Artan güvenlik saldırılarından nasıl korunuruz
Günümüzde dijitalleşmeyle birlikte artan taarruz yüzeyinin, berbat niyetli kümeler için daha çok fırsat yarattığını belirten Paynet CTO’su Gökhan …
Günümüzde dijitalleşmeyle birlikte artan taarruz yüzeyinin, berbat niyetli kümeler için daha çok fırsat yarattığını belirten Paynet CTO’su Gökhan Öztorun, bu tıp ataklara karşı alınması gereken tedbirleri aktardı:
Günümüzde teknoloji, eser geliştirmeden satışa kadar her bir iş sürecinin tam kalbinde ve işletmelerin merkezi hudut sistemi haline geldi.
Teknolojinin insanların ferdî hayatlarındaki rolü de kıymetli ölçüde genişledi. Şirketler toplumsal medyayı daha çok kullanırken, çalışanlar da kurum e-postalarına girişte kendi aygıtlarını daha sık kullanmaya başladılar. İş hayatı ve ferdî hayat içerisinde kullanılan teknolojiler ortasındaki hudutlar neredeyse kalktı. Münasebetiyle bilgi sistemleri, şahsî, finansal ve başka bilgileri yönetmek için daha geniş bir alanda güvenlik riskine maruz kalıyor.
Dijitalleşmeyle birlikte artan akın yüzeyi, berbat niyetli kümeler için daha çok fırsat yaratıyor. Şubat 2020’den bu yana phishing akınları %600, fidye yazılım (ransomware) hücumları da %148 artmış durumda ve artmaya da devam edecek. Saldırganlar her geçen gün daha karmaşık teknikler üretiyor. Gelişen teknolojiyi yakından takip edip, her vakit bir adım önümüzde olmayı başarıyorlar. Akınların birçok amaç odaklı ve çoklukla güvenlik duvarlarını ve anti virüsleri atlatabilecek formda bireyleri amaç alıyor. Siber akınların %75’i e-posta ile başlıyor.
Güvenlik alanında hareketsiz kalmak, makûs niyetli saldırganlar için kolay gaye olmakla birebir manaya geliyor. Dünyada her 29 saniyede bir siber atak gerçekleşiyor. Bu taarruzlara karşı kendimizi korumak için, teknolojiyi çok yakından takip etmek ve kendimizi devamlı geliştirmek durumundayız.
Paynet olarak bu mevzuda sıklıkla eğitimler düzenliyoruz. Sızmaların %67’si, şifrelerin çalınmasıyla, insan kusuruyla ve toplumsal mühendislik akınlarından meydana geliyor. Bu da gösteriyor ki, teknolojik ve sistemsel olarak ne kadar başarılı olunsa da, en değerli faktör katiyetle insan. Bir şirketin güvenliğini yalnızca bilgi sistemleri grubu ve teknolojisi ile sağlamak mümkün değil. Şirketin her bir çalışanı, her bir departmanı, eğitimler almalı, şahsî bilgilerinin ve şirket bilgilerinin güvenliğinin korunmasında değerli bir rol oynadığının farkında olmalı. Paynet olarak biz, “Önce Güvenlik” prensibini ve kültürünü oluşturduk.
“Önce Güvenlik” prensibinin hedefi, daima irtibat ve eğitim prensipleri ile çalışanlarımızın bu bahiste her vakit en şimdiki bilgiye sahip olmalarını sağlamak. Tüm iş modellerimizde, süreçlerimizde, stratejilerimizde güvenlik ögesine öncelik vermek ve buna işe alım ile başlamak gerekiyor.
Türkiye’nin en yeterli güvenlik firmaları üzerinden daima sızma testi yaptırıyor, dünyada kabul görmüş güvenlik standartlarına nazaran her sene denetleniyoruz (PCI-DSS). IT takımımız şimdiki güvenlik gelişmelerini yakından takip ediyor, eğitimler ile kendimizi yeni tutuyoruz. Yazılım geliştirici arkadaşlarımız her sene inançlı yazılım geliştirme eğitiminden geçerek, sertifikalarını aktüel tuyorlar
“Önce Güvenlik” prensibini eser geliştirme çalışmalarımız esnasında da titizlikle uyguluyoruz. Her geliştirmemizi birinci evvel aşağıdaki beş değişkene nazaran kıymetlendiriyoruz.
