Veriler gerçekten güvende mi?

“Veri Güvenliği” kavramı son yıllarda birçok kavramdan daha fazla değer kazanmış durumda. Oysa bundan 3-5 yıl önce firmaların önemsediği tek şey büyümekte olan veriydi. Hala verinin büyümesi önemli olsa da üretilen verinin güvenliği çok daha önemli hale gelmeye başladı. Her şeyden önce “Veri nedir?” Bunu irdelemek faydalı olabilir.

Veri; kişi ve kuruluşların ölçüm, deney, gözlem, sayım ya da araştırma yolu ile elde ettikleri ve sunucularda metin, çizim, ses ya da video görüntüsü halinde tuttukları bilgiye veri diyoruz.

Bugün veri güvenliği ile ilgili birkaç soru soralım ve bu sorulara beraber cevap arayalım.

Haydi başlıyoruz! 

Veri güvenliği neden daha önemli?

Şirketler, ürettikleri verileri derleyerek ciddi analizler yaparlar. Şirketten şirkete göre bu analizler değişse de asıl amaç, şirket verimliliğini artırmaya yöneliktir. Yapılan analizler sonucunda bir şirketin bir yıl içinde ne kadar üretim yaptığı, ne kadar satış yaptığı, kullandığı malzeme adedi, malzeme maliyeti, eleman maliyeti ve daha birçok girdi ve çıktı bilgilerini analiz ederek o senenin değerlendirilmesi ile sağlanabilir. Buna ek olarak şirket örneğin ürettiği malzemenin tasarım bilgisini tekrar kullanmak ve üzerinde revizyonlar yaparak mükemmelleştirmek isteyebilir. Bu durumda da yine ürettiği veriden ve verinin geçmiş revizyonlarından faydalanır. Şirketler ürettikleri bu kıymetli verinin çalınmasını, rakiplerinin eline geçmesini ya da bu verinin kaybedilmesini istemez. Bu da verinin büyümesi ile birlikte üretilen verinin kıymetinin ne denli önemli olduğunu göstermektedir. 

Veriyi önemli kılan şeyler neler?

Şirketler birçok veri üretirler. Veriyi önemli kılan şey, ne amaçla üretildiği, ne amaçla kullanılacağı, bu veriyi yeniden üretmenin mümkün olup olmadığı ve zaman içerisindeki değerlenmesi, hangi amaca hizmet ettiği, başkasının eline geçerse para, zaman ve itibar kaybetmeye sebebiyet verip vermediği gibi ayrıntılardır.

Veri bu kadar kıymetli olunca da verinin korunması da bir o kadar önemli hale geliyor. 
Veriler gerçekten güvende mi
Veri nerede, nasıl tutulmalı ve nasıl korunmalı?

“Bu soruda sorulur mu?” dediğinizi duyar gibiyim. Tabii ki herkes verinin kabaca nerede tutulması gerektiğini bilir. Bu sorunun amacı, verinin korunmasına yönelik süreci konuşabilmek adınaydı aslında.

Genel anlamda verileri, dosya sunucusu üzerinde, NAS (Network Attached Storage), bulut ortamlarında, storage olarak adlandırdığımız disk yığınlarında ve kullanıcıların bilgisayarlarında tutuyoruz. Veri bu ortamlarda tutulurken en önemli sorular “Değerli verimiz nedir?”, “Değerli verilerimiz nerededir?” sorularıdır. Değerli veriyi adreslemeden koruyabilmek gerçekten imkansıza yakındır. Yukarıda verinin kıymetli olmasından bahsedip verinin tutulduğu yeri ve koşulları doğru planlamadan pas geçmek büyük hata olur doğrusu.

Geçmişte bu kadar önemli olmayan veri güvenliği, günümüzde birçok regülasyon (27001, KVKK 5651, v.b.) çerçevesinde en önemli konu haline geldi. Kullanıcıları verilere eriştirirken yetkilendirme politikalarının doğru yapılmış olması çok önemlidir.

Öyle şirket verileri vardır ki bu verilerin sızdırılması, kaybedilmesi, veri hırsızlığına maruz kalması gibi durumlar şirketin para kaybı, itibar kaybı hatta iflas etmesine kadar dramatik durumlar doğurabilir. Hatta bazı özel nitelikli veriler (adli veri, sağlık verisi, v.b,) şirket yetkililerinin maddi ceza ve hapis cezası almasına kadar yol açabilmektedir. 

