Pandemi sonrası tüm çalışma kültürümüz baştan aşağı değişti. Örneğin güncel bir araştırmaya göre IT güvenlik ekiplerinin yüzde 95’i coronavirüs nedeniyle yeni güvenlik açıklarıyla mücadele etmek zorunda kalıyor.
Çalışma kültüründeki değişim elbette global ölçekte son derece hızlı bir şekilde gelişti. Bu değişimleri aşağıdaki maddelerde sıralayabiliriz…
Karantina ya da sınırlama gibi farklı isimlerle anılsa da bütün ülkelerde benzer engeller devletler tarafından zorunlu olarak uygulandı. İnsanlar da evlerinden çalışmak zorunda kaldılar. Oluşan tabloda kurumlar özel VPN üzerinden bağlantı kurarak daha güvenli bir ortam oluşturmaya çalıştı. Yalnız sadece iki hafta gibi inanılmaz kısa bir sürede personelin %99’u uzaktan çalışmaya başlayınca ister istemez bocalama evresi yaşandı. Özellikle bazı kurumların ilk kez uzaktan deneme yöntemiyle tanışması tabir yerindeyse yangına körükle gitmekle eş değer oldu. Gel gelelim bu yeni normal hakkında fikri alınan çalışanların %78’i en az fiziki olarak bulundukları ofis ortamı kadar üretken olduklarını belirtti. Gartner CFO’nun güncel bir araştırmasına göre şirketlerin %74’ü , personelinin bir bölümünü daimi olarak uzaktan çalışmaya ayıracağını açıkladı. Benzer açıklamada bulunan Facebook artık ekibinin %50’sinin uzaktan çalışacağını duyurdu.
Görünen o ki yeni normal yakın zamanda eskimeyecek.
Birlikte çalışmak için detaylara “zoom” yapıyoruz. Artık yüz yüze toplantılar mazide kaldı. Bunun yerine Zoom, Teams ve Slack gibi programlardan yararlanıyoruz. Zoom’dan örnek vermek gerekirse Aralık 2019’da günlük 10 milyon seans gerçekleşirken bu sayı Nisan 2020’de 300 milyonun üzerine çıkarak %3000’lik inanılmaz bir büyüme gösterdi.
- Dijital dönüşüm ve buluta geçiş hızlandı. Fortune dergisinin 500 CEO üzerinde yaptığı araştırmaya göre bu kişilerin %75’i özellikle bulut kaynaklarını tepeye alarak teknolojik bir dönüşümü hızlandırmış durumdalar. Aynı zamanda bu CEO’lar teknolojiyi mevcut işin devamlılığı için kullanmaya başladıklarını ifade ederek çift yönlü bir kazanç elde ediyorlar. Tabii hal böyle olunca masaya gelen her türlü yenilik için “Yapın gitsin!” anlayışı benimsenebiliyor. Teknolojiye yatırımda aceleci davranmak yerine doğru ve ucuza kaçmadan ilerlemek gerektiğini bir kez daha hatırlatalım.
Eğer bir şeyleri doğru yapmıyorsanız emin olun büyük riske giriyorsunuz. Gömleği doğru düğmeden iliklemeye başlamazsanız ne olacağını biliyorsunuz. Balığın baştan kokması ipucunu verelim…
Yeni iş modeli güvenli risklerini artırıyor
Dünya Ekonomi Forumunun COVID-19 üzerine hazırladığı bir rapora göre zirvede yer alan 350 profesyonelin %50’si siber tehditler konusunda endişe duyuyor. Bu kişiler özellikle iş yapış şeklinin değişmesinin veri hırsızlığına yol açabileceğini düşünüyor. Dolayısıyla kurumsal yapıların risk analizi doğru yapılmalı ve yeni normal içerisindeki kurgu bu doğrultuda hazırlanmalı. İşte dikkat etmeniz gereken temel birkaç nokta:
Sosyal mühendislik saldırıları korku, belirsizlik ve şüphe duygularını istismar ediyor. Dünya Ekonomi Forumu korku, kafa karışıklığı ve hatta sıkıntı ve meraktan kaynaklı olarak insanların yoğun bir bilgi talebinde bulunduğunu ortaya koydu. İşte bu duygular ne yazık ki çeşitli güvenlik açıklarına davetiye çıkarıyor. Örneğin siber suçlular kötü niyetli veya casus yazılımlar ya da yemleme yöntemiyle avlanıyorlar. Check Point isimli araştırma ekibi, insanların yaşadığı korkunun özellikle yemleme tipi saldırılarda belirgin bir artışa neden olduğunu ifade ediyor. Dolayısıyla bu perspektiften bakıldığında COVID-19 sadece bir virüs değil, büyük ve başarılı bir saldırı unsurudur.
