Kodunuz Ne Kadar Güvenli ?

Geçtiğimiz yıl “Yapay zeka, tahmine dayalı modelleme ve kuantum hesaplama” gibi alanlarda çok ciddi ve büyük adımlar atılmış olmasına rağmen 2019’u hem iyi hem de kötü yönüyle bizlerde iz bırakan bir dönem olarak hatırlarız. Ancak, diğer açıdan o yıl siber tehditlere karşı hala ne kadar savunmasız olduğumuzu da bizlere kanıtladı…Hemen aklıma gelenleri anımsayalım…

• Siber Fidyecilik sebebiyle Kanada’daki bir Sağlık laboratuvarı – (Konusunda ülkedeki en büyük şirket ) – 85.000 müşterinin hassas sağlık bilgilerini ve giriş bilgilerini (şifreler dahil) güvence altına almak için açıklanmayan meblağda bir miktar para ödedi. (Tahminen 15 milyondan çok)

• 6 milyon Kanadalı ve 100 milyon Amerikalının kredi skorlarını ve hesap bakiyeleri ve sosyal sigorta numaraları çalındı.

• 5 milyondan çok kişinin bilgilerini elde etmek için, bilgisayar korsanlarının Kanada hükümetine saldırması gerekmedi; sadece dünyanın en meşhur otel zincirlerinden birini hedef alarak amaçlarına ulaştılar.

• 2019 yılı, veri hırsızlığı, fidye yazılımı saldırıları ve- daha da kötüsü- bunların kombinasyonunun hem sayısında hem de karmaşıklığında büyük artışlara ve zararlara sahne oldu.. Bu siber olayların bize gösterdiği şey, en beklenmedik şirketlerin bile sistem güvenliği ihlali riski taşıdığıdır. Bu ihlaller, bu sistemlerin bütünlüğünü ve içerdikleri bilgileri etkilemekten çok daha fazlasını yapar. Şirketin kendisinin bütünlüğünü temelden etkiler.

• Web Uygulamalarına yapılan saldırıların %65’i SQL Enjeksiyonuyla gerçekleştirildi *

• Yalnızca 17 ayda 55 milyar kişinin kimlik bilgilerine saldırı yapıldı **

• Web Uygulamalarına yapılan saldırılar %100 artarak ayda 200 Milyondan 400 Milyona çıktı ***

Bir siber olay için risk değerlendirmesi, fidye sahiplerine ödenebilecek her türlü para, güven kaybı nedeniyle mevcut ve gelecekteki müşterilerin kaybı ve şirketin sorunu çözmek için harcayacağı zaman ve parayı içerir. Bu konu şirketin dünya kamuoyunda yılların emeği ile yarattığı imajı sarsacaktır.

Şirket yöneticileri arasında genelde siber saldırganların işten problemli ayrılan ya da çalışanlar arasından olabilir mi? şeklinde düşünenler olduğunu gözlemliyoruz. Bu ihtimal hiç yok değildir ancak unutulmaması gereken konu artık “Siber Saldırganların” sistematik çalışan, Bilgi teknolojisi alanında çok yetkin, tutkulu ve kalıcı uzmanlar olduğu ve örgütlü çalıştıklarıdır. Kabullenilmesi zor olsa da “Siber Saldırganlık” bir sektör olarak mevcuttur ve gittikçe daha örgütlü ve daha motive olmakta olan bir nevi yasadışı girişimcilerdir. Hedefledikleri kurumun bilgilerinden kâr elde edebileceklerini düşünüyorlarsa inatla saldırmayı sürdüreceklerdir.

İşyeri güvenliği tarihi çok eskilere dayanıyor. Güvenliği göz ardı etme maliyetleri, işimizi güvende tutma maliyetlerini aşana kadar yönetimlerin BT güvenliğini yeteri kadar önemsemediklerini söylemek abartı olmaz

Yetersiz güvenlik sistemlerine ilişkin hesaplanabilen ve bilinen maliyetler vardır. Aslında esas hesaplanması gereken husus, İş modelinizde rutin güvenlik kontrol ve denetimi için gereken maliyetler ile, bir saldırıya yenik düşmenin maliyetini arasındaki farkı öngörebilmekten geçiyor. Günümüzün küresel ekonomisinde, güvenlik ihlali riski her zamankinden çok daha fazladır. Covid-19 pandemisi döneminde bile siber saldırılarda azalma olmamış aksine artmıştır. Bu bağlamda güvenlik testi artık bir lüks olmaktan çıkmıştır. Müşterilerimizin finansal ve kişisel verilerini güvenli şekilde tutmak ve şirketimizin markasını, itibarını ve tescilli verilerini korumak bir zorunluluktur.

Güvenlik testleri pek çok farklı kavramlarla zafiyet analizi, sızma – penetrasyon testleri, Kaynak Kodu Analizi SAST-DAST-IAST, DevSecOps. dahil olmak üzere çeşitlenmiştir.. Aralarında bazı teknik farklılıklar olsa da, ana hedef – bir şirketin sistemlerini BT güvenliğinin olgunluğunu test ederek ve çevrelerindeki olası güvenlik açıklarını belirleyerek korumak ve pro-aktif olarak önlem almaktan ve uygulama güvenliğini otomasyon ve orkestrasyon ile bütünleştirmekten geçiyor.

Cüneyt KALPAKOĞLU Phd.