Vedat Tüfekçi - Palo Alto Networks Türkiye, Rusya CIS Direktörü
Bulut ekonomisinin sürekli genişlediği ve yeni nesil teknolojik araçların hızla yaygınlaştığı günümüzde, sibergüvenlik riskleri toplumun gündelik yaşamını sarsabilecek düzeyde bir etkiye sahip. Yaşam ve çalışma alanlarımızdaki onlarca cihazın güvenliği bir yana elektrik, su, doğal gaz gibi kaynakları halka ulaştıran şebekelerden, ulaşım ve iletişime, finanstan üretim tesislerine kadar dijital altyapıların bulunduğu her ortam bugün siber atakların başlıca hedefini oluşturuyor. Dolayısıyla sibergüvenlik en geniş anlamıyla bir ulusal güvenlik meselesi olarak yerini sağlamlaştırıyor.
Sibergüvenlik, dijital olarak dönüşen bir dünyada verilerini, çalışanlarını ve müşterilerini koruyan her işletme için çok önemli. IBM’in 3 bin 600 görüşmeyle hazırladığı 2022 Veri İhlalinin Maliyeti raporuna göre kurumların yüzde 83’ünün birden fazla saldırıya maruz kaldığı ve kritik altyapıların yüzde 79’unda Sıfır Güven Temelli Mimari’ye (Zero Trust Architecture) halen geçilmediği belirtiliyor. Ülkemizden örnek vermemiz gerekirse Türkiye siber saldırıların yoğunluğu açısından dünyanın ilk 10 ülkesi arasında yer alıyor. Örneğin sistemlerin çalışmasını engelleyen DDoS saldırılarında ülkemiz, 2018 yılında yüzde 5,84’lük oranı ile dünya 7’ncisi oldu.
Sibergüvenlik harcamalarının 2022yılında 133,7 milyar dolara ulaştı
Yine basına yansıyan uzman görüşlerine göre 2023 yılında siber suçların ülkemize 8 ile 28 milyar dolar arasında ek maliyet yaratması bekleniyor. İşler bu kadar ciddiyken Türkiye’de bu alanda insan kaynağı açığının yaklaşık 50 bin dolayında olması bir diğer dikkate alınması gereken bir konu. Siber saldırganların yeni araçları ve interneti daha organize kullanması bu alanda nitelikli insan yetiştirmenin ve doğru araçları kullanmanın önemini giderek artırıyor. Cybersecurity Ventures'a göre, dünya çapında doldurulmamış sibergüvenlik pozisyonlarının sayısı 2013 ile 2021 arasında yüzde 350 artarken uzman açığı da 1 milyondan 3,5 milyona yükseldi. Oysa Gartner'ın araştırmasına göre dünya genelinde sibergüvenlik harcamalarının 2022'de 133,7 milyar dolara ulaştığı tahmin ediliyor. ChatGPT ile popülerleşen akıllı robotların yaygınlaşması, iş uygulamalarındaki yanlış yapılandırmalar, kod zayıflıkları, kullanıcı ihmalleri siber saldırganları daha organize olmaya yönlendirirken fidye amaçlı yazılımlarda da ciddi bir artış görülüyor.
