Siber Güvenlikte Uzman Açığı Alarm Veriyor

-

Küresel düzeyde yaşanan en büyük tehditlerin başında artık siber saldırılar da geliyor. Siber güvenliğin etraflıca ele alındığı Endüstriyel Kontrol Sistemleri (EKS) Siber Güvenlik Konferansı’nın ikincisinde Türkiye’de ve dünyada siber güvenlik uzman açığının çok fazla olduğu gündeme getirildi. Açığın telafi edilmesi için uzman yetiştirilmesine hız verildiğinin altının çizildiği konferansta, ulusal ve uluslar arası siber güvenlik tatbikatları gerçekleştirilmesi gerektiğinin önemine de işaret edildi.

Biznet Bilişim tarafından Ankara’da Wyndham Otel’de 13 Kasım 2019 tarihinde gerçekleştirilen “EKS Siber Güvenlik Konferansı 2019”da “Savunmanın Gücü” teması etraflıca tartışıldı. Konferansın açılışında konuşan Biznet Bilişim Genel Müdür Yardımcısı Hakan Terzioğlu, geçen yıl ki toplantının temasının da “Köprüler Kurmak” olduğunu anımsattı. Çok göz ardı edilen bir konunun asıl ‘savunma’nın kendisi olduğunu dile getiren Terzioğlu, “Savunma çok kıymetli. Savunma zor bir konu. En ufak bir zafiyet sonucu değiştirebiliyor. Savunma konusunda uzman bulmak çok zor” diye konuştu. Ülke olarak siber güvenlik konularında Türkiye’nin henüz genç bir konumda olduğuna dikkati çeken Terzioğlu, ulusal irade kısmında çok ciddi yol alındığını, ancak kat edilmesi gereken çok yol olduğunun da altını çizdi. Terzioğlu, Türkiye’de enerji sektöründe güvenliğin sağlanmasına ilişkin regülasyonların (düzenleme) yapıldığını anlatarak diğer sektörlerin de özellikle su ve gıda sektörünün kapsama alınması gerektiğinin önemine işaret etti. Terzioğlu, siber güvenlikte dünyada da ülkemizde de çok fazla uzman açığı olduğunu belirterek, açığı kapatmak için uzman yetiştirdiklerini kaydetti. Konuşmasında fiziksel-siber saldırılara etraflıca değinen Terzioğlu, dünyanın çehresinin siber savaşlara doğru gitmeye başladığı vurgusunu yaptı. Terzioğlu, siber güvenlikte insan, süreç ve teknolojinin hep var olduğunu kaydetti.

İhlalde Kötü Niyet ve Para Etkili

Amerika, Rusya ve Danimarka’dan yabancı konuşmacıların da katıldığı EKS Siber Güvenlik Konferansı’nın ana konuşmacısı kariyerini kritik altyapıların siber güvenliğine adamış; Enerji Güvenliği Merkezi Amerika (EnergySec US) Kurucu Başkanı ve Endüstriyel Siber Güvenlik Merkezi (Industrial Cyber Security Center-CCI) Amerika Koordinatörü Patrick C. Miller da konuşmasında savunmanın zor bir iş olduğuna değindi. Savunmanın ihlal edilmesinde kötü niyet olduğuna işaret eden Miller, işin ucunda zamanın ve paranın bulunduğunu dile getirdi. Modern dijital sistemler ve endüstriyel savunma sistemlerinden söz eden Miller, şu anda aldığımız her şeyin dijital olduğunu, artık neredeyse manuel (analog) hiçbir şey satılmadığını; her şeyin dijitalleştirilmesinin de para demek olduğu vurgusunu yineledi. Dünyadaki mevcut cihazların sürekli veri ürettiklerini anlatan Miller, verinin artık cihazlardan daha değerli olduğunu, veri üretildiği kadar da para kazanıldığını belirtti. Miller, endüstriyel tesislerde sahip olunan her şeyin tanınması, bilinmesi gerektiğine dikkati çekerek, çok farklı endüstriyel kontrollerde çalıştığını anlattı. Konuşmasında: “Kritik bir şey varsa kritik olan çökmemeli, çalışmalı; bunu korumamız gerekir. Özellikle hızlı reaksiyon göstermemiz gerekir” diyen Miller, her bir farklı sistemin farklı bir sorumluluk gerektiğinin altını çizdi.

