Ali Kuru, güvenlik ile ilgili sorularımızı yanıtladı
“GÜVENLİK KONUSUNDA YAPILMASI GEREKEN İLK ve EN ÖNEMLİ ADIM SİSTEMLERİN İYİ BİLİNMESİ VE GÜNCEL TUTULMASIDIR.”
Sizi tanıyabilir miyiz?
Bilişim teknolojilerine genç yaşlarda yazılım ve küçük elektronik donanımlar yaparak başladım. İlk zamanlarda basit C ve Basic dilleri kullanarak yazılımların ardında küçük çaplı Veritabanı geliştirme yazılımları ve network iletişim soket uygulamaları geliştirmiştim. Aradan 25 yılın üzerinde zaman geçmesine rağmen hala paralel port uygulamaları üzerinde çalışan uygulamalarım bulunmaktadır. Daha sonrasında ailemin de desteği ile bu bilgilerimi daha da geliştirebilmek için Bilgisayar Mühendisliği eğitimi aldım ve akabinde profesyonel hayata geçiş yaptım. Ayrıca elektronik alanındaki yetersizliğimi fark etiğimde ise Elektronik ve Haberleşme Mühendisliği eğitimimi çalıştığım dönemlerde bitirme fırsatı bulabildim. Birçok başarılı projelerin ardından ise rotamı yurtdışına, İngiltere'ye çevirdim ve orada BT ve havacılık sektörlerinde çalıştım. Aynı zamanda uydu sistem kontrollü robotlar üzerinden yüksek lisans programını tamamladım. Orada açılan Siber Güvenlik eğitimlerine katılma şansı buldum ki bu çok önemlidir. Stanford Üniversitesi destekli açılan eğitime katıldım. Uzun yıllardan sonra ülkeye dönüş yaptım ve biyometri ve kimlik tarafından güvenlik alanında ARGE çalışmalarında bulundum.
BBS'de neler yapıyorsunuz?
Bilgi Birikim Sistemleri'nde şirketimizin stratejik yatırım kararı olarak belirlediği Siber Güvenlik Departmanı'nın kurulumunu gerçekleştirdik. Bu bağlamda yaptığımız çalışmalarla, Penetrasyon ve Zafiyet Belirleme Testleri, SOC (Security Operation Center) kurulumları ve SOC hizmeti verebilecek altyapı ve dokümantasyonları başarı ile hazırlamış bulunmaktayız. Ayrıca departmanımız tarafından müşterilerimiz ile bilgi birikimlerimizi paylaşabilmek için farkındalık eğitimleri de verebileceğimiz çalışmaları tamamlamış bulunmaktayız.
Siber güvenlik nedir?
Siber güvenlik kapsamında toplumda oluşan algı biraz farklılık arz etmektedir. Edindiğim deneyimlerde Siber Güvenlik kavramı ile ilgili birçok BT uzmanlarının dahi kavram kargaşası içerisinde olduğunu gördüm. Akademik açıdan Siber Güvenlik; şirketlerin ya da ulusların genel güvenlik ihtiyaçları alanında teknoloji kaynaklı saldırların ve olumsuzlukların oluşturacağı pozitif ve negatif etkilerinin incelenmesi, belirlenmesi ve gerekli tedbirlerin alınması olarak geçmektedir. Aslında kavram olarak açık olmasına rağmen yalnızca bilgisayar sistemleri ve network sistemleri ile kısıtlı bir alanmış gibi algılanmaktadır. Sanılanın aksine Siber Güvenlik, güvenliğin çatısı olarak algılanmalıdır. Şöyle ki, bir şirketin girişinden, veri merkezi zafiyetlerine kadar olabilecek tüm olumsuzlukların yaratacağı pozitif ve negatif etkilerin incelenmesidir. Bugün birçok şirket tarafından kullanılan kartlı geçiş sistemleri, biyometrik sistemler hatta kimlik kartı veya pasaportlar siber güvenlik çatısı altında incelenmektedir.?
Türkiye'de ve dünyadaki siber güvenlik tehditleri nelerdir?
