Siber Risk Nedir, Neden Önemlidir?

Siber Risk Nedir, Neden Önemlidir?

Kürşad Sezgin, Veeam Ülke Müdürü

Teknoloji hayatımızın her alanına sirayet ederken bizi büyülemeye devam ediyor. Dünya tarihine baktığımızda yeryüzündeki tüm toplumları eş zamanlı olarak etkileyen, alışkanlıklarımızı değiştiren, yeni yaşam şekilleri benimsememize neden olan gelişmelerin, son 5 yılda bundan önceki dönemlere nazaran çok daha fazla olduğunu görürüz. 2020 yılı, pandeminin insan hayatında yarattığı akıl almaz kırılmalarla anılacak. Bilişim teknolojileri penceresinden baktığımızda ise pandeminin, dijital dönüşümü ciddi şekilde hızlandırdığını gözlemliyoruz. Veri yönetimi, salgından önce kuruluşlar için bir öncelikti, şimdi de öyle. Ancak günümüzde verilerin erişilebilir kalması ve çalışanların ofisteyken kullanabildikleri tüm dosyalara, araçlara, uygulamalara erişebilmesi daha da önem kazandı.

Teknolojik gelişmeler, yeniliklerin yanında birtakım olumsuzlukları da beraberinde getiriyor. Kurum ve kuruluşların dijital çağın gereksinimleri doğrultusunda, verilerini dağıtık yapıda farklı veri merkezleri ve bulut ortamlarında barındırmaya başlamasından tutun, kişisel verilerin her geçen gün daha kıymetli hale gelmesine varıncaya kadar artık birçok noktada bu yeni düzeni tehdit eden türlü risklerle karşı karşıyayız. Bizler dijitalleştikçe ve dijital platformlara işimizle, ailelerimizle, hayatımızla ilgili bilgileri aktardıkça, bu bilgilere ulaşmak ve bundan fayda sağlamak isteyen siber saldırganlar ve onların kullandığı metotlar da artıyor ve gelişiyor. Veri hırsızlığından fidye yazılım saldırılarına kadar oldukça geniş bir yelpazede değerlendirdiğimiz bu faaliyetlerin tamamına “Siber Risk” adını veriyoruz. Siber riskler, gerçekleşmeleri durumunda şirketlerin bilişim teknolojileri altyapılarını hedef alarak o kurumların para, müşteri ve itibar kaybetmesine sebep oluyor.

Küçük ya da multi-milyon dolarlık bir şirket olsun, siber riskler günümüzde tüm işletmeleri tehdit eder bir hal aldı. Büyük şirketlerin maddi kayıpları daha çok olmakla beraber saldırıların çoğunlukla küçük ve orta ölçekli şirketleri hedef aldığını gözlemlemekteyiz. Bunun sebebi küçük şirketlerde siber tehditleri bertaraf etmeye yetkin iş gücü ve kaynağın büyük şirketlere oranla daha az olması ya da hiç olmaması. Bununla beraber büyük şirketlerin tabi olduğu regülasyonların daha küçük şirketler için zorunluluk olmaması da bugüne kadar yeterli önlem alınmamasına bir sebep olarak görülebilir. Ne olursa olsun, KVKK ile küçük şirketlerin de artık bu konuda daha bilinçli hale gelmeye başladığını söyleyebiliriz.

Çoğu durumda bir şirketin dijital operasyonları ne kadar karmaşık ise maruz kaldıkları siber tehditlerin de o kadar sofistike olduğunu görüyoruz. Çalışanların şirket kaynaklarına uzaktan erişimi, şirkete ait bilgisayar, tablet ve telefonların şirket dışında kişisel amaçlar için de kullanılması, sistem kaynaklarına erişim yetkilerinin doğru yapılandırılmamış olması gibi açık kapılar, saldırganları amaçlarına ulaşmada başarılı kılan etmenlerin sadece birkaçı.

TÜSİAD’ın yayınlamış olduğu “2020 Türkiye Siber Risk Algı Araştırması”, ülke olarak siber tehditler konusundaki durumumuzu ortaya koyuyor. Bu araştırmaya göre;

-           Türkiye’de risk yönetiminden sorumlu ekiplerin yahut BT çalışanlarının sadece %9’u kurumunun karşı karşıya olduğu en büyük riski siber tehdit olarak görüyor. Dünyada ise bu oranın %22 olduğunu görmekteyiz.

-           Türkiye’deki şirketlerin genel eğilimi “bekle-gör” davranışı üzerinden şekilleniyor. Şirketler, kendileri, birlikte çalıştıkları yahut bildikleri bir diğer şirket bir tehditle karşılaşmadan aksiyon almamaktalar.

-           O güne kadar herhangi bir siber saldırıya maruz kalınmamış olması, işleri yavaşlatan yahut durduran bir tehdidin yaşanmamış olması, siber güvenlik konusunun şirket gündeminde alt maddeler arasında yer almasına sebep olmakta.

