18 Haziran 2017 Pazar

Bilgi Güvenliğinin Sıcak Başlıkları

6-8 Haziran tarihlerinde Londra'da düzenlenen InfoSec Europe konferasına katılma fırsatım oldu. Startup'lar dahil olmak üzere her ülkeden birçok güvenlik firmasının güvenlik ürünlerini anlattığı ve bunun yanında çeşitli vizyon sunumlarının olduğu bir etkinlikti. Tüm güvenlik sektörü tek çatı altında toplanınca bilgi güvenliği sektörünün mevcut durumu hakkında gözlem yapma imkanım da oldu. 2009 yılında güvenlik alanında çalışmaya başladığımda InfoSec'e katılmış olsaydım sanırım sadece firewall ve antivirus firmalarını görürdüm. Ama geçen zaman içinde neredeyse nefes alırken bile interneti kullanmamız ve sistemlerin karmaşıklaşmasından dolayı bilgi güvenliği alanında ki ihtiyaçlar Moore Yasası'ndan bile daha hızlı artmaya başladı. Peki bu ihtiyaçlar göz önünde bulundurulduğunda bugün bilgi güvenliği dünyasında en çok konuşulan, merak edilen ve çözüm geliştirilen konular neler olabilir?

1-Cloud

Teknolojinin gelişimine ayak uydurmaya çalışmak kurumları kendi iş alanlarına odaklanma konusunda zorlamaya başladı. Bu yüzden kurumlar, IT yönetimini dış kaynağa vererek kendi işlerine daha fazla zaman ve kaynak ayırarak rakiplerine karşı avantaj sağlamak istiyorlar. Durum böyle olunca da cloud hizmetlerine yönelmeye çalışan kurumlar güvenlik kaygısıyla istedikleri aksiyonu alamıyorlar. Verilerin kontrolünü bir başkasına vermek haklı olarak kurumları cloud hizmetine yönelmekten alıkoyuyor. Bu nedenle güvenli bir cloud hizmeti alınmasını sağlamak için firmaların ciddi çalışmalarının olduğunu ve ürünlerine olan ilginin oldukça fazla olduğunu söyleyebilirim. Ayrıca vizyon sunumlarında cloud konusunda düzenlenen oturumlar ve söyleşilere olan ilginin fazla olması da kurumların kaygılarını ve çözüm arayışı içinde olduklarını gösteriyor. Ancak dikkatimi çeken bir nokta oldu. Yandex, Microsoft gibi firmaların CISO'larının katıldığı bir panelde cloud güvenliği tartışıldı. İnteraktif olarak dinleyicilerden bir ankete katılmaları istendi. Anketteki soruları gördüğümde çıkacak sonucu hemen tahmin etmeye çalıştım. Benim tahminlerim şu şekilde oldu: 

    Soru 1 - Cloud'u güvenli buluyorum: %15
    Soru 2 - Cloud'u güvenli bulmuyorm: %65
    Soru 3 - Entegrasyona göre değişir:  %20

Sonuçlar açıklandığındaki şaşkınlığımı itiraf etmeliyim. Sonuçlar aşağıdaki gibiydi: güvenli bulanların oranı %50, entegrasyona göre değişir diyenlerin oranı %27, güvenli bulmayanların oranı ise %23. Açıkçası hiç beklemediğim bir sonuçtu. Bu sonuçların analizini şu şekilde yapıyorum. Teknolojinin gelişimine ayak uyduramayan firmalar aynı şekilde artan siber tehditlere karşı da kendilerini savunamıyorlar. Bu nedenle artılarını eksilerini analiz ettiklerinde cloud'un daha güvenli olabileceğini düşünüyorlar. Bu anketi Türkiye'de yapsak sonuçların tam tersi yani tahminlerime yakın çıkacağı kanısındayım. Ancak zaman içinde aynı algının bizde de bu şekilde oluşacağını öngörüyorum. Çünkü Dünya bir yöne giderken bizim ters yöne gitmek için direnç göstermemiz pek mümkün ve sürdürülebilir değil.

