'SİBER DİRENÇ' KAZANMANIN 6 YOLU

Siber tehdit ortamı, bir şirketin tamamen ayak uydurabileceğinden çok daha hızlı ve karmaşık şekilde değişiyor. Bu nedenle kurumlarda eksiksiz bir güvenlikten bahsetmek imkânsız gibi. Çeşitleri ve şiddetleri artan saldırılar karşısında direncin korunabilmesi için devlet altyapılarının ve ağlarının daha dayanıklı hale getirilmesi şart. Cevap odaklı, reaktif bir yöntemden proaktif bakış açısına geçiş yapılması gerekiyor.

Yüksek siber güvenlik risk düzeyine sahip olan kamu kurumları, tehdit dünyasının ve dijitalleşme sürecinin etkisi altında çalışma şekillerini değiştirmeye çalışıyor. Devlete ait pek çok hassas bilginin korunabilmesi için siber dirence sahip olunması şart. Asıl soru ise saldırıya uğrayıp uğranılmayacağı yerine, ne zaman karşılaşılacağı.

KAMU KURUMLARI KURALLARA UYMUYOR!

Pozitif gelişmelerde yeni yasal süreçlerin de etkisi bulunuyor. Buna karşın Eylül 2018’de Devlet Sorumluluk Ofisi’nin yayımladığı rapor, çoğu kurumun kurallara uymadığını gösteriyor. En çok, yüksek değerli varlıkları belirleyebilme, esnekliğin artırılması gereken alanlarda korumayı tasarlama ve bu alanlardaki yatırımları paylaştırmada sorun yaşanıyor. İş geliştirme süreçleri ve modernizasyonun başarı getireceğini vurgulayan Komtera Teknoloji’nin güvenlik uzmanları, devlet dairelerinin siber direnci artırmaları için sistemlerine adapte etmesi gereken 6 adımı paylaşıyor. 

 

1- Sürekli yapılması gereken, temel görevlerde eksiksiz olun. Yamalar, güncellemeler ve erişim izinleri denetimleri gibi rutin görevlerde çok iyi olun. 

2- Güvenliğinizi artırmak için bulut hizmetlerini destekleyin. Bulut teknolojilerinden faydalanarak elastik iş yükü ve çoklu işlem kapasitesi avantajlarını kullanarak siber saldırganların verilerinize ulaşıp kurumunuza zarar verme ihtimalini düşürün.

3- Veri merkezli güvenliği adapte edin. Şifreleme, güçlü hesap ve erişim yönetimi gibi otomatik ya da elle yönetilen tüm konularda veri güvenliğinin günbegün tüm operasyonlarda gözetildiğinden emin olun.

4- Uygulama güvenliğini atlatmayın. Otomatik taramalar ve testler uygulayarak uygulamalardaki potansiyel zafiyetleri devamlı ve düzenli olarak kontrol edin. Böylece saldırganların saldırı yüzeyi yaratmak için vermeleri gereken eforu artırarak onları vazgeçirin. 

5- Yazılım temelli ağ kullanımını artırın. Siber saldırganlar, bulamadıkları bir şeye saldıramazlar. Ağ olarak yazılım tabanlı bir sistem kullanmayı seçerek ağ güvenliğini artırın ve siber saldırganların boşa kürek çekmesini sağlayın. 

6- Proaktif bir savunma yaratın. Yapay zeka ve güvenlik otomasyonu araçlarını kullanarak sorunları kısa zamanda fark edip hızlıca savunma yolları üretin. IT çevrenize sürekli uygulayacağınız testlerle zayıflıklarınızı saldırganlar fark etmeden önce siz fark edin. Siber tehditleri takip edin ve en önemli tehditler başta olmak üzere önceliklerinizi belirleyin.

