Siber Güvenlik: Hacker Gibi Düşünmek
Mart ayından bu yana, Covid19’un uzaktan erişimle çalışmayı olmazsa olmaz kılması, Türkiye’de E-Ticaret yapan bir kuruluşun web sitesindeki bilgilerin çalınması sonucu faaliyetine haftalarca ara vermesi ve son olarak da Twitter’deki skandal güvenlik zafiyeti olayından sonra, Siber Güvenlik (Cyber Security) konusuna değinmek istedik.
Aslında, Siber Güvenlik, İnternet Güvenliği ya da Bilgi Güvenliği diye adlandırılan bu çok geniş konu, uzun zamandır gündemde.
Gartner, Forrester, Mc Kinsey gibi kurumlar, gelecek 5-10 yıl için hazırladığı trend raporlarında bir süredir Siber Güvenlik (Cyber Security) konusunu en önemli ilk beş konudan biri olarak konumlandırıyor.
Elbette, büyük araştırma kuruluşlarının öngörülerini, çoğu zaman sistemi yönlendirmek üzere kurguladığını ve bazı konuları abarttığını (3d Print ya da Blok zinciri olayı gibi) biliyoruz. Ancak bu sefer öngörüleri oldukça gerçekçi. Zira sahadaki pratikte de, Siber Güvenlik konusu oldukça önemli bir gündem maddesi.
Bunun ana sebeplerinden birisi, eskiden statik ve monolitik yapıda olan yazılımların Mikroservis Dünyası’na geçimesi. Çünkü bu geçişle birlikte güvenlik problemleri büyük oranda arttı.
Şu anda Mikroservis içersinde “Key Management” ve “Session Management” oldukça problemli konular. Hashicorp Vault gibi güzel çözümler çıksa da, halen Alpha seviyesindeki birçok Micro Servis yazılımı, her gün kullandığımız canlı sistemlerde çalışmaya devam ediyor.
Peki ne yapmalı?
İnternet ortamında yüksek teknoloji içeren bir çok tavsiye(!) ve bir o kadar -kıymeti kendinden menkul- ürün reklamı bolca mevcut olsa da, Siber Güvenliği sağlamak için gerçek ve uygulanabilir bir yol haritası bulmak oldukça zor.
Ne yazık ki biz BT yöneticileri, bazen düşünmememiz gereken parametreleri de düşünüyor ve “iş bitirici” davranmaya çalışıyoruz. Dolayısıyla şu tür kararlarımız oluyor:
“Check Point kullanalım”, “Heryerde Firewall olsun”, “2FA ve VPN ile erişim verelim, bir de cihazlara antivirüs ve güncelleştirme uygularsak sorun çözülür”, “Tüm kullanıcılar ofisten bağlanıyor, VPN kullanmaya gerek yok”, “Biz Web’de sadece satış yapıyoruz. ERP sistem verilerimiz Web’de değil ”
Dürüst olacağım, bu cümleleri geçmişte ben de kurudum.
Ancak herkes için doğru olan, eğer bir işletmede güvenlik konusunda taviz verilecekse bunun kararının yönetim kurulu tarafından verilmesidir.
Bilişimcilerin görevi çalıştıkları kurumu sürekli bir fedakarlıkla tasarruf ettirmeye çalışmak değil, etkili, sürdürülebilir ve çevik bir Siber Güvenlik Politikası oluşturmaktır.
Bunun için yol gösterici olduğuna inandığım bir Güvenlik Dosyası hazırladık.
Bu hafta ve gelecek hafta peş peşe yayınlayacağımız iki makalemizde, ITIL, ISACA ve ISC gibi eğitimler ile verilen karmaşık bilgileri aktarmak yerine, uygulanabilir ve fark yaratacak Güvenlik Prensiplerinden, stratejilerden ve tecrübelerden bahsedeceğiz. Ayrıca sizlerle taslak bir güvenlik dökümanı paylaşacağız.
Doğru Güvenlik Politikası Oluşturmak
Siber Güvenlikle ilgili doğru adımlar atmak istiyorsanız, sağdan soldan duyduğunuz önerileri “Herkes yapıyor” diye hemen uygulamaya geçmemelisiniz.
Güvenlik konusu çok ciddi bir iştir ve işletmenize özel bir güvenlik politikası olmadan başarılı olamazsınız.
Başarılı bir güvenlik politikası oluşturabilmeniz için sizlere yol gösterecek ilk 5 strateji aşağıdaki gibidir. Önümüzdeki hafta diğer stratejilerden ve uygulanabilir pratiklerden bahsedeceğiz.
