Özel sektör ile kamunun kol kola çalışmasını gerektiren birçok yeni tehdit var

Siber saldırılardan kaynaklanan risklerin sayısı her geçen gün artarken, kurumların ve şirketlerin sadece kendi kaynakları ile gelişmiş siber saldırılara karşı koruma sağlayamadıkları artık çok net şekilde görülebiliyor.

Siber saldırıların, günümüz dünyasını tehditleri ve verdiği zararların boyutları her geçen gün artıyor. Kurum ve şirketlerin ise bu konuyu sonlandırmaları da pek gerçekçi görünmüyor. Siber saldırılar konusunda yetkin eleman sorunu sadece ülkemizde değil, dünyanın tüm bölgelerinde yaşanırken, saldırganlar ise kendilerini her geçen gün biraz daha geliştiriyorlar. Bu saldırılara karşı ise tüm paydaşların birlikte çalışması zorunlu hale geldi. ADEO Güvenlik Bölümü Başkanı (CSO) Halil Öztürkci, bu konudaki gelişmeler hakkında sorularımızı yanıtladı:

• Günümüz ortamında, riskler nasıl şekilleniyor ve gelişiyor?

Günümüzde siber saldırılardan kaynaklanan risklerin çeşitlenerek arttığını söyleyebiliriz. Sadece çeşitlenmiyor aynı zamanda etkileri de inanılmaz boyutlara ulaşabiliyor. Örneğin bir yazılımın üreticisinin sistemlerine sızan saldırganlar, bu yazılım üzerinden yüzlerce hatta binlerce farklı sistemi ele geçirebiliyor. Geçtiğimiz yıl yaşanan SolarWinds saldırısı böyle bir saldırıydı ve bu saldırı hem şirketleri hem de devletleri siber riskleri yeniden tanımlamak ve ele almak zorunda bıraktı. Aynı şekilde bu yıl yaşanan Colonial Boru Hattı saldırısı da bir kez daha fiziksel hayatın dijital dünyaya bağımlılığını ve bu dünyada yapılacak eksik veya yanlış bir risk değerlendirmesinin nelere yol açabileceğini bütün kamuoyuna göstermiş oldu.

• Bu çerçeveden baktığımızda güvenlik stratejilerinde nasıl yaklaşımlar ortaya çıkıyor?

Siber güvenlik artık tek başına ne bireylerin ne şirketlerin ne de devletlerin sorunu. Yakın tarihte yaşanan onlarca siber saldırı şunu gösterdi ki bu saldırılar herkesi etkiliyor. Bu saldırıları önlemek için geliştirilecek stratejilerin doğru bir strateji olması için bütün paydaşların bu stratejiyi yürütürken aktif şekilde rol alması gerekiyor. Burada en önemli konulardan birisi de tarafların birbirleri ile yapacakları paylaşım konusu. Bilgi paylaşımı, istihbarat paylaşımı, teknoloji paylaşımı gibi. Yani tarafların elinde ne varsa bunları siber savunma amaçlı paylaşmak belki de siber güvenliği sağlamak adına yürütülecek stratejinin başarıya ulaşmasını sağlayacak en kritik adım olacaktır. Yurtdışında bunun örneklerini görmeye başladık.

• Kurumların güvenlik yaklaşımlarını belirlerken genelde ne tür hatalı davranışlarda bulunuyorlar? Ne tür hareketler, risklere davetiye çıkartıyor?

