11 01, 2021
Uygarlık tarihinde İkinci Dünya Savaşından günümüze dünyamızı en köklü ve en olumsuz etkileyen olaylardan biri olan Covid-19 salgını sebebiyle belirsizlikler içinde geçen zorlu 2020 yılını geride bıraktık.
Hiç alışık olmadığımız şeyler yaşadığımız bu zaman diliminde, sürecin hangi doğrultuda şekilleneceği yönünde kesinlik taşıyan açıklamalar getirmek henüz mümkün görünmüyor.
Salgın, dünyamızdaki milyarlarca insanın bütününü ilgilendiriyor ve bu açıdan insanlığın tarih boyunca karşılaştığı hiçbir hastalık ile kıyaslanmayacak boyutta dünyamızı etkisi altına almayı sürdürüyor. 2020’nin alışılmadık bir yıl olduğunu söylemek yetersiz kalır. İş yapış tarzımızdan sağlık hizmetlerine, eğitimden sosyal yaşama daha önce hiç deneyimlemediğimiz ölçüde büyük değişimler yaşadık ve yaşamaktayız. Pek çok kuruluşun önceden planlanmamış olan büyük dijital dönüşümler gerçekleştirmesiyle iş yaşamı önemli ölçüde değişti ve bu dönüşümler sürüyor.
Lojistik sektörü, dünya çapında en rekabetçi ve en zorlu sektör olarak son yıllarda gittikçe artan talep ve nüfus artışları etkisiyle, e-ticaret ve tedarik zinciri endüstrisinin tamamlayıcısı rolünde öncülüğünü sürdürüyor. Manuel süreçler, büyük hacimli verilerin yönetilmesinde yetersiz kaldığından, iş akışlarının kolaylaştırması ve mevcut sorunlarla başa çıkmak için benzersiz yenilikçi iş stratejileri geliştirilmesi zorunlu hale geliyor. Bu bağlamda siber güvenlik açısından yeni teknolojileri iyi anlamak ve bundan yararlanmak kritik önem taşıyor. İşletme sahipleri ve yöneticilerine bu konuda yardımcı olabilmeye yönelik olarak 2021 yılı için dikkate alınması gereken başlıca trendleri sunuyoruz.
Günümüzde, yapay zekâ, artırılmış ve sanal gerçeklik, veri analitiği, bulut çözümleri vb. gibi teknolojiler hem girişimcilerin hem de işletmelerin lojistik sektöründe yenilikçi dijital yaklaşımlar ile çözümler geliştirmelerine yardımcı olacak. Özellikle pandemi dönemindeki beklenti ve ihtiyaçlar, bu konunun önemini arttırdı. İşte 2021 yılını etkileyebilecekler:
2021’de küresel olarak toplam 6 trilyon ABD doları tutarında zarar vereceği tahmin edilen siber suç, ABD ve Çin’den sonra dünyanın üçüncü büyük ekonomisi olmaya aday gözüküyor. Siber güvenlik girişimleri, küresel siber suç maliyetlerinin önümüzdeki beş yıl içinde yılda %15 artarak, 2015 yılında 3 trilyon ABD doları olan büyüklüğün, 2025 yılına kadar yıllık 10,5 trilyon ABD dolarına ulaşmasını bekliyor. Bu, tarihteki en büyük ekonomik zenginlik dönüşümünü temsil ediyor. Siber güvenlik alanındaki inovasyon ve yatırımların toplamının, bir yılda doğal afetlerden kaynaklanan hasardan çok daha büyük olduğuna ve dünyadaki tüm yasa dışı uyuşturucu ticaretinde dönen paradan da fazla olduğuna dikkat çekiliyor.[1]
Cybersecurity Ventures’ın 2017 raporunda, fidye yazılımı hasarlarının 2015’te 325 milyon dolar iken 2017’de dünyaya 5 milyar dolara mal olacağı öngörülmüştü; sadece iki yılda 15 kat artış! 2018 için zararın 8 milyar dolar olduğu tahmin edildi ve 2019 için rakam 11,5 milyar dolara yükseldi. En son tahmin, küresel Siber Fidye Saldırısı hasar maliyetlerinin 2021 yılında 20 milyar dolara ulaşması yönündedir ki bu sayı 2015’e göre 57 kat daha fazladır.
