banner

    Artık herkes daha dijital. Bu da siber saldırganlar için yeni fırsat demek. Peki şirketler, kısıtlı kaynakla nasıl saldırganların bir adım önünde olabilir?

    Bilginin paradan daha değerli olduğu günümüzde siber güvenlik, artık milli güvenlik kapsamında değerlendirilecek kadar önemli bir noktaya geldi. Ancak bu kadar kritik bir alanda tüm dünyada deneyimlenen insan, zaman ve parasal kaynak eksikliği, siber suçluların kendisinden daha büyük bir risk haline gelebiliyor. Dijital dünyada sıkça karşımıza çıkan veri güvenliği, bilgi güvenliği ve siber güvenlik tam olarak ne ifade ediyor, birbirinden nerelerde ayrışıyor?

    Tanımlara giriş yapmadan önce oluşabilecek bazı kavram karışıklıklarını gidermekte fayda var. Veri ve bilgi her ne kadar eşanlamlı kelimeler gibi kullanılsa da aslında birbirinden farklı kavramlardır. Bilgi, bir anlam ifade eden veriler bütünü demektir. Bu tanımdan yola çıkarak, her bilginin bir veriden oluştuğunu ancak her verinin bir bilgi olmayabileceğini kolaylıkla söyleyebiliriz.

    Veri güvenliği, siber güvenlik ve bilgi güvenliği nedir?

    Veri güvenliğini verilerin yetkisiz erişime karşı korunması olarak açıklayabiliriz. Siber güvenlik ise BT ve BT ekipleri üzerinden dijital sistemleri, ağ yapılarını, yapıların içindeki bilgileri ve verileri korumaya almak anlamına gelmektedir. Bu sistemler içerisinde yazılım kadar donanım da önemli bir rol oynadığı için iki tarafın da güvenliğini aynı hassasiyetle sağlamak gerekiyor.

    Öte yandan çok uluslu teknoloji şirketi Cisco, bilgi güvenliğini hassas kurumsal bilgileri değişiklik, aksama, imha ve incelemeden korumak için tasarlanan ve devreye alınan süreçler ve araçlar olarak tanımlıyor.

    Dijital dünyaya dahil olan herkes, siber güvenlik farkındalığını artırmalı

    Tüm dünya ve insanlık, 2020’yi COVID-19’un etkileriyle, mecbur tuttuğu birtakım kısıtlamalarla ve birçok alanda yarattığı değişimlerle geçirdi. Ancak bir şey sabit kaldı: sayısı artmaya devam eden kötü niyetli hackerlar ve beraberinde gelen siber tehditler.

    Bilgi Güvenliği Derneği Başkanı Ahmet Hamdi Atalay, COVID-19 salgınının başlangıcından itibaren siber saldırılarda yüzde 300 artış olduğunu ve her 39 saniyede bir saldırı gerçekleştiğini belirtiyor.

    Bulut tabanlı bir bilgi güvenliği şirketi Zscaler da Ocak-Nisan 2020 arasında COVID-19 temalı oltalama, truva atları, kötü amaçlı web sitesi ve uzaktan çalışan kötü amaçlı yazılımlarda tam 300 kat artış olduğunu aktarıyor. Rakamsal olarak bakıldığında şirket ocak ayında bu şekilde 1.200 adet saldırı engellediklerini ve mart ayında bu sayının 380.000’e çıktığını kaydediyor.

    Elbette siber riskler sadece COVID-19 temalı web sayfalarından ibaret değil. Şirketlerin uzaktan çalışma yöntemine geçmesiyle evlerdeki güvenlik seviyesi zafiyet gösteren modem, router gibi cihazlar ve Wi-Fi ağlar da şirketin bir parçası haline geldi. İş yapabilmek için gereken sunuculara bağlanma yazılımları, dosya gönderme/alma servisleri ve video konferans araçları da olağanüstü bir düzeyde kullanılmaya başlandı. Öyle ki 2019’da günlük 10 milyon toplantının yapıldığı Zoom’da 2020 Mart ayında günde 200 milyon, nisan ayında da günde 300 milyon toplantı yapıldı. Şirket değerini 3’e katladı.