Siber güvenlik yaklaşımlarında karşılaştığımız en büyük problem, bunun bir teknoloji problemi olarak algılanması ve birtakım teknolojik yatırımlar yapılarak bu problemin çözülebileceği kanısının taşınmasıdır. Özellikle ülkemizde bu algı çok fazla yer etmiş durumda. Ama son birkaç yılda yaşanan siber saldırılar bir kez daha gösterdi ki teknolojik olarak yatırım yapmış olmanız sizi siber saldırılara karşı korumuyor.  Kapasitesi en yüksek firewallu satın almış olabilirsiniz ya da sekiz farklı koruma özelliğini bünyesinde barındıran bir antivirüsünüz olabilir ama bunların hiçbiri sizi gelişmiş bir siber saldırıya karşı koruyamayacaktır. Yapılması gereken şey doğru teknoloji ile doğru uzmanlığı bir araya getirecek savunma stratejilerini hayata geçirmek olacaktır. Yetişmiş insan gücünün aktif şekilde rol almadığı hiçbir siber güvenlik stratejisi başarıya ulaşamaz. Yetişmiş insan kaynağı konusunda da kamunun sıkıntı yaşadığını biliyoruz. Bu sadece Türkiye’de değil bütün dünyada yaşanan bir problem. Bu problemin kısa zaman içinde çözüleceğini de düşünmüyoruz. Burada en doğru stratejinin yetişmiş insan gücünün ortak kullanımını sağlayacak paylaşımlı bir yönetilen servis yaklaşımı olduğunu söyleyebiliriz.

• Kamu güvenliğini sadece bağımsız ya da kurumsal hacker’lar değil farklı ülkeler de tehdit edebiliyor, bu yönde saldırılar gerçekleştirebiliyorlar. Yani bir nevi siber savaşlar dönemindeyiz diyebilir miyiz? Bu açıdan bakıldığında genel ülke siber güvenlik stratejilerimizin nasıl olmasını öngörüyorsunuz?

Aslında çok uzun zamandır siber uzayda bir savaş var ve bu uzayda gücü olan ülkelerin çok ciddi şekilde diğer ülkelere karşı pozisyon kazandığını görebiliyoruz. Son birkaç yılda Türkiye’deki kamu kurumlarını ve özel şirketleri hedef alan siber saldırıları iki farklı kategoride değerlendirmek mümkün. Bunlardan ilki APT saldırıları olarak adlandırdığımız ve genellikle yabancı devletler tarafından desteklenen siber saldırganlar tarafından gerçekleştirilen ve temel amacı bu saldırganları destekleyen devletlere operasyonel ve istihbarat bilgisi sağlamayı amaçlayan siber saldırılardır ve hedeflerinde birincil olarak kamu kurumları yer alır. Bu saldırganların temel motivasyonu olabildiğince fazla kuruma sızıp bu kurumlarda olabildiğince uzun kalarak işlerine yarayabilecek ve daha sonra farklı amaçlar için kullanabilecekleri bilgileri toplamaktır. İkinci grup saldırılarda ise genel motivasyon paradır ve saldırganlar farklı yöntemler kullanarak kurumlardan veya şirketlerden para almayı (hedefli fidye saldırıları örneğinde olduğu gibi tehdit ile şirketlerden/kurumlardan para talep etmek gibi) veya kurumların veya şirketlerin yapılarında yer alan ve para değeri olan verileri (kredi kartı bilgileri, müşteri bilgileri, kişisel veriler vb.) elde ederek bu verileri siber yer altı dünyasında satarak para kazanmayı amaçlarlar. Bu iki saldırı sınıfındaki saldırıların tamamı aslında ulusal güvenliği doğrudan veya dolaylı olarak tehdit eder. Geliştirilecek savunma stratejileri bu saldırılar için temelde aynı karakteristiği gösterse bile özellikle kamu kurumları açısından daha bütüncül ve kompleks bir savunma stratejisinin hayata geçirilmesi, kurumlar arası siber tehdit istihbarat paylaşımının koordine edilmesi ve özellikle siber saldırı tespitinde merkezi bir yaklaşımın benimsenmesi oldukça önemlidir.

