Türkiye’nin lider siber güvenlik entegratörü Innovera’nın sunduğu çözümleri ve gelecek dönem çalışmalarına dair sorularımızı Innovera Yönetici Ortağı Murat Tora’ya ilettik.
Bankalar, telekom şirketleri ve merkezi kamu kuruluşları başta olmak üzere 200’ün üzerinde büyük kuruluş ile yakın çalışan, Türkiye’nin lider siber güvenlik entegratörü Innovera’nın sunduğu çözümleri ve gelecek dönem çalışmalarına dair sorularımızı Innovera Yönetici Ortağı Murat Tora’ya ilettik.
Veri ihlallerinde rekora koştuğumuz bir yıldı. Şirketler savunma stratejilerinde neleri gözden kaçırdı?
Neredeyse her gün bir siber saldırı haberiyle karşılaşıyoruz. Her gün yeni yöntemler ve teknikler ile gerçekleştirilen siber saldırıların dünya ekonomisine etkisi milyar dolarlar ile ölçülüyor. Kuruluşlar siber saldırıları engellemek için güvenlik alanında büyük yatırımlar yapıyor fakat yine de saldırıların kurbanı olmaktan kurtulamıyor. Özellikle son beş sene içerisinde saldırıların hızı çok arttı; bir saldırganın ağınıza girip verilerinizi çalması ve çıkması için gereken süre 15 dakikalara kadar indi. Diğer taraftan yapılan saldırıların sayısı inanılmaz bir şekilde arttı. Günümüzde ortalama bir işletme günde 300’ün üzerinde siber saldırı alarmı alıyor, bu alarmların her birini inceleyip bir saldırı varsa gereğini yapmak için de ortalamada 8 saat mesai harcıyor ki bu bir işletmenin günde 300 siber güvenlik uzmanına ihtiyacı olduğunu gösteriyor, dünyada hiçbir işletmenin böyle bir kaynağı yok. Kısacası güvenlik, kurumlar için her geçen gün daha büyük bir risk halini alıyor. Doğru çözümler doğru iş gücüyle buluşturulmazsa, doğru sonuçlara ulaşılması da mümkün değil. Bu sebeple bu alanda eğitim stratejileri gözden geçirilirken, insana ve teknolojiye yatırım yapılması gerekiyor.
Siber tehditler hayatımıza giren yeni nesil teknolojilerle birlikte hedef büyüttü. Bu durum özellikle Finans, Bankacılık, Telekom gibi sektörler için büyük riskler oluşturuyor. Sektörler öncelikli olarak hangi konularda önlem almalı?
Şirketlerin siber güvenlik politikalarında gözlemlediğimiz en büyük sorun, siber güvenlik uygulamalarının birbirinden bağımsız, koordine olmayan bir biçimde kullanılması. Oysa siber güvenliği bir bütün olarak ele almak, tüm süreçleri ilgili ürün ve servislerle birlikte uçtan uca birbirine bağlamak gerekiyor. Firmalar bunu sağlayamadıklarında, bir saldırı anında sorumluluğu üstlenip, destek sağlayacak bir iş ortağı bulmaları neredeyse imkânsız hale geliyor. Bu nedenle Innovera gibi siber güvenliği uçtan uca kapsayan çözümler üzerinde tecrübeli, onlarca farklı üreticinin ürün ve servislerini portföyünde bulunduran, güvenilir bir çözüm ortağıyla çalışmak gerekiyor.
Hemen tüm bankalar müşterileriniz arasında. Finans kurumlarına verdiğiniz hizmetlerden de bahseder misiniz?
Bankacılık ve finans en çok siber saldırı alan sektörler arasında yer alıyor. Innovera olarak kamu ve telekomünikasyon ile birlikte en çok odaklandığımız alanlardan biri bankacılık ve finans. Türkiye’nin lider siber güvenlik entegratörü olarak, siber güvenlik ile ilgili her konuda birlikte çalıştığımız kuruluşlara teknoloji tedariki, danışmanlık, eğitim ve personel desteği gibi konularda katkı sağlıyoruz. Bankalar, telekom şirketleri ve merkezi kamu kuruluşları başta olmak üzere 200’ün üzerinde büyük kuruluş ile yakın çalışıyoruz. Bugün, 100 kişilik profesyonel, tümü sertifikalı uzman kadromuz ve geliştirdiğimiz çözümlerimizin yanında 30’u aşkın teknoloji üreticisi iş ortağımız ile uç nokta güvenliği, veri kayıp önleme, SIEM, SOC, yazılım güvenliği, yedekleme ve kurtarma, arşiv ve felaket kurtarma altyapıları alanlarında 7/24 hizmet veriyoruz.