- Risk ve Ahenk: Güvenlik, kapalılık ve regülasyon ihtiyaçlarını karşılıyor mu? Paynet’in risk toleransına, güvenlik ve kapalılık unsurlarına uygun mu?
- Müşteri Muhtaçlıkları: Müşterimizin kapalılık ve güvenlik muhtaçlıkları ve genel tecrübelerine uygun mu?
- Üretkenlik ve Kullanıcı Tecrübesi: Denetimlerin kapsamı kullanıcıların işlerini yapmasını zorlaştırarak iş suratını düşürüyor mu? Kullanıcıların güvenlik siyasetlerini izlemesi yahut kullanması vakit alıcı ve zorlaştırıcı mı? Şayet gereğinden fazla zorlaştırırsak, kullanıcılar onları görmezden gelebilir ve böylelikle daha fazla risk oluşturabilir.
- Maliyet ve Bakım: Denetimlerin toplam maliyeti, heyetim ve bakım maliyetleri.
- Pazar amacı: Şirket amaçlarımıza uygun mu?
Üç tip güvenlik denetimi bulunuyor, bunlar, ‘saldırı tedbire,’ ‘saldırı tespit etme’ ve ‘saldırıya karşılık verme.’ Hücum tedbire, rastgele bir riskin, kullanıcıları ve sistemi etkilemeden engellenmesiyken, akın tespit etme ise, sistemlere yapılan sızmaların ve zararlıların tespit edilmesi ve tanımlanması manasına geliyor. Hücuma karşılık verme ise, rastgele bir taarruza karşı aksiyon alınmasıdır.
Güvenlik ve risk bakış açısı ile “saldırı önleme” faaliyetleri sızmayı ve saldırıyı engellemeye odaklanırken, atak tespit etme ve yanıt verme faaliyetleri taarruzun ziyanını en aza indirmeye odaklanır. Paynet’te atak tedbire faaliyeti olarak, daima tehdit modellemesi yapıyoruz. Akın gelebilecek noktalarda (attack surface), saldırgan kabiliyetlerine nazaran risk değerlendirmesi yaparak, hakikat yatırım ile azamî güvenlik düzeyini yakalamaya çalışıyoruz.
Muhtemel bir taarruzun ziyanlarını en aza indirmek için güvenlik mimarisini titizlikle dizayn ediyoruz. Yanlışsız ağ bölümleme (network segmentation), uzun yıllardan beri ağ güvenliği mimarisinin en güzel uygulamalarının temelini oluşturmuştur. Aktif erişim denetim ve yetki denetim siyaset ve prosedürleri uyguluyoruz. Ağ güvenliği mimarisi en düzgün uygulamalarından “ağınızın akın yüzeyini azaltın” prensibi ile gereksinimimiz olmayan her şeyi kaldırıyor yahut devre dışı bırakıyoruz.
IBM’in datalarına nazaran bir sızıntının tespit edilme müddeti ortalama 206 gün. Bir saldırıyı kısa müddette tespit etmek ve ziyanlarını mimimuma indirmek için “Bilgi Güvenliği ve Kayıt Yönetimi” uygulamaları ile güvenlik mimarinizi güçlendirmeniz gerekir. Bu uygulamaları da faal bir hadise müdahale planı ile desteklemek gerekiyor.
Finansal teknoloji rekabetin ağır ve kuvvetli olduğu bir dal, bir yandan çalışanların üretkenliğini artırmanız gerekirken, bir yandan yenilikçi eserler geliştirmeniz, bir yandan da finansal teknolojiyi çok yakından takip etmeniz ve tıpkı vakitte mimarinizi riski önlemek, taarruz yüzeyinizi küçültmek, sürdürülebilir olmak için tasarlamanız gerekiyor. Paynet üzere süratli büyüyen şirketler, kurdukları esnek ve dinamik mimari yapı sayesinde her geçen gün değişen tehdit alanlarında güvenliği sağlayabilmek için avantaj sağlıyor.
Dijitalleşmenin her kesimde kurum için vazgeçilmez hale geldiği günümüzde, şirketler de kendi tedarikçilerini ve iş ortaklarını seçerken güvenlik ve risk faktörlerine öncelik verme konusunda bilinçleniyor. Bu nedenle Paynet üzere yarını düşünüp bugünden tedbir alan ve mimarisini gerçek güvenlik yatırımlarıyla destekleyen şirketler, şahit olduğumuz bu dönüşümün kazananı olacaktır.
Hibya Haber Ajansı
