icra ediyor hem de savunma-havacılık tarafında kritik bilgi ve kararların alındığı noktalarda da çalışmak zorundalar.”

‘Zayıf halka’ algısını değiştirmek lazım

Koronavirüs sürecinde özellikle uç noktalara çok fazla saldırılar oldu. Bu süreçte yaşananları ve yürüttükleri çalışmaları Murat Zaralı, şöyle anlattı:

“Bu saldırıları biz biliyoruz, siz biliyorsunuz; ama genel kullanıcıda tam tersi bir algı var. 1 Haziran’dan itibaren geçerli olan normalleşme süreci ile Pegasus ofisten çalışmayı da devreye aldı. BT dışındaki departmanlardan arkadaşlar, saldırıların daha azalmış olabileceğini, bu yüzden bizim bu dönemde daha rahat edebildiğimizi söylediler. Son kullanıcı nezdinde böyle bir algı var. Pegasus olarak kurumumuzda bir söylem değişikliğine gittik. Güvenliğe ‘zayıf halka’ demek yerine, bunun en güçlü yanımız olduğunu söyleyerek oraya yatırım yapmaya çalışıyoruz. Yerli ve milli bir yazılım kullanıyoruz. Kullanıcılarımıza o ürün üzerinden bize gerekli bilgilendirmeleri yapmalarını istiyoruz. Bildirimler, çok hızlı bir şekilde aksiyon almamızı sağlıyor.”

İyi planlama yaparak işe başlayın

Serkan Akça da yerli ve milli yapıyı tanımlarken, bu kavramı ürünlerine nasıl yansıttıklarını şöyle açıkladı:

“Tüm yazılım kodlarını kendimiz geliştiriyoruz. Burada önemli olan, bir ekibin yazılım geliştirme kabiliyetine sahip olması. Biz ilk günden itibaren yazılım geliştiren bir ortağımızın da olması nedeniyle birçok aracı geliştirdik. Üç ayda bir wireless şifrelerinin değiştirilmesi gerekir. Biz de pazarın yüzde 60’ında kullanılan bir wireless cihazı kullanıyoruz ve üç ayda bir şifrenin değiştirilmesi, personele bildirilmesi zor bir iş. Bunu yapmak yerine, yazılım ekibimiz otomatik olarak değiştiriyor. Windows Agent’larımız da otomatik olarak yazılıyor. Hiç kimse şifrenin değiştirilmesinden haberdar olmaksızın hem regülasyona karşı açık hem de güvenliğe karşı hazır oluyoruz. 2013-2014 yıllarında fidye yazılımları artmaya başlayınca bunların kaynaklarını bulmaya, bunu daha da detaylandırmak için domain analizi yapmaya başladık. Dünyada her gün 300 bin civarı yeni domain satın alınıyor. Bunların bilgisini satın alıyoruz ve üzerinde otomatik analiz yapan bir yazılım geliştirdik. Önce temel analizler yapıyordu, sonra biraz yapay zeka, makine öğrenmesi eklendi. Yazılım sürekli gelişiyor ve pazarda belirli bir ihtiyacı karşılayan bir ürün haline geliyor. Yazılımlarımız yüzde 100 kendi geliştirdiğimiz yazılımlar. Evde çalışan insanlar, şirket bilgisini kullansalar da, merkez ofis üzerindeki güvenlik imkanlarından yararlanmadığı için oltalama saldırılarına maruz kalıyorlar. Biz hızlıca tehdit istihbarat birimimizi şirketlerin veri tabanlarına, firewall’larına, merkezlerine gönderirken, hızlıca Browser’larına da göndermeye başladık. Şu an tehdit istihbarat ürünümüzü kullanan müşterilerimiz evlerindeki bireysel bilgisayarlarında bile tehditlerde engelleme yapıyorlar.”