Siber Güvenlik mi, Yoksa Siber Güvenlik Tiyatrosu mu?

İnsanlar gibi duygusal varlıklar risklere karşı değerlendirme yapıp tepki verirken ilginç fikirler üretme özelliğine sahip. Örneğin araştırmalar, araç sürerken emniyet kemeri takmanın hayat kurtardığını gösteriyor. Aynı zamanda kask takan bisikletçilerin kazalarda hayatta kalma oranının yükseldiği aşikar. Bu araştırmalar araç sürücüleri ve bisikletçiler arasında güvenlik önlemlerinin artmasını sağlıyor. Avustralya’da yapılan bir araştırmaya göre, araç sürücüleri için kask takmak zorunlu hale getirilse, aynı kuralın uygulanacağı bisikletçilere oranla hayatta kalma oranı 17 kat daha yüksek olabilir. Buna rağmen profesyonel bir yarışçı olmadığınız sürece araç sürerken kask takmayacaksınız.

Bir riski güçlü şekilde önlerken diğerine kapı açmak benzer sonuçlar doğması olasılığını açığa çıkarıyor. Buna benzer birçok örnek verilebileceği gibi siber güvenlik de bu duruma koşulsuz değil. Genel olarak organizasyonlar IT ekiplerinin güvenlik listesindeki kontrol kutularını işaretlemesini ve geleneksel yoldan her şeyi yürütmesini bekliyor. Peki gerçekte bu yaklaşım uygulamalarınızın ne kadarını koruyor ve gerçekte ne kadarı “siber güvenlik tiyatrosu?”

Aşağıdaki beş madde, siber güvenliği sağlamaya çalışırken aslında çabalarınızın doğru olup olmadığını anlamanıza yardımcı olabilir:

1- Bulut güvenliği

Eğer bulut hizmeti sağlayıcınıza güvenlik unsurunu sormazsanız gafil avlanabilirsiniz. Bulut hizmeti sağlayıcısı “güvenli mimari garanti ediyoruz” dedikten sonra bir sonraki düşünceniz “benim verim ne olacak” değil ise, bu “siber güvenlik tiyatrosu” gerçekleştirdiğiniz anlamına geliyor. Yani, faydalı olduğunu düşündüğünüz, ancak işe yaramayan bir güvenlik önlemi kullanmak. Çünkü veri güvenliği satıcının değil sizin sorumluluğunuza giriyor.

Bulut mimarileri bu şekilde inşa edildikleri için güvenli. Risk, şirketler bulut ortamına hızlı bir şekilde veri aktarmaya başladığı ve aktarılan verilerin nerede tutulduğunu unuttuklarında baş gösteriyor. İyi bir katalog kullanılması, hassas veri kopyalarının nerede tutulduğunun bilinmesi gerekiyor. Hassas veriye erişim konusunda erişim kontrol politikaları oluşturulması da şart. Denetim prosedürleri, gerekli olduğu zaman adli tıp aracılığıyla veri kullanılması, yetkilerin doğrulanması ve düzenlenmeleri için yetenek geliştirilmesi ve hassasiyetlerin bir yüzey alan bakış açısından kontrol edilmesi gerekiyor. Bu adımlar yeni uygulamaları temsil etmiyor; yeni olan bulut çevreleri olarak beliriyor.

İlgili Konu: Takip edilmesi gereken 6 bulut güvenliği trendi

2- Çevre güvenliği

Dahili 27,000 veri tabanını inceledikten sonra, Imperva Araştırma Laboratuvarları her iki dahili veri tabanından bir tanesinde güvenlik zafiyeti olduğunu tespit etti. Araştırma, günümüzde verinin korunması için uygulanan yöntemlerin işe yaramadığını gözler önüne seriyor.

Organizasyonlar yıllarda çevre güvenliğini öncelik olarak belirledi ve bu son nokta güvenlik araçları üzerine yatırım yaptı. Düşünceleri, veri etrafındaki sistemlerin ve ağların korunmasını sağlamak güvenlik için yeterli olacaktı. Maalesef bu yaklaşım işe yaramadığı gibi genişleyen küresel bir sorun haline geldi.

Organizasyonlar veriyi nasıl güvenli kıldıklarını gözden geçirmeli ve stratejilerinin veriyi gerçekten nasıl koruyacağını garanti etmeliler.  

