2020 yılının başından bu yana dünya, Covid-19 salgınıyla mücadele ediyor. Bu mücadelede hepimiz gerek bireysel gerek kurumsal olarak değişimler yaşıyoruz. Evden çalışma yaygınlaşırken bu durumu fırsata çeviren kötü niyetli oyuncular, sanal dünya üzerinden rant sağlamaya devam ediyor. Raporlar, dünyada siber suçlarda artış olduğunu ve dikkat etmeyen herkesin sanal saldırılara maruz kalabileceğini gösteriyor. Soitron Group’un Türkiye’deki temsilcisi ve Sekom Grup şirketi olan Soitron Siber Güvenlik Servisleri gerek entegre teknolojiler gerekse insan kaynağı desteğiyle siber güvenlik hizmeti sunuyor. Ancak yetkililerin önemli bir uyarısı var; o da şu: “Siber güvenliğin en zayıf halkası, insan.”
Avrupa Birliği Polis Teşkilatı (Europol), Avrupa’da yeni tip koronavirüs (Covid-19) salgınının suçlara etkisini inceleyen raporunda, siber suçlar ve sahtecilikte artış görüldüğünü açıkladı. Rapor, organize suç örgütlerinin yeni yöntemlerle koronavirüs salgınından faydalanmaya çalıştığını ortaya koyuyor. Siber suçlar, dolandırıcılık, sahtecilik ve çocukların internet aracılığıyla istismarı gibi suçlarda artış var. Durum böyleyken özellikle pandemi sürecinde evden çalışanların gerek evlerinde gerekse ofise dönüşlerinde siber güvenlik adına nelere dikkat etmesi gerektiği, önemli bir konu başlığı oldu. Türkiye’de 1996 yılından bu yana güvenlik servisleri sağlayan Sotiron Siber Güvenlik Servisleri ekibiyle siber güvenlik konusunda merak edilenleri konuştuk.
Sekom Pazarlama Müdürü Zeynep Öztop Yaylalı moderatörlüğünde gerçekleştirdiğimiz röportajda, Soitron Siber Güvenlik Servisleri CTO’su Hakan Ünsal ve Yönetici Direktörü Reha Akbaş’tan önemli yanıtlar aldık.
Öncelikle bize Soitron Güvenlik Servisleri hakkında biraz bilgi verebilir misiniz?
Reha Akbaş: Bu soruya kendi geçmişimizle bağdaşık olarak cevap vermek isterim. Biz Hakan ile çok eski arkadaşız. Dostluğumuz lise yıllarına dayanıyor, daha sonra yolumuz profesyonel hayatta yeniden kesişti. Hakan’ın bu alanda çalışmaya başlaması 1996 yılına dayanıyor. O dönem Türkiye’de internet alt yapısı daha yeni yeni oluşuyordu. İnternet güvenliği bilinci de yeni yeni gelişiyordu elbette. Ben de Hakan’ın teşvikiyle 2000 yılında bu iş koluna dahil oldum. Derken, zaman içinde internet çok gelişti. Erişim hızı arttı, her yerden internet erişimi sağlamak kolaylaştı. Bununla birlikte bu ortamı kötüye kullanan insanların da sayısı arttı ne yazık ki. Ve elbette kaçınılmaz olarak güvenlik ihtiyacı beraberinde geldi. İhtiyaç yelpazesi genişledi demek, daha doğru belki de. Biz de çalıştığımız şirketlerde bunlarla ilgili yeni teknolojilere odaklandık. Yani en başta söz konusu yalnızca bir Firewall sistemi kurmakken bu durum değişti. Eskiden hiçbir kurum dış dünyaya bu kadar açık değildi. Ancak şimdi öyle değil, artık her türlü erişimle ilgili kontrol mekanizmaları bir gereklilik oldu. Hakan ile 2013 yılında kendi işimizi kurduk. Daha sonra bu şirketi 2016 yılında Sekom’a devrettik ve o zamandan bu yana Sekom çatısı altında yolumuza devam ediyoruz. Tek işimiz, güvenlik.
Hakan Ünsal: Reha ile birlikte biz, Deniz Lisesi’nden mezunuz. Ondan sonra Deniz Harp Okulu’nda okuduk. Yani güvenlik konusu, öğrenciliğimizde hayatımıza giren bir konu… Biz subaydık, gemilerde görev yaptık. Aslına bakarsanız, ülke savunmasında yer alan bir bünyenin içindeydik ve şu anki iş konumuzla ortak, birçok odak noktası var. Siber dünyada da birçok ülke kendini defansif mekanizmalarla korumaya çalışıyor. “Neden bu sektörde iyi bir yere geldiniz, iyi işler yaptınız?” derseniz; ben hep arka planımızdaki bu savunma ve saldırı prensiplerine alışkın bir dünyadan gelmemizin faydası olduğunu düşünüyorum. Zaten günümüzdeki bazı şirketlerin siber güvenlik alanında insan yetiştirirken konuya hem fiziksel hem de mental açıdan yaklaştıklarını görüyoruz artık.
