Sayı 4
Yakın Gelecek

Siber Güvenliğe Başlarken Sorulması Gereken 6 Kritik Soru

Dijital dönüşümle birlikte şirketlerin iş süreçlerinde yeni bir cephe açıldı: Siber güvenlik. Bu yazımızda, siber güvenlik konusunda en çok sorulan 6 soruyu yanıtladık.
Siber Güvenliğe Başlarken Sorulması Gereken 6 Kritik Soru
Siber güvenlik nedir?

Kişi ya da kurumlara ait elektronik ortamda bulunan verilerin güvenliğinin, gizliliğinin ve bütünlüğünün korunmasına siber güvenlik deniyor. Etkin siber güvenlik önlemleri, şirketin sahip olduğu dijital varlıklara izinsiz veya yetkisiz erişimi önlüyor. Buna karşın kötü niyetli siber saldırganlar, veriye ulaşmak için kişi veya kurumların dijital dünyadaki açıklarını kullanmaya çalışıyor. Siber güvenlik teknolojileriyle hacker’lar arasındaki bu “kedi fare” oyunu, internetin doğuşundan bu yana devam ediyor.

Covid-19 salgınının başlangıcından bu yana, ülkemizde internet kullanım oranı %50'nin üzerinde artmış durumda. Pandemi temelli kaygılar, pek çok şirketin çalışma politikasını yeniden düzenlemesine ve belirli aralıklarla da olsa personellerini evlerinden çalışacak şekilde yönlendirmesine sebep oldu. Bu durum, personellerin ev kullanımı için tercih ettikleri düşük güvenlikli internet ağları ile şirket sunucularına sıklıkla ulaşmalarına sebep oluyor.

Siber korsanlar, sahte video konferans yazılımları başta olmak üzere, kişi ve kurumların veri güvenliğini tehdit edecek uygulamalar geliştirmeye devam ediyor. Bu uygulamaların kullanımı halinde, kişi veya kurumların bilgisayar, sunucu ya da mobil cihazlar gibi elektronik sistemlerinde yer alan veri ve bilgiler, kolayca üçüncü şahısların ellerine geçiyor. Eğer önlem alınmazsa, kişisel verilerden şirket işleyişine yönelik en gizli içeriklere kadar her türlü bilgi, kötü niyetli kişiler tarafından birer tehdit malzemesi haline gelebiliyor. Bu durum, kişiler için özel hayatın gizliliğinin ihlali, kurumlar için ise faaliyet sonlandırmaya varacak kadar büyük sonuçlara yol açabiliyor.

Siber güvenlik yazılımları ve bu alanda görev yapan uzmanların amacı, kişi ya da kurumların verilerini siber saldırılara karşı korumak ve olası tehditlere karşı hazır tutmaktır. Bu noktada, özellikle şirketler için siber güvenlik yatırımları, günümüz şartlarında her geçen gün daha fazla önem kazanıyor.

Siber güvenlik neden önemli?

Dijitalleşme sürecini tamamlamış veya tamamlamakta olan kurumlar için siber tehditler, operasyonel güvenliği riske attığı için, şirketleri siber güvenlik yatırımlarını geliştirmeye itse de halen pasif davranarak önlem almakta geciken şirketlerin sayısı çok yüksek seviyelerde. Pek çok farklı sektör ve departmandan üst düzey yöneticilerin katılımıyla gerçekleştirilen 2020 Türkiye Siber Risk Algı Araştırması, kurumların hangi aşamadan itibaren siber güvenlik yatırımı yaptıklarını ortaya çıkardı. %77 ile katılımcıları ilk harekete geçiren faktör, "KVKK gibi yeni çıkan veya değişen yönetmelikler" olurken, "başka bir şirketin siber saldırıya uğradığı haberi" de %58 ile en çok tercih edilen ikinci faktör oldu. "Şirketin kendisinin uğradığı siber saldırı" seçeneği ise %48 ile en önemli üçüncü faktör olarak dikkat çekti.

Şirketleri siber güvenlik yatırımı yapmaya en çok iten 3 faktör gösteriyor ki, regülasyonlar dışında kurumlar hamle yapmak için, kendilerine ya da diğer şirketlere yönelik bir siber saldırı gerçekleşmesini bekliyor. Halbuki söz konusu saldırıların getireceği finansal zarar ve beraberinde piyasada uğranacak itibar kaybı, siber güvenlik yatırımlarıyla kıyaslandığında şirketlerin bütçelerini çok daha derinden etkileyecek unsurlar olarak öne çıkıyor.

Siber güvenliği sağlamak isteyen şirketlerin nelere dikkat etmeleri gerekiyor?