Elektrik sektörüne ilişkin yönetmelik ve düzenlemelerden de söz eden Miller, Düzenlemeler insanları güvenli hale getirir mi? Sorusunu yönelterek; ağın her şeyden önce korunması gerektiğini ve endüstriyel kontrol sistemlerini sadece internet üzerinden yapmanın yanlış olacağını vurguladı. Endüstriyel kontrol sistemlerinde güvenliğin sadece sorunun bir parçası olduğunun da altını çizen Miller, saldırılara rağmen sistemin çalışması gerektiğine dikkati çekti.

“Bölgede Bir Aktör Olmayı İstiyoruz”

 Biznet Teknik Lideri Can Demirel de siber güvenlik üzerine birim yöneticisi olarak çalıştığını anlatarak, 2000 yılında kurulan bir şirket olarak siber güvenlikte bölgede bir aktör olmayı istediklerini ve hedeflediklerini kaydetti. Bölgede ve Avrupa’da ofislerinin bulunduğunu söyleyen Demirel, güvenliğin, kritik altyapıların güvenliğini sağlamaktan geçtiğini belirtti. Demirel, günün sonunda kritik alt yapıların çalışır halde olmasının zorunlu olduğuna işaret ederek, kritik altyapıların güvenliğini siber güvenlikçilerin ele geçirdiğini ifade etti. Siber güvenlikte alışkanlıkları yıkmak istediklerinde dirençle karşılaştıklarının üzerinde duran Demirel, “Saha bizi koruyacak şekilde dizayn edilmek zorunda. Sahayı tanırsak doğru yatırımları yönlendirme şansımız var” diye konuştu. 

Siber Güvenlik Olmazsa Olmaz

Kaspersky Endüstriyel Siber Güvenlik Global Teknik Satış Müdürü Anton Shipulin ise konuşmasında endüstriyel imkanların test edilebilmesinin önemini anlattı. Dünyada çok çeşitli kuruluşların endüstriyel saldırı senaryolarını ortaya koyduğunu dile getiren Shipulin, çalışmaya izinsiz erişimlerden başladığını; değerlendirme testleri geliştirdiklerini ve yapılan tatbikatlardan çok deney elde ettiklerini kaydetti.

CyberArk Kıdemli Sistem Mühendisi Serhat Erkan da “Bir zincir en zayıf halkası kadar güçlüdür” diyerek, son kullanıcının sistemin en zayıf halkası olduğuna işaret etti. EKS sistemlerine yapılan atakların hiç birisinin yakalanamadığına işaret eden Erkan, güvenlik etkisi nedeniyle 7 gün 24 saat çalışması gereken sistemler bulunduğunun altını çizdi. 

Zafiyet Avcılığı Programları

Trend Micro “Zero Day Initiative” Global Koordicnatörü Shannon Sabens; En geniş eko sistemi korumak amacıyla sanal yama yapılabileceğini kaydederek, hazırladıkları raporlarda bir müşterinin sanal yamayı neden yapmadığını tartışabildiklerini söyledi. Birilerinin tersine mühendislik yaparak; yamayı uygulamayarak delik açabileceğine işaret eden Sabens, müşterilerine “Zafiyet avcılığına neden yatırım yapıyorsunuz?” diye sorduklarını anlattı. Sabens, 500’ü geçen yıl olmak üzere 1300 Zafiyet Raporu hazırladıklarını belirterek, siber güvenlikte bu yıl en yoğun yıllardan birinin yaşandığını ifade etti. EKS destek raporları ve zafiyet avcılığı raporları sağladıklarını söyleyen Sabens, bazen bu raporlara katılmayanların olabildiğini kaydetti. “Bizler bu toplumun bir parçası olmak istiyoruz” diye konuşan Sabens, firma olarak yapılan diğer araştırmaları da satın aldıklarını ve dünyanın her yanında çözüm ortakları olduğunu söyledi.