Bu arada benim oyum "cloud'u güvenli bulmuyorum"du. :)


2-Artificial Intelligence / Machine Learning (AI/ML)

AI/ML sadece siber güvenlikte değil hayatın ve teknolojinin her alanında beklenenden daha fazla kullanılmaya ve etki etmeye başladı. Buna sebep olarak üretilen verinin artık geleneksel kurallarla veya analiz yöntemleriye anlamlandırılıp iş akışlarına dahil edilememesi gösterilebilir. Bu iş akışlarından biri de tabiki bilgi güvenliği. Sistemlerde üretilen dataların miktarı arttıkça bunları anlayıp çeşitli korelasyonlarla siber olayları tespit etme işlemi bekleneni karşılamamaya başladı. Bu yüzden sistemdeki verileri kendi kendine öğrenme, değerlendirme, analiz etme ve organize etme yeteneği sonucunda siber olayları tespit eden hatta aksiyon alan algoritmalara ihtiyaç doğdu. İhtiyacın artmasıyla birlikte güvenlik firmaları da bu alana yönelmiş durumdalar. Veriyi işleyip siber saldırıların tespitinde insan faktörünü en aza indirerek daha doğru ve gözden kaçmayan sonuçlar elde etmek istiyorlar. AI/ML ile daha sık karşılacağız gibi duruyor.

3-GDPR / KVKK

Bir diğer çok konuşulan ve ilgi gören konu ise GDPR, bizdeki karşılığı KVKK diyebiliriz. Kişisel verilerin korunması konusunda Avrupa'da 1995 yılından beri yürürlükte olan veri koruma kanunu Türkiye'de 2016 yılında yürürlüğe girdi. Bunun yansıması olarak kişisel veri işleyen kurumlar veri sahibine karşı tüm sorumlulukları yerine getirmek için çalışmaya başladılar. GDPR için Avrupa'da 1995 yılında çıkan veri koruma kanunun güncel hali ve daha ciddi yaptırımların yer aldığı bir düzenleme denilebilir. Örneğin, GDPR'da en fazla dikkat çeken başlık siber vaka ile karşılaşan kurumların bunu bildirme zorunluluğu. Bu madde dolaylı olarak kurumları veri güvenliğini sağlamak için süreç ve teknolojik çözümler aramaya itiyor. Avrupa'da GDPR, Türkiye'de KVKK bilgi güvenliği sektörünü bir çok yönden hareketlendirmeye başladı. 

KVKK için detaylı bilgiye www.kisiselverikanunu.com adresinden ulşabilirsiniz.

4-Sosyal Mühendislik

Kurumların aldığı güvenlik önlemleri artmaya başlayınca saldırganların da bu önlemleri atlatmak için harcadıkları çaba ve zaman aynı şekilde artıyor. Bunun farkında olan saldırganlar doğrudan insan faktörünün devreye girdiği sosyal mühendislik ataklarına yönelmeye başladırlar.  E-mail ile oltalama yöntemini yoğun olarak kullanmalarından dolayı kullanıcı farkındalığını artırmak için oltalama simulasyonu yapan firmaların sayısı artmaya başladı. Şimdilik senaryo oluşturup bu senaryoların sonuçlarını takip etme şeklinde basit bir mantığın üzerine otursa da farkındalık cephesinde farklı uygulamaların geleceğini ve gelmesi gerektiğini düşünüyorum. Sosyal mühendislik ve farkındalık konusunda bir diğer ilgimi çeken konu da en zayıf halka olarak insanları belirleme düşüncesinin artık değiştirilmesi gerektiği ile ilgili bir sunum olmasıydı. Bu sunumun adı "People: The Strongest Link"di. Aynı düşünceye sahip olduğum birilerini görmek güzeldi. Bu konuyla ilgili birkaç ay önce yazdığım "Zincirin En Güçlü Halkası Sensin" yazısına da buradan ulaşabilirsiniz.

***

Vizyon sunumlarından alıntılar: 

  • Everything works with computer. So, computer security becomes everything security. (Bruce Shinecer)
  • It takes an attacker longer to organize your data than it takes them to get it.
  • CISO'ların yıllara göre odaklarındaki değişiklikler:
              v1.0 Teknoloji
              v2.0 Süreç
              v3.0 İnsan
  • Siber vaka yönetiminde iyi-kötü kararlar yoktur, en az kötü - en çok iyi kararlar vardır.

