Siber güvenlik stratejileri yaratmak, dijital çağımızın en önemli gereksinimleri arasındadır. Şu anda neredeyse her türden cihazın, internete bağlı olduğu bir dünyada yaşıyoruz. Bu nedenle siber güvenlik konusuna daha çok önem vererek hayatımıza devam etmemiz gerekiyor. Eğer finansal bilgiler gibi hassas verileri içeren bir şirketin sahibi ya da çalışanıysanız, güvenlik ihlali durumunda sonuçların pek iç açıcı olmayacağını söyleyebiliriz. Örneğin, Ponemon Enstitüsü’nün 2017 Veri İhlalleri Maliyeti araştırmasına göre, tek bir veri ihlalinin ortalama maliyeti 3,62 milyon dolar olarak hesaplanmıştır (1). Bu nedenle, güvenlik ihlali maliyetlerindeki artışlar ve siber saldırıların olumsuz etkileri göz önüne alındığında, kurumlar daha sağlam siber güvenlik planları oluşturmalıdır.
Siber Güvenlik Stratejileri ve Politikaları
Öncelikle, IP Tabanlı teknolojilerde fiziksel güvenlik cihazlarında da güvenlik zafiyetleri olabileceğinin bilincinde olmak gerekir. Bu zafiyetler üzerinde birkaç önlem alarak en aza indirebilmek mümkün. Bu önlemlerden ilki tüm cihazların şirket politikasına uyumlu olmasını sağlamaktır. Bunun için yazılı bir güvenlik politikası geliştirmek gerekir.
Peki bu politikanın özellikleri nasıl olmalıdır?
Siber Güvenlik politikaları Kişisel Verileri Koruma Kanunu, ISO27001 ve PCI ile uyumlu olmalıdır. Ayrıca diğer endüstri ve devlet düzenlemelerince de desteklenmelidir. Fiziksel güvenlik cihazlarının standart risk yönetimi araçları ve NIST gibi uygulamalarla uyumlu olması önemlidir. Kurumunuz için bir siber güvenlik stratejisi oluştururken, aşağıda listelenen beş faktör önemlidir. Bu çerçevede, fiziksel güvenlik ve sahip olunan diğer cihazların güvenliğini bu strateji ile sağlamak mümkün.
Patching (Yama) ve Güncelleme
Siber güvenliğin sürdürülebilir olabilmesi için cihazların yama ve güncellemelerinin zamanında aksatılmadan ve sürekli yapılması gereklidir. Bu güncellemeler bilinen ve ortaya çıkmış bir güvenlik açığının kapanmasına yardımcı olur. Geciktirilen her güncelleme, bilgisayarınızın ya da diğer cihazlarınızın saldırıya açık hale gelmesine sebep olacaktır. Fakat genellikle, bilgisayarınıza bir güncelleme geldiğinde bildiri okunmadan kapatılır ve bilgisayarların güncel tutulması ile alakalı kimin sorumlu olduğu belli değildir. Bu nedenle bir strateji oluştururken, görev ve rol dağılımlarını net bir şekilde belirtmeniz gerekir. Güncellemeler için kuruluşunuzdaki belirli bir departman yahut kişiyi sorumlu tutmanız oluşabilecek atak ve saldırılara karşı sizi koruyacaktır.
Güvenlik Açığı Yönetimi
IT departmanınızın büyüklüğüne bağlı olarak, yüz binlerce ya da milyonlarca ağa bağlı cihazların rutin olarak taranması olasıdır. Cihazlarınızın sayısı arttıkça yapmanız gereken taramanın büyüklüğü de artmaktadır. Örnek verilecek olursa, İngiltere kısa bir süre önce üreticilerin cihazlarını HTTPS üzerinden bağlamasını gerektiren “varsayılan olarak güvenli” mevzuatını çıkardı. Kullanılan cihazlar genellikle kendi kendine imzalanan sertifikalarla IT taramalarında kırmızı bayrak gösterebilir. Bu sorunları önlemek adına, sertifikaların gerekliliği ve güvenliği IT departmanına anlatılmalıdır. Söz konusu bu sertifikalara sahip olmak önemlidir. Ayrıca üreticilerin sıkça diğer üreticilerin kodunu, örneğin OPEN SSL ve Apache Web sunucusu gibi ağ servislerinde kullanmaları bir diğer meseledir.
