Google çatladı, bakanlık rapor istedi "hesap ver" dedi, hesap "kabarık" geldi.

Google çatladı, bakanlık rapor istedi

Google çatladı, bakanlık rapor istedi "hesap ver" dedi, hesap "kabarık" geldi.

Dünyada ve özellikle ülkemizde her geçen gün bir olay, bir atraksiyon yaşanıyor. Artık bu rutinleşmeye başladı. Bir yanda kaos olaylar, konkordatolar, toplumu "tahrik" çalışmaları, bir yandan startup'ların büyümeye çalışma mücadelesi, enflasyon, kayyumlar. Derken asıl bomba hazreti Google'dan geldi." Doğu Avrupa ve Amerika'da okyanus aşırı kesintiler" ortaya çıktı sabah sabah. 2 saat kesinti oldu ortalık darma duman oldu. Gelen ilk aramalar şunlar oldu benim tarafta: "Youtube açılmıyor" & "Spotify'da müzik dinleyemiyorum" & "Gmaillerime erişemiyorum" ve en bombası "İnternete giremiyorum" başlıkları oldu. Gelelim mevzunun derinlerine.

Elbette herkes araştırmaları doğrultusunda ve yapılan açıklamalara istinaden pek çok yorumlar, eleştiriler yapıldı. Pek çoğu da doğru olduğunu düşünüyorum, buna itiraz yok. Ben farklı bir perspektiften bakmak istiyorum konuya. Özellikle "kurumsal" taraftan. Niye bireysel değil, cevabı çok basit. Çünkü bireyselde alternatife geçiş oldukça kolay ve hızlı, bireysel kullanıcılar daha BİLİNÇLİ, daha PROAKTİF ve tabiri caiz ise bireyselin donuna kadar herşeyi dışarda zaten. Yani hepimizin ne yediği, ne içtiği, nasıl bir hayatımız var Meta, Google, Amazon, Microsoft vs. vs. alayında verilerimiz zaten mevcut. Ama bu kesintide en çok carlayan taraf gördüğüm kadarıyla kurumsal taraf oldu. Çünkü baktığımızda internet çıkışlarının "google" tarafından olduğunu zanneden Bilgi Teknolojileri iş ortakları mı ifşa oldu desem, kamu tarafının "gmail, spotify, youtube" kullanım analizleri mi afişte oldu desem, hala maillerini kurumsal mail olarak kullanmayıp "gmail" olarak kullanan firmalar mı ortaya çıktı desem bir sürü malzeme çıktı. Enteresan tarafı da, Cloud olarak "yerli" firmaları beğenmeyen şirketlerin, global Google kullanımı ile yaşadıkları "gecikme"'lerden dolayı ortalığı kasıp kavurmaları ve Google'a kafa atmaya çalışmaları da ayrıca bir "KABARIK" oldu diyebilirim. Şimdi biraz yaşadığım tecrübelerden mütevellit kendi gözlük çerçevelerimden şirketlerin bu kesintide neden "Sınıfta kaldığını" açıklamaya çalışayım.

 

  • Temel Teknoloji ve Siber Güvenlik Farkındalığı

 

Evet burada ilk başta dikkat etmemiz gereken nokta, pek çok firma global teknoloji firmalarının altyapılarını öyle ya da böyle (beleş yada mangırlı) şekilde kullanıyoruz. Öncelikle şirket patronlarından başlayarak Temel teknolojide "internet nedir, nasıl çalışır" ardından "Siber Güvenlik Temel Farkındalık Eğitimi" hem patronlara hem tüm şirket çalışanlarına uygulanması gerekiyor. Neden biliyor musunuz, çünkü kriz anında ortalığı yana yakılıp arayıp etrafı tenkit etmek yerine, yapılması gerekenleri soğuk kanlı bir şekilde ve sakinlikle optimize etmek için harekete geçilirse, neredeyse hiç kesinti yaşamadan şirketler faaliyetlerine devam edebilirler. Çünkü kesintilerin yaşanmasının en temel sebebi, çalışanların dahil anlık kesintilerde ne yapacaklarını bilmeden oturdukları yerden çözüm beklemeleri oluyor. ( bu arada öğrenmenin yaşı yoktur, patronlar bilmişlik taslamasına gerek yok ayıp değil sonuçta bilmemek değil öğrenmemek ayıp :) )

 

  • Kesintilere karşı tedbir: Yerli ve Milli Bulut Yedekleme ve Yedekli Altyapı

 

