23 Kasım 2017, Perşembe   |   English
Osman Doğan : Firmalarda Reklam/Pazarlama vs'ye Yapılan Yatırım Siber Güvenlik Alanına Yapılmıyor
Yazan: Fusun S.Nebil      03 Kasım 2017, Cuma      Sayfayı Yazdır         Tavsiye Et Paylaş
Firmalarda reklam, pazarlama vb departmanlarına ayrılan bütçe malesef siber güvenlik alanında yapılmıyor. Bu da tüm reklam ve pazarlama ile kazandığınız milyonlarca müşteri bilgisinin bir anda rakibin eline geçmesine sebep olmaktadır. Firmalar satışlarında yaşanan düşüşe veya kaybedilen ihalelerde sebebin bir hack vakası olduğunu anlaması uzun yıllar alabiliyor.

Uzmanlar ve yetkililer, Türkiye'nin siber güvenlik alanında minimum 15-20 bin civarı uzman olması gerektiğine işaret ediyorlar. Siber güvenlik konularında hizmet veren Gais Siber Güvenlik Teknolojileri kurucusu Osman Doğan da bize ülkemizdeki siber güvenlik alanına dair düşüncelerini anlattı.

turk-internet.com : kendinizi ve firmanızı tanıtır mısınız?

Osman Doğan :
2003 yılında mezun olduğum Bilgisayar Mühendisliği eğitimi ardından iş hayatım boyunca finans, telekom, gsm ve medya sektörlerinde bilgi güvenliği konusunda çeşitli kademelerde görev aldım. Özellikle Cyber Intelligence, Compliance, IT Audit, SIEM, DLP, Log Management, Penatration Testing, Fraud ve Bug Bounty alanlarında yoğun çalışmalar yürüttüm. İş hayatının yanında bir çok sosyal sorumluluk projelerinde yer almaya çalıştım.

Şimdi Cezeri Siber Güvenlik Akademisi’nde aktif olarak organizasyon komitesinde elimizden geldiğince katkı sağlamaya çalışıyoruz. Ülkemizde bu alanda personel yetişmesi için eğitim, koferans ve çeşitli etkinlikler düzenliyoruz. Aynı zamanda uluslararası adı Bug Bounty olan Ödül Avcılığı programlarını takip etmeye çalışıyorum. Geçtiğimiz yıllarda Microsoft, Apple, Yandex, Nokia, Ebay, Adobe, AT&T, United Airlines, Uber, VMWare ve Whatsapp gibi bazı firmaların güvenlik açıklarını bildirerek, kullanıcıların zarar görmeden önlem alınması konusunda çalışmalar yürüttüm.

Şuan tohumlarını yıllar öncesinden attığımız Gais Siber Güvenlik Teknolojileri firmasında aktif olarak danışmanlık ve yöneticilik yapmaktayım. Firma olarak sızma testleri, insider analizi, siber istihbarat, eğitim, Red Team, Suistimal (Fraud) ve Hacking vakalarının analizi gibi firmaların siber güvenlik alanında ihtiyaç duyduğu alanlarda hizmet vermekteyiz. Bunun yanında Siber Olayları İzleme ve Kontrol Merkezi ile firmaların yaşadığı güvenlik ihlallerinin 7/24 takibi ve müdehalesi ile ilgili de çalışmalar yürütmekteyiz. Müşterilerimizde ihtiyaç duyulan ürün ve servislerde özellikle milli ürünlerin konumlandırılmasını sağlıyor olmak da bizlere gurur vermektedir. Firmalara özel ödül avcılığı ve bulut tabanlı sızma testi platformu ile de bir firmada bir araya getiremeyeceğiniz kadar çok güvenlik uzmanın aynı anda müşterilere sızma testi yapmasını ve raporlanmasını sağlayan platfomu da hayata geçirdik.

turk-internet.com : Sizce Türkiye'de güvenlik konusuna firmalar ve devlet nasıl yaklaşım gösteriyor?

