Dosya Güvenlik 27 EKİM 2014 / 09:42

Gelişen risklerle ‘öngörü, işbirliği ve önlemler’ savaşı

Bu savaşı kimin kazanacağını bilmek imkansız. Çünkü her an kıran kırana vuruşan taraflar söz konusu. Ama galibiyete en yakın olanın önlemini alıp stratejisini sürekli güncelleyenler olacağı aşikar. Mobil ekosistemi de hem kurumlara hem bireylere bütünsel fayda sunma arayışında.

Riskler konusunda en popüler çaba geçmişte yaşanan olumsuz deneyimlerden ders çıkararak bir farkındalık yaratılmaya çalışılması. Yine uluslararası güvenlik standartlarına uyum, üretici ve hizmet sağlayıcıların bu konuda atması gereken en önemli adım. Ama sonuçta esas sorumlu, risklerin farkında  olması ve önlem alması gereken kişi yani tüketicinin, bireyin kendisi. Gerek bireysel gerekse kurumsal güvenlikte öne çıkan güncel risk başlıkları şu şekilde sıralanıyor:

-          Yetkisiz erişimler, dinlemeler. Gizli bilgiye yetkisiz bir şekilde erişilmesi.

-          Veriyi yetkisiz bir şekilde değiştirmek. Verinin bütünlüğünü bozmak.

-          Hizmet dışı bırakmak. Sistemlere ve bilgiye erişilmesini engelleme.

Öte yandan, ticarette çok çetin bir rekabet ortamı yaşanıyor. Ama bununla birlikte, birbirleriyle kıyasıya rekabet eden şirketler, konu güvenlik olduğunda bir araya gelerek, uluslararası güvenlik standartlarını belirleyecek yapılar oluşturabiliyorlar. Biznet Genel Müdür Yardımcısı ve Baş Danışman Onur Arıkan’a göre, hem birlikte çalışılabilirliğin sağlanması hem de güvenli ürünler ve servisler için bu işbirliğinin önemi her geçen gün daha fazla hissediliyor.

Riski öngörebilmek gerek

Bu tehditlere karşı korunma stratejisine baktığımızda, her kurumun ve her bireyin bir bilgi güvenliği stratejisi, aksiyon planı olması gerektiği açıkça ortada. Arıkan’ın da belirttiği gibi, kurumlarda buna ‘bilgi güvenliği yönetim sistemi’ adı da verilebiliyor. ISO-27001 gibi standartlar da bu sistemin ne şekilde kurulacağı, dokümante edileceği ve yönetileceğini detaylı olarak anlatıyor. Bireylere gelince… Bu biraz daha sözel kurallar ve iyi BT kullanım alışkanlıklarıyla belirleniyor. “Bu tür olumlu alışkanlıklar, bireylerin olumsuz olaylarla karşılaşma riskini önemli ölçüde azaltıyor” diyen Arıkan, şu yorumu ekledi: “Bir olumsuz olay durumunda, hangi adımların izleneceği konusunda önceden bir beyin fırtınasının yapılması da sürece katkı sağlar. Her zaman olduğu gibi bizi hangi tehditlerin, tehlikelerin beklediğini bilmek, kendi zayıf taraflarının farkında olmak ve bunlardan oluşabilecek riskleri öngörebilmek, güvenliğin ilk adımı olarak değerlendirilebilir.”

Organize çaba olmalı

Aslında herkes  kendi alanlarındaki riskleri kendi portföyünde gidermeye çalışıyor ve bunlara kendine göre önlemler alıyor. Örneğin cihaz üreticileri daha çok güvenlik odaklılar artık. Operatörler şebeke güvenliğini artırıcı çalışmalar yapıyorlar. Şu anda bu ekosistemi bir arada ve kuşbakışı görüp organize eden bir yapı olmadığı için de birbirinden kopuk birçok çalışma yürüyor. Bu yorumu yapan Vizyon ArGe Ankara Bölge Müdürü Müslüm Beylik’in de belirttiği gibi, organize olmayan bu çalışmaların totaldeki etkinliği de tabi ki çok düşük seviyelerde. Birlikte hareket etme noktasında çok fazla bir işbirligi yapıldığı kanısında olmadığını vurgulayan Beylik’e göre,  söz konusu güvenlik olunca aklınıza ilk gelen düşünce  ‘veri çalınması ve sistemlerin işlevselliğini engellenmesi’. Oysa teknoloji geliştikte, bunu yapmak için yeni yöntemler, yeni tehditler türüyor. İşte bu nedenle bilinçlendirmenin artması gerekli. Ama Beylik’e göre, işler sadece bununla da sınırlı değil. Öğrenmek ve araştırmak da önem taşıyor. Unutulmaması gereken bir detayı Beylik ekledi: “Sizin bilmediginiz en ufak bir ayrıntı başkasının uzmanlık alanıdır. Her tehdit, önlem alınmadığı sürece sizde ciddi yaralar açabiliyor.”