Can Demirel - Biznet Bilişim EKS Siber Güvenlik Hizmetleri Yöneticisi:

KURUMLAR ARASI SİBER İSTİHBARAT PAYLAŞIMI ZORUNLU

Endüstriyel Kontrol Sistemleri (EKS/ SCADA), enerji tesislerinden, sağlık sistemlerine, savunma sanayinden üretim tesislerine kadar birçok kritik altyapının omurgasını oluşturuyor. EKS’nin zarar gördüğü ve çalışamaz hale geldiği durumlarda, büyük boyutlu sektörel, ulusal ve küresel maddi ve manevi zararlarla karşılaşılıyor. Biznet Bilişim EKS Siber Güvenlik Hizmetleri Yöneticisi Can Demirel, 2019 yılı EKS öngörülerini paylaştı.

 

Endüstri 4.0 ile tüm dünyayı etkisi altına alan dijitalleşme trendinin, EKS alanında da etkisini göstermesi ve endüstriyel işletmelerin verimlilik talepleri; IoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smartgrid projeleri vb.) kritik altyapılarda ve OT ağlarında kullanımını artırdı. Bu durum, çok sayıda siber güvenlik zafiyetini de beraberinde getiriyor.

‘SALDIRILAR CAN VE MAL KAYBINA YOL AÇABİLİR’

2019, IoT ve uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de, yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak.

Siber kara borsada EKS zafiyetlerine talep arttı. Özelleşmiş, hedef odaklı, sofistike ve çevresel zarar, can ve mal kaybıyla sonuçlanabilecek saldırılara şahit olabiliriz. Bunlar “Kritik Altyapılar” özelinde, doğrudan zarar vermeye odaklı olabileceği gibi; uzun vadeye yayılmış ve bilgi toplama amacı da taşıyabilir.

‘ENDÜSTRİYEL KONTROL SİSTEMLERİ HEDEFTE’

Endüstriyel Kontrol Sistemleri’ne yönelik dünyada, sadece 2018 ilk çeyreğindeki saldırıların sayısı, 2017’nin aynı dönemine göre %40 daha fazla. Bu durum EKS ve “Kritik Altyapılar” için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019’da, kamu kuruluşları ve özel endüstriyel işletmeler ve devletler arasındaki “siber istihbarat” paylaşımının sınırlarının çizilecek, globalde artarak devam edecek. Türkiye’de de ilk adımlar atılacak. Bu anlamda daha fazla simülasyon, test ve tatbikat çalışması gerçekleştirilecek. Savunmanın hâlâ yapılabilir olduğunu düşünüyoruz. 2019’da şirketlerin, olası tüm siber risklerini minimize edeceklerini ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz.

Asım Akbal – ESET Türkiye Satış Müdürü:

HİZMETLERİN AKSAMAMASI İÇİN ÇOK KATMANLI KORUMA ŞART

ESET Türkiye Satış Müdürü Asım Akbal, devlet işlerini ve vatandaşları ilgilendiren tüm verilerinin artık dijital dünyada olduğunu söyledi. Akbal, bu alandaki güvenliğin ise kamuda en öncelikli gündem maddesi olması gerektiğinin altını çizdi.

Dijital ortamda problem yaşandığında fiziksel hizmetler de aksamaya başlıyor. 2017’de karşılaştığımız WannaCry siber saldırısı bu durumu tüm açıklığıyla gösterdi. Pek çok ülkede sistemler çöktü, sağlık hizmetleri olumsuz etkilendi.

Giderek karmaşıklaşan saldırılar nedeniyle kurumlarda çok katmanlı çözümler önem kazandı. Güvenlik yazılımının yanı sıra çift faktörlü kimlik doğrulama (2FA), DLP çözümleri, Firewall, Antispam ve Sandbox teknolojisini kullanan güvenlik ürünleriyle entegre bir güvenlik anlayışı, kurumlarda korumayı en üst düzeye taşır. Yeni sürüm yazılımlar, birey ve kurumlardaki dijital sistemleri hedef alan virüs, truva atı, solucan, rootkit, botnet, oltalama teknikleri, casus yazılımlar ve şifre-fidye programları gibi kötü amaçlı yazılımlarla mücadele ediyor.