Kurumların ve şirketlerin kendi kaynakları ile gelişmiş siber saldırılara karşı koruma sağlayamadıkları artık çok net şekilde görülebiliyor. Hem yetişmiş uzman eksikliği hem de saldırganların gün geçtikçe çok daha sofistike teknikler geliştirmeleri ve kullanmaları bunun en önemli sebebi. Bu yüzden geliştirilecek stratejide belki de en önemli yaklaşım her bir kurumun kendi başına bu siber saldırılarla uğraşmayacağı, konsolide olmuş ve bünyesinde yeterli seviyede uzman barındıran bir merkezin hayata geçilmesini sağlamak olacaktır. Ayrıca strateji belirlenirken kamu ve özel sektör ayrımı yapmadan hem kamunun hem de özel sektörün aktif şekilde içinde yer alacağı, birbirlerine karşı sorumluluklarının güncel siber tehditler göz önünde bulundurularak yeniden tanımlandığı yeni bir stratejiye ihtiyaç var. Bu stratejinin en yakın örneğini Amerika Birleşik Devletleri Başkanı Biden’ın 12 Mayıs 2021’de imzaladığı ve ulusal siber güvenliğin iyileştirmesini amaçlayan Başkanlık Kararnamesi’nde görüyoruz.

• “Bütünleşik güvenlik” kavramı nasıl değerlendirilmeli? Bu kavramın unsurları hakkında bilgi verebilir misiniz?

Biz ADEO olarak bütünleşik güvenlikten ziyada entegre siber güvenliği konuşmayı tercih ediyoruz. Siber güvenlik dünyasında bütünleşik güvenlik ne yazık ki çok olumsuz bir repütasyona sahip. Siber güvenlik denince akla gelen bütün teknolojileri tek bir platform üzerinden müşterilere sunmak veya ajan üzerinde bu teknolojileri birleştirmek her zaman doğru sonuçlar üretmiyor. Bunun yerine siber güvenlik alanında ihtiyaç duyduğumuz her bir spesifik iş için o işi en iyi yapan teknolojiyi tercih etmenin ve seçilen teknolojilerin de birbirleri ile entegre olabilme yeteneğinin maksimum olmasına dikkat etmenin en doğru strateji olduğuna inanıyoruz. Daha önce de söylediğimiz gibi elinizde çok fazla teknolojinin olması sizi siber saldırılara karşı korumuyor. Doğru seçilmiş ve konumlandırılmış, sorunsuz çalışan az sayıda teknoloji size çok daha fazla koruma sağlayabilir. Bizim yaklaşımımız kurumları teknoloji çöplüğü haline getirmeden maksimum seviyede siber güvenlik sağlamak adına teknoloji ve yetkin uzman ikilisini dengeli şekilde kullanmaktır.

• Adeo bu açılardan bakıldığında müşterilerine nasıl bir güvenlik yaklaşımı sunuyor?

ADEO’nun en büyük misyonu bütün müşterileri için birer “Güvenilen Danışman” olarak onların ihtiyaçlarını en iyi şekilde analiz etmek ve bu analiz sonucunda da en doğru çözümü sunmaktır. Müşterilerimiz ile siber güvenlik alanında hem koruma hem de tespit aşamalarında hangi teknolojiyi seçmeleri gerektiğinden  siber olay müdahalesinde hangi süreçleri hangi uzmanlık seviyesindeki analistler ile işletmeleri gerektiğine kadar bütün bir yelpazede birlikte çalışabiliyoruz. Bazen sadece doğru teknolojinin tedarik edilmesinde görev alırken bazen de hem teknolojinin tedarik edilmesi hem ilgili süreçlerin tanımlanması hem de yönetilen servis olarak bu süreçlerin sunulması aşamasında yer alabiliyoruz.

• “Adeo Siber Güvenlik Merkezi” hizmetleriniz kapsamında nasıl bir rol üstleniyor?

ADEO olarak, siber güvenlik alanında işletmelere yurt içinde ve yurt dışında danışmanlık, siber güvenlik, kurulum, eğitim, bilişim güvenliği, siber olay müdahalesi ve yönetilen güvenlik hizmetleri alanlarında, bünyemizde bulunan profesyonel IT danışmanlarımız ile yüksek kalitede hizmetler sunuyoruz. Bu bağlamda, tek bir ürün ya da belli bir ürün/servis sağlayıcıya bağımlı kalmadan müşterilerimizin ihtiyacına en uygun çözümleri hayata geçiriyoruz.