- Saldırı zemini katlanarak büyüyor. Kurumsal varlıkların hızla uzaktan erişime açılması ile birlikte birçok kişisel bilgisayar iş ağlarına bağlanmaya başladı. Bu bilgisayarların eksik yama gibi güvenlik açıkları olabiliyor. Kaldı ki çoğu bilgisayarda ne yazık ki zararlı yazılımlara karşı koruma programı bulunmuyor. Hatta bazı durumlarda aile içi ortak kullanılan bu bilgisayarlarda PUBG gibi oyunların yüklü olduğunu görüyoruz. Demek ki birçok kişi iş ortamına ve dolayısı ile “kritik altyapıya” erişebilme yetkisine sahip. Kritik altyapı ise trafik ışıkları, su sistemleri ya da asansör gibi gündelik hayatta sıklıkla kullanılan çözümlerden oluşuyor. Call of Duty’i korsan oynayan bir çocuğun üzerinden saldırganların böyle bir sisteme erişince neler olabileceğini düşünebiliyor musunuz?
- Kritik altyapıya erişim sadece bilgisayarlarla sınırlı değil. Artık uygulamaların bulut üzerinden çalışması mobil cihazları daha işlevsel hale getirdi ve dolayısı ile akıllı telefonlar iş amaçlı olarak uzaktan merkeze erişmeye başladı. Ancak IT güvenlik ekipleri hızla bulut ortamına taşınırken gerekli güvenlik önlemlerini almakta ne yazık ki yeterlilik sağlayamadılar. Sonuç olarak saldırganların içeri sızabileceği koca bir delik oluştu. Sadece geçtiğimiz mayıs ayı içerisinde pandemi kökenli siber saldırılar %30 artarak 200,000’i buldu.
Artık herkes kendi evinin güvenliğinden sorumlu bir CISO—Ofisten kopup evde çalışmaya başladığımız bu hızlı dönüşüm sürecinde artık oturma odamız bile bir nevi şirket malı haline geldi. Öyle ki 8 yaşındaki çocuğunuz artık şirket verilerine (istemeden de olsa) erişebilir hale geldi. Bu nedenle veri dediğimiz bilgi artık soyut olduğu kadar somut ve elle tutulur bir hale geldi. Tabii ki şirketler oturma odanızı kontrol edemez ancak her çalışanın kendi güvenliğini sağlamasını bekler. Görünen o ki yakın gelecekte güvenlik politikaları uzaktan çalışma ile ortaya çıkan yeni riskler doğrultusunda evrilecek.
Pandemi elbet ortadan kalkacak; ancak sonuçları ile yaşamak zorunda kalacağız
Dünya Ekonomi Forumu ve Zürih Sigorta şu gerçeğin altını çiziyor: “Teknoloji, teletıp ya da e-ticaret gibi alanlarda yeni ve temassız bir ekonomi oluşturuyor. Click and Connect dediğimiz mağazadan teslim alma gibi yeni çözümler ise sosyal mesafe kuralına paralel olarak bu ekonomi ile değişiyor. Değişimlerin kaçınılmaz olduğu bu sektörlerde yeni fırsatlar kadar yeni siber tehdit riskleri de doğmuştur.”
Dünya Ekonomi Forumu analizi bizi şu şekilde uyarıyor: “COVID benzeri küresel siber tehditlere karşı hazırlıklı olmalıyız. Emin olun bu saldırılar virüsten daha hızlı yayılma kapasitesine ve ekonomileri daha derinden sarsma potansiyeline sahip.” Küçük büyük demeden tüm kurumlar siber saldırılara karşı önlemini şimdiden almalı.
Güvende kalın, harekete geçin!
Coronavirüs ile birlikte yeni trendlerin doğumuna ve buna paralel olarak da yeni çalışma yöntemlerine tanıklık ediyoruz. Artık eskisi gibi çalışmayacağımız bir gerçek. Dijital dönüşümün hızlanması, uzaktan erişim ve buluta geçiş artık anayasanın ilk üç maddesi kadar değişmez kaide olarak önümüzde. Yasa dediğimiz zaman elbette onun karşısında yer alan siber suçluları unutmayalım. Artık çalışma hayatımız boyunca siber tehditlerle yaşamayı öğrenmemiz gerekiyor. Yeni gerçeklik fırsatlar ve tehditleri aynı potada eritiyor.
