Modulus Financial Engineering’in CEO’su Richard Gardner, yüksek hacimli otomatikleştirilmiş yazılımla (ve kodları yazan çalışanlarla) bağlantılı risklerden nasıl kaçınılacağı, önleneceği ve azaltılacağı konusunda tavsiyelerde bulunuyor.
Geçtiğimiz ay Knight Capital Group hatalı bir otomatik finansal işlem yüzünden yarım saat içerisinde 440 milyon dolar kaybetti. Söz konusu kayıp pazarı karıştırdı, müşteri itimadını zedeledi ve Business Insider’a göre Amerikan Sermaye Piyasası Kurulu’nu (SEC) finansal işlemleri kontrol eden yazılımlara dönük yeni düzenlemeleri ele almaya yöneltti. Bu arada, bundan haberi olanların çoğu konuşmuyor.
Richard Gardner’a, Modulus Financial Engineering CEO’suna kulak verin. Scottsdale, Arizona’da bulunan Modulus, 1997’den bu yana endüstriye finansal ürünler ve danışmanlık sağladı. Bugün firma 55 çalışana, Barclays, Bank of America, Chase ve E*Trade’in dahil olduğu bir müşteri listesine sahip.
Firma kurucusu Gardner, finansal sistemlerde işlem yapmaya 15’inde, ailesinin hesabını kullanarak başladı. 23 yaşında işlemlerinde yardımcı olması için ilk yazılım sistemini yazdı; bu sistem hasat ve hava durumunu baz alarak emtia fiyatlarını analiz ediyordu.
Finansal servisler endüstrisi içindeki 13 yılında, Gardner çıkışlar, inişler, gelişim ve bir iki çöküş gördü. Yüksek hacimli yazılımla bağlantılı riskler, bir güvenlik risk değerlendirmesi nasıl gerçekleştirilir ve firmanızı hem dahili hem de harici siber suçlulardan nasıl korursunuz konularındaki görüşlerini dinleyelim.
İstemsiz ve maksatlı hatalara karşı tetikte olun
CIO: Geçtiğimiz günlerdeki Knight Capital hikayesi ve hisse pazarındaki bağlantılı yazılım “kusurları” söz konusuyken, yüksek frekanslı alım satımı bir risk olarak görüyor musunuz? Bu muhtemel bir tehdit mi?
Richard Gardner: Evet. Yazılım testlerindeki bariz eksikler ve yakın zamanda belirli finansal enstitülerin ortaya koyduğu kalite güvencesi ortadayken, finansal endüstri içerisinde belirgin güvenlik tehditleri ile potansiyel siber savaş hedefleri mevcut. Kaspersky Lab’a göre elektronik borsalar ve finansal enstitüler hedefler için listenin başında yer alıyor
CIO: Otomatik alım satımlardaki genel riskler hakkında biraz konuşalım. Bu probleme maruz kalan başka firmalar var mı; Wall Street’de dahi olmayan, söz gelimi otomatik EDI işlemleri sağlayanlar? Bu riski azaltmak için ne yapmaları gerekir?
Gardner: Bir gün torunlarıma sabit bir telefon hattı üzerinden gerçek bir broker’ı arayarak borsada işlem yaptığım hikayeleri anlatacağım. Broker’ıma bir hisseyi belirli bir fiyattan alması emrini verebilir ve aynı anda satın aldığım fiyatın altında bir yerde bir “stop loss” emri yerleştirebilirim. Böylelikle eğer pazar aleyhime döndüğü takdirde ben otomatik olarak “durdurulabilir” ve toplam hesabımdan az bir kayıpla kurtarabilirim. Bu senaryoda dahi otomatik alım satımın bir biçimi gerçekleşiyor. Talimatlarımı taşıyan benim broker’ımdı, bir bilgisayar değil.
Elbette bir bilgisayar talimatları bir insana göre çok daha hızlı gerçekleştirebilir ancak bir bilgisayar özellikle buna yönelik programlanmadıkça problemleri belirleme sağduyusuna sahip değildir. Eğer bilgisayar hataları tespit etmek için programlanmadıysa, hatalı emirleri kabul edebilir ve saniyede milyonlarca talimatı yürütebilir.
İşte ani çöküşler genellikle böyle gerçekleşiyor. Bu finansal pazarlar içinde, otomatik EDI sistemlerinde veya diğer herhangi bir şeyde olabilir. Güçlü hata kontrolü ve risk yönetimi otomatik sistemler için iki temel gereksinimdir.
CIO: Çoğu durumda bu gibi yüksek frekanslı alım satım uygulamalarının zaman baskısı altında, çok az denetim ve uyumlulukla geliştirildiğini birliyoruz. Bizi bu karmaşaya sokanlar ortaya çıkan istemsiz hatalar. Az denetim ve uyumluluk beni maksatlı hatalar konusunda düşünmeye itiyor. Bu algoritmaları kullanan birisinin bir firmayı dolandırmak üzere kullanması riski var mı? Eğer evetse, bu riski savuşturmak için firmaların yapabileceği şeyler neler? Kaçının bunu yaptığını görüyorsunuz?