Türk firmaların yaşattığı gurur:

500'den fazla firmanın içinde iki Türk firması Picus ve Atar'ı görmek oldukça mutluluk vericiydi. Umarım bu sayımız daha da artar. 



7 Ocak 2017 Cumartesi

Zincirin En Güçlü Halkası Sensin!

     Sistemler karmaşıklaşıyor, cihazlar birbirine daha çok bağlanıyor ve siber saldırılar artıyor. Son zamanlarda geldiğimiz noktayı en iyi özetleyen cümle bu. Artan bu saldırılara karşı kurumlar gerekli tüm yatırımları yapıyor. Peki yapılan yatırımlar yeterli oluyor mu diye sorarsanız oraya kocaman bir soru işareti koymak gerekir. Çünkü önlemler genellikle bugünün bilinen ataklarına karşı alınıyor. Önlem alırken daha önce denenmemiş saldırı yöntemleri üzerinde düşünülmüyor. Bilinen saldırı yöntemlerine karşı kurgulanıyor. Böyle olunca yeni yöntemler bulmak, test etmek ve üretime almak saldırganlara kalıyor. Gece yarısını veya sistemlerin en az yoğun olduğu zamanı beklemiyorlar yeni saldırı yöntemlerini denemek için. En can alıcı anda devreye alıyorlar. Olanlar olduktan sonra şeytanın bile aklına gelmeyecek saldırı şekli ve yöntemleri analiz ediliyor, gerekli önlemler vakit geçirmeden alınıyor. Ama, datayı alan Üsküdar'ı çoktan geçmiş oluyor.

     Saldırganların liderliğini yaptığı bu döngü saldırgan açısından artık tıkanmaya başladı. Alınan önlemleri atlatmak için daha fazla mesai yapmaları gerekiyor. Bu nedenle sistemler yerine daha kolay olduğunu düşündükleri insanları hedeflerine almaya başladılar. Hani şu zincirin en zayıf (!) halkası olan insanları. Neredeyse tüm saldırılar oltalama e-postaları ile sisteme bulaştırılan zararlılar sayesinde gerçekleşiyor. Hatta öyle ki bu satırları yazarken Rusya'nın Amerika'da yapılan başkanlık seçimlerini manipüle etmek için siber saldırı yaptığı ve bunun sonucunda Amerika tarafından Rus diplomatların sınır dışı edilmek istendiği haberi düştü gazetelere. Saldırının detayları incelendiğinde hedefli oltalama atakları ile kullanıcı bilgilerini ele geçirme ve sistemlere sızma görülüyor. Bu tür örnekleri çoğaltabiliriz. Görüldüğü gibi saldırganlar da farkında insanın zayıflığından. Peki insana ait zayıflık doğuştan mı geliyor yoksa biz güvenlik uzmanlarının bir payı var mı? Ne yazık ki bu noktada bizim payımız yüksek. Her fırsatta çalışanlarımıza biz söyledik en zayıf halka olduklarını. Sistemlerimizin çok güvenli olduğunu ama onlardan korktuğumuzu defalarca anlattık. Aşağıdakine benzer posterler hazırladık ve astık heryere. Bu davranışımızın sonucu olarak ders çıkarmalarını ve bilgi güvenliği anlamında farkındalıklarının artmasını beklerken tam tersi oldu. Zamanla bilinçaltına zayıf olduğu yerleşti ve farkında olmadan benimsedi. Çünkü insan beyni, aldığı bilgileri hem bilinçli hem de bilinçaltı olarak işler. Bilinç, beynin mantık yürüten, kavrayan, eleştiren, yargılayan kısmıdır. Bilinçaltı ise beynimizin farkında olmadığımız yanıdır. Bilinçaltı, bilinçli zihnin aksine sorgulamaz, eleştirmez, telkinleri kolayca kabul eder ve beynin refleks olarak verdiği tepkilerden sorumludur(*). Bilinçaltına zayıf halka olduğu yerleşen kişi sorgulama yapmadan bu özelliği benimsemiş oldu. Gelen bir e-postanın ekini hiç sorgulamadan, en önemlisi sorumluluk duygusu hissetmeden açtı. Sorumluluk hissetmemesinin sebebi zayıf halka olarak görmemizden dolayı bu tür bir hatayı zaten yapabilir algısının olması. Haklı değil mi? Hem de çok haklı. 