2020 yılı itibarıyla dünyada günde ortalama 1,5 milyon siber güvenlik saldırısı gerçekleşiyor. Kurumlar için bu saldırılarda en zayıf unsur "insan". Zira içeriğinde tehlikeli link ve dokümanlar bulunan e-postaların açılması, farkında olarak ya da olmayarak sahte uygulamaların kullanımı ve sosyal medya üzerinden gelen saldırılar, kişi ve kurumlara dair veri sızıntısında en büyük pay sahibi olarak işaret ediliyor. İki faktörlü kimlik doğrulama gibi yapılacak doğru yatırımlarla, insandan doğabilecek siber güvenlik açıkları minimum seviyeye indirilebiliyor.

2020 Türkiye Siber Risk Algı Araştırması'na göre siber güvenlik noktasındaki en riskli yeni teknolojiler, Bulut Bilişim (%33), Nesnelerin İnterneti (%26) ve mobil uygulamalar (%25) olarak öne çıkıyor. Bu teknolojiler, yolu dijitalleşmeden geçen bütün kurumlar için en yaygın kullanılan çözümler konumunda. Dolayısıyla şirketlerin bu noktalara özellikle hassasiyet göstermesi ve siber güvenlik yatırımlarını bu noktalardaki olası açıkları kapayacak şekilde özelleştirmesiyle riski aşağıya çekileceği düşünülüyor.

Katı bir siber güvenlik ağı ile korunan bir şirkete, yeterli önlemi almamış üçüncü taraf bir hizmet ortağı üzerinden kolayca ulaşmak mümkün oluyor. 2002 yılında kurulan Ponemon Enstitüsü'nün 2019 Veri İhlali Raporu'na göre, üçüncü taraf hizmet ortakları üzerinden şirketlerin uğradığı yıllık zarar, ortalama 370 bin dolara ulaşıyor. Şirketlerin, üçüncü taraf hizmet ortaklarını siber güvenlik noktasında muhakkak denetlemeleri gerekiyor. Zayıf bir iş ortağı, kurumları geri dönüşü kolay olmayacak seviyede zararlara uğratabiliyor.

Siber güvenlik alanında yatırım yapmak isteyen firmaları hangi zorluklar bekliyor?

Türkiye Siber Risk Algı Araştırması'nda, katılımcılara siber güvenlik konusunda en çok yaşanan 3 zorluk soruldu. %41 ile en çok "Çalışanların siber güvenliğe odaklanacak zamanı yok" seçeneği tercih edilirken, akabinde %32 ile "Nitelikli siber güvenlik uzmanı işe almak ve elde tutmak zor" seçildi. "Şirketlerin ayrı bir siber güvenlik ekibi yok" ise %29 ile en çok işaretlenen üçüncü zorluk oldu.

Şirketlerin %77'sinde siber risklerin sorumluluğu IT/BT ekiplerinde bulunuyor. Bu ekipler Bilgi Teknolojileri alanında uzman olsalar da siber güvenlik konusunda yetersiz kalıyor. Bu durum da olası bir saldırıda söz konusu şirketleri kolay hedef haline getiriyor. Bu noktada şirketlerin yaşayacağı zararı bir nebze telafi edecek siber risk sigortalatma seçeneği de mevcut. Türkiye Siber Risk Algı Araştırması'na göre her 3 şirketten birinin siber risk sigortası bulunurken, katılımcıların %20'si siber risklere karşı sigortalatma imkanından haberdar bile değil.

Şirketlerin %87'sinde, son bir yıl içinde siber güvenlik konusu yönetim toplantısında masaya gelmiş durumda. 10 kurumdan 6'sı için siber riskler, en önemli 5 risk arasında yer alıyor. Buna karşın şirketlerin yüzde 27'si, siber riskleri tespit etmek için henüz herhangi bir metot kullanmıyor. Çalışanlar ise çözümü bireysel yaklaşımda arıyor. Araştırmaya göre personeller, şirket geneline kıyasla bireysel siber riskleri ve siber güvenlik önlemlerini daha fazla önemsiyor ve bu konuda hamle yapıyor. Bu noktada şirketlerin, siber risk yönetimi için yaptıkları yatırımları sıralarsak, %81 ile siber güvenlik teknolojileri birinci sıraya, personel eğitimi ise %65 ile ikinci sıraya yerleşiyor.

Siber güvenlik alanında son trendler nelerdir?

Siber güvenlik alanında bugüne baktığımızda, kişi ve kurumların uğradığı zararlar kapsamında öne çıkan bazı uygulamalar mevcut. Şirketlerin personellerini doğru eğitimlerden geçirmeleri halinde, hem güncel tehlikelerden minimum seviyede etkilenmeleri hem de söz konusu personeller sayesinde siber güvenlik noktasında geleceğe yatırım yapmaları mümkün oluyor. Türkiye Siber Risk Algı Araştırması gösteriyor ki, katılımcıların %65'i personellerine siber güvenlik noktasında eğitim yatırımı yapmayı tercih ediyor. Bu oran mevcut risk ortamı göz önüne alındığında umut verici olsa da asıl kritik karar hangi eğitimlerin tercih edilmesi gerektiği noktasında ortaya çıkıyor. Zira kurumların, siber güvenlik eğitimi verecekleri personelleri güncel saldırı trendlerini analiz ederek yönlendirmesi ve eğitim yatırımı yapması gerekiyor. Aksi halde yapılan yatırımlardan alınacak geri dönüşler, verimlilikten çok uzak seviyelerde kalabiliyor ve söz konusu şirketler, veri güvenliği noktasında tehlike yaşamaya devam ediyor. Günümüzde siber güvenlik alanında, kurumların mutlaka dikkate alması gereken 4 farklı eğitim başlığı öne çıkıyor.

