Kişisel cihaz risk değil, fayda olsun istiyorsanız…
Kendi cihazını kullanmayı, bu cihazlarla da kurumsal süreçlerde yer almayı isteyen çalışanlar, kurumsal ağ yapısı ve güvenlik algısının da büyümesini sağladı.
Çalışanlar, farklılaşan teknolojik gelişmelerden ötürü akıllı telefonlar, tabletler veya çeşitli depolama birimleri ile çalışıyor. Bu da, ağda kontrol edilecek cihaz sayısının ve çeşitliliğinin artması demek. 4S Ürün Teknolojileri Danışmanı Mehmet Özpolat, dolayısıyla kullanılan güvenlik cihazlarının bu yeni ortamları tanıması ve izlemesi gerektiğini, bu tür yeni ve değişken ortamların sistem üzerinde yapacağı yükün önceden hesaplanması gerektiğini vurguladı. Günümüzde kurumsal ağın iletişimi ve bu ağa erişim kavramlarının esnek bir hale gelmesi söz konusu. Dataserv Bilgi Güvenliği Satış Müdürü Erdem Mengeş’e göre, ağ yapılarının sınırları oldukça belirsizleşirken, kurumsal ağ ve verilerin saklanırken güvenliğinin sağlanması kadar, iletişim halindeki güvenliği ve bireysel cihazlardaki yönetimi de önem kazanıyor. Böylece mobil cihaz yönetimi (Mobile Device Magement – MDM) her sektördeki kurum için bir gereksinim haline geliyor.
Kişisel mobil cihazların iş ortamında kullanımının yaygınlaşması, BYOD (Bring Your Own Device) kavramını hayatımıza kazandırdı. Bordotek Teknik Müdürü Ahmet Turan Gültekin’in de belirttiği gibi, güvenlikte temel ilkelerden kontrol ve denetim, mobil cihazlarla ve BYOD yaklaşımında bazı eksikliklere yol açabiliyor. Denetim ve kontrol eksikliğinden dolayı güvenliği sağlamak daha çok çaba gerektiriyor. Prolink Sistem Mühendisi Sefer Kayar, bu bağlamda mobil cihazların şirket ağlarına güvenli ve kontrollü şekilde dahil olabilmeleri için bütünleşik çözümler geliştirildiğini söyledi ve “Bu sistemlerle, cihazların ağa dahil olduğu noktalarda, erişim kontrol sistemleri ile şirket güvenlik politikalarına uygunluğunun kontrolü, uygun değil ise uygun hale getirilmesi için gerekli aksiyonların alınması ve ağ içinde izin verilen belirli kaynaklara erişimi sağlanıyor” detayını paylaştı.
İş ortamı içerisinde kullanılan kişisel mobil cihazlar, iş ağlarına doğrudan dahil olma durumunda güvenlik tehditleri oluşturabiliyor. Kavi Ağ Teknolojileri Ürün Müdürü Osman Karan, kurumların bu konuda kablosuz erişim kontrol donanım ve yazılım çözümleri ile 802.1x projelerine yer vermesi gerektiğine işaret ederek ekledi: “Kontrol edilemeyen, denetlenemeyen, faaliyetleri izlenemeyen, kısaca yönetilemeyen her uç bizim için risktir.”
Yapılan araştırmalarda, Türkiye’de her beş kişiden birinin akıllı cep telefonu kullandığı ortaya çıkarken, şirketlerin yeni bir ağ yapısı ile karşı karşıya olduğu ortada. Treo Bilgi Teknolojileri Microsoft Çözümleri Takım Lideri Filiz Babacan, böylece şirketlerin BT departmanlarının sadece kendi ağlarında yer alan cihazların güvenliğini sağlamak dışında, dışarıdan gelen birçok mobil cihazın güvenliğini de sağlamak zorunda olduğuna işaret etti. “Kişisel mobil cihazların iş alanlarında kullanılmasını istemeyen şirketler ya büyük bir harcama içine girerek bu cihazları kendileri alacaklar ya da teknolojinin gelişiminden yararlanmayacaklar” yorumunu yapan Securist İş Geliştirme Koordinatörü Erhan Görmen’e göre, mobil cihazların tehditlerine bakıldığında normal bir bilgisayarın uzaktan ağa bağlanmasından daha güvenli oldukları söylenebilir. Ancak zamanla bu konuda oluşabilecek yeni tehditler, olasılığı artıracak. Bu noktada dikkat edilmesi gereken tek şey, kişisel mobil cihazların da tıpkı iş varlıkları gibi korunması gerekliliği ve güvenlik politikaları ve uygulamalarının bu cihazlar için de geçerli olması. Tesan İletişim Genel Müdürü Rüştü Arseven şu eklemeyi yaptı:
“Güvenli erişim için VPN sistemleri gelişmekte. Şifrelenmiş özel tünel bağlantıları ile şirketlere, özel verilere, sadece izin verilen ve güvenli bağlantılar ile ulaşılması büyük bir güvenlik açığını ortadan kaldırmakta. VPN yapısının sağlıklı çalışabilmesi için ağ yapılarının buna uyum sağlaması veya yeni nesil güvenlik (NGFW) sistemlerine geçilmesi gerek.”