Osman Doğan :
Siber güvenlik tak çalıştır bir cihaz değil, tümüyle bir süreci ifade eder. Siber güvenlik konusunun sadece birkaç kişi ve kurumun sorunu değildir.Teknolojinin sürekli olarak gelişmesi ve internet kullanmının her sektörü içine alması nedeni ile bugün yapılanların yarın yetersiz kalacağı aşikardır. Bu noktada, Siber güvenlik idari ve teknik önlemleri kapsayan, kamu, özel sektör, STK ve diğer paydaşları da içine alarak bütünsel bakış açısı içerisinde ulusal boyutta değerlendirilmesi gereken bir konudur. Kompleksten kurtulmalıyız. Hem uluslararası kalitede yazılımlar geliştirebilir hem de güvenliğini sağlayabiliriz. Yeter ki kamu ve özel sektör aynı hedefe kilitlensin.

Yapılan tüm güvenlik yatırımları var olan bilginin korunması adınadır. Fakat olası bir sızıntıdan haberdar olmanız için konsept değişikliği şart. Sizin adınıza dijital ortamda bu bilgileri sağlayacak servislerin hayata geçirilmesi şarttır.

    a. firmalar
    Ülkemizde özel sektörün farkındalığı her geçen gün artmakta fakat yeterli değildir. Firmalarda bardak alan satınalma personeli aynı zamanda kritik ürün ve servisleri de alırken aynı bakış açısı ile ucuz olanı alıyor olması, yapılan milyonlarca dolar yatırımın bir anda çöp olmasına sebep olmaktadır. Sızma testi veya farklı güvenlik hizmetleri alırken seçilen firma veya kişiler seçilirken dikkat edilmelidir. Aksi durumda tüm kritik verilerinizi, 3000 bin TL karşılığında aldığınız bir hizmetle satmış olursunuz. Bu alanda firmaların gartner, mezuniyet, kpss, sertifika gibi kriterlerle süreci ilerletmesi malesef zaman ve para kaybetmelerine sebep olmaktadır. Düşünün ki Kenan Sofuoğlu uluslararsı başarıya imza atmış, siz ona mezuniyetine, giymediği takım elbisesine ve sahip olduğu sertifikalara takılıyorsunuz. Iş yerine bir aşçı alacaksanız önce yaptığı yemeğe bakın. Aksi durumda sertifikalı bir aşçının elinden zehirlenirsiniz.

    Sahada gördüğümüz ve malesef çoğu firmanın farkına varmadığı bir diğer önemli unsur veri sızıntılarıdır. Firma PR ajansını ve güvenlik cihazı satın aldığı firma ile plazada başarı hikayesi çekimlerini yaparken, aynı firmaya ait müşteri verileri alt kattaki kafede satılıyor olması, bu alanda bakış açımızı ve konsepti değiştirmenin gerekliliğini göstermektedir. Firmanıza ve müşterilerinize ait kritik bilgilerin izini sürecek, raporlayacak ve aksiyon alacak bir gücünüz yoksa yenildiniz demektir. Ülkemizde veri satışının ve piyasasının her geçen gün büyüdüğünü düşünürseniz, çeşitli gruplar veya rakipleriniz elinizdeki verileri almak için üstün çaba sarfediyor, aç kurt gibi bekliyor.

    Bu alanda yetenekli gençleri devletten ve firmalardan daha iyi imkanlar ile transfer ediyorlar. İllegal oluşumlar yetenekli gençlerin mezuniyetine, kılığına kıyafetine bakmadan istihdam ettiği için her zaman 5 adım sizden önde olabiliyorlar. Malesef gördüğünüz ve bildiğiniz bazı konuları ulu orta söyleme lüksünüz yok. Bu yüzden siber istihbarat ve hacking vaka analizleri önemli bir konu olarak karşımıza çıkmaktadır.