Siber Riskler Nasıl Bertaraf Edilebilir?

Siber saldırganlar artık gerçekleştirdikleri saldırılardan maddi kar elde etmenin yollarını arıyorlar ve yapay zekadan (AI) tutun bulut servis sağlayıcılar üzerinden RaaS (Ransomware-as-a-Service) tedarikine kadar çok geniş yelpazede yeni ve kurumların hazır olmadığı saldırı vektörlerini yoğun olarak kullanıyorlar. Kurumların hazır olmadığı diyorum zira bu yeni saldırı vektörleri çoğunlukla “insan” faktörünü, yani şirketlerin güvenlik anlamındaki en zayıf halkasını hedef alıyor. Çalışanların aldıkları ve her zaman çalıştıkları bir firmadan geliyormuş gibi masum görünen oltalama e-posta saldırısı (phishing) dahi şirketlerin milyonlarca dolar zarara uğramasına sebep olabiliyor.

Peki mevcut güvenlik donanımları, yazılımları bu saldırıları durduramıyor mu? Geleneksel korunma metotları maalesef bu tip saldırılar karşısında etkisiz kalıyor, yukarıda örnek olarak verdiğim e-posta her zaman bir virüs içermeyebilir. Hedef alınan kişinin çalıştığı bankadan geliyormuş gibi görünen, o bankanın kurumsal yazışma formatı korunarak kişiye özel düzenlenmiş bir e-postadan çok azımız şüphelenir. Buradaki kritik nokta, saldırının kişiye özel, terzi usulü hazırlanmış olması. Bu tip sinsi saldırıları güvenlik duvarları yahut anti-virüs yazılımları yakalamaktan aciz. Kötü niyetli terzilerin bizim üstümüze tam uyacak elbiseyi hazırlamaları ise internette paylaştığımız kişisel verilerin artması sebebiyle çok kolay. O elbiseyi bir kere üzerimizde denediğimizde içeri sızan zararlı yazılım, dünya çapında binlerce şirketi etkileyen WannaCry fidye saldırısında olduğu gibi çok hızlı bir şekilde tüm kuruma yayılmakta ve tüm kaynakları geri dönülemez şekilde kullanılamaz hale getirmekte.

Siber saldırıları bertaraf etmek için şirketlerin kurumsal siber güvenlik politikalarını sık ve düzenli olarak gözden geçirmeleri ve güncellemeleri, denetimleri artırmaları, çalışanlarını bilinçlendirici eğitimler düzenlemeleri ilk adımlar olarak sıralanabilir. Veri merkezi seviyesinde değerlendirdiğimizde ise tüm kurumların verilerini güvence altına almalarını sağlayan bir “sigorta poliçesine” ihtiyacı bulunmakta. Bu sigorta poliçesi kurum verilerinin düzenli olarak yedeklenmesidir.

Şirketler iş sürekliliğinin sağlanması, verimliliğin artırılması, şirket kaynaklarının asıl ihtiyaç duyulan AR-GE faaliyetlerine aktarılabilmesi ve kurumsal rekabette öne çıkabilmek için bulut teknolojilerine her geçen gün daha çok yatırım yapmaktalar. Çağdaş bir veri merkezinin mimarisine baktığımızda lokalde çalışan ve sanallaştırılmış ve fiziksel sunucuların yanı sıra hibrit bulut ortamlarına aktarılmış iş yüklerinin de olduğunu görüyoruz. Bunun yanı sıra konteyner teknolojilerinin önümüzdeki dönemin en popüler başlığı olacağını söylemek mümkün. İş sürekliliğinin sağlanabilmesi, bir felaket anında bütün bu platformlar arasındaki veri geçişinin hızıyla doğru ilintili. Kurumların kullandıkları yedekleme yazılımlarının geleceğin getireceği bu dinamizme hazır olması gerektiği kadar bunu yaparken kurumları belirli donanım markalarına bağımlı kılmaması, kurulumdan yönetimine kadar basit ama aynı zamanda sofistike bir yapıda olması esas. Verilerin yedeklenmesi basit bir işlem olmakla beraber o yedeği ne kadar hızlı sürede kullanılabilir hale getirdiğiniz, bir platformda almış olduğunuz yedeği en kısa sürede istediğiniz bambaşka bir platformda açıp açamadığınız gibi konular, şirketlerin çevik olmaları ve müşterilerinin ihtiyaçlarını herhangi bir kesinti yaşatmaksızın karşılayabilmeleri açısından artık her zaman olduğundan daha da önemli. Veeam olarak sanal, fiziksel ve bulut ortamlarındaki verilerin yedekleme ve replikasyonlarını zaten çok uzun süredir en iyi şekilde yapmaktaydık. Ekim’de bünyemize kattığımız Kasten ile artık Kubernetes-native yedekleme çözümleri ile şirketleri bugünden geleceğe hazır hale getirmeye devam ediyoruz. .