Dünya Ekonomik Forumu’nun Küresel Riskler Raporu, son 17 yıldır birbiriyle derinden bağlantılı küresel riskler konusunda uyarılarda bulunuyor. Bu yıl yayınlanan raporda özellikle siber güvenlik vurgusu yapıldı ve sibergüvenliğin geleceğin endişe verici riskleri arasına taşındığı açıklandı. WEF’in kısa ve uzun vadede dünyayı tehdit eden risklere ilişkin içgörüler paylaştığı raporun Ocak 2023’te yayımlanan 18. edisyonunda “yaygın siber suç ve sibergüvensizlik” başlığı, ilk 10 risk arasında yer aldı. Palo Alto Networks’ün seçkin güvenlik uzmanlarından oluşan ve küresel düzeydeki sibergüvenlik ihlallerini izleyen Unit 42 takımının hazırlamış olduğu 2022 Fidye Yazılım Tehdit Raporu’na göre ise 2021 yılında olay bazında saldırganların talep ettiği fidye miktarı ortalama yüzde 144 artışla 2,2 milyon dolara çıkarken, ödenen miktarlar da yüzde 78 artışla 541 bin doları aştı. Fidye yazılımlar, siber saldırganların sık kullandığı bir yöntem olarak 2020’den bu yana ortaya çıkan 130’dan fazla türevi ile kurumların bilgi güvenliğini tehdit ediyor. Sibergüvenlik giderek dünyanın gündemini daha fazla meşgul ederken kurumlar da dijital dönüşümün sadece bir tercih değil kurumsal anlamda bir kültürel dönüşüm gerektirdiğini görüyorlar. Gartner'ın 81 ülkede faaliyet gösteren şirketlerden 2 bin 200'ü aşkın CIO ile yürüttüğü bir araştırma da 2023'te her 3 CIO’dan ikisinin sibergüvenlik yatırımlarını önceliklendireceğini söyleyerek bu savı destekliyor.
Sadece IT’yi değil OT’yi de ilgilendiriyor
Bu noktada sorunun yalnızca kurumların bilişim sistemlerinin (IT-Information Technologies) güvenliğinden ibaret olmadığını da not etmemizde fayda var. Bugün operasyonel teknolojiler (OT) olarak adlandırdığımız yapılar, bilişim sistemleriyle bağlantılı su, elektrik şebekesi, üretim bandı gibi yerlerde kullanılan sensörler gibi çeşitli dijital cihazlar üzerinden ölçümleme, izleme ve genel sistem sağlığını denetleme işlevi görüyor. Nesnelerin İnterneti (IoT) sınıfına sokabileceğimiz bu cihazlar (telemetri cihazları, sensörler, CCTV kameralar, kartlı geçiş sistemleri, ofislerdeki Projeksiyon, televizyon, Ip telefonlar, yazıcılar) bugün fabrikalardaki üretim bantlarından, kent trafiğine, su şebekelerinden, deprem izlemeye kadar birçok yerde kullanılıyor. Dolayısıyla sibergüvenlik sadece IT’yi değil OT’yi de ilgilendiren bir konu olarak gündemin sıcak maddesini oluşturuyor.
Tüm sektörlerde dünya çapında binlerce müşteriye yeni nesil sibergüvenlik çözümleri sağlayan Palo Alto Networks, sibergüvenliği yazılım kodu seviyesinden çoklu bulut ortamlarında risklerin önlenmesine kadar geniş bir yelpazede ele alıyor; üretken yapay zekâ bağlantılarında şirketlere aradıkları güvenli ortamı sağlayan yenilikçi çözümler sunuyor. Sibergüvenliğin geleceğinin yapay zekâ ve tam otomasyonda olduğunu görebiliyoruz. Bu teknolojiler, bize müşterilerimizin ortamlarından gerçek zamanlı veri toplayıp analiz etmemizi ve siber tehditlere karşı neredeyse gerçek zamanlı olarak yanıt verebilmemizi sağlıyor. Endüstriye yönelik raporlarıyla ünlü Gartner’ın Leader in the 2022 Gartner® Magic Quadrant for Network Firewalls araştırmasında üst üste 11. kez lider seçildiğimizin altınız çizmek isteriz. Yeni nesil güvenlik duvarlarımız, geleneksel makine öğreniminin bir alt kümesi olan derin öğrenme teknolojisine sahip. Ayrıca gecikmesiz olarak kaydedilen (zero delay signatures) tüm atak tehditleri ağa bağlı her yeni nesil güvenlik duvarı üzerinde saniyeler içinde güncellenebiliyor. Böylece kötü amaçlı sızdırılan yazılım kodlarının kullanıcıya erişmeden bertaraf edilmesi mümkün olabiliyor. Yapay zeka destekli güvenlik operasyonlarımız (AIOps) ile müşterilerimiz, iş gücünden tasarruf edebiliyor ve donanım yatırımı yapmalarına gerek kalmadan güvenlik görünümlerini iyileştirebiliyorlar.