    Yaşanan sızıntılara bakıldığında 2 önemli kaynak karşımıza çıkmaktadır. Birincisi firmalardaki web uygulamalarında bulunan kritik güvenlik açıkları, ikincisi ise insider dediğimiz köstebekler. Her iki konu da üzerinde ciddiyetle çalışılması gereken konulardır. Menuniyetsiz bir çalışan veya kızgın bir müşteri size kepenk kapattırabilir. Malesef bu işin telafisi yok. Sizin bugün çalınan veriniz önümüzdeki yıllarda geçerliliğini korumaktadır. Isim aynı, soyisim aynı, mail aynı, gsm aynı, anne kızlık soyadı aynı. Bir kez yaşanan sızıntıyı telafi edemezsiniz. Aynı şekilde sızan bir very için de güncel değil deme lüksüne sahip değilsiniz.

    Firmalarda reklam, pazarlama vb departmanlarına ayrılan bütçe malesef siber güvenlik alanında yapılmıyor. Bu da tüm reklam ve pazarlama ile kazandığınız milyonlarca müşteri bilgisinin bir anda rakibin eline geçmesine sebep olmaktadır. Firmalar satışlarında yaşanan düşüşe veya kaybedilen ihalelerde sebebin bir hack vakası olduğunu anlaması uzun yıllar alabiliyor.

    Kısacası firmalar eski bakış açılarını ortadan kaldırıp, proaktif, yenilikçi bir bakış açısı ile verilerin güvenliğini sağlamak zorundadır. Bu yüzden markaya yatırım yapıp bağımlı olmak yerine, insane ve eğitime önem verilmelidir.

    b. devlet
    1922’ de kurulan ve füze üreticisi olan Raytheon firması siber güvenlik alanında hizmet veren Websense şirketini 1,57 Milyar dolar yatırım yaptı. Bu durum savaşlarda sınırların kalktığını ve yeni cephelerin dijital ortamda açıldığını göstermektedir. İran, ABD’ye ait insansız hava aracını indirmesi sonrasında yapılan bu satınalma işlemi geldiğimiz noktayı açıkça ortaya koymaktadır. Ülkemizde askeri alanda ciddi yatırım ve çalışmaları olan Aselsan, Roketsan ve Havelsan gibi kuruluşlarımızın da benzer yatırımlar yapmasını isteriz.

Sivil ve askeri uçakların, helikopterlerin, İnsansız Hava Araçlarının, makam araçlarının, füze rampalarının, nükleer santrallerin, barajların v.s. tüm kritik sistemlerde siber saldırı riskleri değerlendirilmelidir. Asker, polis, bürokrat v.s. cep telefonlarında savaş durumunda olduğumuz ülkeye ait uygulama, yazılım, donanım olduğu sürece atacağımız her adım boşluğa atılmış bir yumruktur.

Bilgi İşlem departmanları o kurumun beyni hükmündedir. Nasıl ki ameliyat olacağınız zaman doktor araştırıyorsanız, önceki başarılı başarısız vakalarını inceliyorsanız ve para sizin ilk planda değilse, kurumun en kritik verilerine neşteri vuracak kişiyi seçerken de aynı hassasiyeti göstermelisiniz. Aksi durumda masada “Ex” olabilir. Konu siber güvenlik olduğunda otopsi yapacak elimizde kadavra da kalmayabilir.

Yapılacak bir güvenlik yatırımın doğruluğu veya alınacak hizmetin kalitesi, işi vereceğiniz firma ve o işi yapacak, klavye başına oturacak personelin kalitesi ile doğru orantılıdır. Bugün hiç bir kurum kritik bilgilerine veya veri merkezine niyeti kötü bir firmayı veya kişiyi sokmak istemez. Ama aynı tehditi barındıran firmaların veya kişilerin yapılan bir ihalede en ucuz teklifi vererek, kurumun en mahrem sistemlerine erişmesi mümkün olmaktadır. Neden mi? Yapılan ihalede en ucuz teklifi verdi!

