Bilelim, öğrenelim, benimseyelim: Her yenilik, riski ile gelir
Mobil cihazlarda yenilikleri takipte, hızlı uyumda üstümüze yok. Peki ya mobil güvenlik? Sektör uzmanlarının hemfikir olduğu konu, bu başlıkta sınıfta kaldığımız.
Teknolojik gelişim ışığında ürün ve hizmet bazında çeşitlilik artarken, riskler de büyüyor. Kişisel teknoloji sahipliğinin artması, yenilikleri takip etme eğiliminin güçlenmesi de bu riskleri daha belirgin hale getiriyor. Çünkü en yeniye sahip olmak iyi, ama burada nasıl bir güvenlik çözümü ile yol almak gerektiği bireylerin önceliği olmayan bir soru işareti. Sözün özü, bireylerin yeni teknolojiye yönelik ilgisi, bu teknolojilerin kullanımı esnasında gözetilmesi gereken güvenlik önlemlerinde maalesef kendini pek göstermiyor.
Fayda ve fonksiyonellik her zaman ön planda ve güvenliğin önünde yer alıyor. Kullanıcılar da birebir güvenlik açıklarının zararlarını hissetmeye başladıkları zaman güvenliği gündemleri haline getiriyorlar. Vizyon ArGe Ankara Bölge Müdürü Müslüm Beylik, bireysel güvenlik farkındalığının bilinçlenme ile doğrudan ilgili olduğu kanısında. Kurumsal kullanıcı daha bilinçli. Çünkü kaybedecekleri çok daha fazla. Karmaşıklık ve çeşitlilik ne kadar artarsa, onları yönetmek o kadar zor hale geliyor. “Sürekli gelişen bir teknolojide bu kadar çeşitliliğin hepsini tam anlamıyla takip edip, bunları değerlendirmek fazla mümkün değil” diyen Müslüm Beylik ekledi: “Durum böyle olunca, tek bir yere tam anlamıyla odaklanmaktan ziyade, birden fazla yerle, ama çok fazla önem göstermeden ilgileniyoruz. Her yeni teknoloji bu karmaşıklığı artırıyor, kullandığınız her yeni cihaz riskinizi katlayarak artırıyor.”
İnsan faktörünü göz ardı edemezsiniz
Bilgisayar ve internet teknolojisinin hızlı gelişimi sonucu oluşan e-dünya düzeninde normlar ve etik değerler hızlı biçimde şekilleniyor. Günümüzde bilginin önem kazanması ile başta sosyo – ekonomik konuların üzerinde söz sahibi olmak isteyenler için bilişim teknolojileri önemli bir araç. Ama bireylerin çoğunluğu teknolojilerdeki gerekli güvenlik önlemlerine gereken önemi vermiyor, bu da bir gerçek. Prolink Sistem Mühendisi Yekta Kibar’ın da dikkat çektiği gibi, bilişim dünyasında teknik önlemler ne kadar artırılırsa artırılsın, insan faktörünün önemini göz ardı etmemek gerek. Her türlü teknik önlemin en ince ayrıntısına kadar alındığı, yüzde 100 güvenli olduğu kanıtlanan bir sistem, gerek içeride gerek dışarıdan oluşacak tehditlerle basit bir şekilde çökertilebilir. Kurumlar güvenlik konusunda teknolojilerini ne kadar gelişirse gelişsin, insan faktörü de her zaman temel belirleyici unsurlardan biri olmaya devam edecek. Bireysel kullanıcı için belki en önemli şey virüs saldırılarına karşı güvenlik önlemlerini yenilemek. Ancak kurumsal kullanıcılar çok farklı şekilde güvenlik önlemi almalı. Teknik anlamda yapılan önlemlerin yanında, insan unsurundan kaynaklanan veya kaynaklanabilecek açıkları da göz önünde bulundurmak şart.
