Dijitalleşmenin kötü niyetli gruplar için daha çok fırsat yarattığını belirten Paynet CTO’su Gökhan Öztorun , bu tür saldırılara karşı gereken önlemleri aktardı.
Çağda teknoloji, ürün geliştirmeden satışa kadar bir iş piyasasında ve işletmelerin merkezi sinir sistemi haline geldi.
Teknolojinin kişisel yaşam alanındaki önemli ölçüde genişledi. Şirketler sosyal medyayı daha çok kullanım, Bugünler da kurum e-postalarına girişte kendi cihazlarını daha kullanmaya başlarlar. İş hayatı ve kişisel hayatın kullanılan teknolojiler arasındaki sınırlar neredeyse kalktı. Dolayısıyla bilgi sistemleri, kişisel, finansal ve diğer bilgileri yönetmek için daha geniş bir alanda güvenlik riski kalıyor.
Tehlikeli gruplar için daha fazla fırsat yaratıyor. Şubat 2020’den bu yana phishing saldırıları% 600, fidye yazılım (ransomware) saldırıları da% 148 artmış durumda ve artmaya da devam edecek. Saldırganlar onun geçen gün daha karmaşık teknikler üretiyor. Gelişen teknolojiyi takip edip, her zaman bir adım önümüzde olmayı başarıyorlar. Saldırıların etrafı hedeflenen ve hedeflenen güvenlik sınırlarını ve anti virüsleri hedef alıyor. Siber saldırıların% 75’i e-posta ile başlıyor.
Güvenlik alanında hareketsiz kalmak, kötü niyetli saldırganlar için kolay hedef aynı anlama geliyor. Dünyada 29 saniyede bir siber atak gerçekleşiyor. Bulara saldırı karşı kendimizi korumak için, teknolojiyi çok yakından takip etmek ve kendimizi geliştirmeyi geliştiriyoruz.
Paynet olarak bu dersin eğitimleri düzenliyoruz. Sızmaların% 67’si, şifrelerin çalınmasıyla, insan hatasıyla ve sosyal mühendislik saldırılarından ortaya çıkıyor. Bu da gösteriyor ki, teknolojik ve sistemsel olarak ne kadar başarılısa, kesinlikle akılda kalıcı olunsa. Bir şirketin güvenliğini sadece bilgi sistemleri ve teknolojisi ile sağlamak mümkün değil. Şirketin bir çalışanı, onun bir departmanı, eğitimler almalı, kişisel verilerinin ve şirket verilerinin güvenliğinin korunmasında önemli bir rol oynadığının farkında olmalı. Paynet olarak biz, “Önce Güvenlik” prensibini ve geliştirü oluşturduk.
“Önce Güvenlik” prensibinin amacı, sürekli iletişim ve eğitim prensipleri ile çalışanlarımızın bu zamanında güncel ana sahip olmalarını sağlamak. Tüm iş modellerimizde, süreçlerimizde, stratejilerimizde güvenlik unsuruna öncelik vermek ve buna buna işe alım ile başlamak gerekiyor.
Dünyanın en iyi güvenlik testleri yaptırıyor, dünyada kabul güvenlik standartlarına göre her sene denetleniyoruz (PCI-DSS). IT ekibimiz güncel güvenlik gelişmelerini takip ediyor, eğitimler ile kendimizi güncel tutuyoruz. Yazılım geliştirici arkadaşlarımız her sene güvenli yazılım geliştirme eğitiminden geçerek, sertifikalarını güncel tutuyorlar.
“Önce Güvenlik” prensibini ürün araştırma uygulama te titizlikle. Her geliştirmemizi ilk önce aşağıdaki beş değişkene göre değerlendiriyoruz.
- Risk ve Uyum : Güvenlik, Gizlilik ve regülasyon gereksinimlerini karşılıyor mu? Paynet’in risk toleransına, gizlilik ve gizlilik ilkelerine uygun mu?
- Müşteri İhtiyaçları : Müşterimizin Gizli ve gizli gizli ve genel deneyimlerine uygun mu?
- Üretkenlik ve Kullanıcı Deneyimi : Kontrollerin kapsamı işlerini yapmak zorlaştırarak iş bulmak düşürüyor mu? Kullanıcıların güvenlik politikalarını izlemesi veya kullanması zaman alıcı ve zorlaştırıcı mı? Eğer daha fazla risk oluşturabilir ve böylece daha fazla risk oluşturabilir.
- Maliyet ve Bakım : Kontrollerin toplam maliyeti, kurulum ve bakım.
- Pazar hedefi : Şirket hedeflerimize uygun mu?
Üç tip güvenlik kontrolü bulunuyor, bunlar, ‘saldırı önleme,’ ‘saldırıya tespit verme.’ Saldırı önleme, herhangi bir riskin, kullanıcıları ve sistemi etkilemeden engellenmesiyken, tespit etme ise, sistemlere yapılan sızmaların ve zararlıların tespit edilmesi ve tanımlanması isteniyor. Saldırıya cevap verme tehlikesi, herhangi bir saldırıya karşı saldırgan.
Güvenlik ve risk bakış açısı ile “saldırı önleme” saldırıyı engellemeye odaklanırken, saldırı tespit etme ve cevap verme çözülmesini en aza indirmeye odaklanır. Paynet’te saldırı önleme faaliyeti olarak, tehdit modellemesi yapıyoruz. Saldırı gelebilecek noktalarda (saldırı yüzeyi), saldırgan kabiliyetlerine göre risk edin, doğru Yatırım ile maksimum güvenlik sınırlamaya çalışıyoruz.
Olası bir saldırının zararlarını en aza indirmek için güvenlik mimarisini titizlikle dizayn etmek istiyoruz. Doğru ağ bölümleme (ağ segmentasyonu), uzun yıllardan beri ağ güvenliği mimarisinin en iyi uygulamalarının temelini oluşturmuştur. Etkin erişim kontrol ve yetki kontrol politika ve uyguluyoruz. Ağ güvenliği inşa en iyiından “ağınızın yüzey yüzeyini uygulamalar azaltın” prensibi ile ihtiyacımız olmayan her şeyi kaldırıyor veya devre dışı bırakıyoruz.
IBM’in göre bir sızıntının tespit edilme süresi 206 gün. Bir saldırıyı kısa sürede tespit etmek ve zararlarını mimimuma indirmek için “Bilgi Güvenliği ve Kayıt Yönetimi” uygulamaları ile güvenlik mimarinizi güçlendirmeniz gerekir. Bu uygulamalar da etkin bir olay planı ile desteklemek gerekiyor.
Finansal teknoloji rekabetin yoğun ve zorlu olduğu bir sektör, bir yandan çalışanların üretkenliğini artırmanız gerekirken, bir yandan da finansal teknolojiyi çok takip etmeniz ve aynı zamanda mimarinizi riske atmak, saldırı yüzeyinizi küçültmek, yapmak için tasarlamanız gerekiyor. Paynet gibi hızlı büyüyen şirketler, kurdukları esnek ve dinamik mimari yapı sayesinde onun geçen gün büyük tehdit sağlayabilmek için avantaj sağlıyor.
Dijitalleşmenin her sektörde kurum için vazgeçilmez hale geldiği günümüzde, şirketler de kendi tedarikçilerini ve iş ortaklarını seçerken ve risklerine öncelik verme bilinçleniyor. Bu yüzden Paynet gibi yarını düşünüp bugünden önlem alan ve mimarisini doğru güvenlik yatırımlarıyla, tanık olduğumuz bu dönüşümün kazananı olacaktır.