    Ancak aynı dönemlerde Zoom’da çok büyük bir güvenlik açığı da keşfedildi. Bu açığı kullanan siber saldırganlar, toplantıların hem ses hem de görüntü kaydını alabilme imkanına sahip oldu. Bunun yanında 500.000 kişinin Zoom şifreleri de internete sızdırıldı. Sonuç olarak Zoom çok büyük bir güven ve itibar kaybına uğradı. Bu durum Microsoft Teams, Cisco Webex gibi rakiplerine yaradı. Çünkü şirketlerin güvenlik ekipleri siber saldırılara karşı Zoom kullanımını kurum içerisinde yasakladı. Böylece bu şirketler de aynı servisi sunan alternatiflere yöneldi. Bu tür siber güvenlik zafiyetleri itibar ve müşteri kaybı yaşamak istemeyen kurumların ve siber güvenlik uzmanlarının dikkat etmesi gereken konular var. Çalışanları bilinçlendirmek ve bilgi güvenliği farkındalığı sağlamak ise önceliklerin başında geliyor.

    NIST (National Institute of Standards and Technology) tarafından geliştirilen ve 2018’de yayınlanan CSF (Siber Güvenlik Çerçevesi), her ölçekteki kurumların siber güvenlik aşamalarını planlanması için referans noktası haline geliyor.

    Her şirket geleneksel veri güvenliği yöntemlerinin maliyetini karşılayamıyor

    Başarılı bir siber saldırı şirketlerin büyük kayıplar yaşamasına yol açabildiği gibi bu saldırılara karşı korunmak da masraflı bir alan. Çünkü siber saldırganların bir sisteme sızması için bir makul açık bulması yeterliyken siber güvenlik uzmanları potansiyel tüm açıklardan sorumlu. Her yıl sistemlerde keşfedilen ve halka açık olarak yayınlanan açık sayısı da günden güne artıyor. Sisteme eklenen her yeni hizmetin, her geliştirmenin ve ürünün barındırdığı açıklar da buna ekleniyor.

    Olası güvenlik açıklarını keşfetmek için hemen her şirketin başvurduğu klasik yöntemlerin başında sızma (penetrasyon) testleri geliyor. Adam/gün maliyet üzerinden hesaplanan bütçe ile tanımlı bir alandaki tüm güvenlik açıklarını bulup raporlamak üzerine kurulu olan bu modelin de hackerları durduramadığı bir gerçek. Çünkü maliyet sebebiyle bu testler çoğunlukla yılda bir kez, nadiren de birkaç kez yapılıyor. Oysa testlerin gerçekleştirildiği haftadan sonraki 2 hafta içinde büyük olasılıkla yeni yazılım sürümleri çıkıyor ve olası yeni açıklar beraberinde geliyor.

    Şirketler ayrıca çalışan motivasyonunu artırmak ve donanım maliyetlerini yönetmek için “Kendi Cihazını Kendin Getir” (Bring Your Own Device, BYOD) yöntemine başvurdu. Bu yaklaşıma göre her çalışan kendi cihazını kullanarak işini yapabiliyor. Ancak bu da var olan siber savunmayı zayıflattığı için şirkete maliyet faydasından çok saldırılar yüzünden zarar getiriyor.

    Güvenilir bir servis sağlayıcısından edinilen siber güvenlik çözümleri de oldukça pahalı. Öyle ki 10.000’den fazla çalışanı olan büyük şirketlerin yüzde 50’si her yıl güvenlik için 1 milyon dolardan fazla, yüzde 43’ü 250.000 ile 1 milyon dolar arasında, kalan yüzde 7 de 250.000 doların altında bir ücret ödüyor. Bu ücretler karşılığında sistemler kurulup çalıştırılsa bile bunları yönetebilecek uzmanlığa ve deneyime sahip bir siber güvenlik ekibi gerekiyor. Günümüzde siber güvenlik alanında insan kaynağı açığının katlanarak büyüdüğü gerçeği ile yüzleştiğimizde, her yıl sadece var olan sistemleri bile çalıştıracak yetenekli uzmanları bulmak giderek zorlaşıyor.