Kurumlar, bir ürünü satın aldıklarında üreticinin yanı sıra ürün satıcılarına da bağlı olduklarını anlamalıdır. IT taramaları tarafından tespit edilen güvenlik açıkları hemen rapor edilmelidir. Ancak bazen tedarikçiler yamayı geliştirip test etmek için sağlayıcılarla çalışmak zorunda olduklarından cihazlar hızla güncellenemez. Bu durum, IT departmanının bir yama mevcut olana kadar kısa vadeli önlemler alması gerektiğini gösterir. Bu noktada başvurulabilecek önlemlerden biri trafiği sınırlama olabilir.
Ekipman Değişimi
Ekipman değişimi, cihazların yenilenmesini ve eskimesinin potansiyel sorunlarını içerir. Örneğin, analog bir kameranın 7 ila 10 yıl kullanılması önceki normlara uygun bir beklentiydi. Ancak, bu eski teknoloji şu anda üretici tarafından desteklenmeyen bir dizi eklenti içermektedir. Güncel siber güvenlik yamalarından ve güncellemelerinden yoksun kalan eski teknoloji, saldırıya açık hale gelir. Bu durum, sürekli kullanılan teknolojik aletleri değiştirmenin maliyet açısından zorlu olabileceği bir dezavantaj yaratır. Ancak tüm sistemleri bir kerede yenilemek, zaman alıcı ve emek gerektiren bir süreçtir. Dolayısıyla, eski ekipman sorununa çözüm olarak, her yıl sistemin beşte birlik kısmını düzenli ve sürekli yenilenmesi gerekir. Daha yeni, etkili ve güncel teknolojiye geçiş sağlamak, verilerinizi korumanın en iyi yoludur.
Dokümantasyonun Önemi
Birçok üretici, güvenlik uzmanlarının cihazları siber tehditlere karşı güvence altına almalarına yardımcı olmak için yönlendirici bir kılavuz hazırlamaktadır. Bu oluşturulan kılavuzlar sürekli gelişmekte olan tehdit ortamıyla başa çıkabilmeniz için temel bir yapılandırma sağlar. Bu kılavuzu oluşturduktan sonra yapılması gereken, oluşturmuş olduğunuz kılavuzun bir siber güvenlik politikası ile eşleştirilmesidir. Bu nedenle sağlam ve yazılı bir siber güvenlik politikası, fiziksel güvenlik ekipmanı ve sistemleri kuruluşunuzun ihtiyaç duyduğu koruma düzeyini sağlamak için gerekli bir şarttır.
Tedarik Zinciri Güvenliği
Siber güvenlik açısından, ürünlerin kaynağını ve satıcıların güvenlik önlemlerini bilmek gerekir. Zira küçük bir güvenlik açığı bile büyük bir risk haline gelebilir. Cihaz üreticileri, tedarik zincirini saldırıya karşı güvende tutmak adına yöntemler geliştirmiştir. Bunlardan biri olan Güvenilir Platform Modülü, imzalı ürün yazılımı ve güvenli önyükleme gibi adımlara sahiptir. Bu özelliklerin bir kombinasyonu tercih ederek güçlü bir güvenlik sağlamak mümkündür.
Bu beş faktör, fiziksel güvenlik cihazlarını giriş noktası olarak kullanılmasını engelleyen etkili bir çözüm olacaktır. Bu nedenle, bir siber güvenlik stratejisi geliştirilirken bu temel unsurların, ağa bağlı cihaz sayısı önemlidir. Ayrıca türleri dikkate alınarak bütünlük içinde bir politika oluşturulması kritiktir. Korumak istediğiniz verileri ve bu verilerin önemini belirleyerek, olası hasarı hesaplayarak önleyici önlemleri planlamaya başlayabilirsiniz.
Kaynak: Security Magazine, Link
1) Sfax Secure Fax, “The average cost of a Data Breach in 2017 is $3.62 million”, Erişim: https://www.scrypt.com/blog/average-cost-data-breach-2017-3-62-million/