vMind Bilgi Teknolojileri Kurucusu ve CEO’su Volkan Duman: “ŞİFRE POLİTİKALARINIZ VE BUNUN KONTROLÜ OLMAK ZORUNDA”

“vMind 10 yıldan beri Türkiye ve 14 ülkede yönetilen hizmetler dahil bulut servisleri ve IT entegrasyon proje hizmetleri vermekte. vMind’ın kurucusu ve genel müdürü olarak benim de 27-28 yıla yakın bir süreye ulaşan IT sektörü geçmişim bulunmakta. vMind’da müşterilerimize IT hizmetleri, siber güvenlik, yönetilen hizmetleri sunarken; portvMind markası ile de bulut servisleri ve bunların danışmanlıklarını vermekteyiz.

Türkiye içinde 3 farklı lokasyonda bulunan veri merkezlerimiz dışında, teknoloji merkezimiz Yıldız Teknik Üniversitesi teknopark kampüsünün içerisindedir.

İşimizin ve siber güvenliğin olmazsa olmazlarından biri olan kimlik yönetiminin aslında olgu olarak çok eskilere dayandığını; geçmişte olduğu gibi günümüzde de çok kritik bir konu olduğunu söyleyebilirim.

Geçmişten günümüze bir benzetme yapmak gerekirse: -Yetkilendirme ve kimlik yönetiminin en iyi çalıştığına şahit olduğum yerlerden birinin, Devlet Havalimanları İşletmeleri olduğunu söyleyebilirim.

PAM konusuna baz oluşturan kapı güvenliği ve yaka kartlarının idame edilmesi, dijital ortamlarda token ile yetki taşınmasına izin vermeye çok benzer.

Zamanında IT danışmanlığı, proje hazırlıkları ya da on site servis için havalimanlarına giderdik. Eğer dışardan geliyorsanız ve havalimanı peron ve bölgelerinde nasıl davranılması gerektiğini bilmiyorsanız, önce eğitim verilir ve yapabilecekleriniz yaka kartlarınızda işaretlenirdi. Dikkat etmişseniz, Hosteslerin, pilotların veya havalimanlarında çalışanların yakalarında bir “passcard” denen kimlik kartları olur. O kartların üzerinde birtakım numaralar vardır. Hem kimliğinizi resim ve suretinizle doğrulamak hem kapı geçiş sistemlerinde tanımlı yerlere giriş-çıkış hem de kartınıza uzaktan bakarak okutmaya gerek kalmadan nerelere girebileceğinizi görebilmeleri açısından numaralar bulunurdu. O sıralarda, işimiz gereği hemen her bölgede çalışmamız gerektiğinden, benim passcard’ım ile her yere güvenle girebilmem mümkündü…

Şimdi sistem biraz daha gelişse de halen aynı mantıkla dünyanın her yerinde çalışmaya devam ediyor.

Neyse bu uzun ve detaylı konuya girmemin amacına gelirsem;

Asıl anlatmak istediğim eğitimle başlayan ve birden fazla kontrolle güvenliğin tesis edildiği (token time limit’e kadar) bunun çok iyi çalışan bir kontrol sistemi olduğunu söyleyebilirim.

O kimliği aldığınız zaman “time to live “sınırınız vardır ve bu değişmez. Mesela dış kaynaklar için maksimum 15 gün gibi bir süre belirlenir. Bu süre sonunda kart çalışmaz hale gelir ve nerede olursanız olun sisteme o kartı geri iade etmek zorundasınızdır. İhlaller affedilmez.

Kurallar nettir;

• Öncesinde Uluslararası hava standartlarını gösteren bir eğitim almak zorundasınızdır.
• Kimlik dahil birtakım evraklar, yetkilendirmeler, imzalar, süreçleri anladığınıza dair mutabakatlara imza atarsınız. Ve bunlar muhakkak kontrol edilir.

Uzun yıllara dayanan saha tecrübesiyle oluşan, birçok operasyon benzer şekilde saat gibi çalışır ve kurallar inisiyatif alarak değiştirilemez. On beşinci günün akşamında polisin bir tanesi gelir, prosedürleri ihlal etmişseniz; sizi sistemin dışarısına çıkarıverir. Esneme yoktur… Allahtan bende böyle bir durum hiç olmadı.

Türkiye’de 2013 yılında bulut hizmetleri vermeye başlamış ve bugün 600’ün üzerinde müşterisine hizmet veren bir şirketin parçası olarak, bizlerin de benzer şekilde siber erişimle ilgili konularda ciddi hassasiyetlerimiz olduğunu söyleyebilirim.

