Günümüzde neredeyse her türden cihazın, internete bağlı olduğu bir dünyada yaşıyoruz ve bu nedenle siber güvenlik konusuna daha çok önem vererek hayatımıza devam etmemiz gerekiyor. Özellikle finansal bilgiler gibi hassas verileri tutan bir şirkete sahipseniz ya da bu tarzda bir şirketin çalışanı iseniz herhangi bir güvenlik ihlali gerçekleştiğinde bunun getireceği sonuçların pek iç açıcı olmayacağını söyleyebiliriz. Bir örnek verecek olursak, Ponemon Enstitüsü’nün 2017 yılı için hazırladığı Veri İhlalleri Maliyeti araştırmasına göre, tek bir veri ihlalinin ortalama toplam maliyeti 3,62 milyon dolar olarak hesaplanmış (1). Bu itibarla, kurumlar için artan güvenlik ihlali maliyetleri ve bir siber saldırı sonrası ortaya çıkabilecek diğer olumsuz sonuçlar, siber güvenlik konusunda daha güvenli ve daha güçlü planlar oluşturmayı da gerektiriyor.  

Öncelikle, IP Tabanlı teknolojilerde fiziksel güvenlik cihazları ve sistemlerinde de güvenlik zafiyetleri olabileceğinin bilincinde olmak gerekiyor. Bu zafiyetler üzerinde birkaç önlem alarak en aza indirebilmek mümkün. Bu önlemlerden ilki tüm cihazların şirket politikasına uyumlu olmasını sağlamak için yazılı bir güvenlik politikası geliştirmek olacaktır. Peki bu politikanın özellikleri nasıl olmalıdır?

Uygun bir Siber Güvenlik politikasını Kişisel Verileri Koruma Kanunu, ISO27001, PCI ve diğerleri gibi endüstri ve devlet düzenlemeleri standartlarına uyumlu olacak şekilde geliştirmek gerekiyor. Öte yandan, fiziksel güvenliğe ilişkin cihazların standart risk yönetimi araçları ve NIST gibi uygulamalar ile paralel olmasını sağlamak da önemli bir adım. Bunlara ek olarak, kurumunuz için bir siber güvenlik stratejisi geliştirirken, aşağıda listelenen beş faktör anahtar bir rol oynayabilir. Bu çerçevede, fiziksel güvenlik ve sahip olunan diğer cihazların güvenliğini bu strateji ile sağlamak mümkün. 

1. Patching (Yama) ve Güncelleme: Siber güvenliğin sürdürülebilir olabilmesi için cihazların yama ve güncellemelerinin zamanında aksatılmadan ve sürekli yapılması gereklidir. Bu güncellemeler bilinen ve ortaya çıkmış bir güvenlik açığının kapanmasına yardımcı olur. Geciktirilen her güncelleme, bilgisayarınızın ya da diğer cihazlarınızın saldırıya açık hale gelmesine sebep olacaktır. Fakat genellikle, bilgisayarınıza bir güncelleme geldiğinde bildiri okunmadan kapatılır ve bilgisayarların güncel tutulması ile alakalı kimin sorumlu olduğu belli değildir. Bu nedenle bir strateji oluştururken, görev ve rol dağılımlarını net bir şekilde belirtmeniz gerekir. Güncellemeler için kuruluşunuzdaki belirli bir departman yahut kişiyi sorumlu tutmanız oluşabilecek atak ve saldırılara karşı sizi koruyacaktır.

2. Güvenlik Açığı Yönetimi: IT departmanınızın büyüklüğüne bağlı olarak, yüz binlerce ya da milyonlarca ağa bağlı cihazların rutin olarak taranması olasıdır. Cihazlarınızın sayısı arttıkça yapmanız gereken taramanın büyüklüğü de artmaktadır.  Örnek verilecek olursa, İngiltere kısa bir süre önce üreticilerin cihazlarını HTTPS üzerinden bağlamasını gerektiren “varsayılan olarak güvenli” mevzuatını çıkardı. Sonuç olarak kullanılan cihazlar genellikle IT taramalarında kırmızı bayrak sembolü ile görünecek şekilde kendinden imzalı sertifikalar ile gönderilir. Bu sorunlardan kaçınmak için bu sertifikaların gerekliliğini ve güvenliğini IT departmanına açıklamak ve bu sertifikalara sahip olmak büyük bir önem taşımaktadır. Diğer bir madde ise üreticilerin OPEN SSL ve Apache Web sunucusu gibi ağ servisleri için sıklıkla diğer üreticilerin kodunu kullanmasıdır. Kurumların ise, bir ürünü satın aldıklarında üreticiye olduğu kadar ürünün satıcılarına da bağlı olduklarını anlamaları gerekir. Sonuç olarak, IT taramaları tarafından tespit edilen güvenlik açıkları derhal rapor edilse de tedarikçiler bir yama geliştirip bunu test etmek için bu sağlayıcılar ile çalışmak zorunda kaldıklarından cihazlar hızlı bir şekilde güncellenemez. Bu, IT departmanının bir yama mevcut olana kadar trafiği sınırlama gibi kısa vadeli azaltmalar yapması gerektiğini gösterir.

