Siber tehditler ekonomiyi etkiliyor

Siber tehditler ekonomiyi hissedilir ölçüde etkilemeye başladı. Siber saldırı haberleri sadece ABD’den gelenlerden ibaret değil, Türkiye’de de bankalar, elektronik ticaret firmaları ve telekom firmaları uzun süredir hedef alınıyor. Yeni yetme saldırganlar dahi sisteminizde çok kritik açıklıklar var tehditleri ile bu kurumları sürekli taciz ediyor.

24 Kasım 2015 Salı, 21:13

Konu ile ilgili BTRisk Şirketi‘nin sahibi Fatih Emiral‘ın kaleme aldığı çarpıcı yazı:

Zararlı yazılımlar uzun süre önce suç çetelerinin silahı haline gelmişti. Son birkaç yıldır sanal para sistemlerinin gelişmesi ile fidye amaçlı zararlı yazılım saldırıları rastgele hedef belirlemeye başladı. Yakın zamana kadar genellikle rastgele saldırıların hedefi olan ama yine de ciddi bir şekilde etkilenmeyen üretim sektörü, eğitim kurumları gibi kurumlar artık cryptolocker zararlı yazılım türevlerinden ciddi zarar görmeye başladı. Dosyaları kriptolayarak fidye isteyen zararlı yazılım üreticileri sayesinde artık faaliyetlerinin sürekliliğinde bilgi teknolojilerine bağımlı olan tüm kurumlar ve hatta bireyler tehdit altında.

Müşterilerine bilgi sistemleri üzerinden hizmet veren kurumlar sadece hizmet kesintisi riskine değil ayrıca itibar ve hukuki yaptırım risklerine de maruz kalıyor.

Önümüzdeki dönemde mobil cihazlara ve “internet of things” çözümlerine yönelik tehditlerin bir çıkar sağlama yöntemini bulur bulmaz hızla yayılması kaçınılmaz. Organizasyonların siber risklere verdiği tepki ise evrimsel olarak şu şekilde gelişiyor; önce anti virüs yatırımı ve bir UTM (hepsi bir arada güvenlik cihazı) alarak güvenlik riskini ele almaya çalışıyorlar. Tabi bu yaklaşımda satıcıların yetersiz bilgileri ve konuyu çarptırarak kurumları yanlış yönlendirmeleri de oldukça etkili oluyor. Bu araçlar kuşkusuz kurumların güvenlik seviyelerini yükseltiyor, ancak güvenlik araçlarını kullanabilecek yetkinliğe sahip olunmaması ve güvenlik izleme ihtiyacının süreklilik gerektirmesi nedeniyle bu yatırımların geri dönüşleri genellikle sınırlı kalıyor.

Bir sonraki adımda uzman personel ihtiyacını farkeden kurumlar maalesef bu profilde personel bulmakta zorlanıyor, bulsa da elde tutabilmeleri zor oluyor. Bu problemin azalmasını beklemek pek de gerçekçi değil. Çünkü güvenlik eğitim ve deneyimi tek başına iyi güvenlik uzmanları yetiştirmek için yeterli değil, temel uygulama, sistem ve ağ teknolojileri bilgilerine sahip olmayan bir güvenlik uzmanının etkili olması mümkün değil. Bu yetkinliğin kazanılması ise en az 4-5 yıllık bir zaman gerektiriyor. Bu nedenle ihtiyacın büyüklüğünü düşündüğümüzde insan kaynağı uzunca bir süre yeterli olmayacağını tahmin etmek zor değil.

Üretim sektörü gibi BT altyapısı çok hızlı değişmeyen sektörler için ise tam zamanlı bir personel istihdamı anlamlı olmayabiliyor. İstihdam gerçekleştirebilen kurumlar ise az sayıda personelden çok geniş bir uzmanlık alanında fayda bekliyorlar. Ağ ve sistem güvenlik yönetimi, güvenli yazılım geliştirme, risk analizi ve iç denetim gibi güvenlik yönetim süreçlerini işletme, güvenlik olay izleme ve müdahalesi, ağ ve uygulama sızma testleri bunlardan birkaçı. Tek bir kişinin bu alanların hepsinde uzman olmasının mümkün olmadığını farkeden kurumlar nihayet eksik alanlar için uzman firmalardan destek alma yoluna gidiyorlar. Bu alanlardan birisi de pentest (sızma testi) hizmeti alanı. Sızma testlerinin amacını saldırganlar tespit etmeden önce olası veya mevcut açıklıkları tespit etmek, bu açıklıkları ağ ve sistem yöneticileri ile uygulama geliştirme ekiplerine aktarmak, mümkünse tekrar ortaya çıkmalarını engellemek olarak ifade edebiliriz. Sızma testi sürekli olarak odaklanılması gereken bir alan ve büyük telekom operatörleri ile büyük bankalar dışında pek çok kurum için sürekli bir pentest kaynağına ihtiyaç yok. Bu yüzden bu hizmetin dışarıdan tedarik edilmesi mantıklı. Ancak güvenlik ile ilgili hemen her alan oldukça hassas ve tedarikçi seçiminde çok dikkatli davranılması gerekiyor. Sızma testi hizmeti alırken dikkat edilmesi gerekenler arasında aşağıdakiler sayılabilir.