Az önce söyledim, kesintileri yaşatan aslında "kullanım alışkanlıkları" ya da "anti-kurumsal" uygulamaların çok fazla kullanılmasından dolayı ortaya çıktığı apaçık ortada. Çünkü bakanlığımızın Google'dan "Teknik rapor" talep etmesinin ne kadar ilginç olmasını bir kenara bırakalım (Google - Sanane sen kimsin dese çıt çıkmayacak) bu yaşanan kesintilerde bakanlığın teknik rapor istemesi de kendi içlerinde de maalesef bireysel kullanımın çok yoğun olduğunu aslında kapının altındaki gölgeden belli ediyor. Çünkü özellikle böyle durumlarda "yedekli yapı" yani mevcut yapının başka bir klonunun farklı bir yerde hazır halde beklemesi oldukça önem arz ediyor. Şöyle düşünelim bu konuyu biraz irdelemem gerekiyor çünkü biraz anlaşılması gerektiğini düşünüyorum: " Bir kurum yada şirket düşünelim. Mevcut şirket içi yapısı yerine global bulut hizmetlerini kullanıyor ve yerli bulut hizmetlerini beğenmediğini düşünelim. Bu kesintide yedekli olarak muhasebe ya da ERP sistemlerine erişemediğini ve işlem yapamadığını düşünelim. Sizce ne kadar işlem hacmi yada ekonomik kayıp yaşar? Bunun cevabı aslında daha önce yaşanan bir basit örnekle ortaya koyalım. Geçtiğimiz aylar içerisinde Instagram hesabına erişim engeli getiren malum kuruluşlarda küçük esnaf ve KOBİ tarafındaki kurumsal E-ticaret satışlarında ne kadar zarar olduğunu verilerle ortaya konuldu öyle değil mi? ( O veriler bana göre daha büyük ama yorum yapmayacağım) bunun aslında benzerini düşündüğümüzde, global cloud hizmetlerinden faydalanan şirketlerin bu kısa süreli kesintide, eğer yerli bir bulut hizmeti veren şirketlerde yedekli yapılarda faaliyetleri olsa idi, o kesintileri muhtemelen en fazla 15 dakika yaşayacaklardı diye düşünüyorum. Çünkü günümüz teknolojileri "Replikasyon - Replication" olarak bahsettiğimiz yapıları kullanmamıza imkan tanıyor ve bu replikasyonlar yani halk dili ile klonlama, mevcuttaki kullanılan altyapının kesinti yaşaması halinde, direk mevcut yapının yerine geçerek sistemin kesintiye uğramadan çalışmaya devam etmesini sağlıyor. Bu yapıyı da yapabileceğiniz en ideal yöntemlerden biri, ya kendi iç yapınızda bir replikasyon (on-premise) yapısı kurmanız ya da yerli bir veri merkezi tarafından replikasyon çalışması yapmanız gerekiyor.

 

  • E-Posta Güvenliği ve Kurumsal E-Posta Altyapısı

 

Geçtiğimiz yıllarda da yine benzer sorunlar karşılaşılmış olsa da hala bizim toplumumuz bu konularda ısrarla kurumsallığı benimseyemiyor. En basit güvenlik önlemlerinden birisi "Kurumsal E-Posta kullanımı" olsa da, hala şirketlerde özellikle bakanlık bireysel dış yazışmalarda ve küçük esnaflarda hala daha Gmail, Hotmail gibi mail kullanımları mevcut. Sadece bakanlıklar yada küçük esnaflarda değil, Influencerlarda, Dijital Medya Ajanslarında, Bilgi Teknolojileri alanında hizmet veren şirketlerde, STK'larda çok ciddi anlamda hala Kurumsal E-Posta altyapısı ve E-Posta güvenliği hiçe sayılıyor. Bunları yapsanız da riskiniz sıfıra mı iner, tabiki hayır! Burada da şirketlerini kurumsal E-Postaya taşıyıp, bunun gerek yedeklemesini yapmayan, gerek mail kullanımı yönünde farkındalık eğitimlerini vermeyen şirketler de yine gol yemeye devam edecek. Ama en azından bir yerden başlanması gerekiyor hem de en acilinden.

Şimdi diyeceksiniz ki kesinti yaşamamak adına Global markaları kullanıyoruz. Evet çok doğru bende yıllardır global markaların bulut hizmetlerini kullanıyorum ve kullandırıyorum. Burada fark edilmesi gereken konulardan biri; global firmalarda da yerli firmalarda da elbette zaafiyet, bakım kesintileri, güncelleme aksaklıkları illa ki olacak. Ama bu kesintileri kendinize karşı önlem almayıp "kardeşim o kadar para veriyoruz, ne demek kesinti oluyor?" diyecek kadar saftirikseniz, o zaman aynanın karşısına geçip kendinize şunu sormanız gerekiyor: "Yaptığım ticari faaliyette ben gerçekten kusursuz hizmet mi veriyorum?" Bu soruyu En büyük Holdinglerin Yönetim Kurullarındaki kişiler de sorgulamalı, en küçük esnafımız da sorgulamalı, buralarda hiçbir zaman bir dijitalleşme sürecine dahil olmamış Influencer'da bunu kendine sorgulamalı. "Ne kadar ekmek, o kadar köfte" Hiçbir kurum, hiçbir şirket ya da herhangi birimiz dört dörtlük değiliz ancak yapabileceğimiz şeyler olduğu müddetçe bunu en doğru şekilde değerlendirmemiz gerekiyor.