DLP (Veri Kaybı Önleme) Çözümleri: Veri kaybını önlemek için tasarlanmış, standart yetkilendirme politikalarının üzerine üst seviye veri izleme ve koruma yetenekleri katan çözümlerdir. DLP güvenlik çözümleri ile şirketler hem dışardan şirket içine doğru yapılan saldırı atakları neticesinde verinin dışarıya sızdırılmasını engellemeye hem de mevcut çalışanların bilinçli ya da bilinçsizce hassas şirket verisini dışarı sızdırmasına engel olabilmektedir. DLP yazılımı sayesinde hassas veriler tespit edilir, sınıflandırılır ve etiketlenir. Hassas bir veriye kimin eriştiği, ne zaman eriştiği, kimin değişiklik yaptığı, kimin veriyi mail attığı, nereye göndermeye çalıştığı gibi birçok bilgi raporlanabilmekte ve korunabilmektedir. DLP çözümleri ile hassas veriler yani kredi kartı bilgisi, T.C. No, kan grubu, adli sicil verisi gibi bilgilerin bir mail gövdesinde, word ya da PDF uzantılı dosya içinde olup olmadığına, bir yazıcıdan çıktı alınıp alınmadığına bakabilir, tanımlanan politikalar çerçevesinde şirket dışına taşınmasına engel olunabilir. Hatta bir resim içerisindeki hassas veriyi bile OCR özelliği sayesinde algılayıp, dışarı sızmasını engelleyebilir. 

Bilgi Kaybı Önleme çözümleri sayesinde önemli ve hassas bilgilerin kaybolması, yanlış kişilerin eline geçmesi, yetkisiz kullanıcılar tarafından görüntülenmesi engellenebilmektedir.

“Sadece DLP ile yeterli mi?” dediğinizi duyar gibiyim. Tabii ki tek başına yeterli değildir. Veri güvenliği birçok farklı siber güvenlik bileşenin bir ahenk içerisinde çalışması ile sağlanabilir. İyi bir veri güvenliği altyapısı oluştururken; yeni nesil antivirüs çözümleri, veri şifreleme, database güvenliği, mail ve web içerik koruması, WAF, çift katmanlı doğrulama ve daha birçok güvenlik bileşenine ihtiyaç duymaktayız. Bu yazımızda DLP’ye atıfta bulunduk. Gelecek yazılarımızda da diğer konularda değinmeye çalışacağız şimdilik görüşmek üzere.

X

Neden şifrelemeye ihtiyaç duyarız?

Bir önceki yazımızda “Veri Güvenliği” konusuna değinmiştik. Bu yazımızı da yine veri güvenliği sürecinin bir halkası olan “Verinin Şifrelenmesi” özelinde yapacağız.

SO27001, KVKK, EU-GDPR, PCI-DSS, HIPAA, PII gibi birçok regülasyon var ve bu regülasyonlara uyum sağlayabilmek için teknoloji tarafında yapmamız gerekenleri konuşuyoruz. Bu konuyu önemseyip aksiyon alan kurum ve kuruluşlar olduğu gibi konunun ciddiyetine vakıf olamamış, gerekli yatırımları yapabilecek bütçesi olmayan, bu süreci nasıl tamamlayacağını bilmeyen, hatta konuyu önemsemeyen firmalar da var ne yazık ki. Özellikle Türkiye’de son yıllarda KVKK (Kişisel Verilerin Korunması Kanunu) çerçevesinde ciddi denetlemeler ve yaptırımlar konuşulmaya başlandı. Hatta birçok özel firmanın da ceza aldığını biliyoruz. 

Veri şifreleme konusu yeni bir kavram olmayıp M.Ö 58 yıllarına dayanmaktadır. Yunanca Kryptos (Gizli) + Graphein (Yazma) kelimelerinin birleşmesinden oluşan KRYPTOSGRAPHEIN kelimesinden gelmekte olup dilimize “Kriptografi” yani “Şifreleme bilimi” olarak çevrilmiştir.  İlk zamanlar şifreleme için iki yöntem kullanılmış. 

Örnek olarak;

Yer Değiştirme: TABAK = BTAKA (Aynı harflerin yerleri değişir.)

Yerine Koyma: TABAK = QDEDN (Harflerin yerine farklı harf kullanılır.) 

Tahmin edebileceğiniz üzere bu iki yöntem de günümüzdeki teknolojik gelişmeler ile tahmin edilmesi zor olmayan, özellikle kısa kelimelerde harflerin çözülmesini mümkün kılan bir metot.  Zamanla birçok farklı zorlu metot üretilmiş, savaş alanlarında rakibe karşı üstünlük kurarak savaşı kazanabilmek adına ve casusluk amaçlı kullanılmıştır. Günümüze gelecek olursak çok daha karmaşık metotlar kullanılmakta, teknolojinin nimetlerinden en son noktaya kadar faydalanılmaktadır. Askeri, elektronik, banka sistemleri, e-ticaret siteleri, borsa, sigorta ve daha birçok yer veri şifreleme metotları kullanarak verilerinin güvenliğini sağlayıp istenmeyen kişilerin eline geçmesi durumunda da kullanılabilirliğini engellemektedir. Şifreleme gereksinimi ülkelerden tutun da firma ve kurumlara hatta standart bir bilgisayar kullanıcısına kadar herkesin ihtiyacı haline gelmiş durumda. Günümüzde simetrik ve asimetrik şifreleme metotları kullanılmaktadır. 

