DigitalTalks Sonbahar18’in Üçüncü Haftasında Siber Güvenliğe Odaklandık

Birbirinden değerli konuşmacıları dinleyeceğimiz; yeni kişilerle tanışıp bağlantılarımızı kuvvetlendirme şansı bulacağımız 6 haftalık maratonumuz DigitalTalks Sonbahar’18, İş Kuleler’de devam ediyor.

24 Ekim Çarşamba akşamı ilk oturumumuzda “Dijitalleşen Dünyada Siber Güvenliğin Etkin Rolü” başlıklı sohbetimizde BGA Security Kurumsal Siber Risk Hizmetleri Yöneticisi Huzeyfe Önal ve VMware Ağ & Güvenlik Satış Müdürü Kürşat Çoban bizlerle birlikteydi. Bu sohbetten kimi bölümleri sizlere aktarmak istiyoruz: (Çok yakında etkinlikten kimi kısa videoları da sizlerle paylaşacağız.)

Huzeyfe Önal:

  • Eskiden takip edip ona göre örnekler verirdik firmalarla ilgili. Şu an her gün bir şeyler oluyor, herkes teknolojiden faydalanıyor; kötü niyetli insanlar da buna dâhil.
  • Siber dünyadaki saldırılar arttıkça, özellikler bazı bölgelerde %70 civarında banka soygunlarında azalmalar olduğunu gösteren araştırmalar var.
  • Siber güvenliği bir engelleyici değil de, emniyet kemeri olarak görebiliriz. Fren olmasa hızlı gidemeyeceğiniz gibi siber güvenlik olmadan da ürettiğiniz teknoloji bir müddet sonra başınıza bela olabilir. Güvenlik, teknolojinin devam etmesinde çok önemli bir rol oynuyor artık.
  • Bu yıl farklı sektörlerde siber saldırılarda artışlar görüyoruz… Güvenlik teknolojinin devam etmesinde çok önemli bir rol oynuyor artık. Saldırıları yapanlar daha seçici olabiliyor; buna uygun şirketleri seçebiliyorlar. Son 4 yıldır fidyecilikle daha çok karşılaşıyoruz…

Kürşat Çoban:

  • Güvenlik sanallaşmanın önemli bir noktası. Gelen her teknolojik yenilik açıklarını da beraberinde getiriyor. Hem firmalar hem kullanıcılar olarak bunun güvenliğiyle haşır neşir olmak zorundayız.
  • Kullandığımız herhangi bir teknolojik altyapı erişim ve bilgi güvenliğini de içeriyor. Dolayısıyla her noktada siber güvenlik var.
  • Herhangi bir firmanın sahip olduğu en değerli şey bilgi. Bu bilginin korunması önemli, insanlar artık bu bilgileri elektronik ortamda tutuyor. Sahip olunan veri firmaların en büyük hazinesi. Farkında olmamız gereken gerçek şu ki, şirketlerin sahip olduğu değerleri ve bilgiyi koruması; paradan bahsetmiyorum, para elbet korunacak; önemli artık.
  • Son zamanlardaki genel trend şu: saldırılar dışarıdan değil, içerideki çalışanlar aracılığıyla; çalışanlar farkında olarak ya da olmayarak gerçekleştiriliyor. Bu insanlar bu işi, ne yapacaklarını çok iyi biliyorlar. Artık yapılmak istenen şey para çalmak değil, para edecek şeyi ortaya çıkarmak.
  • Öncelikle kimseye güvenmeyeceksiniz, kendiniz de dahil… Herkes hata yapabilir. Kurguladığınız sistem ve yapılarda önce kendinize, sonra çalışanlarınıza ve üçüncü partilere güvenmeyeceksiniz.

Huzeyfe Önal:

  • Amerikalılar “zero-trust” kavramını kullanıyor, Ruslar da “trust but verify” diyor. Bazen IT sistemlerinden korumanız gerekiyor kendinizi. Ana makineyi bulamadıktan sonra zararlı yazılımlar kendini yeniden üretebiliyor. Kurumsal tarafta hacklenmeden bir sistemi belirli bir yere kadar götürmek çok zor. Sizin iyi olmanız yetmiyor. Kurumlar iyi olmayan bileşenleri sıkıntılar yaşayabiliyor.
  • Önce sahte domainler alınıyordu, sonra çok hızlı bir şekilde kapandı bunlar. Sonra Google reklamlarında yönlendirmeye başladılar. Google hızlı davrandı. Facebook ve Twitter bu konuda yavaş ilerliyor… Siber korsanları eğik bir labirente bırakılmış su damlası gibi görüyorum. Amaç belli, araçlar karşılarına çıkanlara göre modifiye oluyor.