Sizin de bahsettiğiniz gibi siber güvenlik aslında oldukça kapsamlı bir konu? Şirketler bazında konuyu ele aldığımızda neler öne çıkıyor?
Hakan Ünsal: Siber güvenliği şirket ve insan olarak nasıl ele aldığımıza bakarak bunu açabiliriz. 1996’dan beri bu işlerle uğraşıyorum; biri 19, biri 12 yaşında olan 2 oğlum var. Bana çocuklarımı internetin arka sokaklarından nasıl koruduğumu soranlar oluyor, haliyle. “Evin içinde binlerce dolarlık yazılım, donanım, güvenlik veya izleme sistemi kurmaya hiç gerek yok. Ben çocuklarımı ve eşimi kişisel olarak siber güvenlik dünyasıyla ilgili geliştirmeye çalışmalıyım” diye cevap veriyorum. Bugün Beyoğlu’nda ana caddede dolaşıp bir yerlere girip bir şeyler yiyebilir, bir film seyredebilirsiniz. Ama benzer aktiviteyi Beyoğlu’nun arka sokaklarında da yapabilirsiniz. Hangisi daha güvenli olur? Kişisel güvenlik buna benziyor. İnternette dolaşırken ne yaptığınızı, kendinizi kontrol etmeyi biliyorsanız, nerelere girip girmemeniz konusunda bilinciniz yüksekse sıkıntı yaşamadan işinizi görebilirsiniz. İnternetin bize sunduğu nimetlerden faydalanırken, bilgilerin doğruluğunu süzebilme ahlakına sahipsek keyifle işimize devam edebiliriz.
Ahlak derken neyi kastediyorsunuz, biraz açar mısınız?
Hakan Ünsal: Bilgiye erişirken meraklı olmak güzeldir ama sınırlarımızı iyi bilip olur olmaz her türlü içeriği kurcalamaktan uzak durursak başımızı beladan uzak tutabiliriz. Tabi şirketler bunu bireysel olarak yapabildiğimiz kadar kolay bir şekilde yapamazlar çünkü çalışan herkes bu bilince sahip olmayabilir. Bu nedenle genel olarak şirketler, güvenlik önlemlerini alıp tek bir merkezden kontrol etmeyi tercih ediyorlar. Her şirketin hem iş koluna özel hem de bütçesine uyacak şekilde planlanan çeşitli güvenlik sistemleri var. Yüzlerce çalışanı olan bir şirkette tek tek herkese “Şuna dikkat et” diye konuyu öğretmeye çalışmaktansa merkezden her şeyi kontrol etmek daha pratik oluyor. Ancak pandemi ile birlikte sayısı tüm dünyada artan evden çalışanlar için kişisel güvenlik dediğinizde, ahlaki boyut daha fazla öne çıkıyor. Nasıl ki eskiden okullarda milli güvenlik dersi verilirdi ya da şimdilerde cinsel eğitim müfredata giriyor; siber güvenlik konusu da bu bakış açısıyla ele alınmalı. Yani sanal ortamda nasıl davranmamız gerektiği daha çocukken bizlere öğretilmeli. O zaman bu konuda kendini bilen bir nesil yetişebilir. Öte yandan, kurumların kendilerini korumak dışında çalışanlarının kişisel güvenliğini de korumak gibi bir odak noktaları olmalı. Hem şirketin hem de çalışanların bilgilerinin dışarıya sızmaması, temelde olmalı.
Peki bu alanda şirketler bünyesinde eğitimler verilmelidir?
Hakan Ünsal: İnternet okur-yazarlığı çok önemli ve bu çalışan profilinizle de yakından ilgili… Bu konuda farkındalık eğitimleri muhakkak verilmeli. Ancak bu farkındalık eğitimlerini özellikle perakende sektörü gibi çalışan sayısı fazla olan şirketlerde uygulamak pek kolay olmayabilir. Herkese aynı seviyede eğitim vermek zordur. Yine de işe alım sürecinde oryantasyon çalışması yapılmalı. Siber güvenliğin önemi, temassız ödeme alırken söz konusu olan riskler, kredi kartı ve kişisel bilgi güvenliği gibi pek çok eğitim, minimum 6 ayda bir tekrarlanmalı.
Pandemi sürecinde siber suçlarda artış yaşandı. Ne tür saldırılarda artış olduğunu gözlemlediniz?
Hakan Ünsal: Biz çok büyük firmalarla çalışıyoruz. Dolayısıyla da karşımıza günlük olarak gelen problemlerde sayıca çok büyük bir değişiklik gözlemlemedik. Ancak gelen çağrıların tipi değişti. Çalışanların büyük bir kısmı uzakta olduğu için VPN üzerinden, uç noktadaki cihazların problemleriyle ilgili sıkıntılar gelmeye başladı. VPN sistemlerinin hazırlığıyla ilgili olarak da talepler almaya başladık. Kişisel görüşüm; kimse artık işe gitmediği için mahremiyet açısından da bir sıkıntı olduğu yönünde… Zira şirket adına mahrem kalması gereken pek çok konu, evde eşin-dostun, çocukların yanında konuşulabiliyor. Bu da bir güvenlik açığı oluşturuyor. Evde çalışmak çok zor…
Reha Akbaş: Burada şöyle bir şey eklemek gerekiyor; çalışanlar evlerinde çalışırken ister istemez bilgisayarlarını yeri geliyor eşi ve çocukları da kullanıyor. İşte o zaman kurum kaynaklarına ataklar yapılması riski de artıyor. Çünkü atak yapacak olan kişi için işleri kolaylaştıran bir zemin oluşuyor. Evdeyken internetle ilgili şirketin aldığı önlemleri almak mümkün olmuyor. Şimdilerde bu alanda yatırımların da arttığını görüyoruz. İlave kontroller söz konusu oluyor. Ama işin ucunda yine insan var ve her ne olursa olsun evdeyken bilgisayarlarımızı özel amaçla daha fazla kullanabiliyoruz.