Şirketler eksikleri anlama çabasında

Gelişimin hızla ilerlediği  bu alanda kıyasıya rekabet içerisinde olan birçok firma, bireylerin kişisel güvenlik ilkelerini ihlal edebilecek unsurları zaman  zaman yayınlamakta geç kalıyordu. Pazarda güvenliğin daha ön planda olduğu hissedilen 2014’den itibaren alanında büyük sayılabilecek birçok firma yine bazı aksaklıklara sahip olsalar da, kullanıcı güveni için artık zaafiyet araştırması ve tespiti için oluşturdukları iç kaynaklı yatırımlar ile bireyleri karşılaşabilecekleri olası tehdit ve temel anlamda alınabilecek önlemler hakkında daha net bilgilendirmeye başladı.

Prolink Sistem Mühendisi Yekta Kibar, başta Rekabetçilik Konseyi’nin (Council of Competitiveness) ve birçok araştırma kuruluşunun yaptığı çalışmalardan yola çıkarak, şu bilgileri verdi:

“Özellikle son 20 yılda başarıyı tayin eden birçok kuruluşun farklı işbirlikleriyle yeni fikirlerin başarılı bir biçimde kullanımının mümkün olduğu görülüyor. Gelecekte kendine ivme kazandırarak, bilişim pazarındaki yerini korumak  isteyen birçok  kuruluş bu tür fırsatların oluşumuna gayet sıcak bakıyor.”

Sosyal mühendislik mobille güçleniyor

Başlıca risk başlıkları; veri güvenliği ihlalleri, veri bütünlüğü bozuklukları, bilgi hırsızlığı ve dolandırıcılık olarak öne çıkıyor. Hızla gelişen internet ve teknoloji kullanımında son derece organize ve yaygın saldırılar ortaya çıkıyor. Bunların başlıcaları virüsler, Truva atları, kurtçuklar (worms), zombie ve botnetler, istem dışı elektronik postalar (spam), klavye işlemlerini kaydeden programlar (key loggers), casus yazılımlar (spyware), servis dışı bırakma (DoS), aldatma (IP spoofing), şebeke trafiğinin dinlenmesi (sniffers), yemlemeler (phishing) ve propaganda olarak sayılabilir. “Gelecekte ana teması insan olan sosyal mühendislik kaynaklı bilgi hırsızlığı ve veri güvenliği ihlallerinin özellikle hızlı yaygınlaşan mobil cihazlar ve bulut ortamlarında artabileceğini söyleyebiliriz” öngörüsünde bulunan Yekta Kibar, bir stratejinin gerekliliğini de şu sözlerle anlattı:

“Kurumlar öncelikle çift taraflı koruma kalkanları gelişmiş ve sezgisel yapısı insan yönergelerine bırakılmış uygulamalar tercih etmeli. Her ne kadar güvenlik risklerini azaltmak için  yazılımsal ve donanımsal olarak  farklı teknolojiler kullanılsa da, bu teknolojileri tasarlayan ve kullananların insanlar olduğu unutulmamalı. Dolayısıyla insanların farkındalığını artırmak için gerekli eğitimler verilmeli ve bildirgeler yayınlanmalı. Farkındalığın arttırılmasıyla, özellikle oltalama (phising) saldırılarından kaynaklanan mağduriyetlerin tek haneli yüzdelere düşeceği öngörülebilir.”

Bir strateji artık kurumsal yapının vazgeçilmezi halini aldı, alması şart. Çünkü bilinçsizce yapılan işlemler sonucunda doğacak  maddi, manevi zararlarlar ve prestij kayıplarıyla karşılaşmak işten bile değil. Bazen, özellikle maddi kayıplardan doğan zararların geri dönüşünün, prestij kaybını yeniden inşa etmenin mümkün olmadığı da ortada.