Ülkemizde teknoloji konusunda oldukça cömertiz diyebilirim. Aynı araçlarda olduğu gibi daima son teknolojiyi kullanmak ve sahip olmak istemekteyiz. Bunun dışında kaynakları inanılmaz şekilde kullanabiliyoruz. Birçok uluslararası siber güvenlik organizasyonlarında operatör ve uzman olarak bilgi ve birikimlerimi fırsat buldukça paylaşmaya çalışıyorum, Webinar ve bazı hacking sitelerinde birçok uzman ile tanışma fırsatı sıklıkla bulmaktayım. Zaten ikinci master olarak bu sektördeki en iyi kurum tarafında devam etmekteyim (EC-COUNCIL University), tanıdığım uzmanlar arasında alanında uzman ve dünya genelinde global firmalarda çalışan 15-20 yıllık deneyimli arkadaşlar bulunmaktadır. Sözün kısası, ülkemizde birçok uzman bulunmaktadır. Hatta kurumlar olarak alanında uzman personeller çalıştığını görmekteyim. Bunun dışında toplum olarak iki eksiğimiz olduğunu düşünmekteyim: Okumak ve İngilizce bilgisi konusunda sıkıntılarımız. Peki bu iki konu bizi neden siber güvenlik konusunda etkiliyor? Okuma alışkanlığımızın çok yaygın olmadığından farkındalık ve güncel atak bilgilerimizin olmaması ve kulaktan dolma bilgiler ile kavram kargaşası oluşmaktadır. İngilizce ise olmazsa olmazımızdır. Bugün Hindistan'da ortaya çıkan bir ZeroDay atağının algılanması ve önlem alınmasının bu iki konuyu etkilediğini düşünüyorum. Hızlı aksiyon almak bizim sektörümüzde olmazsa olmazdır.
Sizce güvenli sistemler nasıl olmalıdır?
Güvenlik konusunda yapılması gereken ilk önce sistemlerin iyi bilinmesi ve güncel tutulmasıdır. Bugün ZeroDay ataklara baktığınızda yaklaşık %85 civarlarında güvenlik yamalarından kaynaklı açıklar bulunmaktadır. Kullanılan sistemlerin bilinmesi ve gereksiz portların kapatılması, kullanılan portların da aktifliklerinin ve güvenlik policy'lerinin standartlara uygun olarak yapılması gerekmektedir. Ayrıca potansiyel riskleri minimum seviyelere indirebilmek adına, güncel güvenlik haberlerini ve eventleri takip etmeyi oldukça yararlı bulmaktayım.
Son dönemde gerçekleşen bir hacklenme olayından bahsedebilir misiniz?
En yakın tarihlerde olan iki farklı olay: İlki bir yemek kart firmasının hacklenmesi, diğeri ise Facebook. Her ne kadar bu olaylar Yemek Sepeti'nin daha önce yaşadığı Alertbox çıkması olayı gibi ödeme sistemlerine destek veren firmanın servislerinin ele geçirilmesinden kaynaklansa da, firmalar hem repütasyonlara hem de birçok hukuki süreçlere maruz kalmaktadırlar. Sunucu ve servislerinizin güvenliğinin korunması kadar size servis hizmeti veren hosting firmasının sistemlerin de bir o kadar güvenli olması gerekmektedir. Örnek olarak bir A şirketinin web sayfasını hedef aldınız ve birçok yöntem denediniz başarılı olamadınız. Kolay olan aynı hosting firması tarafından sağlanan diğer sayfa açıklarını araştırıp, en zayıf halkadan sisteme giriş yapıp yetki yükseltme ataklarının ardından hedef A şirketinin sitesinin ele geçirilmesi sağlanabilmektedir.
Gerçekten güvende miyiz?
Güvenlik oldukça kendimizi her zaman güvende hissetmek isteriz fakat kolay olmamaktadır. Tüm güvenlik semineri, eğitim ve webinarlarda bahsedildiği gibi en güvenli sistem offline sistemler olarak örnek verilmektedir. Fakat günlük hayatta her zaman global servislere ihtiyaç duymaktayız. Son kullanıcı olarak en basit yapılması gereken çalışmalar yapılmalıdır.
Kişisel güvenliğin arttırılması için neler yapabiliriz?
Kişisel güvenlik konusunda ilk olarak, bildiğimiz sitelere dosya paylaşımları yapmalıyız. Gelen mail adreslerinin uzantıları oldukça önemlidir. Phising çalışmalarında bir banka ya da yöneticiniz tarafından gelen mail gibi görünebilmektedir. Fakat mail uzantısına baktığınızda aslında farklı bir yerden gelen sahte bir mail olduğunu anlamak için çok hızlıca göz ucuyla bakmak gerekir.
Online satış sitelerinde (eCommerce) alış-veriş yaparken site üzerindeki url alanında sertifikalarını kontrol etmek, kart bilgileri gibi önemli bilgilerin çalınmasını engelleyecektir.
Ayrıca Public Wifi kullanımında, banka ya da şirket özelindeki verilere ulaşım sağlanmaması ve mümkün oldukça public wifi kullanımlarında email ya da şirket sistemlerine erişim sağlanmamalıdır.