Siber Güvenlik Neden Elle Tutulamıyor ?
Merhaba arkadaşlar. Bu başlığı atarken açıkçası çok güldüm ve bu yüzden başlığı yazmak istedim. Aslında bilen bilir, bilişim sektöründe ciddi anlamda agresif bir girişimciyim ve aptal patronları ya da kendini bir halt zanneden vasıfsız kategorideki bilgi işlem müdürlerini yakaladığımda bilgim doğrultusunda sözlerimle gerekli şekilde dövmekten çekinmem (İşin vizyoner patronları, yöneticileri ve deneyimli bilgi işlem müdürlerine saygımız sonsuz). Bugünkü aslında değineceğim konu da tam da bunun üzerine yani önümüzdeki 25-35 yıl arasındaki dönemi ele geçirecek olan sektör: Siber Güvenlik.
Siber Güvenliği kalkıp baştan anlatmayacağım kimse kusura bakmasın. Tonlarca kıdemli, uzman, doktora, gurme arkadaşlarımız trilyonlarca kelime ile anlattılar zaten internet denen zımbırtıyı azıcık kullanıp tüm detayları üstadlarımızdan öğrenebilirsiniz. Neden bu başlığı attığımı söyleyeyim. Söyleyeyim ki, ülkemizde teknolojiden anlayan şirket sahiplerinin sadece Türkiye genelinin %4’ü civarında olduğunu anlayabilmeniz için. Bu oran teknoloji şirketlerini içermemektedir.
İki hikaye anlatacağım. Birinci hikaye; ziyaret gitmiş olduğum bir firma, iştirak bir kuruluşunun genel müdürü sisteme erişemediği için bilgi işlemi patrona şikayet edip RDP (Uzak masaüstü erişimi) sağlaması ile yaklaşık 3 saniye içerisinde verileri ele geçiriliyor. Ben görüşmeye gittiğimde patronun Bilgi işleme olan açıklamalı yazısı aynen şu idi: “Madem bu veriler çalınacaktı neden Firewalları aldık, firewallar ne işe yarıyor, bu cihazlar elle tutulabiliyor, bunu niye elle tutamıyoruz?” sorusu vardı.
İkincisi ise; şirketimi açmadan önce eski çalıştığım firmanın patronu ( Bilişim sektörü iş ortağı yani deneyimli bir firma), o kadar bilgi güvenliği hakkında anlatmamıza rağmen Türk Telekom’dan gelen faturayı yanlışlıkla açmasından dolayı bilgisayarına hack yemiş. Bu hack 2015 yılında gerçekleşiyor ve zararlı kripto hack versiyon 1 olarak geçiyordu (yanlış hatırlıyor olabilirim adını kusura bakmayın) Allahtan ayrılmadan önce ve bu olay yaşanmadan önce Cloud platforma sunucularını geçirmeye zorlamıştık. Ama güzel tarafı şu: patron beni arıyor odasından, diyor ki” Yanıma gel”, gidiyorum yanına söylediği şey; benim bilgisayarıma birşeyler oldu ve dökümanları açamıyorum.” bende cevap olarak ” Hacklenmişsiniz yapabileceğimiz birşey yok” dedim. Bunu derkende şirketin içinde deneyimli 3 adet teknik personel var ama patron ne dese beğenirsiniz: “Microsoftçu adamsın bunu çözeceksin” demesiydi. Teknoloji satan iş ortağının sahibinin ne kadar bu işlerden anlamadığını ama parası olduğunu sanırım anlamışsınızdır.
Siber güvenlikte dolayısı ile bu şekilde maalesef yavaş ilerliyor. Çünkü gerek firma yetkilileri, gerek teknolojik iş ortakları Siber güvenlik dünyasını %2’sini bile bilmiyor. Neden %2 derseniz: Çünkü %1’ini “Siber Güvenlik” ismini duydukları için.