  1. Mobil güvenlik

    İster kurum tarafından ister harici bir yazılım şirketi tarafından geliştirilmiş olsun, şirketlerin kullandığı mobil uygulamalar, ciddi güvenlik risklerine neden olabiliyor. Siber saldırganlar, mobil uygulamalardaki açıklar yoluyla kurumların ağlarına sızarak, şirketleri maddi ya da manevi zararlara uğratabiliyor. Bu noktada alınacak birincil tedbir olarak, Netaş n-telligent institute'un "Mobil Uygulama Güvenlik Denetimi Eğitimi" kapsamında verildiği gibi mobil sistemlere yönelik güncel tehditlere karşı standartlara uygun testlerin yaptırılması düşünülebilir.

  2. Sızma testleri

    Etik hack çalışmaları ile kurumun sistemlerine ne kadar sızılabildiği ve bu aşamada hangi veri ya da bilgilere ulaşılabildiği gibi konulara odaklanan ve şirketler için son derece kritik bir uygulama olan sızma testleri, siber güvenlik noktasındaki olası zaafları önemli ölçüde açığa çıkarıyor. Sızma testlerinden başarısız sonuçlar alan bir kurum ağı, kötü niyetli hacker'lar tarafından çok büyük zararlar ile karşı karşıya kalabilir. Netaş n-telligent institute'un "Sızma Testleri Eğitimi" gibi çalışmalarıyla çalışanlar etik hack'lemenin temel gerekliliklerini öğrenerek sızma testleri gerçekleştirebilir.

  3. Veritabanı güvenliği

    Bilgisayar korsanlarının öncelikli hedeflerinden veritabanları, eğer yeterince etkin biçimde korunmazlarsa, gizlilik ihlallerinden dolayı şirketleri çok büyük zararlara sokabilecek hukuki süreçlerin başlamasına neden olabilir. MS-SQL, MySQL, Oracle, MongoDB gibi veritabanlarındaki açıkların tespiti ve veri güvenliğinin yönetimi için Netaş n-telligent institute'un "Veritabanı Güvenliği Eğitimi" gibi çalışmalar mevcuttur. Bu tür eğitimlerden geçen personeller, şirket veritabanı güvenliği noktasında uzmanlaşmaya başlar.

  4. Zararlı yazılım analizi

    Kurumsal sistemlerde en çok güvenlik zafiyeti oluşturan zararlı yazılımlar, antivirüs ve “Ana Bilgisayar Tabanlı Sızıntı Önleme Sistemleri” (HIPS) tarafından algılanmayan programlardır. Bu yazılımların tespiti, zararlı etkilerinin analizi ve sistemden kaldırmak için gerekli işlemlerin öğrenilmesi için, Netaş n-telligent institute'un "Tersine Mühendislik ve Zararlı Yazılım Analizi" gibi eğitimleri kritik önem taşır. Zararlı yazılımlar noktasında uzmanlaşan personeller sayesinde, şirketin beklenmedik saldırılarla karşılaşma ihtimali de zayıflamış olur.

Siber güvenliğin geleceğinde neler var?

Yapay zeka, yakın gelecekte siber güvenlik alanında önemli bir oyuncu haline gelecek. Tehditlerin durdurulmasında başrol üstlenecek olan yapay zeka için siber güvenlik sektöründe yatırımlar hızla artıyor. Öngörülere göre 2026 yılında yapay zekanın siber güvenlik pazarındaki pazar payı, 38 milyar doları bulacak. Özellikle IoT cihaz sayılarının her yeni yılda büyük bir hızla artıyor oluşu, yapay zekanın bir an evvel süreçte aktif bir rol üstlenmesi gerekliliğini ortaya çıkarıyor. Şu an yaklaşık 10 milyar olan internete doğrudan bağlı cihaz sayısı 2025'te 20 milyarın üzerine çıkacak. Bu cihazların anbean korunması için de en ideal seçenek yapay zeka desteği gibi görünüyor.

Şirketlere uygun koşullarda, yapay zeka tabanlı siber güvenlik çözümlerinin sunulacağı günler gelmeden önce, siber risklerin farkında olarak doğru yatırımlarla önlem almak, hatta bu önlem ve yaklaşımları şirket oryantasyonunun bir parçası haline getirmek hayati önem taşıyor. Şirketlerin faaliyetlerini doğrudan etkileyecek diğer riskler gibi siber risklerin de yüksek önemle konumlandırılması ve kurumların vizyon planlarına dahil edilmesi gerekiyor