Verisini seven savunmaya gelsin!
Uzaktan çalışma, çeşitlenen cihazlar ve bağlantı yetkinlikleri derken, güvenlik riskleri katlanarak büyüyor. Regülasyon tarafında ise belki ilk defa teknolojik gelişim ve değişime uyum için bu kadar hızlı adımlar atılıyor.
Bilişim teknolojilerinin uygulandığı her adımın, güvenlik göz önünde bulundurularak atılması bir zorunluluk. Gerek bireyler gerek kurumlar bu konuda ne kadar hassasiyet gösterirlerse göstersin, daha yapılması gereken çok şey olduğu da aşikar. Çünkü bir tarafta dünyanın dört bir yanında farklı cihazlar birbirine bağlanırken, IoT ve M2M başlıklarında hızlı bir gelişim etkin olurken, hem bireylerin kendi güvenliklerini ve cihazlarının güvenliğini garantiye alabilmesi hem de her türlü bağlantı gücü olan cihazı, uygulama ve teknolojiyi üreten firmaların güvenlikte yüzde 100 garantiyi verebilmesi imkansız. BTvizyon Dijital’in dijital ortamda düzenlediği “Veri Güvenliği ve Regülasyonlar 2020” etkinliği tüm bu başlıkları detaylı biçimde ele alma fırsatı sundu.
Açılış konuşmasını yapan EY Türkiye Şirket Ortağı ve Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen, “Altın Değerinde Olan Veriyi Korumak” başlığında veri güvenliğinin temel argümanlarını ve bunun Türkiye’deki regülatif yansımalarını değerlendirdi. Veri güvenliğinin artık global bir risk haline geldiğine dikkat çeken Ümit Yalçın Şen, “Dünya Ekonomik Forumu’nun 2020 yılı Risk Raporu’nda siber güvenlik ve veri ile ilgili risklerin son birkaç yılda en üst noktaya gelmeye başladığı görülüyor. Bu rapor, Türkiye’de de bazı yönelimleri çok hızlandırdı. Özellikle üst yönetimde alınan yatırım kararlarının bu risklerin yükselmesiyle birlikte artışa geçtiğine tanık oluyoruz” bilgisini paylaştı. Veri koruma ve gizliliği tematik konular olarak gördüklerini belirten Ümit Yalçın Şen, ekledi: “Veri sızmaları noktasında kişisel veri oldukça ön planda. Hem kişiyi tarifleyen, hem de kişinin belirli sistemlere girerken kullandığı kimlik, parola, ödeme bilgileri, kart bilgileri, hesap bilgileri hedeflenmiş durumda.”
E-posta kriptolaması, şifrelemesi başta olmak üzere DLP gibi konular güvenlik tarafında en çok harcama yapılabileceği belirtilen konular. Tüm araştırmalar ve veriler buluta yönelime işaret ediyor. Ümit Yalçın Şen, IBM’in veri ihlali maliyetini ortaya koyan araştırmasına da değindi. Buna göre bir veri ihlalinin maliyetinde dünya ortalaması; 3.68 milyon dolar. Bu, Türkiye’de ise 1.77 milyon dolar olarak ölçülmüş. Yani, Türkiye’de veri ihlaline uğrayan bir kurum ortalama olarak 1.77 milyon dolar zarara uğruyor. Dünyada maliyeti en yüksek veri, sağlık sektöründe. Bir veri ihlali ortalama 280 günde tespit edilebiliyor ve Şen, “Bu çok yüksek bir oran. Geçen yıl bu, 179 gündü. Bu noktadan da bakıldığında verinin çok önemli, maliyetli hale geldiğini, kişisel verinin ciddi hedef olduğunu ve bunların tespitinin uzadığını görüyoruz” açıklamasını paylaştı. Veri güvenliği ve veri koruması için bir takım bileşenlere, Şen’in tabiriyle bir ‘çerçeveye’ ihtiyaç var. Bu noktada EY’nin çerçevesini aktaran Ümit Yalçın Şen, şu bilgileri verdi:
DLP yapısına dikkat!
