Bu başlığı okuyan herkes kendini bu kapsama koymayacak, biliyorum. Tabii ki, şirketlerin ve profesyonellerin bir kısmı için bu söylem doğru değil fakat maalesef büyük çoğunluk siber güvenliğe gerektiğine yakın bile önem vermiyor. Pazarlama ajansı için yarışma düzenleyerek karar veren dev şirketler siber güvenlik çözümleri için ihale açıyor, en ucuz hizmete yöneliyor. Gelen uyarıları ciddiye almıyor, bütçe harcamaktan, nitelikli personel kaynağını ayırmaktan çekiniyor. Diğer konu, üst düzeyde yetenekli siber güvenlik uzmanlarının şirketlerde tam zamanlı çalışmak istememeleri. Bu gerçeği görerek doğru danışman ya da firmalardan hizmet almanın çok önemli olduğu bir alan burası.
Teknik önlemlerin alınması şart
Siber güvenlik dediğimiz zaman artık sadece bir atak geldiği zaman bunu nasıl karşılayacağımızı değil, uçtan uca bir yönetimden bahsediyoruz. Teknik önlemlerin alınması şart. Alınan teknik önlemlerde de açıklar olabilir, dolayısıyla organizasyonu, değişen şartları sürekli güncelleyerek alınan önlemleri disiplin için yönetmek ve güncellemek gerekiyor. Diğer taraftan terörle mücadelede olduğu gibi istihbarat ağı kurmaya da ihtiyaç var. Şu an Türkiye ve dünyada hizmet veren siber güvenlik istihbarat firmaları internetin ve sosyal medyanın farklı katmanlarını düzenli tarayarak aksiyon alınabilecek bilgi sağlayabiliyorlar. Bir güvenlik duvarı kurmak kadar bu tip hizmetlerin alınmasının da standart olması, şirketlerin rutini içinde yer alması gerekirken henüz o noktada değiliz maalesef. Benzer yorumu penetrasyon testleri için de söylemek mümkün. Çoğu şirket bir gereklilik olduğunda bu testleri yaptırıyor ya da yılda bir rutin prosedür içinde bu hizmeti alıyor. Oysa şirketlerin sistemlerini kurduktan sonra siber güvenlik uzmanlarına “gel benim sistemi delmeye çalış”, delebilirsen bir de ödül vereceğim demesi, bunu yılda bir değil her yıl birkaç farklı uzmana yaptırması lazım.
Yurtdışında gördüğümüz ödül programlarına da Türkiye’de pek rastlamıyoruz. Sistemlerini kıran “Beyaz şapkalı hacker”lara ödül dağıtan programalar ile şirketler tüm dünyadan farklı yeteneklere sistemlerini test ettirebiliyor ve başarılı olanları cömertçe ödüllendiriyor.
Siber güvenlik açıklarının çoğu bireylerden kaynaklanıyor
Bir şirketin kullanıcı bilgileri internete düştüğü zaman çoğunlukla duyuyor ve alarma geçiyoruz. Oysa bu bence en hafif konu. Kullanıcı bilgilerinin etrafta dolaşması tabii ki hoş değil ama çok da kritik olmayabilir. Sistemleriniz delinip kırılırsa ve sunucularınıza konan kilit mekanizmaları ile fidye talep edilirse o zaman siber güvenliğin ne kadar önemli olduğunu anlarsınız. Milyonlar harcanan fabrikalarda imalat sadece sunucuların kitlenmesiyle duruverir, internet şirketleri hizmet veremez hale gelir. İşte bu tip haberleri duymuyoruz, şirketler bunları açıklamıyorlar, diğerleri de başlarına gelene kadar bu tip vahim risklerin farkında olmayabiliyor.
Siber güvenlik açıklarının çoğu da tabii ki bireylerden kaynaklı oluyor. Bir sunucunun şifresini doğum tarihi yapan IT çalışanından yıllardır değiştirmediği şifresini internette her yerde kullanan üst düzey yöneticiye kadar çok basit hatalar büyük zararlara yol açabiliyor.
Birey olarak çok az efor ile güvenliği üst düzeye çıkarmak mümkün. Kendinize basit bir test yapın. Sosyal medyanıza girin ve bir bakın. Uçağa binerken koyulan bir bilet fotosu, üstünde gidilen yer, uçuş saati, havalimanından check-in paylaşımlarınız olmuş mu? Aslında gizli kalması gereken çok özel bilgilerinizi kamuya hiç duyurmuş musunuz? Bu tip paylaşımların müthiş bir güvenlik açığı olduğunun farkında mısınız? Hatta daha basit bir kontrol yapın, sosyal medya şifreleriniz ile e-posta şifreleriniz aynı mı?
Sonuç olarak diyeceğim, sistemleri insanlar kurduğuna göre kırılması ve açıklarının da olması kadar doğal bir şey yok. Önemli olan gerekli özeni gösterip mümkün olduğunca sıkı bir şekilde korumaya almak, çok daha bilinçli davranmak…
Bu yazı Digital Report Dergisi 11. sayısında yayınlanmıştır.