Hibrit buluta geçiş ile birlikte ne tür avantajlar ve riskler ortaya çıkacak. Geçiş sürecinde kritik noktalar hangileri?
Bulut evriminin bir sonraki aşamasında hibrit bulutun yaygınlaşması olacaktır. Amazon, Google ve Microsoft gibi devlerin geliştirdiği açık bulut platformları artık siber güvenlik açısından özel bulutla yarışır hale geldi. Innovera olarak biz işin siber güvenlik kısmına yoğunlaşıyoruz. Yeni nesil bulut kurulumları, yeni nesil siber güvenlik ihtiyaçlarını da beraberinde getiriyor. Bu ihtiyaçlara uçtan uca en etkili yanıtı verebilmek için sektörel uzmanlığımızı ve bilgi birikimimizi sürekli derinleştiriyor, güvenlik testleri, uyumluluk ve süreç yönetimi, danışmanlık hizmetleriyle bulut yolculuğunda kurumların siber güvenlik çözüm ortağı olarak yanlarında yer alıyoruz. Ayrıca, bulut üzerinde güvenliği sağlayan pek çok çözümün entegratörlüğünü yapıyoruz ve bugün geldiğimiz noktada, açık bulut ve özel bulut kurulumlarının avantajlarını bir arada sunan hibrit bulutun, her iki sistemin dezavantajlarını da tümüyle ortadan kaldırma potansiyeli olduğunu görebiliyoruz. Hibrit bir kurulumda hangi uygulama ve servislerin açık bulutta, hangilerinin özelde tutulacağını belirlemek için ciddi bir uzmanlık ve sektör tecrübesi gerekiyor. Şirketlerin çoğunun IT departmanında bu düzeyde bir kurulumu hatasız yapıp, sonrasında sistemi titizlikle yönetebilecek nitelikte uzman bulunmuyor. Bu açıdan hibrit bulut biraz siber güvenlik altyapısı oluşturmaya benziyor. Biz de kurumun ihtiyaçlarını tespit edip, ardından hangi güvenlik katmanı için hangi çözümün ideal olacağını tespit ederek danışmanlık sağlıyoruz. Kurulum ve entegrasyon işin neredeyse en son aşaması oluyor. Dolayısıyla hibrit buluta geçişte de tıpkı bir siber güvenlik altyapısı kurgular gibi bir uzmandan destek almak kritik önem taşıyor.
Mobil cihazların günlük yaşamın ve çalışma hayatının merkezinde. Öte yandan mobil bankacılık saldırılarında ülke olarak ikinci sıradayız. Hemen her konuda hayatımızı kolaylaştıran mobil uygulamalar önemli bir siber tehdit unsuru. Mobil dünyada güven içinde yaşayabilmek için neler önerirsiniz?
Mobil cihazların günlük yaşamın ve giderek çalışma hayatının merkezi haline geldiği günümüzde, hemen her konuda hayatımızı kolaylaştıran mobil uygulamaların bir siber tehdit unsuru haline dönüşmemesi için çok dikkatli olmak gerekiyor. Çünkü bazı mobil uygulamalar bilgisayarınızı ya da cep telefonunuzu ele geçirmekle kalmıyor, verilerinizi güvenli şekilde geri alabilmeniz için sizden fidye de isteyebiliyor. Telefonlara indirilen uygulamalarda ilk tehlike hangi izinlerin istendiğine dahi bakmadan tüm onayların verilmesi ve veri paylaşımı ile başlıyor. Verilen bu izinler, telefonda bulunan verilerin dışarıya aktarılmasına ve üçüncü bir kuruluşla ya da başka kişilerle paylaşımına neden oluyor. Yapılması gereken en önemli şeylerden biri verilen izinler konusunda çok dikkatli olmak. Örneğin bir el feneri uygulaması telefonun flaşı haricinde SMS’lere, fotoğraflara ve diğer alanlara erişim izni istiyorsa bu uygulamaya şüpheyle yaklaşmak gerekiyor. Aslında yapılması gereken şeyler çok basit. Uygulama indirirken dikkatli ve seçici olun, her uygulama indirdiğinizde izin penceresini dikkatlice inceleyin, mümkünse çok faktörlü doğrulama kullanın, erişim izinlerini kaldırın, uygulamaları sadece Google Play ve Apple App Store gibi güvenilir yerlerden indirin, ihtiyaç duymadığınızda Bluetooth’u kapatın, hassas bilgilerinizi telefonda saklamamaya özen gösterin.