Şirket ağına kontrollü erişim
“Özellikle kullanıcı taleplerinin genelde üst düzey yöneticilerden gelmesi ile güvenlik politikalarından tavizler verilmeye başlandı. Düşünün ki; GSM şebekesi üzerinden dünyanın her yerindeki kişiler tarafından erişilebilir bir mobil cihaz yerel ağa giriş yapmış oldu. Bundan daha tehlikeli ne olabilir?” diyen Citrix Türkiye Ağ Ürünleri Satış Yöneticisi Mehmet Tarımcı’nın tepkisine, Eset Türkiye Teknik Müdürü Erkan Tuğral şöyle destek verdi:
“Android, iOS, Embedded Linux, Windows RT gibi bilinen ama cihaz güncellemeleri bile cihazdan cihaza değişen farklı işletim sistemler ile tamamen üreticiye özel kapalı sistemleri bir arada sisteminize dahil etmiş oluyorsunuz. Böylece bu cihazların herhangi birinde yer alabilecek güvenlik zafiyetleri güvenlik yapılandırmanızda bir kapı açmış oluyor. Bu anlamda kurum dışı cihazların erişim düzeyini minimum yetkiyle maksimum kontrollü verecek yöntemler kullanan sistemlerin ağ yapılarına dâhil edilmesi şart.”
İnfoNet İş Geliştirme ve Danışmanlık Birim Yöneticisi Gürsel Arıcı’nın belirttiği gibi, kişilerin özel hayatlarında olduğu gibi bu aygıtları özgürce şirket içerisinde kullanması, kurum için ciddi güvenlik riskleri taşır. Zararlı yazılım bulaşmış olan bir mobil cihazın kurum ağına doğrudan bağlanabilmesi, sistemdeki diğer kullanıcı ve sunucuları tehdit eder. Bu nedenle şirketlere mobil cihazların bağlandığı ağları ayırarak, çevre ağlardan (perimeter network) erişim sağlanmasını önerdiklerini vurgulayan Arıcı, “Böylece şirket ağına erişirken belirli kontrollere tabi olacaklar. Mobil aygıtlarda güvenlik uygulamaları kullanımını da tavsiye ediyoruz” dedi.
Teknoser Güvenlik Çözümleri Danışmanı Serhat Yediel’e göre, mobil güvenlik iki konuda ele alınmalı: Mobil Güvenlik (MDLP) ve Mobil Cihaz Yönetimi (MDM). Mobil cihazların, işletim sistemi güncellemesi, yer takibi, uzaktan cihazın tüm verilerinin silinmesi gibi temel özelliklerin mobil cihaz yönetimi ürünleriyle sağlanabilmesi mümkün. Ancak yönetimi yapılan mobil cihazın veri güvenliğini sağlamak da güvenlik açısından zorunluluk teşkil ediyor. “Şirket veri güvenliği politikanızı aynen mobil cihazlarda da sağlayabilmeli ve bu bağlamda bir çözüm kullanmalısınız” diyen Yediel’e göre, şirket BT yöneticileri tercihini buna göre yapıp, mobil cihaz yönetimi mi yoksa mobil veri güvenliği mi kararını vermeli. Mobil cihaz işletim sistemlerindeki zafiyetler göz önüne alındığında, mobil cihazlardaki verilerin şirket bilgisayarlarındaki verilerden çok daha riskli olduğu unutulmamalı.
KULLANICILAR BİLİNÇLENDİRİLMELİ
“Kişisel mobil cihazlar iç ağda şirketin iç kaynaklarına ulaştırılmadan kullanılabilir” diyen TurkNet Erişim Teknolojileri Ürün Müdürü Murat Coşkunsoy, şirket uygulamaları için mobil ürünlerin kullanımına ihtiyaç duyulduğunda, BT ekibi tarafından yönetilen, mobil güvenlik ürünleri ile korunan ve şirket ağına ancak şifrelenmiş bağlantı üzerinden erişebilen mobil cihazların kullanılması gerektiği kanısında. Mobil erişimin ağ seviyesi güvenliği mobil operatörler tarafından sağlansa da, Coşkunsoy eklemeden geçmedi: “Bu cihazların uygulama seviyesinde açık vereceği ve kaybolmaya, çalınmaya açık olduğu bilinmeli, kullanıcılar bilinçlendirilmeli.”
YÖNETİM RİSKİNİ ORTADAN KALDIRIN
Mobil cihazların iş dünyasında yoğun olarak kullanılması ile mobil tehditlerin daha da çeşitlenip yaygınlaşacağını, bu cihazların kurumlara yönelik siber tehditlerdeki temel saldırı vektörlerinden birisini oluşturacağını söylemek hiç de zor değil. Symantec Türkiye Kıdemli Teknoloji Danışmanı Aydın Aslantaş, şu detayları paylaştı:
“Yönetemediğiniz bir şeyin güvenliğinden bahsedemezsiniz” düşüncesine katılıyoruz. Bundan hareketle, en temel risk olan yönetim riskini ortadan kaldırmak için mobil cihazların yönetiminin en önemli adım olacağını düşünüyor; yönetebilmeye başlayarak, aslında ciddi bir görüş gücü kazanılacağına ve sağlıklı analizlerle doğru adımların belirleneceğine inanıyoruz.”
