Kurumsal siber güvenliğiniz ne durumda?
Geçtiğimiz hafta Paloalto Networks'ün Ankara'da düzenlediği Kamu Siber Güvenlik Sektörü Zirvesi'nde keynote konuşmacısıydım. Konuşma başlığım "Gelecek Önümüzde mi, Peşimizde mi?" idi. Hemen hemen tüm büyük kamu kuruluşlarının en üst düzey yöneticileriyle temsil edildiği zirvede, benim dışımdaki tüm konuşmacılar oldukça deneyimli, bilgili siber güvenlik uzmanları ve yöneticileriydi. Merakla dinledim, notlar aldım ve sizler için de bir özet çıkardım. Aşağıda süzdüğüm önemli noktaları ciddiyetle dikkate almanızı öneriyorum.
Çünkü konu, bireysel, kurumsal ve ülke boyutunda, her katmanda büyük maddi-manevi zarar yaratma potansiyeline sahip ve hâlihazırda zaten yaratıyor. Teknolojiye ve bilgiye erişimin kolaylaşması ve yaygınlaşmasıyla birlikte, siber suç dünyasının beceri ve yaratıcılığı da maalesef gelişiyor. Yapay zeka, deepfake, yapay zeka zehirlenmesi gibi uygulamalar, verilerin çalınıp alınıp-satıldığı karanlık veri pazarlarının ve karaborsaların yaygınlaşarak büyümesi, vb. her şeyi daha da tehlikeli hale getiriyor.
İlaveten Siber Güvenlik, çok büyük bir sektör, ekonomik-teknolojik güç. Küresel pazar büyüklüğünün 2023’te 222,66 milyar ABD doları olduğu, 2030'a kadar yıllık %12,3 oranında büyüyeceği tahmin ediliyor. Türkiye’de de siber çözümler pazarının 2024’te 284,20 ve 2028’de 631,50 milyon ABD dolarına ulaşması bekleniyor (Kaynak: grandviewresearch.com ve statista.com).
Zero Trust – Sıfır Güven
Zirve’de konuşma yapan herkesin en çok kullandığı sözcükler bu iki kelimeden oluşuyordu; “Sıfır Güven”. Yani ağa erişim talep eden herhangi bir kişiye, cihaza veya uygulamaya otomatik olarak güvenilmemesi prensibini anlatan siber güvenlik yaklaşımı. Kısaca, “Herkese ve her şeye asla güvenme, her zaman doğrula. Ağı daha küçük ve daha güvenli parçalara böl ve bir saldırganın ağa erişmesi durumunda erişebileceği veri miktarını sınırla. Kullanıcılara sadece ihtiyaç duydukları erişim izinlerini ver. Ağdaki hareketleri sürekli izle” ilkelerinin özeti. Hemen hemen tüm uzmanlar mümkün olsa bütünüyle bu modele geçilmesini tercih edeceklerinden bahsettiler ancak “Sıfır Güvenin”; karmaşık, zaman alıcı ve daha maliyetli olmasına, mevcut sistemlerle entegrasyonunun zorluğuna ve kullanıcılar için daha fazla zorluk yaratabileceğine de değindiler.
Kurumsal Siber Güvenlik için Mutlaka Yapılması Gerekenler
Siber suçlular her zamankinden daha aktifler ve karmaşık yöntemler uyguluyorlar. Öyle ki siber güvenlik artık bir seçenek değil, bir zorunluluk. Siber suç, sınırları ve sektörleri aşan, yayılan, bulaşıcı bir tehdit. O yüzden kurum kültürü oluşturulmalı ve en üst seviyede tehlike olarak kabul edilmeli. Eğitim, bilinçlendirme önceliklendirilmeli. Kamu spotları, kitle iletişim araçları ve sosyal medya etkin şekilde kullanılmalı.
Yapılması gerekenler listemiz:
1. Kurumsal Siber Güvenliğiniz ne durumda, saptayın. Risk değerlendirmesi yaptırın ve düzenli aralıklarla tekrarlayın.
2. Güvenlik duvarı, izinsiz giriş tespit sistemi ve antivirüs yazılımı gibi çok katmanlı güvenlik önlemleri uygulayın. Yazılımları güncel tutun.
3. Hassas verileri şifreleyin ve zaman zaman mutlaka değiştirin.
4. Çok faktörlü kimlik doğrulama yaptırın.
5. Çalışanlar, kullanıcılar en büyük güvenlik açığıdır, düzenli aralıklarla eğitim verdirin. Özellikle teknik, hukuk ve finans ekiplerinizin ileri seviyede eğitim almasını sağlayın.
6. Bir ihlal durumunda atılacak adımlar için kapsamlı bir “olay müdahale planı, siber kriz, erişim ve kesinti senaryosu” oluşturun. Tatbikatlar yapın. “Siber Güvenlik Alarmı ve Sızıntı İzolasyon Yapısı” kurun.
7. Siber Güvenlik Sigortası yaptırın.
Ve şu anekdotu hep hatırlayın ama asla tedbiri elden bırakmayın;
“Dünyada 3 tür insan ve kurum vardır; hacklenmiş olanlar, hacklendiğini henüz fark etmemiş olanlar, henüz hacklenmemiş olanlar”
Not: Siber Kıyamet yazımı da okumanızı öneririm.