Suç kavramı da gelişiyor
Teknolojinin her geçen gün insanoğlunu daha rahat yaşaması için sürekli değişim içerisinde bulunması sevindirici, ama Yekta Kibar’ın da belirttiği gibi, bu değişim veya ilerlemenin suç kavramının da gelecekte daha farklı olacağının sinyallerini verdiği ortada. Bugünün koşullarında gerek ülkelerin gerekse bireylerin çeşitli problemlerle karşı karşıya kaldığı da görülüyor. Eğitimde, ticarette ve kamu sektöründen özel sektöre, eğlenceden alışverişe kadar birçok avantaja olanak sağlayan bu hızlı gelişim, sosyal ve teknolojik yönden dengesiz değişimler, tehlike ve tehditleri de ortaya çıkartıyor.
‘BT’ denilince hassasiyet azalıyor
İnsan doğası, öncelikle yeni teknolojinin getirdiği ve eski cihazlarda, yazılımlarda olmayan fonksiyonlar, özellikler, kolaylıklarla ilgilenmeyi tercih ediyor. Bu teknolojinin yaratmış olabileceği yeni risklerin değerlendirilmesi her zaman daha sonraki aşamalara bırakılabiliyor. Bu yorumu yapan Biznet Genel Müdür Yardımcısı ve Baş Danışman Onur Arıkan eklemeden geçmedi: “Tabi bu, geliştirme sonrasındaki testlerin, gözden geçirmelerin ne kadar yeterli olduğuna inanmak ile de ilgili.” Burada özellikle insan hayatı söz konusu olduğunda biraz daha hassasiyet gösteriliyor. Arıkan’dan örnek de geldi: “Hala hızlı tren ve Marmaray’a binmek için biraz zaman geçmesini bekleyen insanlar var. BT teknolojileri söz konusu olduğunda ise bu hassasiyeti pek görmüyoruz.”
Bireysel güvenlik algısının kurumsal güvenlik algısının gerisinde kaldığını söyleyebilmek için Arıkan’a göre, bunun kurumun konuya bakış açısına göre değişkenlik gösterdiğini kabul ederek ilerlemek gerek. Bu noktada BT güvenliğine son derece ciddi yaklaşan kurumlar, yalnız güvenlik önlemlerini almakla kalmıyor. Sürekli bilgi güvenliği farkındalık programları ile kurum çalışanlarını eğiterek, aslında yüzlerce kişiden oluşan bir güvenlik ekibi de kurmuş oluyor. Bilinçli kullanıcılar kurumda öğrendikleri risk değerlendirmesini, kendi özel hayatlarına da uygulayabiliyorlar. Yani bütünü kapsayan ve kurumdan bireye inen bir güvenlik farkındalığı inşa ediliyor.
Siz bir önleminizi alsanız…
Sonuçta acı gerçek, Onur Arıkan’ın da belirttiği gibi, eğer siz, sistemleriniz ve bilgileriniz erişilebilir durumdaysanız risk altında olduğunuzu bilmek demek. Ama bu riski ortadan kaldırmak için ıssız bir adaya gidemeyeceğimize göre, bugüne kadarki denenmiş, bilinen temel güvenlik önlemlerini alarak, riskleri belli aralıklarla gözden geçirerek hayata devam etmek gerekiyor. Günümüzde en temel riskleri Arıkan şöyle özetledi: İnternete bağlı sistemlerde şifre kullanmamak veya zayıf şifreler kullanmak, kritik bilgileri şifrelemeden paylaşımlı bulut ortamlarında bulundurmak, başkaları tarafından görülmesi istenmeyen bilgi, resim, dokümanları hiçbir önlem almadan, örneğin şifrelemeden, saklamaya çalışmak ve sistemlerin güvenlik güncellemelerini zamanında yapmamak.