Kürşat Çoban:

  • Bilgisayarla haşır neşir olan çok daha fazla artık. 5-10 senede çok şey değişti. Ülke olarak bilinçleniyoruz ve bize saldıran insanlar da bilinçleniyor. Çok fazla bilgisayar kullanıcısı var. Ama bu farkındalığı beraberinde getirmiyor. Çoğu ülkeye göre iyi bir noktadayız.
  • Yurtdışına kıyasla (Avrupa ve Amerika) daha iyi yaptığımız şey dağıtık yapıları daha iyi yönetmek. Onlar ise merkezi yapıları daha iyi yönetiyor. Örnek vermek gerekirse, bugün bir bankanın Türkiye’nin değişik yerlerine dağılmış 5.000 ATM’si var, bu çok büyük bir sayı. Aynı şekilde organize gıda perakendecilerinin Türkiye’nin değişik yerlerine dağılmış yüzlerce şubesi var. Bunlar çok büyük sayılar. Coğrafi olarak büyük bir ülkeyiz… Bu da bazı kabiliyetlerimizi geliştirmemizi sağlıyor.
  • Sanal dünyada ortaya çıkan tehlikeleri önlemenin en kolay yolu yine sanal yöntemleri kullanmak.

İkinci oturumumuzda ise Türkiye İş Bankası Siber Güvenlik İstihbarat & Savunma Merkezi Yöneticisi Hasan Reyhanoğlu ve Migros Ağ, Sistem & Güvenlik Altyapı Yönetimi Grup Müdürü Lütfü Karagöz’ü “Kurumsal Hayatta Siber Güvenliği Sağlarken Karşılaşılan Zorluklar & Öneriler” başlıklı sohbetimizde ağırladık. Bu oturumdan kimi değerli paylaşımları sizlere aktarmak istiyoruz:

Lütfü Karagöz:

  • Amerika’da birçok konuda güvenlik seviyesi Türkiye’ye göre çok düşük. Güvenlik meselesi artık bir zorunluluk haline geldi… Migros’ta yılda yapılan 500 milyon işlemin 350 milyonu kredi kartıyla yapılıyor.
  • Bir kasiyerde kart kopyalamak için bir cihaz olduğunu düşünün. İnsanlar zannediyor ki her şey sanal dünyayla ilgili. Ama fiziksel dünya çok daha önemli olabiliyor.
  • Mağazalarımızda kameralar var; kredi kartlarının okunamaması lazım kameralardan. Kasalara yüksek çözünürlüklü kamera kurulmamasının sebebi de bu.
  • Migros’un elinde büyük bir veri havuzu var. 15 milyon aktif kullanıcının bilgilerine ulaşabiliyoruz… Bir insanın alışveriş datası o insanın her şeyini gösterebilir. Dolayısıyla, Migros çok iyi güvenlik tedbirleri almak zorunda. Bankalar kadar, hatta bankalardan belki daha fazla. Bu arada, 45.000 çalışanımızın yaklaşık 35.000’i mavi yakalı.
  • CEO’lar için birinci gündem bu zor zamanlarda satışları ve karı artırmak. İkinci bir gündem yok. Altyapı: sistem, network ve güvenliği oluşturan her şey… Uygulama ve iş (business) için varız. Güvenlik bunun tamamlayıcı bir parçası.
  • CEO’nun güvenlik işlerine para, adam, kaynak vermesi, desteklemesi gerek. Hiç bunların içinde olmayan bir CEO neyi bilecek? Güvenlik işi çok teknik ve arka tarafta bir iş ama esasen en iletişimle ilgili olan iş. Bir kere satış, pazarlama bileceksin, para (bütçe) almanın yolu bu. Yalnız bu paranın bir geri dönüşü (ROI) yok ki. Riski anlatmanın sebebi para almaktır. O kadar basit bir hikaye Türkiye’de o kadar komplike anlatılıyor ki…
  • Bir şeyi güvenli hale getirmek istiyorsan önce görebilmen lazım. Her şeyi izliyor olman lazım. İkinci olarak, giriş çıkış noktasını mümkünse bire indir. Yapılan entegrasyonları tek kanala indir ve ona odaklan. Entegrasyon sistemleri öyle komplike hale geldi ki… Stratejiyi doğru belirlemek çok kritik.
  • Güvenlik farkındalığının ulusal olarak sağlanması lazım. Türkiye’de yapılacak çok şey var. İyi güvenlik uzmanlarına ihtiyaç var. Ama güvenliği bilmek için önce sektörü çok iyi bilmek gerek.
  • Anomaliyi fark edebilmek için global bir ağın parçası olmanız gerek. O ekosisteme doğru angaje olmadığınız sürece farkındalığı halktan önce hissetmeniz zor olabilir. Bu işin en önemli parçası 7/24 olmak. Dünyada bir hacking aktivitesi, veri sızıntısı olduktan sonra firmaların fark etme gün sayısı ortalama 180 gün civarında hazırlanan raporlara göre…
  • Ne yaparsanız yapın güvenlik konusunda bir şey olmaz diyen bir yönetici varsa hayallerde yaşıyor diyebilirim… Finans, perakende gibi parametreleri belli olan konuları yönetmek göreceli kolay. En zor sektör teknoloji şu anda ve en önemli ayağı da güvenlik… Çünkü soyut, ucu bucağı belli değil.