Sabens, Microsoft, Google, United Airlines gibi büyük firmaların zafiyet avclığı programları kullandıklarını öne sürerek, 15 yıldır sadece müşterilerine ekonomik katkı ve rapor sağladıklarını anlattı. Raporların tek kaynağının Trend Micro olduğunu belirten Sabens, raporları anonim hale getirdiklerini ve 2 yılda bir yarışmalar düzenlediklerini kaydetti. Sabens, bu kırılganlık ve zafiyet raporlarının herkesin işine yaradığını savundu. Başka EKS, IT (Information Technology-Bilgi Teknolojileri) raporlarına da katkı sağladıklarının altını çizen Sabens, bu noktada ortaklıklar da kurduklarını, müşterileri için sanal yamalar gerçekleştirdiklerini, dünyanın en büyük zafiyet avcılığı programını yaptıklarını anlattı. 

Güvenlik Yatırımları Hala Gerilerde

Claroty EMEA (Avrupa, Orta Doğu, Afrika Bölgesi) Kıdemli İş Geliştirme Direktörü Tomer Ben Shalom “Yeni Gelişen Risk Bölgesi” konulu sunumunda IT ve OT kavramlarını iki ayrı adaya benzeterek, farklı tarz insanlar ve yaşamlar gibi olduklarını kaydetti. Güvenlik yatırımlarının hala gerilerde olduğu vurgusunu yapan Shalom, IT ve OT dünyası yatırımlarının karşılaştırmasını yaptı. OT’nin giderek IT’ye benzediğinin üzerinde önemle duran Shalom, her iki kavramın da gittikçe karışık bir hal aldığını anlattı. Shalom konuşmasında endüstriyel müşterileri etkileyen olaylardan örnekler vererek, kötü amaçlı yazılımların ulus devletlere ve bireylere yaşatabilecekleri risklerden söz etti.
Danimarka Enerji Ajansı (Danish Energy Agency) Endüstriyel Güvenlik Uzmanı Mikael Vingaard ise konuşmasında enerji boru hatlarına olabilecek saldırılar üzerinde dururken, OT endüstriyel taraf oltalama saldırılarının IT sistemi üzerinden gerçekleştirildiğine işaret etti. Nükleer santraller ve dağıtım santralleri testleri ile keşif yapıldığını dile getiren Vingaard, yapılan keşifleri hırsız benzetmesi ile örnekledi. Hacker’ların her zaman önde olduklarına işaret eden Vingaard, “Hiçbir güvenlik sistemi aşılmaz” değildir” dedi.

Check Point Mühendisi Selman Bağırıcı da sunumunda globalde önde gelen güvenlik şirketlerinden biri olduklarını belirterek, 26 bin müşterilerinin bulunduğunu dile getirdi. Bağırıcı, hızla genişleyen atak alanının endüstriyel kontrol sistemlerini (endüstri 0.4) kritik sistemleri ve IoT (nesnelerin interneti) sistemlerini tehdit ettiği uyarısında bulundu. Siber güvenlikte görünürlüğün önemine işaret eden Bağırıcı, “Bilmediğimiz bir şeyi koruyamayız” dedi. e-Posta üzerinden oltalama yöntemi ile EKS’ye saldırı tehdidi olabileceğine değinen Bağırıcı, OT ve IT altyapılarının güvenliğinin önemine dikkati çekti.