Bağımsızlık ve etik ilkelere bağlılık

Sızma testi hizmeti aldığınız firmanın her anlamda bağımsız olduğundan emin olmalısınız. Buna güvenlik ürünü satan firmaların yan firmaları olmamaları ve güvenlik hizmetlerinin dışında yönetim danışmanlığı v.b. gibi ilgisiz alanlarda hizmet sunmamaları da dahildir. Sızma testi hizmeti sadece sizin ihtiyaçlarınıza yönelik olarak verilmelidir, diğer tarafların hedeflerine yönelik değil. Bunun yanı sıra elbette rakiplerinize bilgi sızmasına yol açabilecek ilişkilerin bulunmadığından da emin olmak zorundasınız. Sızma testi hizmeti verilirken kendi iç denetim organizasyonlarınızın dahi görmediği / göremediği mahrem bilgi ve açıklıkların ortaya çıkması bu hizmetin doğasında vardır. Bu yüzden bağımsızlık kriteri her denetim hizmet alanında olduğu gibi sızma testi hizmetinde de son derece önemlidir.

Pentest firmalarının müşteri gizliliğine duyarlılıkları en üst seviyede olmalı, ayrıca veri gizliliği ile ilgili gerekli teknik kontrolleri ve süreçleri uygulamalıdırlar.

Yetkinlik

Teamül olarak sızma testi firmalarının sürekli olarak değiştirilmesi önerilir veya böyle bir yaklaşım benimsenir. Bu yaklaşım doğal olarak hassas bilgilerinizin daha çok tarafça gözlenebilmesiyle sonuçlanır. Aldığınız hizmetin kalitesini gözlemleyebiliyor ve anlayabiliyorsanız bu tür rotasyon yaklaşımı hizmet kalitesi için her seferinde yazı tura atmaktan ve veri sızma riskini artırmaktan başka bir işe yaramaz. Sızma testi firmaları elbette değiştirilebilir ve gerekli ise değiştirilmelidir, ancak bunun nedeni teknik yetersizlik, hizmet kalitesi ve ahlaki konulardaki yetersizlik olmalıdır. Sürekli firma değiştirmek ancak sızma testi hizmetinden ne beklendiğinden emin olunmaması, çıktılarının da değerlendirilememesi ile açıklanabilir.

Sürekli bir sızma testi hizmet ihtiyacınız varsa elbette doğru firmaları tespit etmenin en iyi yolu firmaların denenmesidir. Bu gerçek bir projenin gerçekleştirilmesi ile olabileceği gibi istekli firmaların ücretsiz bir çalışma yapmasını talep etmek şeklinde de olabilir. Ancak bu tür bir hizmeti sıklıkla almıyorsanız elbette dolaylı kriterleri değerlendirmek durumundasınız. Bu kriterler şunlar olabilir;

Sızma testi (pentest) hizmeti firmanın ana faaliyet alanı mıdır?
Kaç yıldır bu alanda hizmet vermektedir?
Referansları firma, sektör ve teknoloji alanları (web uygulamaları, mobil uygulama, genel network altyapısı, gömülü sistem, SCADA, özel platformlar gibi) olarak nelerdir?
Firmanın uygulama ve teknoloji geliştirme deneyimi var mıdır (firmanın kendi teknoloji ürünlerini geliştirebiliyor olması güvenlik sorunlarını çok daha iyi ve somut biçimde anlayabileceğinin göstergesidir)?
Firma pentest alanında eğitim verebilmekte midir (firmanın eğitim verebiliyor olması pentest hizmetleri sırasında belirli bir metodoloji uygulayabilmesini, kendi personelini eğitebilmesini ve pentestin tüm alanları ile ilgili genel bilgi sahibi olduğuna dair güvence sağlar)?
Firma personeli pentest alanında genel kabul görmüş sertifikalara sahip midir (sertifikasyon yeterli değildir, ancak gereklidir)?
Güvenlik alanında belli bir süre çalışan ve pentest hizmeti alan firma personeli genellikle pentest hizmeti veren firmadan ziyade testi gerçekleştiren hizmet personelinin önemli olduğunu savunur. Yakın zamana kadar bu yaklaşımın önemli bir doğruluk payı da bulunmuştur. Ancak sızma testi ihtiyaçları hem sıklık hem de hizmet talep eden firma sayısı açısından hızla yükseliş göstermektedir. Böyle bir talep ortamında belirli sayıda ünlü testçinin hizmetlerinden faydalanmak pek de mümkün olmayabilir. Bu yüzden pentest firmalarının teknik açıdan yetişmiş bir üst ve orta yönetime sahip olması, sürekliliği ve güvenlik hizmetlerine odaklanması kalite güvencesi açılarından daha önemli olacaktır.

iletişim