Mastercard Siber Güvenlik Direktörü
Cihan Vehbi Salihoğlu
Mastercard Siber Güvenlik Direktörü Cihan Vehbi Salihoğlu Fintechtime okurları için kaleme aldı “Akıllı Şehirlerin Temel Taşları”.
Toplu yaşam kültürünün doğup gelişmesine ve kentleşmenin sebeplerine baktığımızda insanların güvenli bir ortamda yaşama, ticaret yapma, fikir alışverişinde bulunma ve sosyalleşme ihtiyaçlarının olduğunu görüyoruz. Eski yerleşim birimleri ve antik kentlerin kalın ve yüksek surlarla çevrili olmasının sebebi bu güven ortamını yaratmaktır. Surlar, tehditleri dışarıda bırakır ve surların içinde belli kurallara bağlı yaşamayı kabul eden insanların barış içinde yaşamasına imkan verir.
Geleceğin akıllı şehirlerinden de benzer beklentiler vardır. Ticaret yapabilmek için güvenli ortam, sosyalleşmeye ve bilgi paylaşımına imkan veren kültürel zemin bunlardan bazılarıdır. Antik şehirlerdeki gibi kalın ve yüksek duvarlarla izole edilmiş yerleşim birimlerinin aksine, dijital dünyanın nimetlerinden faydalanan akıllı şehirler, köprüler kurarak daha zengin bir etkileşime imkan verebilir. Peki güvenlikten ödün vermeden geleceğin akıllı şehirlerinin ufkunu genişletebilir miyiz? Bunu başarmak kolay olmasa da, imkansız da değildir.
COVID 19 salgınının hemen hemen her sektördeki dijital dönüşüm faaliyetlerine hız vermesinin yanı sıra rekabetteki uçurumun artmasına da sebep olmuştur. Mesela dijital dönüşümünü tamamlamış şirketler salgın tehdidinin başlamasıyla birlikte uzaktan çalışmaya hızlıca adapte olup faaliyetlerini kesintisiz sürdürebildiler ve rekabet güçlerini artırabildiler. E-devlet hizmetlerini salgın öncesi hazırlamış devletler vatandaşlarına eskiden olduğu gibi hizmet sunmaya devam edebildiler. Nakit kullanmadan ticaret yapabilen iş yerleri uzaktan ödemeler alarak veya temassız ödeme yöntemleri kullanarak salgın zamanı tercih edilen iş yerleri oldular.
Akıllı şehir kavramını mümkün kılacak teknolojilerden biri de yeni nesil kablosuz iletişim teknolojisi olan 5G’dir. Nesnelerin interneti (IoT) gibi birçok yeni teknolojiden faydalanmamıza imkan verecek olmasının yanı sıra yeni zaafiyatlere de kapı aralayabilir. Risklerinden dolayı yeni teknolojilerin nimetlerinden uzak durmak yerine, bu teknolojileri hayatımıza sokarken beraberinde getirecekleri risklerin farkında olup bunları yönetmeye çalışmak dijitalleşen dünyada rekabetçi kalmak için elzemdir.
Sadece politik sebeplerden ötürü değil, işlediği verilerin büyüklüğünden ve değerli olmasından dolayı da saldırganların çokça hedeflediği bir sektördür kamu sektörü. Akıllı şehirleri kurabildiğimiz zaman üretilecek ve işlenecek olan veri büyüklüğü bugün sahip olunandan çok daha fazla olacaktır. Karmaşıklıktan uzak, sade ve net altyapılar kurmak hem yaşanacak sorunları azaltacaktır hem de sorun yaşanması durumunda müdahale sürelerini iyileştirecektir.
Güvenli ve sürdürülebilir akıllı şehirleri dört temel prensip üzerine inşaa edebiliriz:
Tasarım seviyesinde güvenlik ve mahremiyet
Akıllı şehirler gibi insanlara hizmet sunan organizasyonların oturmuş uygulamalarını değiştirmesi kolay değildir. Bu sebepten dolayı güvenlik ve mahremiyet risklerini en aza indirecek şekilde süreçleri en başta tasarlamak ve ölçeklendirilebilecek şekilde hayata geçirmek gerekmektedir.
Güvenlik tarafından değerlendirecek olursak her bir veri alışveriş noktasının saldırganlarla karşı karşıya kalabileceğimiz bir cephe olduğunu unutmamak gerekir. Süreçlerin ve altyapının bu bakış açısıyla tasarlanması ileride oluşabilecek sorunları en aza indirmeye yardımcı olur.