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketlerin veri sorumlularını kayıt altına alan VERBİS’e kayıt yükümlülüğü var. Şirketleri bekleyen dev idari para cezaları da var. Siz bu süreçleri nasıl yönetiyor ve şirketlere nasıl bir danışmanlık veriyorsunuz. Sunduğunuz teknolojik yol haritası hakkında bilgi verebilir misiniz?
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında şirketlerin veri sorumlularını kayıt altına alan VERBİS’e kayıt yükümlülüğünü yerine getirmeyen şirketler 20 bin TL’den 1 milyon TL’ye kadar idari para cezasıyla karşı karşıya kalabiliyor. Ancak iş sadece VERBİS kaydıyla bitmiyor. KVKK 100 metre koşusu değil, uzun soluklu bir maraton. KVKK uyumluluğu için hem hukuk hem teknoloji tarafını uzun vadeli planlamayan şirketler büyük bir risk altında. KVKK ile ilgili hukuki süreçler, Innovera’nın iş ortağı ağında bulunan hukuk büroları ile birlikte yönetiliyor. Bu kapsamda şirketlerin kullandığı veriler, bu verinin hangi standartlara göre alındığı, global ölçekte General Data Protection Regulation (GDPR) ile uyumluluğu gibi kritik tespitler yapılıyor. Ayrıca şirketlerin “Veri Sorumluları Sicil Bilgi Sistemi” VERBİS’e kaydı yapılıyor. Veri sorumlusu olan şirketlerin ceza riski olmaksızın bu dönüşümü gerçekleştirmesi, alanında uzman hukukçular gözetiminde tamamlanıyor. Daha sonra şirket içindeki politika ve prosedürler KVKK Uyum Kılavuzu ışığında incelenerek, kurumun bu kılavuzda belirtilen yönergelere uygun biçimde işlemesi için gerekli danışmanlık hizmeti veriliyor. Bu iki kritik değerlendirmenin ardından her şirketin kendine özgü “KVKK Teknoloji Skoru” tespit ediliyor. Innovera, bu skorun iyileştirilmesi ve ihtiyaç duyulan seviyeye getirilmesi için yapılması gereken teknoloji yatırımları konusunda danışman rolünü üstleniyor. Şirketlerin teknoloji skorunu gerekli seviyeye yükseltmek için ihtiyaç duydukları yeni teknolojiler ve mevcut ürünlere yapılacak güncellemeler tek tek tespit ediliyor.
Akıllı şehir uygulamaları revaçta. Akıllı şehir dendiğinde daha fazla bağlılık, daha fazla kontrol noktası ve elbette IoT cihazların artışı beraberinde getirecek. IoT teknolojisinin en büyük zaafı ise güvenlik açıkları. Bununla ilgili pek çok felaket senaryosu var. Siz bu konuda neler söylemek istersiniz, bu tarafta gelecek risklere karşı ne tür önlemler alınmalı?
Nesnelerin İnterneti (IoT) teknolojileri ile daha düne kadar internete hiç bağlanmamış buzdolabı, otomobil veya güvenlik kameraları gibi aygıtlar da bir anda “online” hale geldi. Bu durum, son kullanıcılar için büyük bir konfor sağlasa da, güvenliğin genelde arka plana atılmasında dolayı bu aygıtlar çok büyük riskler yaratıyor. Örneğin 2016 yılında Mirai Botnet’iyle ele geçirilen 200 binin üstünde IoT aygıtı ile gerçekleştirilen bir DDoS saldırısı, ABD’de İnternetin saatlerce durmasına neden oldu. Önümüzdeki yıl internete bağlanabilen aygıtların sayısının 20 milyara ulaşması bekleniyor. Dolayısıyla olası riskin büyüklüğünü anlamak çok da zor değil. Bu sayıdaki cihaza koruma sağlamanın tek yöntemi otomasyonla zamanında müdahale çünkü siber saldırganlar hangi yöntemle koruma sağlarsak sağlayalım bir açık buluyorlar zaman içinde. Bu nedenle saldırı olduğu anda hızlı müdahale çok önemli. Bu kadar cihazın korunmasında gelecek saldırı büyüklüğüne yetişmek sadece insanla mümkün olamaz.