Başta Finans, Telekomünikasyon, Enerji, Üretim, Perakende sektörleri ve Kamu olmak üzere Türkiye ve MEA (Orta Doğu ve Afrika) bölgesinde 1000’nin üzerinde kurumsal müşteriye hizmet veriyoruz. Hizmet sunulan kurumların içerisinde her büyüklükten işletme bulunuyor ve buralarda edindiğimiz tüm tecrübeler, işletme büyüklüğünden bağımsız olarak tüm kurumlara uygulanabiliyor.

ADEO danışmanları olarak, müşterilerimiz ile çalışmak, işlerinin risklerini anlamak ve mümkün olan en iyi çözümlerin uygulanmasını kolaylaştırmak için kanıtlanmış bir metodoloji kullanıyoruz. Bu metodolojinin kalbinde ise İngilizce Managed Detection and Response kelimelerinin kısaltması olan ve Türkçe’ye Yönetilen Tespit ve Müdahale olarak çevirebileceğimiz MDR hizmetleri ve çözümleri yer alıyor.

Kısa sürede “Şirketlerin Siber Doktoru” olarak konumlanan, MDR konusunda Türkiye’de ilk ve lider konumda bulunan ve sahip olduğumuz diğer yönetilen siber güvenlik portfolyomuz ile birlikte ADEO olarak hedefimiz, her zaman müşterilerimiz ile uzun yıllar sürecek bir iş ortaklığını temeli için en iyi hizmet kalitesini ve toplam müşteri memnuniyetini sağlamak.

• Güvenlik yaklaşımlarında en önemli unsurlardan bir tanesini de yetkin ekipler oluşturuyor. Adeo’nun ekipleri ve uzmanlıkları hakkında bilgi verebilir misiniz?

Yetişmiş insan gücünün aktif şekilde rol almadığı hiçbir siber güvenlik stratejisi başarıya ulaşamaz diyoruz. Bu nedenle insan kaynağı başarımızda çok büyük rol üstleniyor.

ADEO, hem özel hem de kamu sektörlerinde derinlemesine deneyime ve uzmanlığa sahip tamamı Türk mühendis ve teknoloji danışmanlarından oluşan, gereken tüm akreditasyon ve yeterlilik seviyelerini elinde bulunduran yüzde 80’i teknik olan bir kadroya sahiptir. Şu an İstanbul ve Ankara ofislerimizde bu özelliklere sahip 110’dan fazla çalışma arkadaşımız var.

Ayrıca, sahip olduğumuz teknik bilgi ve tecrübe ile 2010 yılından beri ADEO Akademi olarak sektöre siber güvenlik konusunda uzman insan kaynağı da yetiştiriyoruz.

• Diğer önemli bir unsur ise doğru iş ortaklıkları. Farklı iş ortaklarınız bulunuyor. Bu iş ortaklarınız ile nasıl bir sinerji oluşturuyorsunuz? Bu sinerjinin müşteriye yansımalarını nasıl değerlendiriyorsunuz?