Özellikle ülkemizde yapılan ihale ve satınalma süreçlerinin temelinde ucuza mal etmek olması, kendi elinizle en kritik bilgileri başkalarına vermeniz ve üzerine para ödemenizle sonuçlanabilir. Konu bilgi güvenliği ve ulusal güvenlik olduğunda paranın birinci sırada olması hatalı bir davranış olarak karşımıza çıkmaktadır. Bu bakış açısının değişmesi ve satınalma yapan personellerin bu konuda bilinçlendirilmesinde fayda var aksi durumda 3000 TL ‘ye en kritik verileri başka ellere teslim etmiş oluruz.

turk-internet.com : devletin  siber güvenlik stratejisini nasıl değerlendiriyorsunuz? olumlu ya da eksik yönler nelerdir?

Osman Doğan :
SSM, Ulaştırma Bakanlığı, Emniyet, Jandarma, Tubitak, KKK, Tubitak, BTK v.b. resmi kurumlar siber güvenlik alanında çalışmalar yürütmektedir. Her ne kadar yapılan çalışmalar merkezi olmasa da ciddi şekilde farkındalığın oluştuğunu ve adımların atıldığını görmekteyiz. Yakın zamanda Savunma Sanayi Müsteşarlığı ve Tübitak tarafından gerçekleştirilen “Siber Güvenlik Kümeleme” çalıştayı önümüzdeki yıllarda yapılacak çalışmalar için atılmış çok önemli bir tohumdur.

Umarız bu tarz çalışmalar artarak devam eder. Fakat henüz istenilen düzeyde değil. Ne zaman ki ABD, Çin, Rusya ve diğer bazı ülkelerdeki gibi merkezi bir siber güvenlik müsteşarlığı (Turkish Cyber Security Center) kurulur, o zaman meyvelerini toplarız. Siber Güvenlik konusu siyaset üstü bir meseledir ve belli disiplinleri içerisinde barındırır. Bu yüzden atılacak adımlarda tüm tarafların masada olması ve ortak bir konsorsiyum ile hareket edilmelidir. Işin mutfağında yetişmiş, siber savaş cümlesini sosyal medyadan duymamış, içerisinde yer almış teknik personel ve teknokratlar işin içine dahil edilmelidir. Milli yazılımlara özellikle kamuda ihale süreçlerine dahil edilmeli, kurumlardaki ilgili personelin milli yazılım alması konusunda bilinçlenmesi gerekmektedir. Seçilen ürünlerin milli olması tek başına tercih sebebi olmamalı, başarılı, kendini kanıtlamış ürünlerin tercih edilmesi ülkemiz adına atılacak en önemli adımdır.

Nasıl ki savaş uçaklarında dost ülkeler kavramı varsa ve siz o ülkelerle yaşanacak bir savaşta silahlarınız kör oluyorsa, benzer durum siber savaş için de geçerlidir. Yaşanacak bir siber saldırıda devletin en önemli kurumlarındaki güvenlik duvarları, saldırı tespit sistemleri bir anda kör olabilir. Bunlar senaryo değil yaşanmış vakalardır. Bu yüzden kendi güvenlik cihazlarımız ve yazılımlarımızla kuşanmak zorundayız.

Devletin atması gereken en önemli adımlardan biri özellikle ülkemizdeki kritik altyapıların çıkarılması ve güvenliğinin ehil ellere teslim edilmesi gerekmektedir. Finans, enerji, ulaşım, askeri sistemler gibi hedef olabilecek noktalar belirlenmeli ve sürekli sızma testleri, eğitim, siber istihbarat, tehdit istihbaratı, blackbox testler, scada sistemlerinin kontrolu, personelin güvenilirliğinin araştırması gibi daha bir çok konuda mercek altına alınmaldır.

Kamu kurum ve kuruluşlarda sahip olunan ve gizlilik arz eden belgelere  (sağlık bilgileri, finansal bilgiler, vatandaş kimlik bilgileri, arge-tasarım detayları, pazar araştırmaları, satış planları, finansal raporlar, kurum içi yazışmalar, özel yaşamla ilgili bilgiler) nasıl ve hangi yetkiler ile erişileceği belirlenmelidir. Tüm yetkili / yetkisiz erişim  bilgileri kayıt altına alınarak, rutin gözden geçirilmesi, kendi içimizde yaşanacak WikiLeaks vakalarının önüne geçecektir.