Bireysel kullanıcılar farklı platformlara sahip cihazları kullanmaya çok hızlı uyum sağlıyor ancak bu farklı platformlar beraberinde devasa tehdit alanını da beraberinde getiriyor. Artık güvenlik, sadece CD içinde bulunan kur.exe dosyasını çalıştırmak ile sağlanamıyor. Ancak McAfee- Intel Security Güney Doğu Avrupa, Türkiye ve Yunanistan Bireysel, Küçük İşletmeler ve Mobil Satış Müdürü Baha Güler’in de belirttiği gibi, hiç şüphesiz bu değişim müşterilerin dijital sistemlerin güvenirliklerine şüphe ile bakmalarına da neden oluyor. “Bu sebeple geçtiğimiz yıl dijital yaşamını farklı cihazlarda ve farklı vektörlerde koruyan, tek noktadan yönetebileceği ürün paketleri sunmaya başladık” bilgisini paylaşan Baha Güler, risk farkındalığını şöyle anlattı:
Açıklara sürekli takip gerek
“Belki ilk bakışta, kurumların sağlamak zorunda olduğu çeşitli sertifika gereksinimlerini göz önünde bulundurarak, bunun doğru olduğunu kabul edebiliriz. Fakat kurumların güvenliği, tüm çalışanların bilgi güvenliği konusundaki bilgi bilgisine dayanır. Eğer çalışanlar özel hayatlarında dijital güvenlikleri için yapılması gerekenleri farkında değillerse, çalıştıkları kurumda en iyi yazılım ve donanımlarla güvenlikleri sağlansa bile, dijital tehditlerin kurbanı olabilirler. Bu sebeple kurumların özellikle BT ve insan kaynakları birimleri ile beraber, çalışanların hem kişisel hem iş yerindeki dijital yaşamlarını nasıl güvenceye almaları gerektiği ile ilgili eğitimler düzenliyor, ürünler sağlıyoruz.”
Farklı platformların, farklı sürümlerinin güvenliğinin sağlanması gerekliliğinin yanında, bu cihazlarda bulunan yazılımlardan kaynaklanabilecek güvenlik açıklarının da güncellemelerin sürekli takibi ile giderilmesi şart. Baha Güler, BYOD veya her noktada kolayca bulunan şifresiz Wi-Fi noktalarının da güvenliği tehdit eden ve yönetilmesini zorlaştıran etmenlerden olduğuna dikkat çekti. Mobil cihazlara güvenlik sorgusu yapılmadan yüklenen uygulamaların gizliliği tehdit ettiği de bir gerçek. “Yaptığımız bir araştırma, orijinaline benzer isme sahip sahte oyun programlarının tamamına yakınının adres defteri veya lokasyona erişmek istediğini gösteriyor” bilgisini paylaşan Güler’in de belirttiği gibi, ebeveynlerin çocuklarının dijital yaşamlarını denetleme talepleri her geçen gün artıyor.
Mobilde ajan var
Bu tabloda “Bireysel güvenlik algısının kurumsal güvenlik algısı ve risk farkındalığının gerisinde kaldığını söyleyebiliriz” diyen Servodata Bilişim Genel Müdürü Cem H. Bektaş’a göre, bireylerin yeni teknolojilere büyük bir ilgi göstermekle birlikte, bu teknolojilerin getirdiği risklere karşı güvenlik önlemleri almadığı açık. “Aslında mobil teknolojiler, güvenlik açıkları oluşturmuyorlar” diyen Bektaş, acı gerçeği şöyle anlattı: “Doğrudan güvenliği deliyor ve her türlü kişisel bilgiyi mobil cihazlardan doğrudan alıp uluslararası pazarlara kullanıma sunuyorlar.”
Ücretsiz yazılımların hemen hemen tamamı, ve ücretli yazılımların çoğu uygulamanın işi ne olursa olsun, her mobil cihazlar üzerindeki her türlü bilgiye erişim hakkı istiyor. Buna SMS’ler, e-posta bilgilerine ve adres defterine erişim, ama daha kötüsü kullanım haklarına erişim, dosya sistemine erişim eklenince, mobil yazılımlar Bektaş’ın tabiriyle ‘aslında cihazların kontrolünü tamamen ele geçiren ajanlar’ olarak çalışıyorlar.