İşte size yeni gerçekliğe uygun güvenlik konusunda birkaç ipucu:
Gerçek zamanlı koruma
Hepimizin bildiği gibi aşı en geçerli tedavidir. Aynı şekilde siber güvenlik konusunda gerçek zamanlı koruma kurumları ve çalışanları korumak için esastır. Özellikle pandemi kaynaklı güvenlik risklerinin arttığı bu dönemde gerçek zamanlı korumadan vazgeçmeyin.
Her şeyi koruma altına alın
Zincirin her halkası değerlidir ve güvenlik konusunda önem arz eder. Kurumlar ağ altyapıları, süreçler, IoT, sisteme bağlı mobil cihaz ve bilgisayarlar başta olmak üzere her bir aşamayı tekrar tekrar kontrol etmelidir. Bulut çözümlerinin yoğun olarak kullanılması özellikle sunucusuz uygulamalarda ve depolama alanlarında güvenliğin daha bir özen ve dikkatle kurulmasını zorunlu kılıyor.
Güçlendirme ve netlik
Hazır şirketler büyük bir altyapı değişimine giderken bunu güvenlik alanında yapacağınız yatırım fırsatına çevirmeye ne dersiniz? Gerçekten bu dönüşüm, bizi hedeflerimize ne derece yaklaştırıyor? Korumaya çalıştığımız şeyler buna değer mi yoksa büyük resmi kaçırıyor muyuz? Etkiyi artırmak adına güçlü ve sağlam bir temel inşa edip en üst seviyede netlik ve anlaşılırlık ilkelerine güvenin. Bütüncül bir yönetim anlayışının peşinden koşun. Bunun için de sorunlarınızı çözmek için farklı tedarikçilerden farklı ürünler satın almayı azaltın.
Siber güvenlik çözümlerinizin kullanımı basit, uygulaması kolay olması en iyi korumayı sağlayacaktır. İşte güvenlik konusunda işinize yarayabilecek bir tablo:
| Değişim | Etkisi | Risk | Geçilmesi Gereken Süreç ve Teknolojiler |
| Evden Çalışma | Kişisel mobil cihaz ve bilgisayarların iş ağına erişmesi | Veri ihlali. Özellikle PC ve mobilde tuş ve ekran kaydediciler. | 1. Son kullanıcı bazlı tüm yama ve
güncellemeleri kontrol eden güvenlik sistemi
2. Kullanıcı farkındalığını artırma eğitimi (Örneğin yemleme simülasyonu) 3. Mobil platformlarda mobil tehdit koruması |
| Bulut çözümlerine hızlı geçiş | Güvenlik riskine karşı büyük bir hız kazanımı | En teme güvenlik ayarları bile veri kaybına ya da manipülasyonuna neden olabilir. | 1. Bulut güvenlik yönetiminize
yatırım yapmak
2. Sunucusuz çalışan uygulamalara da güvenlik sistemi kurmak
3. Tehditlere karşı gerçek zamanlı koruma |
| Kritik altyapı | Kritik altyapıya uzaktan erişime izin vermek | Kritik altyapı ihali | 1. IoT cihazlara uygun IoT güvenliği
2. Ekip olarak güvenlik konusunu ele alıp bir sistem oluşturmak 3. SCADA ile güçlendirilmiş OT güvenliği |
| Hızlandırılmış ağ kapasitesi | Hızlı veri akışını kontrol etmek için daha kapsamlı çözümler. | Servis eksikliği.
Ağın düşmesi.
|
1. İhtiyaçlar doğrultusunda
şekillenebilecek bir ağ güvenlik sistemine yatırım yapın 2. İş devamlılığını sağlarken diğer taraftan güm güvenlik önemlerinin alınması. 3. Ölçeklendirilebilir güvenli uzaktan erişim |
Özetleyecek olursak krizle boğuştuğumuz geçtiğimiz son birkaç ay içerisinde esnek ve çabuk davranmamız gerektiğini öğrenmiş olduk. Pandemi elbet bir gün hız kesecek ve sular durulacak ancak etkileri uzun bir süre bizi çeşitli yönlerden sarsmaya devam edecek. Birbirimize bağlı kalmanın en sağlıklı yolu kesinlikle korunmaktan geçiyor. Elbette hem hijyeni hem de siber güvenliği kast ederek bu cümleyi kuruyoruz. Günümüzün dinamiklerinde değişime hızla uyum sağlamak hayatta kalmak için en geçerli kural. Görünen o ki siber güvenlik artık bir işi mümkün kılan belki de ilk unsurlardan biri. Dolayısıyla güvenlik yetkilileri kurumlarını güvenli limanlara ulaştırmak için kritik bir rol üstlenmiş durumdalar.