Güvenlik Açığı Özellikle OT’de

EKS (Endüstriyel Kontrol Sistemleri) Siber Güvenlik Konferansı’nın sonunda gerçekleştirilen “Toplulukları İnşaaetmek” konulu panelin yöneticiliğini IDC Türkiye Sistem ve Altyapı Çözümleri Araştırma Müdürü Dr. Ramazan Yavuz yaptı. Siber güvenlikte açıklar bulunduğunu anlatan Yavuz, özellikle de bu açığın OT’de bulunduğunun üzerinde durdu. Konuşmasında Türkiye’de siber güvenlik uzmanı açığının olduğuna da değinen Yavuz, nasıl bir bilgi birikimi sağlanması gerektiğine ilişkin çalışıldığını vurguladı.
Panel’in ilk konuşmacısı olan Enerji Güvenliği Merkezi Amerika (EnergySec US) Kurucu Başkanı ve Endüstriyel Siber Güvenlik Merkezi (Industrial Cyber  Security Center-CCI) Amerika Koordinatörü Patrick C. Miller da öncelikle enerji projelerine ilişkin güvenlik ve eğitim departmanlarını kurduklarını ve kontrol sistemleri konusunda eğitimler verdiklerini anlattı.
Kaspersky Endüstriyel Siber Güvenlik Global Teknik Satış Müdürü Anton Shipulin ise her şeyin insanla başladığını ve insan ilişkilerinde yattığını dile getirdi. “Yer altı insanları değiliz” diye konuşan Shipulin, herkesin Rus heackerlardan haberdar olduğunu ancak, Rus savunucuların sayının daha çok olduğunu söyledi ve bilgi paylaşımının önemine işaret etti.     

Savunma Sanayi Başkanlığı Siber Güvenlik Kümelenmesi Proje Müdürü Hasan Hüseyin Özbenli de dünya da rekabet anlayışının değiştiğine işaret ederek, inivasyonun artık sihirli ve moda bir sözcük haline geldiğini ifade etti. Türkiye siber güvenlik eko sistemini ortaya çıkarmak için her hafta bir toplantı düzenlediklerini belirten Özbenli Türk Silahlı Kuvvetleri’nin (TSK) ihtiyaçları doğrultusunda savunma sanayine yön verdiklerini kaydetti. Özbenli, küreselleşen dünyada sınırların ortadan katlığına işaret ederek, bu sınırların özellikle de siber güvenlik alanında kalmadığını vurguladı.   
Danimarka Enerji Ajansı (Danish Energy Agency) Endüstriyel Güvenlik Uzmanı Mikael Vingaard da konuşmasında, Danimarka’nın Ankara kadar bir ülke olduğunu, kurdukları siber güvenlik topluluğunun da bu kadarlık bir ihtiyaçtan doğduğunu ifade etti. Vingaard, İskandinav ülkelerinin toplamının ise Ankara-İstanbul kadar ettiğini belirtti. Vingaard, siber güvenlik alanındaki firmaların küresel markaları temsil ettiklerine dikkati çekerek, siber güvenlik uzmanlarının çok sayıda ülkeye gittiklerini anlattı.  

Biznet’ten Güvenliğe Bütünsel Yaklaşım

2000 yılından bu yana IT, OT ve IoT güvenliğinde bütünsel bir yaklaşımla hizmet veren, yerli siber güvenlik firması Biznet Bilişim, geçen sene ilkini organize ettiği “EKS Siber Güvenlik Konferansı”nın ikincisini gerçekleştirdi. Konferansı, Siber Güvenlik Kümelenmesi, Elder (Elektrik Dağıtım Hizmetleri Derneği), Gazbir (Türkiye Doğal Gaz Dağıtıcıları Birliği), ve BGD (Bilgi Güvenliği Derneği) ve Avrupa duyurusu için Endüstriyel Siber Güvenlik Merkezi (CCI) destek verdi.
Konferans, enerji tesisleri, su şebekeleri, ulaşım, haberleşme sistemleri, nükleer santraller gibi kritik sistem ve altyapıların güvenliği konusunda farkındalığı artırmak amacıyla gerçekleştiriliyor ve dünya çapında özel sektör, kamu ve akademi dünyasının temsilcilerini; konuşmacı, panelist ve izleyici olarak bir araya getiriyor.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

