6 dakika okuma süresi 10 Ara 2019
fire fighters on an aircraft

Siber risk Tasarımda Güvenlik yaklaşımı ile nasıl yönetilir?

6 dakika okuma süresi 10 Ara 2019
İlgili konu başlığı Danışmanlık

Tasarımda Güvenlik yaklaşımı, siber güvenlik için başından itibaren riski göz önünde bulunduran ve küresel inovasyonu güvenle sağlayan yeni bir yaklaşımdır. 

Günümüzde çoğu şirket, rekabetçi ve güncel kalmak için yeni teknolojileri benimsemeleri ve sürekli yenilik yapmaları gerektiğinin farkındalar. Ancak sistemlerini ve operasyonlarını bir an önce modernize etme telaşı, işletmeleri için birçok güvenlik açığı oluşturmakta ve kendilerini giderek artan sayıda riske maruz bırakmakta.

Diğer taraftan, sadece bir tık uzaklığındaki yazılım ve hizmetler deryasına neredeyse sınırsız erişimle, bu zayıf noktalardan faydalanmak için bekleyen çok sayıda saldırgan vardır. Bu tehdit aktörlerinin odağı artık bir zamanlar olduğu gibi sadece para kazanmak amacıyla veri hırsızlığı değil. Siyasi nedenli saldırılarda, devletlere yönelik düzeyde bile büyük bir artış yaşanmakta. Ayrıca dünya çapında siber güvenliğe yönelik büyük tehditler olarak 'hacktivism' ile siber terörizmin yükselişine de tanık olduk. Bir konuya dikkat çekmek isteyen ya da basitçe zarar verme arzusu içinde olan herkes bunu kolaylıkla yapabilir

Fire fighters getting ready
(Chapter breaker)
1

Bölüm 1

Tehdit seviyesi arttıkça, güven ilişkilerinin olmazsa olmazları tehlike altına girer

Kurumlar ve kuruluşlar için sonuçlar felaket niteliğinde olabilir. Hatta bu durum, onların varlıklarını sürdürme kabiliyetlerini dahi risk altına alabilir.

İster dolandırıcılık nedeniyle, ister fidye ile, ister para cezasına maruz kalma ile ya da kaçırılan gelir ve fırsat maliyetleri yoluyla olsun; siber saldırıların en belirgin sonucu mali kayıplardır. Yalnızca geçtiğimiz sene içerisinde ABD menşeili şirketlerin, siber saldırılar nedeniyle 654 milyar dolar kaybettiği tahmin ediliyor. Bu senenin daha kötü geçeceği ise çoktan netleşti.

Yine de; siber suçluların insafına kalanlar, sadece kuruluşlar değil. Modern eyaletlerde hükümet tarafından işletilen altyapıların büyüyen bir kısmı artık çevrimiçi olarak yönetiliyor. Bu altyapılar, birbirine bağlı şekilde faaliyet gösteriyor ve işletmeler ile aynı güvenlik açıklarına sahip oluyor. Bu sistemlere yapılan saldırılar; bölgelere ve ülkelere kapsamlı zararlar verme, öngörülmemiş kaosa yol açma ve hatta bireylere gerçek fiziksel zarar verme gücüne sahipler. 2016 yılında bilgisayar korsanları, Ukrayna'nın bir bölgesinin tamamının elektrik şebekesini kapatarak, 230.000 kişiyi saatlerce elektriksiz bıraktı.

Siber suç ve bilgisayar korsanlığı; özellikle dezenformasyonun gönüllü olarak yayılması yoluyla, toplumsal ölçekte maddi etkilere sahip olabilir. Yakın tarihte, önemli siyasi olaylar sırasında yalan haberlerin yayılması; güvenilmez, hatta çoğu zaman kötü inşa edilmiş kanallar ve içerikler aracılığıyla yanlış bilginin yayılmasının ciddi sonuçlar doğurabileceğini göstermiştir. Dezenformasyon, meşru kanallar aracılığıyla yayıldığında etkileri daha da büyüyebilir. 2013'te Associated Press'in Twitter hesabı, Beyaz Saray'da Başkan Barack Obama'yı yaralayan bir bombalı saldırı haberi ortaya atmak için bilgisayar korsanları tarafından hacklendiğinde; Dow Jones, anlık denebilecek bir hızda pazar değerinden 136 milyar dolar kaybetti.

Sonuç olarak; özellikle hızlı bir şekilde ele alınmadıklarında ve yatıştırılmadıklarında, bu olayların en zararlı ve kalıcı etkisi, insanların ve bağlı oldukları kurum ve kuruluşların arasındaki güven bağlarının kopartılmasıdır. Bir yanda paydaşlar, çalışanlar, üçüncü şahıslar ve tüketiciler; diğer yanda ise vergi mükellefleri ve seçmenler. Hepsi de tutarlı ve güvenilir performansın yanı sıra, kendi benliklerinin hem çevrimiçi hem de çevrimdışı olarak korunmasını beklemekte. Veri gizliliği, bütünlüğü veya verinin kullanılabilirliği tehlikeye girdiğinde veya ürün ve hizmetler beklenilen performansı göstermediğinde; yıllar içinde inşa edilen güven bağları, bir günde kaybedilebilir hale geliyor.