“Eğitim ve farkındalık bölümü var. Risk değerlendirmeleri politikalarının oluşturulması, veri sınıflandırılması, veri akışlarının mimarilerinin oluşması bu katmanda. Ayrıca yapısal veri, yapısal olmayan veri, buluttaki veri açısından bilgi güvenliği ve siber güvenlik sıralanmış durumda. Bunların hepsi sadece veri güvenliği değil, tüm BT bileşenleri açısından beklenen ya da önerilen konular. Veri güvenliğinin genel döngüsünü tanımlamak için öncelikle verinin ne olduğunu tespit etmek lazım. Burası, ülke olarak sıkıntı yaşadığımız bir taraf. Sadece kişisel veri değil, kurumun kendi finansal verileri, IP denen mülkiyet barındıran diğer veri setleri de söz konusu. Bunların ne olduğu, nerede depolandığı ya da nasıl paylaşıldığı konusunda çok ciddi bir envantere ihtiyaç var. Bu noktada bazen otomasyona, önlemlere, temel tanımlara ihtiyaç duyuyorsunuz. Ondan sonrası sınıflandırma ile ilgili. Verinin kurum açısından öneminin ne olduğu hususu kritik. Siz de buna göre gerekli güvenlik ve siber güvenlik önlemlerini test etmeye başlıyorsunuz. Belirli kontroller, otomasyon araçları, izleme araçları sonrası döngünün kendini iyileştirmesini takip ediyoruz. Tamamen stratejik anlamda bir verinin ne anlam ifade ettiği, bir verinin etkinleştirilmesi anlamında veriye verdiğimiz değer, veriden değer üretmeye başlatmak konusu söz konusu. Yani sadece bir verinin yanlış ellere geçmesinden daha fazlası, işin tüm diğer varlıklarımızla olan ilişkisi var. Güvenlik önlemleri ile ilgili olan entegrasyonu da söz konusu. DLP’nın veri sınıflandırma ve veri etiketleme teknolojisi ile birlikte kullanımında KVKK ile beraber yaptığımız çalışmalarda burada eksikler olduğunu görüyoruz. DLP’si olmayan kurumlar, DLP’si tamamen standart bir kural setine gelmiş, hiçbir özelleştirmeye uğramamış kurumlar, entegrasyondaki eksikler, hangi verilerle entegrasyonun olacağı gibi uçtan uca tekrar bakılması gereken konular var. DLP, elimizdeki en önemli araçlardan biri; ancak yatırımların yapılmasına rağmen katma değeri tamamen bulamadığımız bir araç… Regülatif anlamda kimin neyi beklediğinin adreslemesini yaptığımızda KVKK, Cumhurbaşkanlığı Dijital Ofisi tarafından çıkan bir rehber, BDDK’nın finans sektörü özelindeki değerlendirmeleri, Merkez Bankası’nın ödeme sistemleri ile ilgili beklentileri, SPK’nın halka açık şirketlerle ilgili beklentileri, GİB’in yeni nesil ödeme cihazlar gibi ürün kılavuzu, EPDK’nın enerji sektörü için beklentileri, BTK’nın telefon sektörü için yayınladığı beklentiler söz konusu. Bunların hepsi veri güvenliği ve mahremiyeti ile ilgili doğrudan ya da dolaylı olarak bir takım beklentileri ifade ediyor. Bunların bir kısmı kendi otoritesi ya da ilgili denetçi ofisler tarafından denetimlere tabi. Bir kısmının ise henüz böyle bir zorlayıcılığı yok. Veri güvenliği ve siber güvenlik regülasyonların birincil maddesi olmuş durumda. Stratejik anlam ifade etmesi, bir takım politik koşullar, verinin lokalizasyonları ile ilgili beklentiler, sosyal medya üzerinden paylaşılan verilerin kişisel mahremiyete ya da otoritenin beklentilerine uygunluğuna ilişkin konular söz konusu. ‘Uyum gereklilikleri’ gerekçesiyle yatırımların yapılması, Covid 19 sonrası başlayan ve belki kalıcı olabilecek uzaktan çalışmanın getireceği kültür değişiklikleri ile beraber bunların çok daha sıkı uygulanması söz konusu olabilir.”
Buluta entegrasyonda gereklilikler
Zyxel Networks Satış Mühendisi Kerem Kırkıç, “6 Katmanlı Güvenlik” sunumuyla önce kurumsal yapılanmaları hakkında bilgiler verdi. 30 yılı aşkın deneyim ve 150’den fazla pazarda etkinliğe vurgu yapan Kerem Kırkıç, güvenlik anlamında kurumsal ağların korunması ve olası tehlikelerin engellenmesi odağında uzun yıllardır ortaya koydukları çalışmalara dikkat çekti. Yeni nesil bulut çözümleri ve servisleri ile birlikte buluta entegrasyon da güvenlikte önemli bir başlık haline geldi. “Zyxel çözümleri ile birlikte AWS ve Microsoft Azure’a sertifikalandırılmış bir şekilde bağlantı sağlayabiliyoruz. Bunu dünyada yapabilen 7 markadan bir tanesiyiz” diyen Kırkıç’a göre, özellikle Covid-19 döneminde iş ihtiyaçlarını daha da esnek bir biçimde karşılayabilmek için bulut servislerini güvenli bir şekilde kullanmak mümkün. Sektördeki lider güvenlik uzmanları ile birlikte bir ekosistem içerisinde çözümler oluşturmayı temel amaçları olarak gösteren Kerem Kırkıç, “Lider güvenlik uzmanları ile iş ortaklıkları yaparak çözümler ortaya koyuyoruz. Bu da en üst segmentte güvenlik sağlayabilmek anlamına geliyor” vurgusunu yaptı. İçeriden gelen tehditlerin önlenmesi ve içeride bulunan kullanıcıların risklerini engellemek adına altı katmana değinen Kerem Kırkıç, detayları şöyle anlattı:
“Genellikle içeriden dışarıya doğru olan uygulamaların düzenlenmesi, filtrelenmesi, kontrolü, coğrafi filtreleme içeriden dışarıya iletişimlerde bize önemli bir güvenlik sağlıyor. Diğer üç katmanda ise IPS, dışarıdan içeriye sızma, tespit etme ve engelleme özelliklerini içeriyor.. Anti-malware ise en temel gateway temelli kötü yazılımları engelleyebildiğimiz fonksiyon. Reputation Filter, verilere ya da imzalara bakarak anlayamadığımız durumlarda çok daha basit bir şekilde donanımın kullanılarak atakların ve tehditlerin anlaşılabildiği bir çözüm. Bu filtre ile birlikte DNS, URL bazlı kötü amaçlı erişimleri engelleyebiliyoruz. İçeriğe bakmadan karşı taraftaki erişim noktalarına bakarak problemi çözmemize yarıyor. Bunlara farklı katmanların eklenmesiyle birlikte ‘gateway security’ anlamında temel fonksiyonlarımızı tamamlıyoruz. Yeni nesil tehditlerin anlaşılması noktasında ‘sandboxing’, yardımımıza koşan fonksiyonlardan bir tanesi. Bu, özellikle bulut servisleri ile birlikte entegre edilerek global anlamda tehditlere karşı koruma sağlıyor. Yeni nesil bir tehdit ortaya çıktığında tehdit sisteme ekleniyor ya da herhangi bir global sorgu yapıldığında global veri tabanından bu tehdide ilişkin bilgi alınarak güvenlik sağlanabiliyor. Bu da globalleşen dünyanın dezavantajlarını avantaja çeviren bir çözüm niteliğinde. Diğer önemli bir katman; uzaktan bağlanma. Covid 19 döneminde şirket çalışanlarının uzaktan bağlanması en kritik konulardan biri oldu. Network güvenliği, bağlantıların verimli olarak yapılırken bunların genişleyebilmesi de önemli. Bu noktada SD-WAN ile birlikte klasik VPN özelliklerini kullanmaya devam ederken; bunları bulut servislerle entegre ederek daha kolay yönetilebilir ve genişletilebilir bir hale getirebiliyoruz. Bu da, bağlantıların arttığı bu dönemde bize çok daha kolay bir yönetim imkanı sağlıyor. Kablosuz ağın ve kullanıcıların entegrasyonu bir diğer konu. Verilerin kablosuz ağlarda çok daha hassas olarak yönetilmesi gerekiyor. Hem kablolu, hem de kablosuz ağlara bağlanırken kullanıcıların kimliklerinin doğrulanması ve Hotspot entegrasyonları da önemli bir konu. Çünkü kullanıcıları doğrulamazsak regülatif olarak boşluk oluyor. Oysa loglamaların bu kimlik doğrulama üzerine inşa edilmesi gerek. Network’de sürekliliğin sağlanabilmesi, ayrıca güvenliğin sağlandığı fonksiyonları sürekli olarak sağlamamız, güvenliğin yanında güvenilir bir servis yapısını da oluşturmamız gerekiyor. Son olarak; bu servislerin bu kadar entegre olduktan sonra nasıl loglanacağı, raporlanacağı, izleneceği konusu var. Hem Türkiye’deki 5651 gibi yerel regülasyonlara günlük olarak geliştirdiğimiz yazılımlarımız var. Globalde de GDPR ve KVKK için kullanılabilecek ve buna entegre edilebilecek SecuReporter raporlama yazılımımız bulunuyor. Burası, mevcut ve olası regülasyonlara uyum sağlama noktasında bize önemli destekler sağlıyor. Türkiye’de 56 il için iş ortaklarımızla geliştirdiğimiz Firewall Analyzer yazılımımız var. Burada da 5651 sayılı yasadaki log ihtiyaçları, logların sınıflandırılması, imzalanması, depolanması gibi işlemleri sağlayabiliyoruz. Bu sayede regülasyona uyumluluk adına iş ortaklarımıza destek olmaya çalışıyoruz.”
BTvizyon Dijital etkinliği “Güvenlik mi, Mahremiyet mi?” başlıklı panelle tamamlandı. E-Data Teknoloji Satış ve Pazarlama Direktörü Tuncay Işık’ın yönettiği panelin katılımcıları ise Cimilli Akaydın Hukuk Bürosu Avukat Ceyda Cimilli Akaydın, Albaraka Türk Bilgi Güvenliği Servis Yöneticisi Mehtap Kılıç, Tetra Bilişim Genel Müdürü Geylani Gani ve İGA İstanbul Sistemleri Genel Müdür Yardımcısı Emrah Bayarçelik oldu. Bir terazinin iki kolu olarak tanımlanan bilgi güvenliği ve mahremiyet arasındaki dengenin önemine vurgu yapan panelistlere göre, bilişim çerçevesinde bu dengeyi doğru ele alabilmek önemli.