Aselsan’da “Snowden” vakası yaşanmayacak

Amerikalı bilgisayar uzmanı, eski Merkezi İstihbarat Teşkilatı (CIA) ve eski Ulusal Güvenlik Dairesi (NSA) çalışanı Edward Snowden’ın hikayesini biliyorsunuzdur.

ABD hükümetinin, gizli fişleme programının detaylarını ifşa etmişti. Hatta, “Snowden” isimli, 2016 yapımı bir film bile yapıldı. Bazı belgeleri bir USB’ye kaydederek, çalıştığı kurumdan dışarı çıkartıyor ve sonra ifşa ediyor.

Günümüzde her ne kadar bulut bilişimden, verilerin bulut ortamlarında depolanmasından bahsetsek de bulutu riskli gören, en azından bazı veri ve belgeler için riskli sayan işletmeler bulunuyor. Çoğunlukla kamu güvenlik kurumları, askeri ve milli güvenlik alanında çalışan kurum ve kuruluşlar, bazen finans, bazen telekom şirketleri belirli çalışmaları ve verileri için ekstra güvenlik önlemleri alıyor.

Aselsan, ülkemizde, bu kurumlardan bir tanesi. Bazı veriler için çok katı önlemleri var. Belirli yazılım kodları ve verilerin sahaya çıkartılması için bile veri taşımada halen floppy disk, CD ve USB gibi teknolojileri kullanmak zorunda. Konunun, teknolojik ilerleme ile ilgili yok.

Güvenliğin, güvenlik politikalarının üst düzeyde tutulması ile ilgisi var. İşte, Aselsan, bundan sonra veri transferlerini, yerli çözüm Talia DD ile gerçekleştirecek. DD, Data Delivery yani, veri aktarımı anlamında. Talia DD, uçtan uca bir güvenlik sistemi. Görünen yüzü ile basit bir veri aktarım kiosku. Türkiye’de, 12M ve BeyazNet tarafından geliştirilmiş bir ileri güvenlikli veri aktarım platformu.

Aselsan’ın güvenlik politikaları ve sahip olduğu güvenlik teknolojileri ile entegre edilmiş şekilde karşımıza çıkıyor. Sistem basit olarak, şimdilik, Aselsan’a sağlanan 20 kiosk üzerinden çalışıyor. Aselsan mühendisi, kurumdan dışarıya veri çıkartmak zorunda kaldığı durumlarda, bu kiosklardan birisine gidiyor, Aselsan envanterine kayıtlı, kriptolu USB’sini bu cihaz takıyor, istediği veriyi bu USB’ye kopyalıyor.

Dışarıdan bir veri getirmek zorunda olduğu zaman da yine USB’yi bu sisteme takıyor, USB’nin doğrulaması yapıldıktan sonra içindeki veri, Aselsan’ın sistemi içerisindeki bir lokasyona kopyalanabiliyor. Bu verilerin içeri sokulması ve dışarı çıkarılmasında, Aselsan’ın belirlemiş olduğu ve uyguladığı veri güvenliği politikaları uygulanıyor, güvenlik denetimleri çok faktörlü olarak gerçekleştiriliyor.

USB’nin envantere kayıtlı olması, veriyi kopyalayan mühendisin yetkileri, erişim hakları, güvenlik önlemleri, zararlı kodların taranması gibi pek çok tanımlanan güvenlik faktörü bu sistemde kullanılıyor veya ihtiyaca göre şekillendirilebiliyor.

Tüm bu işlemlerin kayıtları da dakikası dakikasına tutuluyor. Kısaca bir veri sızıntısı olursa veya dışarıdan içeriye bir şekilde zararlı bir kod sokulabilirse, tüm bunların ne zaman ve hangi mühendis tarafından gerçekleştirildiği, verinin mahiyeti biliniyor. Snowden örneğine geri dönersek...

Eğer, bu sistem kullanılmış olsaydı, Snowden, verileri dışarı çıkarmayı bırakın, o bilgileri USB’ye bile kopyalayamazdı. Hadi kopyaladı, dışarı çıkarttı diyelim. Alınan kayıtlarla, hangi verinin, kim tarafından kopyalandığı bilinecek ve bu bilgilerin yayılmasının önüne geçmek için çok daha erken müdahale edilebilecekti.

Aselsan’da bu sistemi ilk etapta yaklaşık 2.000 mühendisin kullanması bekleniyor. İhtiyaç halinde, 20 kioskun sayısının artırılması da mümkün. BeyazNet CEO’su M. Fatih Zeyveli, TaliaDD’nin açık kaynak koduyla ve yerli mühendislikle geliştirildiğini söyleyerek “Bugün Aselsan’da, teknolojimizin görünen yüzünü bir kiosk olarak gerçekleştirdik.

Değişik uç nokta terminalleri olarak da sunma kabiliyetimiz var. Dünyada bu tip teknolojiyi geliştiren dört şirketten birisiyiz” diye iddialı konuştu. Aselsan tarafı ise yerli çözüm ortağı ile çalışmaktan mutlu olduğunu dile getiriyor.

Hem karşılarında muhatap bulma kolaylığından hem de verilerin yerli bir çözümle korunması onlar için önemli. Kritik verilerin korunması konusunda duyarlı, kamu kurumları, telekom ve finans şirketleri için de bu teknoloji hayati önem taşıyor. Hedef, Türkiye’de ve dünyada bu teknolojiyi yaygınlaştırmak. Sistem, hem uç nokta terminali olarak çeşitlendirilebiliyor hem de kullanmak isteyen kurumun belirlediği güvenlik politikaları ve kullandığı teknolojiler ile uyumlu hale getirilebiliyor.