Seamean working offshore
(Chapter breaker)
2

Bölüm 2

Siber güvenlik: karmaşık ve kriz odaklı bir pazar

Kuruluşlar net, uyumlu ve verimli bir güvenlik işlevini sürdürmek için mücadele ediyorlar.

Günümüzde pek çok kuruluş, siber güvenliğe karşı sadece tepkisel bir yaklaşım benimseyerek; ancak bir saldırı meydana geldikten, bir hata bulunduktan, para cezaları kesildikten veya yasa geçirildikten sonra önlemler alma eğilimindedir. Yaklaşık 1.300 siber güvenlik lideriyle yapılan EY Küresel Bilgi Güvenliği Araştırması 2020'den elde edilen ilk bulgular, işletmelerin %65'inin siber güvenliği yalnızca tepki fırsatı için çok geç kalındıktan sonra dikkate almaya başladığını ortaya koyuyor. Risk hesaplamalarına dayanarak yeni ürünler ve hizmetler için güvenlik sağlamaktansa, basit bir şekilde uyumluluk kontrol listelerindeki maddelere tik atmak ve var olan sistemler etrafındaki güvenlik araçlarında iyileştirmeye gitmek yönünde ise belirgin bir eğilim mevcut.

EY Küresel Bilgi Güvenliği Araştırması 2020'ye göre, yaklaşık 1.300 siber güvenlik liderlerinden

% 65'inin

siber güvenliği yalnızca tepki fırsatı için çok geç kalındıktan sonra dikkate almaya başladığını ortaya koyuyor.

Bu kontrol listesi zihniyeti verimsiz olmakla kalmıyor; aynı zamanda siber güvenliğin rolünü ve etkinliğini engelleyen çeşitli sorunların da temelini oluşturuyor. Öncelikle; yola devam etmek için hızlı şekilde yenilik yapmak zorunda olan işletmelerde, Bilgi Güvenliği Yöneticileri (CISO) ve güvenlik ekiplerinin birer engel gibi algılandıkları bir gerçek. İkinci olarak, bu zihniyet; güvenlik harcamaları için yarışan binlerce satıcıdan oluşan, son derece parçalı ve karmaşık bir güvenlik pazarının oluşmasına yol açtı. Bu durum, kuruluşların; net, uyumlu ve verimli şekilde işleyen bir güvenlik fonksiyonu sürdürmesini inanılmaz derecede zorlaştırabiliyor.

Yönetim kurulları ve üst düzey yöneticiler, güvenlik işlevinin önemini kavramaya başladıkça; siber suçluların oluşturduğu riskleri en aza indirip yönetirken, aynı zamanda yeniliklerin güvenli bir şekilde uygulanmalarını sağlayan yeni bir yaklaşıma ihtiyaç duyulduğu net bir şekilde görülmeye başlandı.

Hiker with harness ready to jump
(Chapter breaker)
3

Bölüm 3

Tasarımda Güvenlik: Dönüşüm Çağı'nda güvenin korunması

Güvenliği sonradan hesaba katmak; iş operasyonlarını verimli bir şekilde korumak ve kuruluşun güvenini her düzeyde sağlamak için artık yeterli değil.

EY siber güvenlik ekipleri; siber güvenlik konusundaki her yeni girişimin, başlangıçtan itibaren risk ve güvenliği göz önünde bulunduran ve her aşamada güvene katkı sağlayan, proaktif, pragmatik ve stratejik bir yaklaşım içeren yeni bir bakış açısı ile alımasının zamanının geldiğine inanıyorlar. Bu yaklaşımın adı; Tasarımda Güvenlik.

Tasarımda Güvenlik, kuruluşların; riskten tamamen kaçınmak yerine daha fazla risk alabilmesi, dönüşümsel değişime yön verebilmesi ve güvenle yenilik yapabilmesi için sistemlere, tasarımlara ve verilere yönelik güven sağlaması ile ilgilidir.

Örneğin; sürekli büyüyen Yapay Zeka (AI) alanında böyle bir yaklaşıma duyulan ihtiyaç, her geçen gün daha da net bir şekilde görülmekte. Bu alanı oluşturan Makine Öğrenmesi'nin (MÖ) en yaygın iki biçimi (denetimsiz ve denetlenen) ise yıkımın başlıca hedefleri. Bu yöntemlerin ürettiği sonuçlar, doğal olarak onlara hayat veren algoritmalara bağlı. Ancak; son teknoloji ürünüalgoritmalar bile, beslendikleri veriler manipüle edilirse hatalı sonuçlara yol açabiliyor.