Hakan Ünsal: Bu noktada değişik atak vektörlerini de düşünmek gerekiyor. E-mail üzerinden ya da internette sörf yaparken zararlıları bilgisayarınıza alabilirsiniz. Bu artık o kadar sofistike bir hal aldı ki bu işlerden para kazanan ciddi organizasyonlar var, maalesef. Bunların bulaştırdığı zararlı yazılım, aslında sizin PC’nizde değerli bir bilgi varsa zaten alıyor ve dışarıya sızdırıyor. Ancak değerli bir bilgi alamayacaksa bile yatay yayılmak için yine sizi kullanabiliyor. Çünkü sizin üzerinizden başkalarına erişiyor.
Peki, ofise dönenler siber güvenlik adına nelere dikkat etmeli?
Hakan Ünsal: Evinizde sizi filtreleyecek bir sisteme gerek yok ama şirkette var. Zararlı bir şey indirebiliyorsunuz; bunları denetleyebilecek birçok teknolojiyi şirketler olabildiğince hayata geçirdi ama evdeyken şirket bilgisayarınıza almış olabileceğiniz zararlı bir kodu şirket network’ünüze taşıyıp yayılmasına neden olabilirsiniz. Bu noktada parola güvenliği oldukça önemli! Herkes parolalarını mutlaka ve sık sık yenilemeli.
Reha Akbaş: Ben dünyanın giderek hızlı bir şekilde büyük ofisler yerine herkesin her yerden yine şirket kaynaklarına erişerek çalıştığı bir düzene doğru evrileceğini düşünüyorum. Dolayısıyla şirketlerin bir an evvel teknoloji yatırımlarını bu evrime yönelik yapması gerektiği kanaatindeyim.
Buradan, 2021 bütçe planlamalarında siber güvenlik mutlaka daha büyük bir pay almalı, sonucu çıkar mı?
Hakan Ünsal: Türkiye’de artık klasik statik anti-virüs taramalarının ötesinde, çalışanın verimliliğini destekleyen, bilgi sızmasını engelleyen bileşenler öne çıkıyor. İcra noktaları dağıldıkça kontrol noktalarının da arttırılması gerekiyor. Dolayısıyla siber güvenlik stratejilerinin yeniden belirlenmesi ve planlanması önem kazanıyor. Bulut tabanlı teknolojilere yatırım yapmak, önemli bir başlık. Böylelikle, dağınık çalışanları bulut tabanlı sistemlerle kontrol etmek çok daha pratik oluyor.
Peki, bir şirketin bu geçişi ve yatırımı sağlaması, bu alanda alt yapı kurması ne kadar zamanını alır?
Hakan Ünsal: Bu bulut tabanlı sistemlerin yönetiminde, oradaki sistemin 7/24 ayakta olması, güncel olması ve güvenlik politikalarının entegrasyonu için çalışmak gerekiyor. Güvenlik politikaları doğru dizayn edildiği zaman büyük bir yükten kurtulmak mümkün oluyor. Çünkü bahsedilen sistemler sizin adınıza güncelleme, yedekleme ve kontrol yapıyor. Burada ne kadar zaman alacağından daha çok, doğru cloud (bulut) ortağını seçmek öne çıkıyor
Reha Akbaş: Günün sonunda her şey, şirketin gelirine direkt olarak etki ediyor. Örneğin ödeme sistemleri, kredi kartları, müşteri bilgileri gibi konular, önemli. Bu alanlarda yapılacak güvenlik yatırımları, şirketlere fayda sağlayacaktır. Daha sonra hakikaten çok büyük zararlarla karşı karşıya kalınabiliyor. Proaktif olarak, her noktanın riskini ölçmek ve ona göre bir yapı oluşturmak, kurumlar için çok önemli.
Zeynep Öztop Yaylalı: Şirketlerde tüm bu açıklarla birlikte, siber güvenlik bakımından yetişmiş personel açığı olduğunu da hatırlatalım. Bu ihtiyaçlarla birlikte iş daha da zorlaşan bir noktaya doğru gidiyor. Dolayısıyla işi, uzmanı olan şirketlere paslamak, inanın oldukça önemli. Uzun vadede şirket için kazanç anlamına geldiğini rahatlıkla söyleyebiliriz.
Reha Akbaş: İnsan kaynağı… Hep söyledik; bu işin en zayıf halkası, insan.