Dijitalleşme ile Artan Güvenlik Saldırılarından Nasıl Korunuruz?
Paynet CTO’su Gökhan Öztorun
Günümüzde dijitalleşmeyle birlikte artan saldırı yüzeyinin, kötü niyetli gruplar için daha çok fırsat yarattığını belirten Paynet CTO’su Gökhan Öztorun, bu tür saldırılara karşı alınması gereken önlemleri aktardı:
Günümüzde teknoloji, ürün geliştirmeden satışa kadar her bir iş sürecinin tam kalbinde ve işletmelerin merkezi sinir sistemi haline geldi.
Teknolojinin insanların kişisel yaşamlarındaki rolü de önemli ölçüde genişledi. Şirketler sosyal medyayı daha çok kullanırken, çalışanlar da kurum e-postalarına girişte kendi cihazlarını daha sık kullanmaya başladılar. İş hayatı ve kişisel hayat içerisinde kullanılan teknolojiler arasındaki sınırlar neredeyse kalktı. Dolayısıyla bilgi sistemleri, kişisel, finansal ve diğer bilgileri yönetmek için daha geniş bir alanda güvenlik riskine maruz kalıyor.
Dijitalleşmeyle birlikte artan saldırı yüzeyi, kötü niyetli gruplar için daha çok fırsat yaratıyor. Şubat 2020’den bu yana phishing saldırıları %600, fidye yazılım (ransomware) saldırıları da %148 artmış durumda ve artmaya da devam edecek. Saldırganlar her geçen gün daha karmaşık teknikler üretiyor. Gelişen teknolojiyi yakından takip edip, her zaman bir adım önümüzde olmayı başarıyorlar. Saldırıların çoğu hedef odaklı ve genellikle güvenlik duvarlarını ve anti virüsleri atlatabilecek şekilde bireyleri hedef alıyor. Siber saldırıların %75’i e-posta ile başlıyor.
Güvenlik alanında hareketsiz kalmak, kötü niyetli saldırganlar için kolay hedef olmakla aynı anlama geliyor. Dünyada her 29 saniyede bir siber atak gerçekleşiyor. Bu saldırılara karşı kendimizi korumak için, teknolojiyi çok yakından takip etmek ve kendimizi devamlı geliştirmek durumundayız.
Paynet olarak bu konuda sıklıkla eğitimler düzenliyoruz. Sızmaların %67’si, şifrelerin çalınmasıyla, insan hatasıyla ve sosyal mühendislik saldırılarından meydana geliyor. Bu da gösteriyor ki, teknolojik ve sistemsel olarak ne kadar başarılı olunsa da, en önemli faktör kesinlikle insan. Bir şirketin güvenliğini sadece bilgi sistemleri ekibi ve teknolojisi ile sağlamak mümkün değil. Şirketin her bir çalışanı, her bir departmanı, eğitimler almalı, kişisel verilerinin ve şirket verilerinin güvenliğinin korunmasında önemli bir rol oynadığının farkında olmalı. Paynet olarak biz, “Önce Güvenlik” prensibini ve kültürünü oluşturduk.
“Önce Güvenlik” prensibinin amacı, sürekli iletişim ve eğitim prensipleri ile çalışanlarımızın bu konuda her zaman en güncel bilgiye sahip olmalarını sağlamak. Tüm iş modellerimizde, süreçlerimizde, stratejilerimizde güvenlik unsuruna öncelik vermek ve buna işe alım ile başlamak gerekiyor.
Türkiye’nin en iyi güvenlik firmaları üzerinden sürekli sızma testi yaptırıyor, dünyada kabul görmüş güvenlik standartlarına göre her sene denetleniyoruz (PCI-DSS). IT ekibimiz güncel güvenlik gelişmelerini yakından takip ediyor, eğitimler ile kendimizi güncel tutuyoruz. Yazılım geliştirici arkadaşlarımız her sene güvenli yazılım geliştirme eğitiminden geçerek, sertifikalarını güncel tuyorlar
“Önce Güvenlik” prensibini ürün geliştirme çalışmalarımız esnasında da titizlikle uyguluyoruz. Her geliştirmemizi ilk önce aşağıdaki beş değişkene göre değerlendiriyoruz.
