Güvenlik olmadan veri gizliliği imkansız

Microsoft’un Güvenlik İstihbarat Raporu’nun en güncel sürümüne göre, Türkiye’deki bilgisayarlarda tespit edilen kötücül yazılım rakamları, birçok kategoride dünya ortalamasının hayli üstünde. Microsoft Orta Doğu ve Afrika Bölgesi Kamu Özel İşbirliği Projeleri Direktörü Buğra Karabey, “Bu tür yüksek oranlar, içinde bulunduğumuz dönemde Türkiye’nin çevrimiçi suçlular tarafından ‘hedef alındığını akla getiriyor. Veri gizliliği olmadan güvenlik mümkün ama güvenlik olmadan veri gizliliği mümkün değil” diyor.

Günümüzde paranın motive ettiği siber suçlular, sistemlere sızarak kendilerine fayda sağlayacak kaynaklara ulaşabilmek için her türlü fırsatı değerlendirmekten çekinmiyor. Kişisel bilgileriniz, şifreleriniz, kimliğiniz, paranız, ortalıkta bıraktığınız hiçbir şey artık güvende değil. Kurumlar ve bireyler için bilgi güvenliğinin korunmasında ürünlerinin yanı sıra eğitim hizmetleri ve işbirliği programlarıyla öne çıkan Microsoft, böyle bir çağda tehditlerle mücadele etmek ve kullanıcıları bilinçlendirerek cihazlarını güven içinde kullanmalarını sağlamak için Microsoft Siber Suçlarla Mücadele Merkezi’ni (Microsoft Cyberc-rime Çenter) hayata geçirdi.

Microsoft’un altı aylık dönemlerle yayınladığı Güvenlik İstihbarat Raporu’nun en güncel sürümünde Türkiye ile ilgili önemli tespitler yer alıyor. Rapor, Türkiye’de çeşitli Truva atı, solucan vb. kötücül yazılım rastlanma oranlarının kendinden sonra gelen ülkeden en az yüzde 18 daha yüksek olduğuna dikkat çekiyor. Microsoft Orta Doğu ve Afrika Bölgesi Kamu Özel İşbirliği Projeleri Direktörü Buğra Karabey, Türkiye’deki bilgi güvenliği tehditlerini detaylı şekilde değerlendirirken bu alanda yaptıkları çalışmaları anlattı…

RİSK PROFİLLERİ

Sibergüvenük alanında dünyadaki en büyük tehditler neler? Şirketler ve devletler arasında sürmekte olan siber savaşların geldiği boyut hakkında bilgi verir misiniz?

Sibergüvenük alanında bireysel kullanıcıların, kuruluşların ve de devletlerin karşı karşıya oldukları farklı risk profilleri var. Bireysel kullanıcılar daha çok kimlik ve fınansal bilgi hırsızlığı ile karşı karşıya. Bu konu kuramlarda profesyonel saldırganlar tarafından gerçekleştirilen fmansal kazanç amaçlı saldırılara ve endüstriyel casusluğa, devletler boyutunda ise “kritik altyapıları” hedefleyen ve ulusal güvenliğe risk oluşturan boyutlara çıkıyor. Bununla birlikte Phishing (yemleme) olarak adlandırılan güvenlik saldırılarında, son dönem belli bir kişiye odaklanan Harpooning (zıpkınlama) ve de önemli, anahtar kişilere odaklanan wha-ling (balina avcılığı) saldırılarına yönelik bir değişim olduğunu gözlemliyoruz. Yine, Advanced Persistent Threat -APT (Odaklı Saldırılar) dediğimiz kategori, ciddi uzmanlık, zaman ve kaynaklar harcanarak kuramlara veya ülkelere yönelik odaklı saldırıların icrasını gündeme getiriyor. Tüm bu gelişmelere baktığımızda zaman içinde bilgi güvenliği risklerindeki değişimin, saldırıların profesyonellik ve hedefe odak-lılık seviyesinde ve harcanan emek, kaynak, uzmanlıkta olduğunu söylemek mümkün. Bu konu ciddi bir endüstri halini almış durumda ve ülkeler seviyesinde de ciddi bir ulusal güvenlik sorunsalı oluşturuyor. Dolayısı ile bu tehditlere karşı koymak ancak devletlerin, kuramların, yazılım ve donanım üreticileri ile işbirliği yapması ile mümkün.

BULUT BİLİŞİM PROFESYONEL ÇÖZÜM

Mobil teknolojiler, M2M dediğimiz makineler arası iletişim, Büyük Veri ve Bulut gibi bilişim dünyasındaki yeni trendler, bugün ne tür yeni siber güvenlik tehditlerine de aynı zamanda yol açıyor?