 

  • Güvenlik Önlemleri: Firewall Yapılandırmaları, Hotspot ve Loglama ve Pentest

 

Bugün yaşanan herşeyi kenara bırakalım. Google kesintileri, Microsoft sistemleri durması, bakanlıkları çoğunun sevap kazanması adına çoğunun Global Cloud kullanmalarını bir kenara koyalım. En kritik konularımızdan biri; şirketlerde kullanılan uygulamaların kontrol altına alınması, güvenlik duvarında güvenlik prosedürlerinin yeterince olmaması hatta pek çok şirkette formaliteden koyulmuş "Firewallcuk" routerlar mevcut. Bunlarla birlikte şirketler çalışanlarının faaliyetlerinin loglarını almıyor, misafirlerini internete çıkarttığında Hotspot erişimi güvenlik kontrolü sağlamıyor. Şimdi diyeceksiniz ki ne alaka? Tabi kesker alaka :)) Tabiki kesker alaka değil, dünya genelinde resmi raporları incelersek risk ve tehditlerin büyük bir kısmının şirketlerin içindeki çalışanların ve güvenlik zaafiyetlerinden geldiğini rahatlıkla görebiliriz. Aslında baktığımızda hacker'lara çok fazla iş düşmüyor yakalamak istediklerini çok rahatlıkla yakalayabiliyorlar. Çünkü şirketlerde ilk baştaki sıkıntı, gerçekten doğru kullanabilecekleri bir Firewall almamakla başlıyorlar. Her zaman herkesin bir tanıdığı var ve o tanıdık herşeyi biliyor. Adam elektrikçi firewall kurmaya gidiyor, bilgisayar format atabilen adam Pentest diyor vesaire. Şirketler öncelikle gerçekten işini iyi yapan iş ortaklarını belirlemeleri gerekiyor. Burada Firewall yapılandırmalarından iyi anlayan firmalar olması gerekiyor.

Diğer yandan şirketler yaşayabilecekleri olumsuzluklara karşı delil ve ispat niteliği taşıyabilecek "Loglama ve Hotspot" teknolojilerini doğru kullanmıyor hatta hala daha çoğu şirkette kullanılmıyor bile. Şirketlerde yaşanabilecek olumsuzlukları yakalayabileceğiniz en basit yöntem "Loglama" teknolojileri. Ardından eğer firmalar misafirlerine ya da çalışanlarına Wi-Fi üzerinden kullanım hakkı veriyorsa bunların da tespit edilebilmesi, tabiri caiz ise afişte edilebilmesi için "Hotspot" teknolojileri kullanılması gerekiyor.

Ülkemizdeki belki de en düşük seviyedeki bilinç olan "Pentest" hizmetlerinin neredeyse çok az bir kurum tarafından gerçekleştiriliyor olması da ayrı bir parantez açmak gerekiyor. Neden mi? Çünkü Pentest hizmetleri; şirketlerin güvenlik açıklarını gerek uygulamalar kullanarak, gerek etik hackerlar tarafından analiz ve zorlama etkileri ile tespit edip bunları şirket yetkililerine raporlamasını kapsamaktadır. Bu hizmet oldukça basit kapsamdan çok geniş kapsamlara kadar çıkabilmektedir. Ama ülkemiz genelinde Pentest bilinci oldukça alt seviyelerde olduğu çok açık. En basiti Üniversitelerin çoğunda umrunda olmayan bir durum, kamu kurumlarını hiç saymıyorum, kurumsal olarak görünen holdingler, Turizm ve otelcilik sektörü, Sağlık sektörü (facia durumda), Bilgi Teknolojileri alanındaki distribütörlere kadar çok geniş bir yelpaze bunların bilincinde değil maalesef. Bu Pentest çalışmalarını periyodik olarak yaptıran firmalar sadece yaptırmakla kalmamalı, verilen rapordaki açıklara karşı yatırım yapması da gerekiyor.

Aslında daha birkaç madde daha ekleyebiliriz buraya ama Part 1'miş gibi park edelim buraya. Son sözler olarak demek istediğim; ülkemizde herkes "ben yapıyorum, işte bizde zaten yaptık" diyerek ilerleyen kurum ve kuruluşlar varken, teknoloji distribütörlüğü ya da çözüm ortaklığı yaptığını zanneden kuruluşlar hala daha kendi "Güvenlik" altyapısını koymadığı müddetçe ülke olarak faturamız o kadar "Kabarık" bilinç felsefemiz ise o kadar içi "Balon" olarak kalmaya devam edecektir.

Bunları neden mi paylaştım? Sebep basit; doğru çözüm isterseniz TrendTech Bilişim Teknolojileri San.Tic.Ltd.Şti. bir adım yakınınızda :)))

Bol güvenli ve heyecanlı kalmanız ümidi ile. Hakkımda daha fazla detaya ulaşmak isterseniz www.burakakmese.com web sitem üzerinden ulaşabilirsiniz.

Sevgi ve hürmetlerle.

google youtube spotify trendtech hizmetkesintisi kesinti hizmet bilinçli proaktif kabarık bakanlık kamu devlet kayyum cloud mailgüvenliği eposta email security guvenlik epostaguvenligi bulutyedekleme yedekleme backup altyapı kurumsal antikurumsal pentest loglama hotspot firewall
ÖNCEKİ
SONRAKİ

Lütfen Site Dili Seçiniz

Türkçe English