Veri güvenliği ve mahremiyeti de tasarım seviyesinde yönetilmesi gereken konulardandır. Hayata geçirilecek hizmetin sunulması için minimumda ihtiyaç duyulan kişisel veya kimliği belirlenebilir kılabilecek türdeki verilerin neler olduğunu bilmek, hem hukuki olarak hem de teknik açıdan ileride karşılaşılabilecek sorunların en baştan ortadan kaldırılmasına imkan verir. Unutmamak gerekir ki, akıllı şehirler dijital dünyanın nimetlerini insanlara kolay bir şekilde sunarken bireysel hak ve özgürlükleri gözetmeye devam etmelidir.
Kendini tanı
Güvenlik değerlendirmesi denince ilk akla gelen teknik değerlendirme olur ki bunun yanlış olduğunu söyleyemeyiz, sadece eksik olduğunu söyleyebiliriz. Güvenlik süreçlerini değerlendirmediğimiz ve sadece teknik değerlendirme yaptığımızda zamanda bir noktaya bakmış oluyoruz. Bir organizasyonun güvenlik süreçleri aslında o organizasyon için kabul edilebilir iş yapış şeklinin ne olduğunu gösterir. Çünkü tasarlanmış süreçler yönetimin organizasyon içine ve dışına verdiği beyandır ve taahhüttür. Teknik değerlendirme, bu beyanın uygulamaya geçip geçmediğini ölçmemize yarayan değerlendirmenin önemli bir parçasıdır.
Akıllı şehirlerin kendi zafiyetlerinin farkında olması için güvenlik değerlendirmelerini düzenli olarak yapmalı veya yaptırmalıdır. Değerlendirme kapsamını belirlerken bütünsel yaklaşımın benimsendiğinden emin olmak gerekir. Kapsamı dar tutularak yapılan değerlendirmeler, eksiklerin fark edilmemesine ve yanlış bir güvenlik algısı yaratılmasına sebep olabilir.
Çevreni tanı
Güvenlik değerlendirmesi veya risk değerlendirmesi yapılırken faaliyet alanı, ürün ve hizmetleri sunulduğu kitleyi ve coğrafyayı da göz önünde bulundurmakta fayda vardır. Bu sebepten dolayı siber tehdit istihbarat verisi, güvenlik değerlendirmesinin ve sonrasında çizilecek iyileştirme yol haritasının önemli bir bileşenidir. Hatta siber tehdit istihbarat verisini, organizasyonların güvenlik stratejisine yön verirken bakmaları gereken en değerli kaynaklardan biri olduğunu söyleyebiliriz.
Tabii ki tehditlerin zaman içerisinde farklılaşabileceğini unutmamak gerekir. Veri zengini akıllı şehirler detaylı analizler yapabilecekleri bir çok veriye sahiptirler. Kullanıcı davranışları ve saldırgan davranışlarındaki karakteristik farkları tespit edip hızlı değişen tehdit ortamına uyum sağlayabilirler.
Tetikte kal ve çevik ol
Güvenlik yatırımları sadece önleme ve tespite yönelik yatırımlardan ibaret değildir. Siber olaylara müdahale ve kurtarma konuları da en az önleme ve tespit kadar önemlidir ve gereken yatırımı bu konulara da yapmak gerekir ve özellikle akıllı şehirler için hayati önem taşır. Akıllı şehirlerde siber olayların yaşanması durumunda olayı hızlıca tespit edebilecek, zararı ve kesintiyi en aza indirecek, ve sonrasında hayatın normal akışına en kısa sürede döndürebilecek yetkin ekipler, süreçler ve teknoloji hazır bulundurulmalıdır. Düzenli olarak gerçeğe olabildiğince yakın simülasyonlar yaparak planların etkinliği ve uygulanabilirliği test edilmelidir.
Akıllı şehirler endüstriyel kontrol sistemlerinden blok zincire, nesnelerin internetinden otonom araçlara kadar birbirinden farklı türde teknolojiye ev sahipliği yapabilir. Her ne teknoloji veya hizmet kullanılırsa kullanılsın yukarıdaki dört prensibi göz önünde bulundurarak bu teknolojileri devreye almak gerekir. Ticaretin gelişmesine imkan veren, vatandaşlarının dijital dünyanın nimetlerinden faydalanmasına imkan tanıyan sürdürülebilir bir ekosistem ancak dirençli ve sağlam temeller üzerinde kurulabilir.