Ağ yapıları ayrıştırılmalı

Cihaz üreticileri, yazılım geliştiriciler, operatörler gibi ekosistemdeki yapılar bireylerin karşı karşıya oldukları riskler konusunda bilgilendirmede en azından beklendiği ölçüde aktif bulunmuyor. “Sadece bir uyarı penceresi açarak bildirimde bulunuyorlar. Bunu dışında var olan sistemden memnumlar. Şu anda yürüyen sistem bir kâr merkezi niteliğinde” yorumunu yapan  Servodata Bilişim Genel Müdürü Cem H. Bektaş’a göre, bu ekosistemin paydaşları bireylerin farkındalığını artırmak için kendileri yenilikler geliştirmenin yanında, farklı işbirliklerine fırsat yaratmaya da mesafeli. Oysa riskler büyük ve gittikçe gelişiyor. En güncel örnek de Cem H. Bektaş’tan geldi: “Bireyler çalıştıkları kurumların internetini kendi kişisel cihazlarına bağlıyorlar. WhatsApp ve benzeri uygulamalar şirketlerle bireyler arasında bir köprü. Şirketler bu köprü ile her türlü belge ve bilgiyi birbirlerinin cihazlarına aktarıyorlar. Bu bilgiler mobil cihazlara yüklenen çeşitli programların kullanımına hazır hale geliyor.”

Bu tablo karşısında şirketler için kurumsal sosyal medya araçlarına ihtiyaç var. Bilgiler şirketlerle özel sosyal medya ağından paylaşılmalı. Kriptolu olmalı ve izi sürülmeli. Ayrıca Bektaş’a göre, bireysel mobil cihazlar asla şirketlerin kablosuz ağlarından şirketin içine alınmamalı. “Bu hizmet verilecek ise farklı ve şirket ağı dışından oluşturulacak bir kaynakla sağlanmalı” diyen Bektaş’a göre, daha kurumsal güvenlik çözümleri geliştirmek şart.

Birlikten kuvvet doğar

“Intel Security birimi olarak üretici ekosistemi ile çok yakından çalışıyoruz” diyen McAfee- Intel Security Güney Doğu Avrupa, Türkiye ve Yunanistan Bireysel, Küçük İşletmeler ve Mobil Satış Müdürü Baha Güler ise şu bilgileri verdi:

Amacımız tüm cihazlarda bütünleşik güvenlik katmanı oluşturarak tüketiciye ulaşmadan önce güvenliklerini sağlamış olmak. Geçtiğimiz aylarda bireylere ve kurumsal kullanıcılarımıza daha güçlü güvenlik sağlayabilmek için Cyber Threat Alliance oluşumuna katıldık. Bunun yanısıra ülkemizde de Ulaştırma Bakanlığı’nın ve ilgili sivil toplum kuruluşlarının farkındalık çalışmalarına katılıyoruz. McAfee Laboratuvarları her çeyrekte tehdit raporu yayınlar ve bu rapora McAfee web sitesi üzerinden ücretsiz olarak erişilebilir. En son yayınlamış olduğumuz raporda HeartBleed zaafiyeti konusunu işledik. Veri tabanımızda zararlı yazılım sayısı 300 milyona ulaştı. “0. Gün”, oltalama (phising) saldırıları, botnetler, köke inen araçların tümü bizleri etkileyen önde gelen tehditlerden. Özellikle sosyal ağların gelişmesiyle sağlanan sosyal mühendislik verileri, tehditlerin çok daha sofistike olmasına sebep oluyor. Kullanıcıların bilinçlendirilmesinin sağlanması, atılması gereken ilk adım. Bunun yanında güvenliğimizi sağlayabilecek yazılım ve donanımlara ihtiyacımız var. “Bilgi Paylaşan Güvenlik-Connected Security” modelinin yaygınlaşacağını görüyoruz. Çok farklı katmandaki ve vektördeki ürünümüz birbirleriyle iletişim içerisinde, en güçlü güvenliği ortaya çıkarıyor. Tüm üreticiler, ulusal ve küresel seviyede beraber çalışarak, bireylerin ve kurumların daha güçlü güvenlik ürünleriyle korunmasını sağlamaya çalışmaya devam edecekler.”

 
ETİKETLER : 993