Şimdi şöyle bir gerçek var: Verileriniz güvenliği hiçbir zaman %100 değildir arkadaşlar, hala bunu savunan aptal iş ortakları, kamu&özel sektör bağımsız mankafa yöneticiler ve direktörler var mı var Çünkü pek çok verinin çalınması, hatta siber güvenlik şirketlerinin verilerinin kaçırılması haberleri doğrulandı ve haber kanıtları da sosyal medyada pek çok yerde var. Bu kadar büyük kurumlar bile hackleniyor ise neden bizim verilerimiz de hacklenmesin? Buna bir yanıt veren başka bir güzel kafanın cevabını da vereyim size gülelim:). Olay şöyle gelişti, bir müşteride siber güvenlik ve KVKK (Kişisel Verilerin Korunması Kanunu) hakkında süreci anlatmak için toplantıya gittim. Bu toplantıda siber güvenlik sürecini anlatırken, firmanın yaklaşık 45 tane iştirak firması var ve hemen hemen her sektörden iştirak şirketleri söz konusu. Bu şirketlerin bazılarında aile DNA örneklerine kadar aldıklarını bile söylediler, bende çok basit şu soruyu sordum: Peki bu verileri nasıl korumayı planlıyorsunuz yada ne gibi önlemler alıyorsunuz” dedim. Cevabı şu oldu: “Gerekli Firewall, antivirüs ve DLP önlemlerimiz var gerisini Allah korur.” bu cevabı verdi. Yorum yapmadan toplantıyı bitirdim ve çıktım. Düşünün ki hala bu tarafta düşünen kişiler de ülkemizde söz konusu.
Elbette bu düşüncemi eleştirenler olacaktır maalesef diğer konularda olduğu gibi bu konuda saygı duyamayacağım. Çünkü Dini düşünceler ile teknolojik varyasyonları örtüştürebilecek bir yapay zeka bile henüz oluşturulamadı Şimdi bazı arkadaşlar şunu diyebilir: “Madem %100 güvenlik yok ne diye yatırım yapmamız gerekiyor?” cevabı yine çok basit: 1) Çalışanlarınıza ekstra tazminat ödememek ve ilgili kurumlardan yüklü para cezası ödememek için:) 2) İtibarınızı yerlere süründürmemek için.
Madde zaten herkesin bildiği ve genellikle akıllı personellerin nakit parayı çevirebilmek için kullanmaya başladıkları madde. Bazı zamanlarda karşılaştığım konu ise: “ben bu teknolojik yatırımlara bu kurlarda ödeyene kadar ceza geldiğinde öderim sonra aftan yararlanırım” kafasında olan patronlarda mevcut. Özellikle tekstil ve otel işletmecileri bu güzel kafaları yaşıyorlar. Ama Marriot Otellerdeki yaşanan kaosun ağır faturasını gördükten sonra oteller biraz daha akıllandı diyebilirim. Her zaman Bilişim Dünyasında söylerim: “Money Talks” madde de yine Marriot otelden örnek vermek gerekirse, yaklaşık 1.5 yıl gibi bir zaman diliminde 2 kere ceza yemesi ile müşteri kaybı yaklaşık olarak %70 lere kadar çıktı. yani neredeyse büyük müşteri kaybı söz konusu oldu. Bu ne demek, altyapısı yok mu elbette vardı ama yetersizdi, ilk ceza zaten globaldeki zaafından ceza Türkiye’ye intikal etti. İkincisi de Türkiye’de zaafiyeti devam ettiği için yedi.
Bunların içerisine sizde biliyorsunuz Fireye Hacklenmesi Sonicwall zaafiyeti ortaya çıkması, Microsoft RDP ve Exchange açıkları ve YSK verilerinin çalınması gibi örnekleri saymıyorum bile. Çünkü özellikle YSK verileri “çalınmadı” bana göre “rıza” ile elden teslim edildi bu kadar güvenliğe yatırım yapmayan özellikle böyle bir kurumun “etik hacker” ekibi bile olmamasının açıklaması “rıza” ile teslim edildi olarak söyleyebilirim çünkü çok bariz gitti veriler.
Her zaman söylüyorum, bir gün şu projelerimden birkaçına gerçek vizyoner bir yada birkaç yatırımcı bulup üzerimdeki klasik borç yükünden kurtulup huzura kavuşursam, mutlaka yaşadığım tüm anılarımı kitaba belki de birden çok kitaba dökeceğim gençlere örnek olsun diye Çünkü kitap yazan bir arkadaşım ile sohbet ettiğimde sadece başlıklar halinde yaşadıklarımı paylaştığımda bana ” en az 2 kitaplık hikaye çıkar” demişti ben onun yalancısıyım.