1.Kendinizi siber saldırganların yerine koyun (Hacker gibi düşünün)
Güvenlik konusunda dizayn yaparken sürekli tersten düşünmeli, kendinizi siber saldırganların yerine koymalısınız. Böylece, hangi noktaların saldırıya açık olduğunu kolaylıkla tespit edebilir ve önlemek için ne yapmanız gerektiğini daha kolay saptaya bilirsiniz.
Diyelim ki birilerinin verilerini çalmak ve karşılığında fidye almak istiyorsunuz. Oluşturduğunuz senaryonun ilk adımı, güvenliği zayıf olan hedef kitlenizi belirlemek olmalıdır.
Bisiklet çalmak isteyen bir hırsız gibi, pahalı ama kilidi en zayıf olan bisikleti bulmaya odaklanın. Gerekirse bunun için zaman harcayın. Çünkü bisikletler için geçerli olan, IT altyapısı için de %100 geçerlidir.
Oluşturduğunuz zayıflar listesine saldırırken, tek tek hack yapmaya çalışmak yerine, önce kendinizi anonim hale getirmeli, daha sonra otomatize edilmiş bir script kullanarak diğer sunuculara sıçramalısınız.
Bu işlem sırasıyla şöyle gerçekleşir:
- Script ile internette “Zombi” olarak kullanılacak makineler bulunur (kendi makinenizden saldırmayın)
- Zombi olan makinelerden, önceden hazırlanmış olan “Zayıf IP” listesi taratılır ve zayıf sunuculara sızıp tersten zombilere bağlanılır.
- Zombiler üzerinden yapacağımız işlemler için toplu scriptler hazırlanır. Veritabanı şifreleme (ransomware), veya bitcoin generate sriptleri
Bu durumu test etmek isterseniz internete açık bir sunucunuzun şifresini 123 yapın ve 3 gün bekleyin. Mutlaka anonim bir saldırıyla karşılaşırsınız!
2.Güvenlik dökümanı ve kısa güvenlik eğitimi
Yukarıda kendinizi siber saldırganların yerine koymanız gerektiğinden bahsetmiştik. Size belki de bir çoğunuzun bildiği, bilmeyenlere ise oldukça enteresan gelecek bir bilgi vereyim:
Türkiye’de 4 haneli rakamdan oluşan bir şifreyi -tersten düşünüp- tahmin etmeniz gerekirse, İstanbul’un fetih tarihi (1453) çok büyük oranda sizi başarıya ulaştırır.
Evet, Türkiye’de en çok kullanılan şifrelerden biri 1453’tür. Şirketiniz içersinde kullanılacak şifreleri, yazılımlar izin verdiği sürece kısıtlayabilirsiniz. Fakat sistem kısıtlamaya izin vermezse, şifre olarak 1453 mutlaka kullanılacaktır.
Bunu önlemenin yolu, Siber Güvenlik Politikanızın sistemden bağımsız olmasını sağlamaktan geçer. İşletmeniz içinde Siber Güvenlik’le ilgili “Sürekli Eğitim ve Farkındalık” ortamı yaratmalısınız.
İşe yeni başlayan bir çalışanı sisteme bağlamadan önce, şifreler, güvenlik ve en azından kullanmamaları gereken parolaları gösteren yazılı bir döküman hazırlarsanız, oluşabilecek olumsuz durumlardan korunmayı ciddi oranda arttırmış olursunuz.
Güvenlikle ilgili dökümanı,
“ Bunları parola olarak seçmeyin: 0000, 1453, 1234, 11.., 22.., 99.., 00..”
gibi basit örneklerle açıklayabilir, “qaz” gibi yasaklı şifrelerden bahsedebilirsiniz.
Ayrıca, bu şifrelerin kullanılması yüzünden oluştuğu tespit edilen bir erişim zaafiyetinin, iş aktinin feshine neden olacağını belirtmek önemli ve caydırıcı olacaktır.
Siber Güvenlik Politikanızın sürdürülebilirlik prensibi çerçevesinde kalması ve sürekliliği olması için, güvenlik eğitimlerinizi şirket içinde belli periyodlarda tekrarlamanız gerekir.
Her çalışanınıza onaylatacağınız Kısa güvenlik dökümanı dışında, ayrıca bir de Ana Güvenlik Dökümanı hazırlamalısınız. Taslak güvenlik dökümanımızı ikinci yazımızda paylaşacağız.