DİJİTAL FELAKETLERİ ÖNLEMEK   İÇİN ‘YEDEKLEME’ YETERLİ Mİ?

Veri kaybı olasılığına karşı yedeklemenin tek başına yeterli olacağı inancı, şirketler arasında hâlâ yaygın olan bir düşünce. İyi tasarlanmış bir stratejiye sahip olmak, iş sürekliliği sağlama adına önemli olsa da, dijital bir felaketin ardından toparlanmak için daha fazlasına ihtiyaç duyuluyor.

Veri yedeklemenin, tek ve yeterli önlem olduğu yanılsaması, kayıplarının ardından devreye sokulması gereken iş sürekliliği planlamasında büyük eksikliklere yol açıyor. Riskleri ve arıza süresini azaltma, dijital bir felaket sonrası sürece uyum sağlama, iş kesintilerini engelleme ve bir iş sürekliliği stratejisi, mutlaka sağlaması gereken faktörler arasında. Basit bir amaca hizmet eden yedekleme, şirket verilerinin olmazsa olmaz ve uzun süreli kopyası. “Felaket kurtarma” ise IT altyapısının kısa sürede yeniden hizmet verir hale gelmesini garanti ederek işin devamlılığını sağlayan bir sigorta.

Doğan Yılmaz - Clonera Hizmet Çözümleri Müdürü

İŞTE, İŞ KESİNTİLERİNİ ENGELLEMENİN FORMÜLÜ

Clonera Hizmet Çözümleri Müdürü Doğan Yılmaz, dijital bir felaketin ardından toparlanmak için ihtiyaç duyulacaklar listesini sıraladı. Yılmaz, yedekleme ve iş sürekliliği arasındaki 4 temel farkı paylaştı.

1- VERİ SAKLAMA GEREKSİNİMLERİ:

Yedekleme, şirket verilerinin güvenli biçimde saklandığından emin olunması adına günlük, haftalık, aylık ve yıllık olarak gerçekleştirilmesi gereken ve sadece veriyi korumayı amaçlayan bir işlem olma özelliği gösteriyor. İş sürekliliği için ise şirketin kritik olduğu tanımlanmış olan IT altyapısının bir kopyasının ikinci bir lokasyonda bulundurulması gerekiyor. Böylece, dijital bir felaket sonrası toparlanma sürecinde iş kesintileri engellenebiliyor. Ayrıca iş sürekliliği planlamasının hazırlanması için öncelikle bir şirketin IT sistemleri kısmen ya da tümüyle hasarlıyken tahammül edebileceği maksimum sürenin hesaplanmasına da ihtiyaç duyuluyor.  

2- KURTARMA YETENEĞİ:

İş sürekliliği, şirketlerin uygulama ve verilerinin bulunduğu ana ortamın kısmen ya da tümüyle çalışmaz hale gelmesi olasılığında şirket operasyonlarını sürdürme kapasitesine sahip başka bir altyapının sisteme adapte edilmesine dayanıyor. Erişilemeyen bir belgeye acilen ulaşma ihtiyacında başvurulan yedekleme sistemlerinin ise bir IT altyapısının tehlikeye girmesi durumunda onu kısa sürede yeniden çalışır hale getirme yeteneği bulunmuyor. 

3- EK KAYNAK İHTİYACI:

Yedeklemeler, asıl olarak birincil medyada depolanması istenen ancak önlem olarak başka konumlarda da bulundurulan veri kopyaları olduğu için depolama kaynağına ek olarak sunucu işlem gücü sağlamıyor. İş sürekliliği çözümlerinde ise kesintiye uğramaması istenen kritik IT altyapısının birebir aynısının farklı bir lokasyonda devreye alınması gerektiği ve bu altyapının birden fazla bileşeni olduğu için tüm fiziksel kaynaklar, yazılımlar, bağlantı ve güvenlik dahil olmak üzere pek çok unsur üzerinde düşünülerek hareket edilmesi gerekiyor.