e-Ticaret Yönetmeliği’ne Danıştay Ayarı

-
Resim
Danıştay 10’uncu Dairesi, e-Ticaret Yönetmeliği’nde yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu.  Ticaret Bakanlığı tarafından Elektronik Ticaret Aracı Hizmet Sağlayıcı Ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik 29 Aralık 2022  tarihli Resmi Gazete’de  yayımlandı  ve maddelerinin büyük bir bölümü 1 Ocak 2023’te yürürlüğe girdi . Elektronik ticaret (e-ticaret) platformlarının büyük bir bölümünün bu yönetmeliğin bazı maddelerinden olumsuz yönde etkilendikleri gündeme geldi. Yönetmeliğin yayımlanmasının hemen ardından yürütmenin durdurulması ve iptali için açılan dava nedeniyle Danıştay 10’uncu Dairesi, yürütmenin durdurulması talebini değerlendirdi ve oy birliğiyle çok sayıda maddenin yürütmesini durdurdu. Yönetmeliğin yürütülmesinin tümden iptali hakkında Anayasa Mahkemesi’ne açılan davanın ise önümüzdeki dönemde sonuçlanması bekleniyor. Yönetmeliğin, Bankacılık Kanunu, Sigortacılık Kanunu, Sermaye
Devamı

Veri Depolamanın Geleceği

-
Resim
Huawei tarafından düzenlenen ve dijital dönüşümün geleceğini keşfetmek üzere, küresel fikir liderlerini, iş dünyasının önemli isimlerini, teknoloji sektörünün lider şirketlerini ve ekosistem iş ortaklarını bir araya getiren IDI Forum, 23-24 Mayıs tarihlerinde Almanya’nın Münih kentinde gerçekleştirilmişti. Bu yılki etkinliğin teması ise ‘Yeni Veri, Yeni Uygulamalar ve Yeni Esneklik’ olarak belirlenmişti. “2023 Innovative Data Infrastructure Forum (IDI Day- Yenilikçi Veri Altyapısı Forumu)”, dijital altyapının geleceğini keşfetmek üzere, küresel endüstri uzmanlarını ve ortaklarını bir araya getirdi. Huawei etkinliği kapsamında; veri depolama endüstrisinin evrimine doğru yol alınırken, verinin değerini ortaya çıkarmak için gelişmekte olan uygulama ekosistemini anlamak, yapılandırılmamış veri yığınlarını verimli bir şekilde ele almak ve veri esnekliğini kapsamlı bir şekilde iyileştirmek gibi bir dizi farklı konuyu ele aldı. Şirketin dijital dönüşümün geleceğini de ele aldığı küresel
Devamı

Sanal Dünyanın Bilgi Avcıları

-
Resim
Bilgiye ulaşmak hiç bu kadar kolay olmamıştı…Orta çağdan, 1980’li yıllara kadar neredeyse pırlanta değerinde saklanan ve ulaşımı zor olan bilgi; internetteki arama motorları sayesinde; herkesce edinilir hale geldi. Hepimiz internet ile daha meraklıyız, ilgiliyiz ve de bilgiliyiz. Tabi oldukça da bilgi kirliliğiyle de karşı karşıyayız. Tam da bu iklim ortamında çocukluğumuzda edinebilmek için canhıraş çırpındığımız ansiklopediler;   tozlu raflarda nostaljik öğeler olarak dururken; artık “arama motorları” yanıbaşımızda hızla bilgi taramaya devam ediyor. Arama motorları, dünya üzerindeki tüm web sitelerini gezen, arşivleyen ve sonuçları kullanıcılara listeleyen güçlü algoritmalara sahip yazılımlar olarak nitelendiriliyor. Arama motorları, sadece araştırma araçları değil, aynı zamanda tanıtma mecraları olma özelliği taşıyor. Her türlü bilgiye ulaşmanın en hızlı, rahat ve kolay yolu olan arama motoru; dijital ansiklopedi niteliği taşıyor. İşlevlerine göre farklılık göst
Devamı