3- Veri gizliliği

Yakın zamana kadar organizasyonlar, veri gizliliğini denetimlerde kontrol edilecek bir uyumluluk unsuru olarak görüyordu. Geleneksel veri kayıtları ve denetimleri bir organizasyonun veri varlığının çok küçük kısmını etkilerken, en hassas verileri iç ve dış tehditlere karşı ifşa etti. Sanal olarak tüm organizasyonların çalınan hassas verileri uyumluluk kapsamındaydı. Buna karşın şirketlerin %54’ü hassas verilerinin nerede depolandığını bilmediklerini belirtti.

Organizasyonlar bugün veri-merkezli bir yaklaşım sergileyerek hassas verilerini yönetmeye başlamalı. Gidilmesi gereken oldukça uzun bir yol olduğunu da belirtmek gerekiyor.

Bu kapsamdaki yeni bir araştırma ise pek iç açıcı değil, zira organizasyonların sadece %8’inin tasarımla gizlilik stratejisini uyguladığını ve üçte ikisinin ya yapım ya da planlama aşamasında olduğunu gösterdi.

4- API (uygulama programlama arayüzü) güvenliği

API, uygulamaların birbirleriyle iletişim kurmasını sağlayan arayüz yazılımları temsil ediyor. Yakın zamanlı bir anket, 2020’de geliştiricilerin yaklaşık %90’ının API kullandığını gösterdi. Geliştiriciler dijital dönüşümü hızlandırmak için daha çok mikro hizmet ve açık kaynak araçlarına ihtiyaç duydukça API’lar, dijital iş yeniliğinin ana tetikleyicileri haline geldi ve organizasyonları API güvenliği alanında kendilerini geliştirmeye zorladı.

Web uygulama güvenlik duvarları ve DDoS güvenliği genel siber güvenlik görünümü için önemli olsa da, API’lara dayanan geliştiricileri zor duruma düşüren siber suçluları engellemeye yeterli olmuyorlar. Organizasyonlar dahili alanda güvenlik önlemleri hayata geçirmek ve çoklu bulut uygulamaları ile kritik API güvenlik saldırılarını önlemek zorunda. Böylece OpenAPI özelliklerine uygun ve olumlu güvenlik modeli inşa etmeli, güvenliği API yaşam döngüsü yönetimine dahil etmeli, ayrıca web sayfası ile API güvenliği için tam bir güvenlik sunmalılar.

5- Çalışan bilinçliliği

Yakın tarihli bir araştırmaya göre, şirketlerin %30’u kendi çalışanlarının en büyük güvenlik riski olduğunu düşünüyor. Bu durumun sebepleri arasında yetersiz eğitim, zayıf güvenlik politikaları ve etkisi düşük iletişim politikaları yer alıyor. Kısacası, eğer çalışanların bir el kılavuzunda belirtilen güvenlik basamaklarını okuyarak bu alanda gerekli bilgi birikimini sunacağını bekliyorsanız, siber güvenlik tiyatrosu gerçekleştiriyorsunuz.

Yeni bir araştırma, siber güvenlik unsurlarının %80’inin e-posta ve oltalama saldırılarından gerçekleştiğini, kötü amaçlı yazılımların %94’ünün de bu yöntemle taşındığını gösteriyor. Dahası, ABD’deki çalışanların yarısından fazlası bir oltalama mailini tespit etmekte zorlanıyor. Peki ne yapılmalı?

Güvenlik ekipleri çalışanlar için en iyi uygulamalar üzerinde devamlı eğitim sunmalı ve tehdit aktörleri hakkında bilgilendirme yapmalı. Simülasyona dayanan oltalama saldırısı uygulamak bu alanda oldukça başarılı olabilir.

Emniyet kemeri ve kask analojisine geri döndüğümüz zaman, insanların araç içerisinde kask giymemesi için birçok sebep var. Siber güvenlik uzmanları diğer insanların hassas bilgilerini yönetirken aynı konforu tecrübe etmiyor. Tehdit alanı genişledikçe ve risk olasılığı arttıkça, yönetici ekipleri ve kamu “siber güvenlik tiyatrosuna” karşı sabrını kaybediyor. Artık daha iyi güvenlik sağlamanın vakti geldi.