4- PLANLAMA SÜRECİ:

Rutin bir yedekleme işlemi, sadece veri saklama gereklilikleri bilindiğinde planlanıp gerçekleştirilebiliyor. Eksiksiz bir iş sürekliliği stratejisi ise pek çok açıdan ek planlamalar gerektiriyor. Hangi sistemlerin ya da sistemin hangi kısımlarının daha kritik olduğuna dayalı bir kurtarma önceliği sırası ve iletişim süreci gibi planlar ile bu planların hepsinin geçerliliğine dair testlerin yapılması da en az ana strateji kadar önem taşıyor.

Faruk Eczacıbaşı - e-Güven Yönetim Kurulu Başkanı

KAĞIDA DAYALI İŞ MODELİ 2020’DE BİTİYOR

Hazine ve Maliye Bakanlığı’nın stratejisine göre, 2020 yılında tüm kurum ve kuruluşlar, iş ve işlemlerini elektronik ortamda yapacak. Böylece iş yapış yöntemleri kolaylaşacak, hızlanacak ve daha güvenilir hizmet sunularak zamandan tasarruf edilecek.

Türkiye Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler Odaları Birliği (TÜRMOB) Genel Başkanı A. Masis Yontan: Tüm işlemlerin dijital ortama aktarıldığı bir süreçten geçiliyor. Gelişmeleri benimseyerek, mesleki hizmetlerinde kullanan muhasebeci ve mali müşavirler teknolojide gelişimin öncülüğünü yapıyor. Verimliliğimizi artırmayı hedefliyoruz. Üye meslektaşlarımızın iş yapış yöntemlerini kolaylaştırmayı, hızlandırmayı ve daha güvenilir hizmet sunmaları sağlayarak zamandan tasarruf etmeyi amaçlıyoruz.

Elektronik sertifika hizmet sağlayıcısı E-GÜVEN Yönetim Kurulu Başkanı Faruk Eczacıbaşı: Teknolojinin ekonomiye, topluma ve bireylere sağladığı fayda her geçen gün artıyor. Dijital dönüşümün merkezinde yer alan e-imza, kurumlar ve dijital dünya arasında köprü görevi görüyor. Islak imzanın kullanımı sırasında yaşanan zaman kayıplarını ve giderleri azaltıyor. Ayrıca işlemlerin verimli, güvenli, kolay ve hızlı yapılabilmesini mümkün kılıyor. TÜRMOB ile iş birliğimizi ülkemizde “e-imza”nın yaygınlaşması kapsamında önemli bir gelişme olarak görüyoruz.

HER İKİ ŞİRKETTEN BİRİ İK’DA DİJİTALE GEÇTİ

Türkiye’de “İnsan Kaynaklarında Dijitalleşme Haritası” çıkarıldı. 2018 analize göre; ülkemizde şirketlerin %53’ü İK ve personel yönetimi için bir yazılım kullanıyor.

Kolay İK, insan kaynakları (İK) ve personel yönetimi alanındaki yetkinliklerini ölçebilmesi için 2.sini gerçekleştirdiği analizle "İnsan Kaynaklarında Dijitalleşme Haritası”nı gözler önüne serdi. Toplam 1.042 şirketin verilerine göre; İK uygulamalarında geçtiğimiz yıla oranla ilerleme kaydedildi. Süreçlerin başarıya ulaşmasındaki en önemli unsurun ise “dijitalleşme” olduğu ortaya çıktı. Araştırmaya göre; firmaların %47’si insan kaynakları ve personel yönetimi için yazılım kullanmıyor. Bu, büyük bir emek maliyeti anlamına geliyor. Her 10’undan 7’si özlük dosyalarını fiziksel olarak klasörlerde saklıyor. Bunun sonucunda da çalışanların %60’ının bilgilerine ulaşamıyor.

Çağrı Erdoğan - c.erdogan@businesslife.com.tr


Bu Makaleyi Sosyal Medyada Paylaşabilirsiniz