- Risk ve Uyum: Güvenlik, gizlilik ve regülasyon gereksinimlerini karşılıyor mu? Paynet’in risk toleransına, güvenlik ve gizlilik ilkelerine uygun mu?
- Müşteri İhtiyaçları: Müşterimizin gizlilik ve güvenlik ihtiyaçları ve genel deneyimlerine uygun mu?
- Üretkenlik ve Kullanıcı Deneyimi: Kontrollerin kapsamı kullanıcıların işlerini yapmasını zorlaştırarak iş hızını düşürüyor mu? Kullanıcıların güvenlik politikalarını izlemesi veya kullanması zaman alıcı ve zorlaştırıcı mı? Eğer gereğinden fazla zorlaştırırsak, kullanıcılar onları görmezden gelebilir ve böylece daha fazla risk oluşturabilir.
- Maliyet ve Bakım: Kontrollerin toplam maliyeti, kurulum ve bakım maliyetleri.
- Pazar hedefi: Şirket hedeflerimize uygun mu?
Üç tip güvenlik kontrolü bulunuyor, bunlar, ‘saldırı önleme,’ ‘saldırı tespit etme’ ve ‘saldırıya cevap verme.’ Saldırı önleme, herhangi bir riskin, kullanıcıları ve sistemi etkilemeden engellenmesiyken, saldırı tespit etme ise, sistemlere yapılan sızmaların ve zararlıların tespit edilmesi ve tanımlanması anlamına geliyor. Saldırıya cevap verme ise, herhangi bir saldırıya karşı aksiyon alınmasıdır.
Güvenlik ve risk bakış açısı ile “saldırı önleme” faaliyetleri sızmayı ve saldırıyı engellemeye odaklanırken, saldırı tespit etme ve cevap verme faaliyetleri saldırının zararını en aza indirmeye odaklanır. Paynet’te saldırı önleme faaliyeti olarak, sürekli tehdit modellemesi yapıyoruz. Saldırı gelebilecek noktalarda (attack surface), saldırgan kabiliyetlerine göre risk değerlendirmesi yaparak, doğru yatırım ile maksimum güvenlik seviyesini yakalamaya çalışıyoruz.
Olası bir saldırının zararlarını en aza indirmek için güvenlik mimarisini titizlikle dizayn ediyoruz. Doğru ağ bölümleme (network segmentation), uzun yıllardan beri ağ güvenliği mimarisinin en iyi uygulamalarının temelini oluşturmuştur. Etkin erişim kontrol ve yetki kontrol politika ve prosedürleri uyguluyoruz. Ağ güvenliği mimarisi en iyi uygulamalarından “ağınızın saldırı yüzeyini azaltın” prensibi ile ihtiyacımız olmayan her şeyi kaldırıyor veya devre dışı bırakıyoruz.
IBM’in verilerine göre bir sızıntının tespit edilme süresi ortalama 206 gün. Bir saldırıyı kısa sürede tespit etmek ve zararlarını mimimuma indirmek için “Bilgi Güvenliği ve Kayıt Yönetimi” uygulamaları ile güvenlik mimarinizi güçlendirmeniz gerekir. Bu uygulamaları da etkin bir olay müdahale planı ile desteklemek gerekiyor.
Finansal teknoloji rekabetin yoğun ve zorlu olduğu bir sektör, bir yandan çalışanların üretkenliğini artırmanız gerekirken, bir yandan yenilikçi ürünler geliştirmeniz, bir yandan da finansal teknolojiyi çok yakından takip etmeniz ve aynı zamanda mimarinizi riski önlemek, saldırı yüzeyinizi küçültmek, sürdürülebilir olmak için tasarlamanız gerekiyor. Paynet gibi hızlı büyüyen şirketler, kurdukları esnek ve dinamik mimari yapı sayesinde her geçen gün değişen tehdit alanlarında güvenliği sağlayabilmek için avantaj sağlıyor.
Dijitalleşmenin her sektörde kurum için vazgeçilmez hale geldiği günümüzde, şirketler de kendi tedarikçilerini ve iş ortaklarını seçerken güvenlik ve risk faktörlerine öncelik verme konusunda bilinçleniyor. Bu nedenle Paynet gibi yarını düşünüp bugünden önlem alan ve mimarisini doğru güvenlik yatırımlarıyla destekleyen şirketler, tanık olduğumuz bu dönüşümün kazananı olacaktır.