Hasan Reyhanoğlu:

  • Kredi kartlarında akıllı kart kullanımı standardı olan EMV standardına Avrupa’da İspanya ve Fransa’dan sonra giren üçüncü ülke olduk.
  • Bankacılık sisteminde BDDK’nın varlığı, zorunlu tuttuğu denetimler, yaşanan vakalardan öğrenilenler ve uygulanan standartlar finans sektörünü genel olarak daha güvenli ve güvenilir hale getirdi.   
  • Çok kanallı (şube, ATM’ler, telefon bankacılığı, internet şubesi, mobil, kartlı ödeme sistemleri vb.) bir yapıyı yönetiyoruz. Bankacılık süreçleri konunun uzmanı ayrı bölüm ve birimlerde yönetiliyor.  Bu işlerin BT bacağı da işin uzmanı parçalı bir yapıyı zorunlu kılıyor. 
  • BT organizasyonumuz Bilgi Teknolojileri ve Veri Yönetim bölümünden oluşurken teknoloji hizmeti aldığımız iki de iştirakimiz var. Birisi ülkenin ve hatta bölgenin en büyük yazılım firmalarından biri, diğeri altyapı ve iletişim alanında bize ve dış firmalara destek veriyor.
  • Bilgi teknolojileri bünyesinde yer alan Veri Yönetimi Bölümü ayrı bir yapı örneğin. Çünkü büyük veri, veri mimarisi, veri yönetişimi, veri analitiği ve veri güvenliği ihtimam ve uzmanlık gerektiren ayrı bir konu.
  • İş Bankası’ndaki bütün ürün geliştirme süreçlerinde bilgi teknolojileri güvenlik, risk ve kontrol departmanları çok uzun bir süredir işin bir bileşeni olarak yer alıyor ve mutlaka olurları alınıyor.
  • İç tehditlerin (insider threat) yönetiminde yürüttüğünüz bilgi güvenliği süreçlerinin, özellikle de erişim yönetimi süreçlerinin, ilaveten veriye fiziksel ya da uzaktan erişimin kısıtlanmasının önemi var. Bunun yanında teknolojik araçlarla veri sızıntılarını takip ve tespit etmek de epeyce önemli ama bu konuda güvenli olmak ve sonuç almak istiyorsanız eğilmeniz gereken en mühim konu insan. İş Bankası’nın bu konuda epeyce avantajlı olduğuna inanıyorum. Çünkü kurumumuzda çalışanlarımızı başlangıç seviyesinde alıyoruz ve ara kademelerde bir alım gerçekleşmiyor. Her ne kadar “trust and verify” denen ilkeye bağlı kalsak da ve bu uğurda işin teknoloji ve süreç bacaklarında içeriden veri sızıntısını engelleyecek çokça tedbir alsak da, içeriden yapılan saldırı ya da veri sızıntılarında işe alımdan başlayarak çalışan profiline ve insan kaynaklarına ilişkin süreçlerin nasıl yönetildiği hususları işin püf noktası. İnsanın suç işleme motivasyonunda kurumuyla kurduğu ilişkinin niteliği önemli bir faktör. Bu manada şanslı kurumlardan biriyiz.
  • Farkındalık başlı başına özenle ele alınması gereken bir konu. Periyodik olarak gerçekleştirilen ve tamamlanması zorunlu olan şirket içi güvenlik farkındalık eğitimlerimiz var. On yıldan fazla bir süredir periyodik sızma testleri yaptırıyoruz ve bu testlerdeki en önemli başlıklardan biri de sosyal mühendislik – oltalama testleri. Bu testleri de iki farklı bakış açısıyla yaptırıyoruz. Birinci bacakta önüne e-posta düşen çalışanların tepkisi ölçülüyor. İkinci bacaktaysa güvenlik ekiplerinin bu e-postayı ne kadar sürede fark edip işlemez hale getirdiklerini test ediyoruz. Bu testlerin sonucunda hem engelleme süresi, hem de tıklama oranları kurum genelinde epeyce azaldı.

Değerli paylaşımları için konuşmacılarımıza, tüm katılımcılarımıza, elmas sponsorumuz Türkiye İş Bankası‘na; platin sponsorlarımız Esin Avukatlık OrtaklığıOracle ve VMware‘e; altın sponsorumuz Labrys‘e ve medya sponsorumuz Bloomberg Businessweek‘e teşekkürlerimizi sunarız. 31 Ekim Çarşamba akşamı görüşmek üzere.

Etiketler