Bulut bilişimin kurumlar tarafından kullanımı her geçen gün yaygınlaşıyor. Burada Bulut hizmet sunucularına ciddi görev düşüyor. Veri merkezlerinde uygulanan güvenlik politikalarını, uyumlu güvenlik standartlarını ve hizmet sunarken kullandıkları SLA’lanm (Hizmet Seviyesi Anlaşma) şeffaf bir şekilde kamuoyu ile paylaşmak ve kullanıcıları aydınlatmak görevi onlara düşüyor. Bu perspektiften bakıldığında da Microsoft’un sunduğu servis sürekliliği ve güvenlik şartlan endüstriye yol gösterici nitelikte. Tüketiciler ve KOBİ’ler bağlamında bakıldığında ise Bulut Bilişim profesyonel bir çözüm getiriyor. Günümüzün BT dünyasında bilgi güvenliği ve kişisel verilerin gizliliği konuları aslında tek başına bir kullanıcının ve hatta birçok KOBİ’nin imkan ve kabiliyetlerini aşacak bilgi birikimi ve kaynaklar gerektiriyor. Dolayısı ile tüketiciler ve birçok şirket için verilerini profesyonel ekipler tarafından idare ve idame edilen Bulut ortamlarında bulundurmak ve dolayısı ile her tür güncellemenin anında yapıldığı, sürekli güvenlik perspektifinden izlenen ve gerekli reaksiyonlar verilen bir BT ortamında güvenliği yaşamak ve dolayısı ile “güvenliği de bir hizmet olarak buluttan almak” mümkün. M2M diye tanımlanan makineler arası iletişimin artmasıyla da çok ilginç güvenlik sorunlan ile karşı karşıya kalabileceğiz. M2M sayesinde birçok sensör, kamera, trafik lambaları ve hatta evlerdeki beyaz eşyalar ve elektronik cihazlar birbiri ile irtibatlı hale geliyor. Bu da kötü amaçlı saldmların erişimini, kapsamını ve etkisini de üssel olarak artıracak. Yine burada risk altında olan birimlerde gömülü olarak çalışan işletim sistemlerinin güvenlik bağlamında sağlamlığı öne çıkacak.

VERİ GİZLİLİĞİNDE HASSASİYET

Bu yeni koşullarda şirketler ve teknoloji kullanıcıları, kendilerini gizlilik anlamında nasıl koruyacak?

Veri gizliliği yani ‘privacy’ aslında güvenlik ile çok yakın konular. Burada endüstride iyi bilinen yaklaşım “veri gizliliği olmadan güvenlik mümkün ama güvenlik olmadan veri gizliliği mümkün değil” şeklinde. Burada teknoloji kadar önem taşıyan bir başka husus ilgili yasal düzenlemelerin mevcudiyeti. Türkiye’de de kişisel verilerin korunmasına dair düzenlemeler üzerinde yıllardır çalışmalar sürüyor ve hem vatandaşlar hem de endüstri bu düzenlemeleri bekliyor. Veri gizliliğinde bir diğer kritik nokta da firmaların konuya yaklaşımı. Microsoft veri gizliliği konusunda ve kullanıcı bilgilerinin kullanımında çok katı ve net bir yaklaşıma sahip. Veri gizliliğinde sektörde azami hassasiyeti gösteriyor.

Microsoft’un System Çenter yönetim ailesi ve bulut tabanlı yönetim çözümü Intune, bu gibi durumlarda Sistem ve Ağ Yöneticilerinin işlerini kolaylaştırıyor ve farklı platformlarda çalışan altyapı ve uç birimlerin tek merkezden kontrolünü mümkün kılıyor. Yine yazılım güncelleme konusunda kurumlarda zafiyetler gözlemleniyor. Aylar önce yaması çıkmış açıkların kurumlarda bilgi güvenliği olaylarına sebep verdiğini üzülerek gözlemliyoruz. Buna paralel hala birçok kurumda kullanılan Windows XP sistemi hakkında bir uyarı yapmak yerinde olacak. Malum bu işletim sistemi ile ilgili destek Mart ayı sonunda bitiyor. Ülkemizde bu sistemi kullanan kurum ve kuruluşların hızlı bir şekilde güncel Microsoft işletim sistemlerine geçmeleri, hem operasyonlarında kesinti olmadan bu yükseltmenin gerçekleşmesini hem de güvenlik bağlamında sağlam bir noktada olmalarını mümkün kılacak.