5G mobil telekomünikasyon hizmeti ile dördüncü nesil teknolojinin yaklaşık 10 katı daha hızlı veri iletimi söz konusu olacak. Bu konu tüm dünyanın gündeminde. 5G dünyası güvenlik açısından nasıl yönetilmeli? Buna yönelik bir danışmanlık hizmetiniz veya çözümünüz olacak mı?
5G dünyanın çeşitli ülkelerinde kullanılmaya başlandı, ülkemizde de operatörler bu konuda testlerini yürütüyorlar ve yakında bu hizmeti vermeye başlayacaklar. 5G ile birlikte veri trafiği daha da yoğunlaşacak. 5G teknolojisi sayesinde veri akışı hızında yaşanacak büyük sıçrama kamu kurumlarından üretim tesislerine kadar yayılarak ekonomik ve endüstriyel anlamda yeni bir dönemin kapısını aralayacak. Ayrıca özellikle düşük gecikme süresi sayesinde akıllı şehirler ve otonom araçlar gibi uygulamalara gerçek anlamda geçişi sağlayacak. Diğer taraftan baktığımızda bu yeni dönem siber saldırganlar için de yeni hedefler anlamına geliyor. Daha önce bir işletmeden veri hırsızlığı öncelikli hedefken artık otonom, yani kendi kendine gidebilen araçlara gerçekleştirilen siber saldırı girişimlerini göreceğiz. Dolayısıyla da siber güvenlik uzmanlarının ciddi efor sarf etmesi gereken birçok farklı konu ile karşı kalacağız. Biz ATAR ile bu güvenlik uzmanlarının ve güvenlik operasyon merkezlerinin üzerindeki yükü hafifleterek yeni saldırı tiplerine odaklanmalarına yardımcı oluyoruz.
2019 yılı nasıl geçti. Öne çıkan başlıklar hangileri oldu?
2019 yılında gerçekleşen yüksek profilli saldırılar, kullanıcılara ait verinin hem iş dünyasının hem de güvenlik sektörü için birinci öncelik olması gerektiğini acı bir şekilde gösterdi dolayısıyla da kurumların kritik verilerini korumak ana gündem maddesi olmaya devam etti. Türkiye’de başta elektronik haberleşme altyapısı ve kamu kuruluşları olmak üzere bankacılık, enerji, sağlık gibi kritik sektörlere yönelik saldırıların sayısı önemli ölçüde arttı. 2019 yılında USOM’a raporlanan toplam siber saldırı sayısı geçtiğimiz Eylül ayı itibariyle 95 bini aştı. Bir önceki yılın aynı dönemine göre siber saldırı sayısının iki katına çıktığı görülüyor. Dolayısıyla şirketlerin güvenlik yatırımlarını kademeli olarak artırırken, diğer yandan da insana bağlı hataları en aza indirebilmek üzere eğitim ve siber saldırıları taklit eden tatbikatlarla farkındalığı artırmaları gerekiyor. Kısacası insan faktörü, bu yıl da güvenliğin her iki tarafı için odak noktası olmayı sürdürdü.
2020 ajandanızda neler var, yeni yılda hedefleriniz ve odaklanacağınız alanlar neler olacak?
Innovera olarak bilişim teknolojileri ve siber güvenlik alanında tecrübeli kadromuzla, Türkiye ekonomisine destek olacak nitelikle yerli ve milli Ar-Ge faaliyetlerimizi sürdürmeye devam edeceğiz. Tüm güvenlik entegratörleri arasında lider konumdayız, hedefimiz ise küresel ölçekte büyümeyi sürekli kılmak. Siber güvenlik robotu ATAR ve benzeri projelerle uluslararası arenada rekabetçi gücümüzü ortaya koymaya devam edeceğiz. Bu sayede ülkemizin küresel imajını ve prestijini en etkili biçimde desteklemeyi sürdüreceğiz.