Detaylı bir şeklide tüm güvenlik politikanızı açıklayacağınız bu döküman içersinde, işe yeni başlayan personele verilecek olan güvenlik eğitimi de mutlaka yer almalıdır.
İnternette Online güvenlik eğitimi alındığına dair sertifika veren platformlar da mevcuttur. Bunlardan birini de kullanabilirsiniz. Önemli olan, çalışanlarınızın belli aralıklarda eğitim almasını ve bilgilerinin güncel kalmasını sağlamaktır.
Şirket içinde bir “Password Manager” Parola yöneticisi yazılımı kullanın. Kullanıcılarınızın parolalarını güvenli bir şekilde sakladığından emin olmak BT sorumluluğundadır. Personel, kurumunuzda sunuculara bağlanırken kullandığı parolayı yemek alırken kullandığı web sitesine de vermiş olabilir. Parola yöneticileri bu tip durumlara karşı en iyi önlemdir.
3. Üst yönetimin desteğini alın
Herşeyden önce küçük ya da büyük tüm işletmeler, Siber Güvenlik Politikalarını yazılı hale getirmeli ve üst yönetimin desteğini almalıdır.
Üst yönetimin desteğini almak için şu soruyu mutlaka kullanın:
“Şirketimiz 3 gün hiç çalışamasa, fatura kesemezsek ne kadar zarar ederiz ?”
Böylece herhangi bir problemde şirketin uğrayacağı kaybı parasal olarak ortaya koymuş olurusunuz ve beklediğiniz desteği daha kolay elde edersiniz.
Üst yönetimin desteği, oluşturacağınız güvenlik politikalarında sizin değil kurumu temsil eden üst yönetimin sorumlu olduğunu onlara hatırlatacaktır. Vereceğiniz kararlarda olabilecek tüm paydaşların desteğini almak gün sonunda sorun çıktığında herkesin sorumlu hissetmesine sebep olur.
Burada bir şeyi mutlaka belirtmeliyim, Güvenlik dökümanına son halini verdikten sonra üst yönetim ile görüşün. Dökümanı herkesi dahil ederek oluşturmaya çalışırsanız bitmeyen bir proje yaratırsınız, oysa burada çevik olmalısınız. İnsanlara soru sorduğunuzda mutlaka her konuda fikirleri vardır fakat güvenlik konusundaki master döküman dan siz sorumlusunuz bunu unutmayın.
4.Bir CSO (Siber Güvenlik Sorumlusu) istihdam edin
Özellikle orta ve büyük ölçekli işletmelerin mutlaka bir CSO(Cyber Security Officer), yani özellikle bu konu üzerine, ünvanla çalışacak bir profesyonele ihtiyacı vardır.
Güvenlik için görevlendirilecek bu kişi, şirket içinde verilecek bütün kararalarda güvenlik kriterini de sorgulatacak ve her hangi bir güvenlik ihlalinde başarısız sayılacağı için, işletmeyi mümkün olan en güvenlikli durumda tutmak için çalışacaktır.
5.Çözümlerinizin sürdürülebilirlik prensibine uygun olduğundan emin olun
Bunun için, sürekli olarak çözümlerinizi gözden geçirmeniz gereklidir. Belli aralıklarla tüm güvenlik prensiplerinizi, çözümlerinizi ve güvenlik politikanızı dünyadaki gelişmelere göre kontrol edip, güncellemelisiniz.
Sürdürülebilirlik hakkında hazırladığımız makale içersinde bundan bahsetmiştik. Tüm kurgunuzu sürdürülebilirlik ve paydaşların paylaştığı, herkesin sorumlu olduğu bir yapı oluşturun. Muhasebede Finansta çalışan arkadaşların bu konuda söz hakkı yok demeyin, onların da “veri sızıntısı” yapabileceğini unutmayın.
Eski çalışanların şirketlerine zarar vermek istediklerinde yapabilecekleri de önemlidir. Şirketinizdeki Ofis alarmının ana şifresinin ve alarm firmasına verilen sözlü parolanın belli aralıklarla sürekli güncellenmesi gerekmektedir.
Bir sonraki makalemizde, Siber Güvenlik’le ilgili uzaktan çalışma, izolasyon, sosyal mühendislik ve unutulmaması gereken bazı teknik tedbirlerden bahsedeceğiz. Son olarak bonus bir taslak güvenlik dökümanı paylaşacağız.
Daha çok şirketlerin ne yapması gerektiğini anlattığımız ikinci yazımızı buradan okuyabilirsiniz.