Rudolf Duraner IT Yöneticisi Kadir Ulusoy: “GÜVENLİKTE BİR KATMAN DAHA DEVREYE ALINMALI”

“Bilgi; Kurumsal yaklaşımla bakıldığında bir firmanın en değerli varlığıdır. Bu değerleri korumak ve güvence altına almanın önemi gün geçtikçe artmaktadır.

En büyük şansımız; genel müdürümüzün ve şirket sahiplerinin teknolojiye bakış açılarının çok iyi olması. Yönetimin desteğini de alarak teknoloji alanındaki gelişmeleri firma bünyesine hızlıca adapte edebiliyoruz. Bilindiği üzere, günümüzün en değerli varlıklarının başında dijital ortamdaki bilgiler yer almakta. Bu bilgileri korumak için sadece internet güvenliğini sağlamak yeterli olamıyor. Son kullanıcı tarafında da bazı güvenlik tedbirleri alınmalı. Riski daha da azaltmak adına son kullanıcı tarafında kullandığımız ürünleri internet güvenliği tarafında kullandıklarımızdan farklı kapsamda seçiyoruz. Ancak ne kadar güncel donanımlar ve yazılımlar kullanılsa da halkanın en zayıf noktası kadar güvendesiniz. Bu durumda en zayıf noktalardan bir tanesi; insanımız. Bunların da zafiyeti uç noktalar, son kullanıcılar. İnsanlar artık sadece e-postalar üzerinden değil, telefonlar ve akıllı cihazlar üzerinden de bir şekilde bilgilerinize ulaşıp sizlerin aleyhinde kullanmaya çalışıyorlar. Bu konuda bilinç oluşturmak için kullanıcı eğitimlerine önem veriyoruz. Şirket içi toplu ve bireysel eğitimler veriyoruz. Mart 2018 yılında sürecini tamamladığımız ve Bilgi güvenliği alanında belgelendirildiğimiz, TSE EN ISO/IEC 27001/2017 standartları gereği bu eğitimleri düzenli ve daha sık vermeyi şirket kuralı hale getirdik. Çalışanlarımızı bilinçlendirmek için düzenli eğitimlerin yanı sıra, bilişim alanında yaşanmış ve firmalara zarar vermiş olayları ve bu gibi durumlarda neler yapmaları gerektiğini bilgilendirme mail i ile çalışanlarımızla paylaşıyoruz.  Kullanıcılarımızı bilgilendirdikçe zarar görme riskimizi minimim seviyede tutmaya çalışıyoruz.

Burada önemli noktalardan biri; Üretim yapan firmalar için üretim networkleri ile iç networklerinin ayrımının iyi yapılıyor olması. Üretimde kullanılan makinalar ve donanımlar belirli bir amaca hizmet ettikleri için çok fazla değişime uğramıyorlar. Bunlara bağlı olan bilgisayarların çoğu eski işletim sistemli. Birlikte çalıştıkları makinaya bağlı oldukları için bırakın yeni versiyona geçmeyi, çalışmakta olan işletim sisteminin güncellemelerini yapmak bile sakıncalı olabiliyor. Üretim tarafında teknoloji, IT tarafında olduğu gibi hızlı ilerlemiyor. Birçoğu hala Windows XP ile hizmet veriyor. İnsanlar bunun farkında olmadığında üretim networkünü, IoT için normal networke açtıkları zaman üretim tarafında inanılmaz zafiyetlere düşüyorlar. Üretim bandındaki işletim sisteminin firmaya zararı ne olabilir, diye düşünmeyin. Yaşanmış bir olayı sizlerle paylaşmak isterim;

Bir tekstil firması, üretim tezgahlarının olduğu bölümü veri toplamak için, iç networklerine dahil ediyor. Üretimle ilgisi olmayan finans ya da pazarlama gibi düşünebileceğiniz bir bölümdeki çalışan, internette gezinirken bir program indiriyor. Tabii bu programın kendi ihtiyacıyla herhangi bir ilgisi yok. Bu küçük programın yaptığı belirsiz zaman aralıklarında networkde tarama yaparak “Sen XP misin?” şeklinde komut göndermek. Eğer böyle bir şey yakalarsa XP yüklü bilgisayarı “kendini kapat” komutuyla kapatıyor.

İşte bu basit komut bile, üretim bandında çalışan bir bilgisayarı kapatarak binlerce metre kumaşın bozulmasına ve geri getirilemeyecek bir zaman kaybına sebebiyet verebiliyor. Maddi kayıpta cabası.

Bu sayede üretimi durduruyor. Günlerce sebebini arıyorlar. Bu durumun o firmaya verdiği zarar oldukça yüksek. Bu yönde üretim ile IT tarafını bir şekilde yalıtmak gerekiyor. Bu tarafta da güvenlik anlamında bir katman daha devreye alınmalı.

İnsanlar artık sadece bilgilerinizi çalmakla yetinmiyorlar. Bilgilerinizi çaldıktan sonra, kendi çıkarlarına hizmet etmek için verilerinizi şifreliyor ve yedeklerinizi siliyorlar. Siz yedek aldığınızı düşünüyorsunuz; ama onlar sizin sisteminize giriyorlar, dinliyorlar, öncelikle verilerinizi kendilerine alıyor, yedeklerinizi temizliyorlar. Ardından da canlı sisteminizdeki tüm verilerinizi silip ya da şifreleyip masaüstüne bir dosya bırakıyorlar. Dolayısıyla verilerinizi, iş sürekliliğinizi elinizden almış oluyorlar. Donanım ve sistem üreticilerinin de bu tarafta biraz daha artı ürünler üretip, güvenliği artırmaları sağlıklı olacaktır.”