Palo Alto Networks olarak kuruluşların teknolojiyi güvenle kullanabilmeleri için araştırma ve geliştirmeye yoğun kaynak ayırıyoruz. Sıfır Güven Temelli sibergüvenlik yaklaşımına büyük önem veriyor; bu yaklaşımın, kurumların dijital yaşam tarzı ve veri güvenliğine tehdit oluşturan sibergüvenlik risklerine karşı sıfır tolerans göstermek anlamına geldiğini ısrarla vurguluyoruz. Sıfır Güven Temelli İşletme (Zero Trust Entreprise) kurumlar için sibergüvenlik alanında risk yönetimini tek bir amaç altında basitleştiren ve birleştiren stratejik bir yaklaşım. Bu yaklaşımın yalın hedefi kurum ölçeğinde gerçekleşen dijital tüm işlemlerin genelde bir ön kabul olarak güvenli bir ortamda yapıldığı yanılsamasını ortadan kaldırmaktır. Türkiye’de birçok kurumda bu Sıfır Güven Temelli Sibergüvenlik entegrasyonunu başarı ile gerçekleştirdik. Palo Alto Networks’ün Sıfır Güven Temelli (Zero Trust) yaklaşımı, kod seviyesinden cihazlara, bilgisayar ağlarından, OT operasyonlarında kullanılan Nesnelerin İnterneti’ne kadar şirketlerin tüm dijital varlıklarını siber ataklara karşı korumayı hedefliyor.
Sibergüvenlik teknoloji alanında profesyonellere önerilerimiz ağ trafiğinin yüzde 100 görünürlüğünü sağlamalarıdır. Bunu da ancak ağdaki tüm trafiği tanımlayıp, bilinmeyen ve potansiyel olarak yüksek riskli trafiği engelleyerek yapabilirsiniz. Ayrıca uygulama bazlı ve kullanıcı tabanlı denetimleri zorunlu hale getirmek ve otomatikleştirmek ekstra bir güvenlik katmanı sunar. Bugün siber saldırganların Dark Web’de organize ve gelişmiş teknolojileri devreye sokarak atak planları yaptıklarını ve uyguladıklarını düşünürsek, onlardan bir adım önde olacak yenilikçi teknolojileri kullanmak birincil çözüm yolu gibi gözüküyor.
İnsan kaynağına yatırım önemli
Teknolojik önlemler bu işin olmazsa olmazı ama kurum içi sibergüvenlik eğitimleri ve insan kaynağına yatırım da diğer önemli başlıklar. Sibergüvenlikte otomasyon ve entegrasyon hem karmaşıklığı azaltıp, siber dayanıklılığı artıracak ve daha az insana bağlı bir yapı olacak hem de daha düşük toplam sahip olma maliyeti avantajı getirecektir. Sibergüvenlik risk yönetimi yönetim kurulları seviyesinde ele alınmalı, her şirketin siber eylem planı ve yönetişim yapısı oluşturulmalıdır. Hızla dijitalleşen iş süreçlerimizin kesintiye uğrayıp maddi kayıpların olmaması; diğer taraftan itibar ve müşteri kaybı riski, yasal yaptırımlar ve zorunluluklar açısından risk yönetim planının içinde ele alınmalıdır. İş birimleri, yeni bir ürün veya servis geliştirme aşamasında daha sibergüvenlik ekipleriyle yakın çalışmalı ve riskler daha geliştirme aşamasında minimize edilebilmelidir. Konunun daha da ciddiye alınması için, Türkiye’de de Avrupa ve Amerika’daki gibi siber saldırıya uğrayan kurumun belli bir süre içinde bunu açıklama zorunluluğu getirilmelidir.