Malesef bize verileni her zaman doğru kabul ediyoruz sorgusuz, sualsiz. ÖrneğinTOR 2004 yılında ABD Savunma Bakanlığının desteği ile kuruldu. 2009 İrandaki Yeşil Devrim ve 2011 Arap Baharı ile yayıldı. 2010 da ifade özgürlüğüne olanak sağladığı için “Toplumsal Yarar Projesi” ödülü aldı. Tüm bunlara ragmen gizliliği ve anonimliği TOR üzerinden yapmaya çalışmak gibi bir algı var. Malesef SSL dahil tüm güvenli iletişim adı altında yapılan çalışmalar aslında güvenilir diye bize sunulandan öte değil. Bazen güvenlik ürünü kullanmak size daha çok güvensiz hale getirebilir.

Uluslararası arenada arka kapı (Backdoor) olarak isimlendirilen, kimi zaman devletler, kimi zaman firmalar tarafından konulan açıklıklar incelenmeli ve afişe olmuş ürünlerin kritik kurumlardan acilen çıkarılması gerekmektedir. Aksi durumda güvenliğinizi sağlaması için konumlandırdığınız Güvenlik Duvarı (Firewall) size hackler ve haberiniz olmaz.

Merkezi olarak ülkemizde bu işin sorumlusu NSA benzeri bir yapı olmalı, USCybercom benzeri siber görev gücünün oluşturulması gerekmektedir.

turk-internet.com : Bugün ortadoğuda çok karmaşık bir ortam var. bu ortamın siber güvenliğe de etkileri de görülüyor. Ortamdaki ülkelerden İran ve Suriye'nin siber orduları olduğunu duyuyoruz. Çünkü karşılarında İsrail ve Amerikan siber güvenlikçileri ya da siber orduları bulunuyor. Kuzeyde de Ruslar var malum. Bu arada Katar'ın saldırıya uğradığı görüldü. Ya da swift sisteminde bir sorun yaşandı. Bütün bunların sizce Türkiye'ye etkileri nelerdir? 

Osman Doğan :
Artık savaşlar başlamadan siber istihbarat ile savaşlar kazanılıyor. Masabaşı değil, klavye başından rejimler ve yöneticiler değişiyor. Artık şirketler ve devletler doğrudan espiyonaj faaliyeti içerisindedir. Bazen ulusal çıkarlar doğrutusunda devlet desteği de olabiliyor. Bu yüzden siber güç ülkeler arası rekabetin en önemli unsuru haline geldi. Gelecek 10 yılda bulunacağımız konum, bu alandaki başarımıza bağlıdır.
Dijital alanda yapılan saldırılar ülkelerin kaderini belirlemekte, hükümetlere yön vermektedir.Panama Belgeleri İzlanda Başbakanı ve İspanya Enerji Bakanını istifaya zorladı.Arap baharı ile Ortadoğu yeniden şekillendi ve silah satış panayırı kuruldu. Bugün ortadoğuda hangi ülkeler savaş halindeyse, siber savaşda da aynı ülkeler aktor olarak karşımıza çıkmaktadır.

Sosyal medya üzerinden bir toplumun, milletin profillenmesi sağlanarak ilgi alanları, zaafları tespit edilebilir ve bunlar yeri geldiğinde silah olarak kullanılır. Bu arada dijital alanı ve getirdiği siber riskleri sadece ülkelere, coğrafyaya v.s. kıstılamak yanlış olur. Bu tehdit kimi zaman bir terör grubundan, kimi zaman doğalgaz satışı yapmak isteyen bir firmadan gelebilir. Kalın çizgiler ve kriteler ile bakış açımızı sınırlamamalıyız.