Çok dikkat çekmek istediğim diğer konu 2016’da her 40 saniyede bir gerçekleşmekte olan siber fidyecilik saldırılarının, 2021 için her 11 saniyede bir yapılacağının tahmin edildiğidir. Siber tehditlere Karşı savunma amaçlı kullanılan sayısız çözüme rağmen, siber fidye saldırıları hızla artıyor. Uzaktan çalışma patlamasının ardından, saldırganların seçtikleri taktik olarak fidye saldırılarının yükselişinin temelini oluşturan temel zayıflık, siber güvenliğin davranış temelli tehdit algılamaya aşırı güvenmesidir. Uzaktan ve hibrit çalışma durumlarına sürekli bağlılıkla, “eski normal”in geri dönmesi artık olası değildir. Anormallikleri tespit etmek ve işaretlemek için göz önünde bulundurulan yılların kullanıcı etkinliği modelleriyle oluşturulan tüm temeller, 2020’nin ilk birkaç ayında boşa gitti. Anormallikleri karşılaştıracak bir temel olmadan, etkinlik izlemeye dayalı tehdit algılama, daha da fazla yanlış pozitif (false positive) üretmeye devam edecek; dolayısıyla daha fazla boşa araştırma süresine yol açacak. Bu durumlarda aktif savunma gerekecektir.
Bir siber olay için risk değerlendirmesi, * fidye sahiplerine ödenebilecek her türlü parayı, * güven kaybı nedeniyle mevcut ve gelecekteki müşterilerin kaybını, * şirketin sorunu çözmek için harcayacağı zaman ve parayı içerir. Bu konu şirketin dünya kamuoyunda yılların emeği ile yarattığı imajı sarsacaktır.
Şirket yöneticileri arasında genelde “Siber saldırganlar işten problemli ayrılan ya da çalışanlar arasından olabilir mi?” şeklinde düşünenler olduğunu gözlemliyoruz. Bu ihtimal hiç yok değildir ancak unutulmaması gereken konu artık “Siber Saldırganların” sistematik çalışan, bilgi teknolojisi alanında çok yetkin, tutkulu ve kalıcı uzmanlar olduğu ve örgütlü çalıştıklarıdır. Kabullenilmesi zor olsa da “Siber Saldırganlık” bir sektör olarak mevcuttur ve gittikçe daha örgütlü ve daha motive olmakta olan bir nevi yasadışı girişimcilerdir. Hedefledikleri kurumun bilgilerinden kâr elde edebileceklerini düşünüyorlarsa inatla saldırmayı sürdüreceklerdir.
İşyeri güvenliği tarihi çok eskilere dayanıyor. Güvenliği göz ardı etme maliyetleri, işimizi güvende tutma maliyetlerini aşana kadar, yönetimlerin BT güvenliğini yeteri kadar önemsemediklerini söylemek abartı olmaz. Yetersiz güvenlik sistemlerine ilişkin hesaplanabilen ve bilinen maliyetler vardır. Aslında esas hesaplanması gereken husus, iş modelinizde rutin güvenlik kontrol ve denetimi için gereken maliyetler ile, bir saldırıya yenik düşmenin maliyeti arasındaki farkı öngörebilmekten geçiyor. Günümüzün küresel ekonomisinde, güvenlik ihlali riski, her zamankinden çok daha fazladır. Covid-19 pandemisi döneminde bile siber saldırılar azalmamış, aksine artmıştır. Bu bağlamda güvenlik testleri ve zafiyet analizleri artık bir lüks olmaktan çıkmıştır. Müşterilerinizin finansal ve kişisel verilerini güvende tutmak ve şirketimizin markasını, itibarını ve tescilli verilerini korumak bir zorunluluktur.
Güvenlik testleri pek çok farklı kavramlarla, zafiyet analizi, sızma - penetrasyon testleri, kaynak kodu analizi SAST-DAST-IAST, DevSecOps dahil olmak üzere çeşitlenmiştir. Aralarında bazı teknik farklılıklar olsa da ana hedef, bir şirketin sistemlerini BT güvenliğinin olgunluğunu test ederek ve çevrelerindeki olası güvenlik açıklarını belirleyerek korumak ve pro-aktif olarak önlem almaktan ve uygulama güvenliğini otomasyon ve orkestrasyon ile bütünleştirmekten geçiyor.
