En Zayıf Halkanız Kadar Güçlüsünüz
Çağımızda baş döndürücü hızda gelişen teknolojiye ayak uydururken, yer yer bireysel veya kurumsal olarak güvenlikten ödün verebiliyoruz. Konunun öneminin farkında olan kurumlar bu konuda gerekli adımları atmaya devam ediyor. Evet, Siber Güvenlikten bahsediyoruz.
Siber güvenlik aslında bir ürün ya da bir süreç değil, tam aksine çok boyutlu bir kavram olup, tüm süreçleri içinde barındırır ve yönetir. Araştırmalar ortaya koyuyor ki, veri ihlallerinin büyük bir bölümü “insan Faktörü” kaynaklıdır. Bir personelinizin basit bir hatasıyla, yüzbinlerce dolarlık yatırımla kurulmuş sunucu ve güvenlik sistemleri savunmasız ve saldırılara açık hale gelebilmektedir. Bunun içindir ki yetkili kullanıcıların denetimi, yetkisiz kullanıcıların denetiminden daha zordur. Dolayısıyla en zayıf halkamızın insan faktörü olduğunu söyleyebiliriz. İnsan faktörünün Sosyal Mühendislik tekniklerine karşı ciddi zafiyeti ise yadsınamaz bir gerçektir. Bu sorun ise ancak farkındalık ve eğitimle aşılabilir. Donanımlar ve yazılımlar her ne kadar hızlı gelişim gösterse de insan faktörüne yatırım yapılmadan bu süreç sağlıklı yürütülemez. Kaybedilecek her bir byte veri, telafisi mümkün olmayan ciddi zaman ve itibar kaybı oluşturabilir.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü amirdir. Bu hüküm uyarınca ülkemizde yaşanan veri güvenliği ihlalleri https://www.kvkk.gov.tr/veri-ihlali-bildirimi/ adresinde yayınlanmaktadır. İncelendiğinde görüleceği üzere; bankalardan, sigorta firmalarına, yazılım firmalarından kamu kurumlarına kadar birçok sektörde veri güvenliği ihlalleri mevcuttur. Bu bilgi bize parayla saadet olmadığını net bir şekilde göstermektedir.
Peki Güvenlik mi? Performans mı?
Güvenlik ve Performans ters orantılıdır. Dolayısıyla güvenliği arttırdıkça performansın düştüğünü belirtmek gerekir. Bu, kaza riskini azaltmak için yavaş araç kullanmaya benzer. Hızınızı arttırdıkça (100-120-150 km/s) kaza riskiniz artar ancak hedefe daha hızlı varırsınız; hızınızı düşürdükçe (100-90-80 km/s) kaza riskiniz ciddi anlamda düşer ancak hedefe daha geç ulaşırsınız. Siber güvenlikte de durum aynen böyledir. Verinin değeri, gizliliği, güvenliği gibi diğer parametreleri de baz alarak yerine göre güvenlik, yerine göre performansı yukarı çekebilir yada optimum değerlerle süreci yönetebilirsiniz.
| Yandaki grafik buna
güzel bir örnek teşkil etmektedir. Performansı 5’e çektiğinizde güvenliğiniz 1’de
kalıyor. Hakeza güvenliği 4’e çektiğinizde performans ın 2’de kaldığını
görebilirsiniz. |
Sık yaptığımız hatalardan biri olan “Güvenlikten sadece bilgi işlem sorumludur”, “Antivirüs yazılımımız olduğu için güvendeyiz!”, “Tüm verilerimin kopyasını alıyorum, güvendeyim.” gibi yeterli olduğu düşünülen tedbir(sizlik)ler ancak farkındalık ve eğitimle desteklenirse aşılabilir.
Son olarak meşhur Hacker Kevin Mitnick’in bir sözüyle yazımızı sonlandıralım:
“Sosyal Mühendis, aradığı bilginin değerini tam olarak bilmeyen bir çalışanı hedefleyecektir; böylece hedef, tanımadığı birinin isteğini yerine getirmeye daha meyilli olacaktır.”
Sağlık, Güvenlik ve Başarılar Dilerim