Ülkeler siber silah depolarken, siber ordularını kurarken seyirci kalmamalıyız. Nasılki sınırlarımızda yaşanan terör faaliyetleri akabinde aksiyon olıyoruz, aynı hassasiyeti dijital alanda da göstermeliyiz.

turk-internet.com : Türkiye'ye etkileri derken, Türkiye'deki siber güvenlikçi sayısının son derece az olduğundan bahsediliyor. Bu konuda durumu nasıl görüyorsunuz? Sizin eğitim programlarınız da var. Buradaki düşüncceleriniz nelerdir? Türkiye'deki eğitimler nelerdir, yeterli midir?

Osman Doğan :
Ülkemizde siber güvenlik uzmanı sayısı yeterli veya yetersiz diyebilmek için ihtiyacın ne olduğunu belirlemek gerekir. Biz günü kurtaracaksak mevcut sayı yeterlidir. Ama siber ordu kurulacak, siber operasyonlar yapılacaksa, ülkenin kritik altyapıları 7/24 izlenecek aksiyonlar alınacaksa, siber silah eliştirip bunları savunma için hazır halde tutmamız gerekiyorsa malesef yeteri kadar uzmanımız yok. Bu arada siber güvenlik uzmanı darken kasıt bir siteyi hackleyebilmek, 27001 sertifikasına sahip olmak veya verilen bir diski analiz etmek değil uçtan uca tüm uzmanlık gerektiren konuların çoğuna sahip olmak ve daha üst bakış açısı ile bakmak gerekir. KPSS ile atanmış bilgi güvenliği personeli veya siyah kapişon giyip evinden çıkmayan, Mr. Robot izleyip bunalım takılan kişilere siber güvenlik uzmanı olarak görülmemektedir.

Ülkemizde siber güvenlik eğitimleri ağırlıklı olarak gönüllü oluşumlar tarafından verilmekte ve gün geçtikçe de sayısı artmaktadır. Bunlardan bazılarıa değinmemiz gerekirse; Bizim düzenlediğimiz Cezeri Siber Güvenlik Akademisi, Boğaziçi Üniversitesi Siber Güvenlik Merkezi, Blackbox, Hacktirick ve daha bir çok üniversitelerdeki grupların kendi imkanları ile düzenledikleri eğitim ve konferanslar bulunmaktadır. Buralardan yetişen kişilerin iş bulması ve kurumsal kültürün aşılanması çok önemlidir. STM, Havelsan, BTK, Tübitak gibi kurumlar da zaman zaman eğitim ve konferanslar düzenlemektedir. Burada günün sonunda oluşan çıktı çok önemlidir. Özellikle gönüllü oluşumların bu anlamda desteklenmesi yer, ulaşım, yiyecek gibi masrafların karşılanması konusunda ciddi ihtiyaç bulunmaktadır.

Unutmayalım bu alanda yetişen her bir uzman çocuklarımıza bırakılacak güvenli bir geleceğin teminatıdır. Bu eğitimleri ilkokul sıralarına kadar indirmeliyiz. Çocuklarımızı ve ülkeyi bekleyen riskleri yetişmiş insan kaynağı ile üstesinden gelebiliriz, başka çare yok.

Siber Güvenlik konusundaki bilinçsiz atılan her adım, sizi rakiplere çalışan firma veya kurum haline getirir. Sürekli doldurmaya çalıştığınız kap delik durumdayken, daha fazla su koymanız kabı doldurmayacak. Sızıntı olan delikleri kapamanız dileğiyle...
Yazan: Fusun S.Nebil      03 Kasım 2017, Cuma      Sayfayı Yazdır         Tavsiye Et Paylaş
  
Eski Haberlerden Bir Tutam
  Bu Kategorideki Son 10 Yazı

  Yorumlar

Bu yazıya hiç yorum yapılmamış. İlk yorumu siz yapın.



Yorum yazabilmek için giriş yapmanız gerekmektedir.
Yukarıdaki giriş panelinden giriş yaptıktan sonra yorum yazabilirsiniz