3. Ekipman Değişimi: Ekipmanların değişimi konusu cihazların yenilenmesi ve eskiliğinin oluşturabileceği sorunları kapsamaktadır. Bu hususta, geçmişte kullandığımız bir kamerayı örnek göstermek mümkün. Bu kamera özellikle analog model ise 7 ile 10 yıl arası kullanmayı beklemek makul ve kabul edilebilirdi. Öte yandan, bu durum hala kabul edilebilir olsa bile, eski model teknolojik alet açısından artık üretici tarafından desteklenmeyen çok fazla eklenti olduğunu söylemek mümkün. En son gelen siber güvenlik yamaları ya da güncellemelerinden yararlanamayan bu eski teknolojiler artık güncellenemediklerinden dolayı, saldırıya açık olurlar. Bu da büyük bir dezavantaj oluşturmaktadır çünkü sürekli kullanılan teknolojik aletleri değiştirmek maddiyat açısından zorlayıcı olacaktır. Ancak bir kerede tüm sistemleri yenilemek zaman alıcı ve emek gerektiren bir işlemdir. Bu nedenle, eskiyen ekipmana sorununa çözüm olarak tam tesisatlı bir teknolojik yenilenme yerine düzenli ve sürekliliği olacak şekilde her yıl sistemin beşte birlik kısmının yeniden alınmasını planlamak en iyi çözüm olabilir. Bu sayede daha yeni ve daha etkili, ayrıca üretici tarafından yama ve güncellenmesi desteklenen ve verilerinizin korunmasını sağlamak için gerekli olan geçiş de yapılmış olacaktır.

4. Dokümantasyonun Önemi: Birçok üretici, güvenlik uzmanlarının cihazları siber tehditlere karşı güvence altına almalarına yardımcı olmak için yönlendirici bir kılavuz hazırlamaktadır. Bu oluşturulan kılavuzlar sürekli gelişmekte olan tehdit ortamıyla başa çıkabilmeniz için temel bir yapılandırma sağlar. Bu kılavuzu oluşturduktan sonra yapılması gereken, oluşturmuş olduğunuz kılavuzun bir siber güvenlik politikası ile eşleştirilmesidir. Bu nedenle sağlam ve yazılı bir siber güvenlik politikası, fiziksel güvenlik ekipmanı ve sistemleri kuruluşunuzun ihtiyaç duyduğu koruma düzeyini sağlamak için gerekli bir şarttır.

5. Tedarik Zinciri Güvenliği: Siber güvenlik penceresinden bakıldığında, ürünlerin tam olarak nereden geldiğini ve satıcıların cihazlarını nasıl güvende tuttuklarını bilmek önemlidir. Çünkü, oluşacak en ufak bir güvenlik açığı sizi de etkileyecektir. Siber güvenlik risk ve tehditlerine karşı, birçok cihaz üreticisi bilinçlenerek tedarik zincirinin bir saldırı yöntemi olarak kullanılamayacağından emin olabilmek için adımlar attı. Bunlar arasında Güvenilir Platform Modülü, imzalı ürün yazılımı ve güvenli önyükleme adımları olmak üzere, tercihen ise üç özelliğin de kullanılabileceği bir kombinasyon yaratıldı.

Sonuç olarak, yukarda listelenen bu beş faktör, bilgisayar korsanlarının ve diğer siber saldırganların fiziksel güvenlik cihazlarını genel ağlara ve sistemlere giriş noktası olarak kullanamayacaklarından emin olmak için güçlü bir çözüm önerisi sunmaktadır. Bu nedenle bir siber güvenlik stratejisi geliştirilirken yazılı bir politika ile beraber bu temel hususlar, ağa bağlı cihazların sayısı ve türleri de göz önüne alındığında bütüncül bir siber güvenlik politikası hazırlanmasında çok önemli bir rol oynamaktadır. Öte yandan, korumak istediğiniz verileri, verilerin sizin için önemini ve bu verileri korumadığınız taktirde alacağınız hasar ve zararı hesaplayarak önlemlerinizi almaya başlayabilirsiniz.

Kaynak: Security Magazine, Link

1)      Sfax Secure Fax, “The average cost of a Data Breach in 2017 is $3.62 million”, Erişim: https://www.scrypt.com/blog/average-cost-data-breach-2017-3-62-million/