Sunduğumuz hizmetlerin kalitesini belirleyen en önemli faktörlerden başında o hizmetlerin içinde yer alan çözümlerin (yazılım ve/vaya donanımların) ne kadar olgunlaşmış ve güncel ihtiyaçlara ne oranda cevap verdiği gelir. ADEO olarak biz de çalışacağımız siber güvenlik üreticilerini seçerken öncelikle teknolojik olarak bizim değerlendirmemizde geçebilecek bir olgunluğa sahip olması şartını arıyoruz. Kendi uzmanlarımız tarafından kendi laboratuvar ortamlarımızda üreticilere ait teknolojiler test ediliyor ve gerekli yetkinlikte olduğu onaylandıktan sonra ilgili üretici ile partnerlik anlaşmaları imzalanıyor. Dolayısıyla ADEO bir üretici ile çalışmaya karar verdiğinde o üreticinin bizim testlerimizden geçtiğini söyleyebiliriz. Bu süreç bizim müşterilerimiz tarafından da bilinen bir süreç ve ADEO olarak bizim sunduğumuz çözümlerin teknik olarak yeterliliğini ispatlamış ürünler barındırdığını bilir müşterilerimiz. Biz hiç bir zaman bir üreticinin bayraktarlığını yapmadık ve yapmayacağız. Bizim için aslolan şey müşterilerimizin ihtiyacını en iyi ve doğru şekilde karşılayan teknolojilere sahip olmak ve bunları maksimum performansla kullanmaktır. Yukarıda bir kaç kez değindik ama son bir kez daha değinmekte fayda var, müşterilemizin bir teknoloji çöplüğüne sahip olmasını kesinlikle istemiyoruz ve bu yüzden önerdiğimiz teknolojinin sonuna kadar bütün özelikleriyle müşterimize fayda sağlayacak şekilde kullanılmasını önemsiyoruz.

Güvenlik stratejilerini belirlerken hem savunma hem de saldırı tarafı hesaba katılmalı

“Ülkemizde son yıllarda ciddi bir şekilde siber güvenlik konusunda farkındalık artmış durumda. Kamu kendi üzerine düşen adımları daha hızlı atıyor” diyen Halil Öztürkci, şu bilgileri verdi:

“Gerek yönetişim açısından ilgili kurumların attığı adımlar, gerek koordinasyon konusunda kamunun inisiyatif alarak aktif şekilde devreye girmesi, gerekse de regülasyon açısından dünya ile eş zamanlı hareket etme gayretleri takdir edilecek seviyede. Bununla birlikte şunu belirtmek de önemli hem Türkiye’de hem de dünyanın genelinde siber güvenlik ile alakalı bazı sorunların çözülmesi konusunda kamu tek başına başarılı olamayacak. Özel sektör ile kamunun kol kola çalışmasını gerektiren birçok yeni tehdit var. Kamunun hem stratejileri belirlerken hem de bu stratejileri hayata geçirirken mutlaka iş birliğine gitmesi gerekiyor. Bu stratejileri belirlerken de hem savunma tarafını hem de saldırı tarafını hesaba katmak gerekiyor. Günümüzde siber uzayda var olabilmek için sadece savunma yapmak yeterli değil. Bugün Amerika, Rusya, Çin ve hatta İran bile siber saldırı yeteneklerini sonuna kadar kullanıyorlar.”

Kamu kurumları ile “Maksimum fayda” üzerine kurulu çalışmalar yapıyoruz

ADEO’nun çalışmaları içinde kamu kurum ve kuruluşları da önemli bir yere sahip. Halil Öztürkci, kamuya yönelik stratejileri hakkında şunları kaydetti:

“Kamu tarafında sunduğumuz hizmetler aslında özel sektöre sunduğumuz hizmetlerle aynı. Belki ölçek olarak biraz daha farklılık gösterecektir ama temelde siber olay müdahale hizmetleri, 7×24 aktif izleme ve müdahale servisleri, sızma testleri, Siber Güvenlik Operasyon Merkezi kurulumu ve işletimi gibi hizmetlerimizi kamudaki birçok kurum ve kuruluşa sunduk ve sunmaya devam ediyoruz. Kamu tarafından yapılacak teknolojik yatırımların doğru şekilde yapılması ve bu yatırımların maksimum fayda prensibine göre işletilmesi en çok göz önünde bulundurduğumuz ilkeler. Ayrıca en önem verdiğimiz konu başlıklarından birisi de kamudaki bütün projelerimizde ilgili kamu kurumunda görevli uzmanlara bizim kendi uzmanlarımızın bilgi ve tecrübelerini aktaracakları şekilde süreçlerimizi işletmek. Bu sayede birçok siber saldırıya müdahale etmiş ve siber saldırganların tekniklerini çok iyi bilen uzmanlarımız bu tecrübelerini kamudaki uzmanlarla paylaşma imkanı bulabiliyorlar.”