Günümüzde; çok sayıda ana ürün ve hizmetin kalbinde yer alan ve MÖ sistemlerinden beslenen verilerin bütünlüğünün korunmasına yeterli önem verilmiyor. Bu durumun farkında olan siber suçlular, temel veri kümelerini; ekleyerek, silerek veya değiştirerek sistemlere prensip bazında saldırabiliyorlar. Günümüzdeki çoğu dijital sistem, bu tür manipülasyonların riski altında.

Ancak; yapay zekâ otomatikleştirilmiş kararların kapsamını genişlettikçe, zarar verme fırsatları da genişlemekte. Örneğin; uçak hızını veya irtifasını otomatik olarak ayarlamak üzere programlanmış uçuş trafik sistemlerine dışarıdan bilgi kirliliği katılması veya tıbbi sorunları tespit etmek üzere tasarlanmış yazılımların, dışarıdan eklenen bozuk veriler ile kanser belirtilerini gözden kaçırması senaryolarını ele alalım. Bu tür istenmeyen sonuçlar, sadece yapay zekâ sistemlerinin merkezinde yeterli düzeyde veri, kimlik ve erişim yönetimi protokolleri uygulanırsa önlenebilir. 

Nesnelerin İnterneti (IoT) cihazlarının erişilebilirliğinin artması, Tasarımda Güvenlik yaklaşımı için başka bir zorlayıcı durum ortaya çıkarmakta. Tüketiciler, evlerine girmelerine izin verdikleri (ve genellikle son derece hassas ve kişisel olan bilgilerini emanet ettikleri) IoT ürünlerine, giderek daha fazla güven duyuyorlar. Ancak bu cihazların geleneksel üretilme şekline bu güveni temin edebilecek çok az şey mevcuttur.

IoT aygıtlarının montajlarında üç ayrı adım bulunur. Montaj işlemi, halihazırda zaten düşük olan marjları etkilememek için mümkün olduğunca az mühendislik kullanılarak veya üstünkörü oluşturulmuş özel bilgisayar çipleri ile başlar. Daha sonra bu çipler; açık kaynak ve özel yazılımın bir arada kullanıldığı, şartnameye göre hazırlaması için seçilmiş özgün cihaz üreticilerine (ODM) aktarılır. Bir kez daha, buradaki amaç; gerekli işlevlerin ötesinde güvenlik veya performansa çok az önem vererek, marjları en üst düzeye çıkarmak yönündedir. Son olarak ise; tüketiciye dönük marka şirketi kendi ara birimini yükler ve cihazların çalıştıklarından emin olmaya yetecek şekilde ayarlamalar yapar. Dolayısıyla her aşamada; güvenlik veya bütünlüğü sağlamak yerine, kârı maksimize etmek üzerine kurulu bir sistem söz konusudur.

Bu kısa vadeli ve kâr bazlı yaklaşım, felakete davetiye çıkarmaktadır. 2015 yılında, önde gelen bir otomotiv firması; güvenlik uzmanlarının araçların bilgi-eğlence sistemine sızması ve neredeyse herkesin frenleme ve direksiyon gibi kilit işlevlere erişebildiğini ve kontrol edebildiğini göstermesi üzerine, 1.4 milyon aracını geri çağırmak zorunda kalmıştır. Otomobil üreticileri ve hükümetler, dünya çapında IoT teknolojileri tarafından desteklenen akıllı arabalara ve şehirlere doğru yöneldikçe; güvenlik için oluşan ihtiyaç açık ve net bir hal almaktadır.

Peki bu örneklerin ortak noktası ne olabilir? Bunlar, artık sadece niş yenilikler değil. Bunlar; gelecekte günlük işlerimizin temelini oluşturacak ve birbirlerine bağlanacak olan küresel ağ sistemleridir. Bu teknolojileri geliştiren ve kullanan kurum ve kuruluşların, Tasarımda Güvenlik perspektifini benimsemesi kritik derecede aciliyet arz etmektedir. Bunu gerçekleştirmede başarısız olan kurum ve kuruluşlar; finansal çöküşten yapısal kaosa kadar, sayısız riskle karşı karşıyadır ve bu da güvenin çoğu zaman onarılamaz şekilde çöküşü ile sonuçlanabilir. Riski sonradan değil de en başından itibaren ele alan, proaktif, pragmatik ve stratejik bir yaklaşım; Dönüşüm Çağı'nda başarılı olanlar ve olmayanlar arasındaki farkı belirleyebilir.

Özet

Bu makale; var olan siber güvenlik ortamını değerlendirmekte olup, kuruluşlara Dönüşüm Çağı'nda güvenliklerini yönetmeye yönelik yeni bir yaklaşımı benimsemeleri için ilham kaynağı olmayı amaçlamaktadır. Günümüzde varlıklarını sürdürmek için yenilik yapmak zorunda olan kuruluşlar, bunu yaparken siber saldırıların giderek büyüyen tehditleri ile de karşı karşıya kalabilirler. Potansiyel olarak felaket getiren sonuçlar ışığında; kuruluşların sonradan akla gelen şekilde değil, herhangi bir ürün veya hizmetin en başından itibaren bu riskleri dikkate alan yeni bir bakış açısına ihtiyaçları vardır.