Sizin olmayan ama korumanız gereken müşterilere ait verilere, onlara dokunmadan kontrollü işler yapabilmelisiniz; örnekse yedeğini alabilmek, güncelleme veya destek taleplerinde (yönetilen hizmetler hakları varsa) cevaben o sistemlere müdahale edebilir olmalısınız. Bu arada sürekli olarak çalışırken de o sırada ne yaptığınızı, hizmet verdiğiniz şirketlere kanıtlayabilmelisiniz.

İşimiz gereği hassas bir konuda hizmetlerimizin devamlılığı sağlamak zorundayız.

Ben bu konuyla alakalı olarak güvenliğin çok basitten komplekse doğru gitmesi tarafında durdum hep.

Günümüzde atak tipleri fazlalaşırken, bir yandan da sıradanlaşmaya başladı. Yani kompleks sayılabilecek güvenlik önlemlerinin yanında daha basit gibi duran ama etkili uygulamalara da ihtiyaç var. Darkweb’de binlerce kişi ve kuruma ait erişim bilgisi satılmakta. Hatta bu erişim bilgileri ile ne yapılacağı, hangi araçların kullanılacağı eğitimleri ile servis ediliyor.

Kurumlara ait sistemlere sızarken çok büyük uzmanlıklara ihtiyaç duymadan, binlerce sayıda ama görece ufak sayılabilecek zafiyetlerden yararlanılmakta. Basit nüanslar güvenlikte çok büyük öneme sahip.

Örnekse, kritik bir sistemin şifresini ERP uzmanına vermiş ve ondan sadece database (veritabanı) bakımı için hizmet beklerken; ona bu işi yapabilmesi için gereğinden fazla yetki ve yol açmak zorunda kalmamalısınız. Laptopunun olası bir ransomware (fidye saldırısı) ile enfekte olduğundan haberi olmayan bir kişinin, işini yaptığı esnada arka tarafta ondan habersiz neler olabileceğini tahmin bile edemeyiz.

Yani iç ekipleriniz ya da dışardan destek aldığınız ekipler, sistemlerinize bağlanıp işlerini yaparken; sadece erişmeleri gerekli olan alanlara bağlanmalılar. Havalimanı örneğinde bahsettiğim gibi hem prosedürlere uymalı hem de kontrol altında olmalılar.

Gerçekten istikrarlı bir biçimde, üçüncü partilerin veya hassas sistemlere erişen teknik ya da idari (Power Users) personellerin her türlü şifre politikalarına, erişim kontrollerine, çalışma sürelerine vs. bakacak; kayıt altına alacak, gecenin kaçı olursa olsun kurala uymayanı sistem dışına alacak ve alarm verecek bir mekanizma kurmadığınız zaman biraz önce bahsettiklerimle karşılaşma ihtimaliniz oldukça yüksek.

Kimlik yönetimi ile alakalı birçok ürünü ve olguyu araştırdık.

Olaya vMind mantığında şöyle bakıyoruz:

Biz asıl bir distribütör değiliz. Bir güvenlik ürünü satma çabasında değiliz. Biz kendi sistemlerimizi yönetirken birtakım yardımcı ürünler kullanıyoruz, bunlardan biri de kimlik yönetimi kontrolü yapan PAM çözümüdür. İhtiyacının farkında olan veya bunu bizden isteyen müşterimizin büyük kısmında, önerdiğimiz ve kullandığımız için iyi bildiğimiz markalar ile çalışıyor ve onları öneriyoruz. Gerektiğinde de desteğini veriyoruz.

Tabi sözleşmeli müşterilerimizin dışında da on-premise olarak birçok farklı sisteme, işimiz gereği erişmemiz gerekebiliyor, bu ürünleri öneriyor ya da bizzat projelendirerek PAM sistemi kurmalarına yardımcı olabiliyoruz.

Sonuç olarak, tespitlerimiz ve tavsiyelerimiz şu yönde oluyor:

Devamlı çalışması gereken bir sistemi nasıl en doğru şekilde yönetebiliriz sorularını sormak işin temelini oluşturmakta. Her şeyi kontrol edebilmek, binlerce event içinden zararlı olanları tespit edebilmek çok kolay değil. Alan savunması ve basitten komplekse doğru kuralları sıkılaştırmak çok mühim. Günümüzde ihtiyaçlar gereği iç ve dış ekiplerden servis almak zorundayız. Bu servisleri alırken kontrolü sağlamak için birtakım uygulamalara ihtiyaç var. Servis sürekliliği, kalite, fiyat ve performans konusunda doğru adımları atmak kritik öneme sahip.

vMind olarak hem kullandığımız hem iyi servisini verdiğimiz hem de uzun vadede sürekli olarak kalite standartlarını belirli bir seviyede tutabileceğine inandığımız ürün ve çözümleri tercih ediyor; bu konuda bize danışan birçok kurumun ihtiyaçlarını da bu mantıkla cevaplıyoruz.”