2021 yılının genel anlamda test ve DevSecOps sürecini öne çıkaracak bir dönem olacağını öngörüyor ve bu konuya hazırlanılmasını mutlaka öneriyorum. DevSecOps, güvenlik uygulamalarını DevOps sürecine entegre etme felsefesidir. DevSecOps, yazılım geliştirenler ve güvenlik ekipleri arasında sürekli ve esnek iş birliği ile bir ‘Kod Olarak Güvenlik’ kültürü oluşturmayı hedefler. DevSecOps hareketi, DevOps‘un kendisi gibi, çevik bir çerçeve içinde karmaşık yazılım geliştirme süreçleri için yeni çözümler yaratmaya odaklanmıştır.
DevSecOps, eski güvenlik modellerinin modern sürekli dağıtım boru hattı üzerindeki darboğaz etkisine doğal ve gerekli bir yanıttır. Amaç, kodun hızlı ve güvenli bir şekilde teslim edilmesini sağlarken BT ve güvenlik arasındaki geleneksel boşlukları kapatmaktır. Yazılım Geliştirme Yaşam Döngüsünün ilk aşamasından itibaren DevSecOps, çeşitli güncel güvenlik teknikleri uygulayarak uygulamayı güvenli hale getirmek için çalışır. DevSecOps, büyük ölçüde otomasyona dayanır. Özellikle güvenlik denetimleri de dahil olmak üzere her yönü otomatikleştirmeyi amaçlayan bir metodolojidir.
DevSecOps ile gelen pek çok avantaj vardır: * Güvenlik ekipleri için daha fazla hız ve çeviklik sağlanır. * Değişime ve ihtiyaçlara hızlı cevap verme becerisi artar. * Ekipler arasında çok daha iyi iş birliği ve iletişim gerçekleşir. * Otomasyon ve kalite güvence testleri için daha fazla fırsat ortaya çıkar. * Uygulama yazılımının kod güvenlik açıklarının erken belirlenmesi sağlanır. * Ekip üyeleri verimlilik açısından daha yüksek katma değerli işlerde çalışmak üzere kendilerine zaman bulurlar.
Sürece henüz başlamadıysanız, şimdi güvenlik hedeflerinizi DevOps ile birleştirmenin ve “Kod Olarak Güvenlik” yaklaşımıyla DevSecOps’u uygulamanın zamanıdır. DevSecOps, güvenlik hedeflerini DevOps metodolojisine entegre etme pratiğidir. DevSecOps’ta güvenlik otomasyonu, yeni yaklaşımlar, güncel yeni teknolojiler ve araçlar gerektiren bir özelliktir. DevSecOps, DevOps üzerine kurulduğu için DevOps metodolojisinin bir uzantısı olarak görülebilir.
Sonuç olarak artık kuruluşlar, siber dayanıklılıklarını güçlendirmeye odaklanmak için “tam güvenlik” zihniyetinin ötesine geçmek durumundadır. Bu da “Siber Esneklik” ile olasıdır. Siber esneklik, bir kuruluşun siber saldırı olduğunda herhangi bir dijital kesintiye hazırlanma, müdahale etme ve bu durumdan hızla kurtulma becerisidir. Kuruluşların, uzun vadeli ticari başarılarını sağlamak için Test yaptırma ve DevSecOps gerçeğini değerlendirdikçe, yerleşik siber güvenliğe sahip olacağına inanıyorum. Siber güvenlik, ticari başarının itici gücü olacaktır.
Cüneyt Kalpakoğlu, Phd
Endpoint Bilgi Teknolojileri Güvenliği AR-GE A.Ş. Kurucu & Yönetim Kurulu Başkanı
Türkiye Bilişim Vakfı Yönetim Kurulu Üyesi
Not: ( Bu makale Argenomia Dergisi https://globelink-unimar.com/argemonia/ 19.Sayısı 50-51-52-53. Sayfalarda ve Linkedin https://www.linkedin.com/posts/activity-6761233792901373952-U4eJ de yayınlanmıştır )
[1] Steve Morgan 23 Kasım 2020 “Cybercrime Magazine Cybersecurity Ventures’da Cybersecurity Ventures Kurucusu ve Genel Yayın Yönetmeni”