Simetrik Şifreleme Algoritmaları:

DES (Data Encrytion Standard - Veri Şifreleme Standartı)

Yazının Devamını Oku

Şirketler için bir uzaktan çalışma meselesi

COVID-19’un etkisi Nisan ayından beridir dalga dalga yayılırken, bir yandan virüs kapmamaya gayret edip, bir yandan da yeni normale alışmaya çalışıyoruz. Bununla birlikte kendimizi ve sevdiklerimizi bu virüsün bulaşıcılığından korumaya çalışmak, iş hayatımızı ve çalışma şeklimizi buna göre tasarlamak hiçbirimiz için kolay olmuyor. Dünya çapındaki pandeminin yarattığı durumlar, uzaktan çalışma modelinin hızlı bir şeklide hayatımıza entegre edilmesini de sağladı. Tabii bu süreci, uzaktan çalışmaya uygun firma ve çalışanları özelinde ele almak en doğru yaklaşım olacaktır.

Son yıllarda uzaktan çalışma modelinin çalışan performansını, çalışma disiplinini, iş gücü kaybını ve güvenlik zafiyetlerini doğuracağı kanısı, bu modele geçmeyi ciddi anlamda baskılıyordu. Birçok firma bu modelin önemi ve katkılarını düşünürken, bir yandan da bu kaygıları görmezden gelemediler maalesef.  Ancak, pandemi ile bu zorunlu geçiş yani evden çalışma modeli kaçınılmaz oldu. Okullardan hastanelere, bankalardan holdinglere, kamu kurumlarından KOBİ ve diğer birçok farklı iş koluna yani tüm alanlarda evden çalışma modeline geçiş zorunlu olarak gerçekleşti.

Evden çalışma modelinin artılarını ve eksilerini hemen hemen hepimiz tecrübe ettik diye düşünüyorum. Lakin işin güvenlik boyutu başlı başına ele alınması gereken bir konuyu içerisinde barındırıyor.  Yukarıda bahsetmiş olduğumuz kurum ve kuruluşların tamamında ofis düzeni için kısmi de olsa bir güvenlik altyapısı mevcut iken, evden çalışmak firmalar için beraberinde birçok soru işaretini doğurdu.  Gelin bu sorulardan birkaçına kabaca bakalım;

Sanırım yukarıdaki kaygıların birçoğunu ve daha fazlasını alt alta sıralamak mümkün. Kabul edelim ki pandemi süreci 2021’de de hayatımızda olacak. Bu sürece entegre olamayan firmalar kepenk kapatmak durumda kalıyor ve kalacaklar.

Firmaların ilk yapması gereken, ne tip eksikleri olduğunu analiz etmek olacaktır. Eksiklerinizi bilemezseniz neyi ne kadar korumanız gerektiğini bilemezsiniz.   Bu nedenle önce teknolojik olarak nasıl bir yapıya sahip olduğumuzu, verilerin nerede tutulduğu, bu verilere kimlerin eriştiği ve kimlerin hangi yetkiler ile erişmesi gerektiği netleştirilmelidir.  Emin olun, bu süreç gerçekten çok kritik ve önemlidir. Çalışanların bu sürece uyum sağlayabilmeleri için mutlaka uzaktan erişim süreçleri ile alakalı eğitilmesi, olası tehditler hakkında bilgilendirilmesi gereklidir.  Zincirin en zayıf halkası kadar güçlü olduğumuzu unutmamalıyız.

İkinci aşamada ise uzaktan erişim sağlayacak kişilerin cihazlarındaki yazılımların güncel olup olmadığını tespit etmek, ihtiyacı olanlar üzerinde bu güncellemeleri tamamlamak olası yazılım açıklarının önüne geçmenizi sağlayacaktır. Olmazsa olmazlardan biri de cihazlardaki antivirüs ve kişisel güvenlik duvarlarının güncel ve aktif olmasıdır.  Ayrıca çalışanların internet erişimlerinin aynı şirket ortamında çalışırmışçasına planlanması (Web erişim güvenliği çözümleri), zararlı içerik barındırın sitelere yapılacak istem dışı erişimlerin önüne geçilmesini sağladığı gibi çalışanı güvenli alanda tutmayı da başaracaktır.   

Firmaların en büyük kaygılarından biri de verilere uzaktan erişecek kişinin gerçekten kendi çalışanı olup olmadığıdır.  Yani çalışanın bilgisayarı siber saldırıya maruz kalmış olabileceğinden tüm erişim bilgileri (kullanıcı adı, şifresi, uzak erişim için kullandığı erişim yetkileri) saldırganın eline geçmiş olabilir. Bu durumda “Uzaktan erişim sağlayan kişi gerçekten firma çalışanı mı?” sorusu hiç de yersiz bir soru olmuyor.  Bu sorunun çözümü ise Çift Katmanlı Doğrulama Çözümleri (MFA yada 2FA) ile deva buluyor.  Uzak bağlantıları ikinci bir çift katmanlı doğrulamadan geçirerek, gerçekten şirket çalışanı olup olmadığını garanti altına almış oluyoruz.  MFA çözümlerini en iyi anlatan senaryoyu bankacılık işlemlerinde telefonunuza gelen ikinci bir doğrulama şifresi gibi düşünebilirsiniz. Aynı mantıkta çalışıyor. Unutulmaması gerekiyor ki, süreç zor ama yönetilemez değil. Zaman, gerekli tedbirleri alarak yeni normalimize adapte olma zamanı.

Yazının Devamını Oku