Gardner: Evet, birisinin bir firmayı dolandırmak üzere maksatlı bir biçimde hataları ortaya çıkartma riski bulunuyor. Aynı Office Space filmindeki gibi; filmde işlerinden nefret eden çalışanlar muhasebe sistemine bir bilgisayar virüsü bulaştırmaya karar verir ki söz konusu virüs kendilerinin kontrol ettiği bir banka hesabına para aktarır. Log’lar, ağ güvenliği ve kaynak kodu dahil olmak üzere tepeden tırnağa her şeyi incelemek için dışarında bir grup tarafından rutin ve tesadüfi denetlemeleri tavsiye ederiz. Çalışanlar bu tesadüfi denetimleri bilmeli, bunları beklemeli ve hazır olmalılar.
“İşteki denetim, havalimanlarındaki görüntüleme gibi olmalı “
CIO: Firmaların güvenliğini sağlama deneyiminizde, ilk olarak ne yapıyorsunuz?
Gardner: Atılacak ilk adım korunması gereken fikri mülkiyetlerin bir listesini oluşturmaktır. Listenin ayrıntılı olması gerekiyor ve e-posta, satış listeleri, çalışan verileri, ticari sırlar, firma öngörüleri, kaynak kodu, VoIP iletişimleri ile alım satım sistemi algoritmaları ya da donanım şemaları gibi ticari sırlar gibi maddi olmayan varlıkları da içermeli.
Her şeyi güvenli ve güvenli değil olarak (arası yok) listelemek önemli. Unutmayın, hacker’lar ilk olarak ön kapıları değil arka kapıları araştırır. O zaman ağ güvenliği, güvenli olmayan ya da kolay çalınabilecek parolalar, malware, casus yazılım internet girişi, yazılımdaki istemsiz veya maksatlı arka kapılar, fiziki güvenlikteki sorunlar ve ölçüsüz çalışan davranışları gibi potansiyel tehditlerin bir listesini oluştururuz.
CIO: Her firmanın farklı olduğunun farkındayım ama bu değerlendirmelerde neler bulduğunuzu ve bunları düzeltmek için yaptığınız şeyleri anlatabilir misiniz?
Gardner: Hırsızların yazılım ve ağları hedef almasını kolaylaştıran şey, bir veya daha fazla güvenlik açığının kesin varlığıdır. Hiçbir savunmasız nokta bulunamadığında dahi, hırsızlar hattı dinlemeye, hatalara veya atıkları karıştırmaya yönelebilir. Cep telefonu hatalarından, key logger’lara ve yazılım arka kapılarına giden casus yazılımlara her şeyle karşılaştık.
Ölçüsüz çalışanlar da probleme neden olabilir. Söz gelimi, yazılım geliştiricileri sıklıkla yardım için arama motorlarına ve programlama topluluklarına yönelir, firma programı kodunun tüm segmentlerini genele açık forumlara yapıştırır. Veya çalışanlardan bir tanesi daha az güvenli olan bir bağlantı üzerinden evdeki diğer hesaplarında kullandığı aynı parolayı işte de kullanabilir. Genellikle bunlar istemsiz güvenlik kazalarıdır ancak bizim bulduğumuz şey insanların bilgisayarlara nazaran daha az öngörülebilir olmasıdır ve firmalar çalışanlarının güvenlik eğitiminden geçmesi gereksiniminde faydalanabilir.
CIO: Bir güvenlik ihlali neye benziyor?
Gardner: En ciddi güvenlik ihlalleri genellikle sistemi bilen içeriden kişiler tarafından gerçekleştirilir. Insider Threat adlı FBI sayfası ihlal türlerinin neye benzediğini gösteriyor. Bu sayfalarda çeşitli motivasyonlar ve gerçek hayat örneklerini listeliyor; Mayıs 2007 ila Haziran 2009 arasında Wall Street’de çalışan bir bilgisayar programcısı, 42 yaşındaki Sergey Aleynikov gibi. Sergey, milyonlarca dolar değerinde özel kaynak kodunu çalmıştı. Firma rutin ağ görüntüleme sistemi üzerinden usulsüzlükleri keşfetti ve yetkililere haber Verdi.
Wall Street’deki müşterilerimizden birisi benzer bir problemle karşılaşmalarının ardından bizimle irtibat sağladı. İki bilgisayar programcısı bir sunucuyu hack ederek çok değerli alım satım sistemi kaynak koduna erişim sağlamıştı. İncelemenin ardından müşterinin sunucusundaki parolanın, programcının kaynak kodu ambarı üzerinde kullandığıyla aynı olduğunu öğrendik.
CIO: Bu ihlalleri bulduğunuzda, problemleri çözmek için ne yaptınız?