Gelelim tekrar Siber güvenlik konusuna. Bu konu ile ilgili de geçtiğimiz günlerde Sophos tarafındaki Kıdemli Teknik Mühendis dostum sevgili Umut Özek ile “Dertleşiyoruz” adlı programımızda yapmış olduğumuz söyleşide, Siber Güvenliğin neden önemli olduğu çok güzel örneklerle anlatıyor. Aslında Siber Güvenlik tüm firmalar için güvenlik görevlisi kadar “Zorunlu” olduğu. Çünkü veriler artık şirketlerin aslında insan bedeni olarak düşünürsek bedenlerinde dolaşan kan olarak örnekleyebiliriz. Bu kan dışarıya klonlanır yada direk aktarılırsa, ya o bedenden birden çok ortaya çıkarılabilir yada beden erimeye yada yok edilmeye bırakılabilir.
Şimdi şöyle bir gerçek var. Türkiye’de evet Siber Güvenlik kısmı hala daha geçmiş yıllardaki “Antivirüs” gereksinimleri kadar boş geliyor herkese. Şu anda Antivirüs yaklaşık %90 firmada olması gereken olarak nasıl kabul gördü ise Siber Güvenlikte zamanla bu zorunluluğu kabul ettirecek. Türkiye’de eksiklik olduğu kadar dünya ülkelerinde de eksiklikler var mı? Kesinlikle ciddi anlamda var. Bunun önüne öncü ülkeler olarak sınıflandıramayız çünkü herkes takip ediliyor. Kimde yoğun para var ise ona daha çok saldırmak için pusuya yatıyorlar. Az önce verdiğim örnekte: RDP erişimi açıldığı gibi 3 saniyede sistemine erişip verileri şifrelemeye başladı hacker yani takip ediliyorsunuz gençler, dinazorlar size söylüyorum yurtdışında da zaafiyetler var ama Allah koruyacak kadar zaafiyet yok onu söyleyeyim.
Siber güvenlikte zirilyon tane bilgilendirmeler var. Kimisi yok SIEM şöyle olmalı yok rakip SIEM’ler böyle biz böyleyiz, yok DLP’de şu olmazsa olmaz cart curt. Kimisi dün KVKK öğrenmiş şimdi eğitmenim diyor ama kendi şirketindeki veri güvenliği politikalarını yazacak kadar kapasiteye bile sahip değil ama eğitmenim diyor Avukatları hiç saymıyorum. Çünkü bu işin asıl uzmanı olan Bilişim Hukuku mezunları değerli üstadlarımız, değerli kişiler varken, sokak arasında kafasına göre takılan “Avukat” bozmaları da 2 günde ” Bilişim Hukukçusu” kesilmeye başladı KVKK’dan beri. Sadece şunu söylüyorum arkadaşlar, gençler, patronlar ve dinazor kafalılar bilişim sektörü fasafiso adamları.
Siber güvenliğe yatırım yapacaksanız önce doğru kaynakları okuyun yada bilgi alın. Ahbap, eş dost safsaklığından değil, gerçekten Siber güvenlik alanında uzman kişi ya da şirketlerden danışmanlık alın ( yalandan boş referans yazan aptal bilişimcilerden bahsetmiyorum tabi herkes biliyor kimler olduğunu) Bilişim Hukukçularından danışmanlık desteği alın Gençleri istihdam edin ve şirketinize katkı sağlaması için eğitimler aldırın ve yolunu açın. Yaptığınız hatalarınızı görün, kabul edin ve düzeltmek için elinizi taşın altına koyun, çalışanlarınıza tüm şirketin ihalesini yönlendirmeye ve kaçmaya çalışmayın.
Bu görsel ve açıklamalar biraz eski olsa da, yatırım yapmamaya çalışan kişilere,bazı şeylerin ne kadar önemli olduğunu anlatmaya çalışır diye umuyorum. Son olarak söyleyeceğim yine gençlere; çünkü bizim devrimiz artık yavaş yavaş kapanıyor onların devri başlıyor ve hep söylüyorum: ben hep örselendim ve beni rakip gören büyüklerim karşısında kimse bana el uzatmadı. Kendi öz abim bile Ben ve benim gibi pek çok bilgi birikimi olan insan sizlere yardımcı olmak için bekliyoruz gençler. Çok bildiğini zanneden dinazorlara gitmenize gerek yok kendi ceplerini doldurmak için sizi kullanmayı bekliyorlar (Bilişim Dünyasındakiler için söylüyorum) Siber güvenlik önemli bir dünya buraya niyeti olan herkes dahil olsun. Linux, windows, o bu şu farketmez girin gençler sizlere bundan sonra çok daha fazla ihtiyacımız var. Ayrı ayrı değil birlikte hareket edin ve gerek yaşıtlarınız ile, gerek rakipleriniz ile ve gerekse bizlerle iletişime girmekten çekinmeyin.
Genç mentor