     Oysa tam tersini yapsaydık ne olurdu? "Bilgi güvenliğinin en güçlü halkası sensin!" deseydik,  bilinçaltına güçlü olduğu düşüncesi yerleşecekti ve özellikle insanın boş anını kollayan saldırganlara doğal koruma refleksiyle cevap verebilecekti. Onları güçlü halka görmemizden dolayı sorumluluk hissedecekti ve daha özenli olacaktı. Can alıcı nokta sorumluluk hissetmesi. Bu sorumluluğu onlara verebilirsek bilgi güvenliğini her noktada sağlamak için önemli bir adım atmış oluruz.

Bunu yapmak için geç değil. Hemen başlayabiliriz. Zira 2017 zor geçeceğe benziyor.

*http://www.drendervardar.com/tr/icerik/25/bilinc-ve-bilincalti

22 Ekim 2016 Cumartesi

Kişisel Verilerin Korunması Kanunu’na Uyumluluğunuzu Test Edin

Kişisel Verilerin Korunması Kanunu 24/03/2016 tarihinde TBMM Genel Kurulunda kabul edilerek 07/04/2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi. Kişisel Verilerin Korunması Kanunu’nun amacı kişisel verilerin işlenmesinde (kullanılmasında) hem kişinin haklarını korumak hem de veri sahibinin uyacağı kuralları düzenlemektir. Yeni tasarı ile kişilik haklarının korunması amaçlanmıştır.

Türkiye’de çeşitli kamu ve kuruluşları ile özel kuruluşlarda kişisel verilerin işlenmesi, kişisel veri sahibinin veri üzerindeki haklarını göz ardı etmekteydi. Bu eksikliği düzenlemek amacıyla hazırlanan Kişisel Veri Kanunu veri sahibinin haklarını koruyucu nitelikte düzenlenmiştir. Örneğin, kişisel veri işleyen kurumlar veri sahibinin talebi doğrultusunda hangi bilgileri işlediğini, ne kadar süre ile işlediğini ve amacının ne olduğunu açıklamak zorundadır. Ayrıca veri sahibi, işlenen bu verilerde herhangi bir yanlışlık olması durumunda silinmesini, değiştirilmesini talep edebilecektir. Bu sistemin işleyişini de yine oluşturulacak Kişisel Verilerin Korunması Kurul’u kontrol edecektir. Bu kurul ayrıca olası anlaşmazlıklarda veri kütüğü sahibine çeşitli yaptırımlar uygulayarak veri sahibinin haklarını koruyacaktır.

Peki kurumunuz Kişisel Verilerin Korunması Kanunu’na hazır mı?

Kişisel Verilerin Korunması Kanunu kişisel veri işleyen her kurumu kapsıyor. Siz de kurumunuzda kişisel veri işliyorsanız kanunun yükümlülüklerini yerine getirmek durumundasınız. Yasanın biraz uzun ve detaylı olması konuyla ilgili olarak kurumlardaki yetkililerin ne yapması gerektiği konusunda onları biraz zorlayabilir ve uğraştırabilir. Biz de yeni kanuna uyumlu olup olmadığınızı çok kolay bir biçimde ölçmenizi sağlayacak 50 soru sorudan oluşan (herhangi bir özel bilgi vermeden yapabileceğiniz) bir online test hazırladık:

  • Bu testte yer alan sorular kanun maddeleri göz önünde bulundurularak hazırlanmıştır. 
  • Yeni kanunda yer alan maddelere bağlı kalınarak tamamlayıcı önlemler, süreçler ve kontroller üzerinde durulmuştur.
  • Test sonrasında kanuna uyum yüzdeniz, değerlendirme ve önerilerin yer aldığı ücretsiz bir durum raporu oluşturulacaktır.
Raporun sağlıklı bir şekilde oluşabilmesi için soruları eksiksiz ve kurumunuza özel olarak doldurmanız önem arz etmektedir. Testi yaparken kurum adı vermeden, tamamen anonim bir şekilde yapabilirsiniz.