Gardner: Müşteri sunucu parolasını değiştirdi, ama artık çok geçti. Fikri mülkiyet ve ticari sırlar bir kez çalındılar mı geri getirilemez, ne yazık ki. Fikri mülkiyet takip edilip gerçek sahibine geri döndürülebilecek somut bir şey değil.
CIO: Sizin kafanızdaki güvenlik ve gizlilik nasıl? Gizlilikle ilgili olarak firmalar ne yapmalı ve buna kim karar vermeli?
Gardner: 1980’den bu yana Güvenlik ve Korsanlık üzerine IEEE sempozyumu düzenleniyor. Bu tam bir görecelik kuramı değil ama güvenlik ve korsanlık, yer ve zamana bağlı olarak bir ve aynı ya da iki ayrı şey olabilir.
Güvenlik ve korsanlık evde ya da iş dışındayken bir ve aynıdır. Ancak işte ya da çalışma saatlerinde, güvenlik ve korsanlık iki ayrı endişedir; bir kişiye iş verildiği sürece, belirli bir dereceye kadar güvenlik gizliliğe göre önceliği alır. Prensipte, iş esnasındaki kontrol, fazlasıyla havalimanlarındaki görüntülemeye benzemelidir.
Siber savaşa hazır olmak için, “Açık kapı bırakmayın”
CIO: Daha önce Kaspersky Lab’dan bahsettiniz. Wired’ın son sayısında Eugene Kaspersky bilinen ilk siber silahın bulunduğunu açıkladı: İran’ın bilgisayar merkezlerine saldırmak için tasarlanan bir Truva atı. Geriye doğru baktığımızda bu aktif siber savaş programının sadece Amerika’da olduğuna işaret ediyor. Bunun doğru olduğunu düşünüyor musunuz? Siber savaş tehdidinin abartıldığını düşünüyor musunuz, düşünmüyorsanız dünyanın finansal sistemleri ne tür risklerle karşı karşıya?
Gardner: Siber savaş tehdidi gerçek. Amerikan ordusu agresif bir biçimde siber savaş için hazırlıklar yapıyor; diğer savunma programları kırpılmış olsa dahi. Siber casusluk ve sabotajı hesaba katarak, Amerika muhtemelen aktif bir siber savaş programına sahip tek ülke değil. Örneğin, 2011’de MI6 bir El-Kaide sunucusuna sızdığını ve boru tipi bir bomba yapım tarifinin kek tarifleriyle değiştirildiğini açıkladı.
CIO: Bu örneklerin çoğunda, saldırı bir ülke ve/veya onun istihbarat biriminden ve kurban ise çok yönlü bir organizasyon. Tipik bir IT birimi nasıl yanıt vermeli? Diyelim ki kurum kredi kartı bilgilerine, sosyal güvenlik numaralarına, bir Internet varlığına ve bazı kamu sözleşmelerine sahip. Organizasyonla olan riski nasıl değerlendiriyorsunuz. Internet risklerini harici risklerle nasıl karşılaştırıyorsunuz?
Gardner: Risk dinamiktir ve sıklıkla ölçülemeyen sabit bir değişime tabidir. Her ne kadar bir firma küçük bir kamu kontratı üzerinde çalıştığı için düşman bir ulus tarafından hedef alınabilirse de, Joe’s Barbershop (Amerikan berber zinciri) sosyal bir endişe sebebiyle hacktivist’lerden nispeten kötü bir saldırı alabilir.
Her ne kadar OCTAVE, ISO 27005 ve Amerikan Standartlar Enstitüsü (NIST)nün NIST SP 800-30 gibi risk değerlendirme metodolojileri var olsa da, yapılabilecek en iyi şey düşmanlara hiçbir açık kapı bırakmamaktır. Kredi kartı bilgisi kaydedilmemeli. Gizli bilgiler şifrelenmeli. DDoS önleme planları ve seçenekleri yerli yerinde olmalı. Ağlar ve kodlarda herhangi bir güvenlik açığı bulunmamalı. Rasgele ve rutin denetlemeler gerçekleştirilmeli.
Neyin risk altında olduğunu anlamak önemlidir. Bir firmanın verileri, ticari sırları, operasyon ve itibarı her zaman farklı derecelerden risk taşır.
CIO: Bir yazılım liderinin bir güvenlik liderinden farklı olarak yapması gereken bir şey var mı? Bunu sadece PCI uyumluluk sorumlusuna bırakamaz mıyız? Değilse, ne yapmalıyız? Benim bundaki deneyimime göre çok fazla sahte güvenlik herhangi bir değer eklemeksizin yazılım geliştirmeyi yavaşlatıyor. Buğdayı samandan nasıl ayrıştırabiliriz?
Gardner: Güvenlik fikirli programlamanın yazılım geliştirmenin dahili bir parçası olması gerekiyor; hatta kavramsal tasarım fazından itibaren. Yazılım projeleri aynı zamanda ekipte güvenlik uzmanlarına sahip olmalı ki geliştiriciler her adımlarında rehberlik için uzmanlara dönebilirler.