    (ISC)2’nin 2020 Cybersecurity Workforce Study araştırması, 700.000 yeni siber güvenlik uzmanının sektöre dahil olduğunu ve toplam uzman sayısının 3,5 milyon kişiye ulaştığını gösteriyor. Bu her ne kadar güzel bir haber olsa da açığı tamamen kapatmak için 3,1 milyon uzman daha gerekiyor.

    Şirketlerin imdadına koşan yeni nesil çözüm: Bug Bounty Programları

    Bug Bounty (Ödül Avcılığı), farklı yeteneklerdeki on binlerce bağımsız (etik hacker veya beyaz şapkalı hacker olarak da bilinen) güvenlik araştırmacısının şirketlerin uygulamalarında, sistemlerinde veya yazılımlarında bulunan, siber saldırganların istismar edebileceği güvenlik açıklarını tespit etmek için kendilerine has yöntemler kullandığı ve karşılığında da açığın büyüklüğüne göre ödüllendirildikleri siber güvenlik testleri programlarıdır.

    Bug bounty programları, sunduğu hız, yaratıcılık ve fayda/maliyet etkisi gibi birçok avantaj sayesinde gün geçtikçe şirketlerin daha çok tercih ettiği bir yöntem haline geliyor. Bug bounty programı açan şirketler arasında yalnızca Facebook, Google, Apple, Microsoft gibi dünyanın en büyük teknoloji şirketleri yer almakla kalmıyor. Bankalar, e-ticaret platformları, sağlık ve ilaç şirketleri de bu programların önemini kavradılar. Yakın zamanda Amerikan Savunma Bakanlığının bu konuda yayınladığı genelge ile kendisinin  liderlik ettiği kamu bug bounty programlarına diğer kamu kurumlarının da katılmasını teşvik etti.

    Sistemi istismar edebilecek siber saldırganlarla benzer becerilere sahip uzmanların sistemi istismar etmek yerine sistemdeki açıkları hackerlardan önce keşfedip platform üzerinden doğrulatarak şirkete bildirebilmesi, programın sunduğu en büyük avantaj. Böylece hem şirket çok ağır maddi kayıp yaşayacağı zafiyetinin farkında oluyor, hem de sürekli ve yüksek sayıda ofansif siber güvenlik uzmanı çalıştırması gerekmiyor. Bir yandan güvenlik testlerini daha sürdürülebilir bir yapıya oturturken, diğer yandan bütçesini etkin yönetiyor.

    Açığı bulan bağımsız siber güvenlik araştırmacıları da gelir elde ederken, sistemlerin güvenliğini sağlıyor ve sektördeki kişisel bilinirliğini artırıyor. Bu noktada şirketler motivasyon sağlamak için çoğunlukla nakit ödüller verme yöntemini tercih ediyor. Dağıttıkları ödüller, farkına vardıkları kritik açıklar üzerinden bir saldırıda yaşayacakları kaybın çok daha altında oluyor.

    BugBounter platformu olarak biz ne yapıyoruz? Nasıl bir yaklaşımla yapıyoruz?

    BugBounter olarak platforma dahil olan yüzlerce güvenlik araştırmacısı ile şirketlerin güvenlik açıklarını keşfetme ihtiyacını karşılıyor ve iletilen raporların doğrulama hizmetini hızlı ve güvenilir bir şekilde veriyoruz. Platformumuza kaydolup çalışma koşullarını kabul eden ve sözleşme imzalayan siber güvenlik uzmanları, ilgili şirketin taranmasını istedikleri alanlardaki güvenlik açıklarını belirlenen sınırlamalar çerçevesinde buluyor ve bu açıkları BugBounter üzerinden raporluyor. Raporların kalite kontrol, doğrulama ve derecelendirme süreçleri platform üzerinde gerçekleştirildikten sonra şirkete sadece doğrulanan açıklar iletiliyor. Böylece sızma testlerinde sıklıkla ortaya çıkan “false-pozitif” ve “false-negatif” gibi verimsizliklerin de önüne geçilmiş oluyor.