Siber Güvenlik ve İnsan Faktörü
“Zincir, en zayıf halkası kadar güçlüdür”… Siber güvenlik camiasında son kullanıcı farkındalığına dikkat çekmek için kullanılan en meşhur ifade… Karikatürdeki Dave yani…
Fakat bu yazının odağında Daveler yok… Ringin diğer tarafına odaklanıyoruz… Teknoloji üretenler, sistem geliştirenler, güvenlik sistemlerini tasarlayanlar ve kullananlar…
Siber Güvenliğin daha çok teknoloji odaklı olduğu ile ilgili yaygın kanının aksine işin teknik olmayan tarafının daha önemli olduğuna inanıyorum. Siber güvenlik mimarisinde kullanılacak teknolojik çözümler elbette savunma hattının önemli bir parçası… Ancak bir organizasyonda güvenliği sağlamak sadece teknik kontrolleri alt alta, üst üste yerleştirmek ile sağlanamaz…
Siber güvenlik kültürü bu işin en temel bileşenidir…
Bu noktadan hareketle teknolojik çözümlerden uzak iki farklı bakış açısı sunmak istiyorum… Siber Güvenlik alanına bakış açım ve değerlendirmelerim okuduğum iki kitap ile farklılaştı diyebilirim… Aslında bu kitaplar sadece siber güvenliğe olan yaklaşımımı etkilemedi… Genel anlamda farklı bir düşünce yapısı oluşturdu diyebilirim…
Simon Sinek’in “Neden ile Başla” (Start th Why) kitabı ile başlayalım. Kitabın içeriği Neden? Nasıl? ve Ne? üçlü kuramına dayanıyor. Neden’siz herhangi bir şeyin uzun soluklu olamayacağı detaylı bir şekilde anlatılıyor. Önce Neden’inizi oluşturun; Neden’ininizi Nasıl ve Ne ile hayata geçireceğinizi planlayın şeklinde tavsiye veriyor. Bu bakış açısını Siber Güvenlik alanına şöyle uyarlayabiliriz: Güvenliğin asıl amacı kurumların veya sistemlerin iş yapabilme yeteneklerini desteklemek olmalıdır. Bu bizim Nedenimizdir. Siber Güvelik Mimarileri ise bu fikri Nasıl destekleyeceğimizi açıklar. Teknolojik çözümler ise Nedenimizi Ne ile gerçekleştirdiğimizin cevabıdır.
Üst üste, yan yana konulan güvenlik çözümleri; art arda kurulan yazılımlar sadece Ne’dir ve Neden sorusuna cevap olamadıkları için sağlıklı ve sürdürülebilir bir siber güvenlik altyapısı oluşturamamaktadır. Yama veya kaynak güvenlik çözümleri olarak sınıflayacağımız Ne’ler sadece anlık fayda sağlarlar ve küçük yangınları söndürmekten öteye geçemezler. Unutmayınız ki siber güvenlik tıpkı yaşayan bir organizma gibidir: sürekli iyileştirilmesi, bakım yapılması, güncellenmesi ve gerektiği zaman da değiştirilmesi gerekmektedir.
Devam edelim…
Carol Dweck’in kaleme aldığı Düşünce Yapısı (Mindset) adlı kitabında ise başarıya giden farklı bir psikolojik olgudan bahsediyor. Dweck bu kitabında temelde düşüncenin başarıyı nasıl etkilediğini, başarılı olmak için ne şekilde düşünüp nasıl uygulamamız gerektiğini açıklıyor. Düşünce yapınız ve o düşünce yapısından gelen tutumunuz, başarabileceklerinizi belirler. Sabit zihniyete sahip kişiler, niteliklerinin doğuştan gelen ve değişmeyen şeyler olduğuna inanır, yani geliştirmek için çabalamazlar. Öte yandan Dweck’in teorisine göre, gelişen zihniyete sahip ve çaba ve istikrara odaklanan kişiler, potansiyellerine ulaşana kadar gelişmeye devam ederler.
Sistem geliştiricileri ve güvenlik uzmanlarının da bakış açılarını ve zihin yapılarını bu doğrultuda değiştirmeli, genişletmelilerdir. Sürekli değişen, evrim geçiren ve gelişen bir evren olan siber dünyada bir gecede DeFacto standartlar değişmektedir…
Poodle ve Heartbleed güvenlik açıklıklarının duyurulduğu güne kadar kullanılması tavsiye edilen SSL 3.0 protokolü bir gecede güvensiz bir protokol haline geldi.
Sistem odaklı güvenlik anlayışından veri odaklı güvenlik mimarilerine geçiş örnek olarak verilebilir…
Veri odaklı yaklaşımlar, yaygınlaşan Bulut Bilişim teknolojisi, serverless ve microservice tabanlı yapıların bir sonucu olarak ortadan kalkan sınırlar ilk defa 2003 yılında Jericho Forum tarafından dile getirilmiştir. Jericho Forum™ Commandments adı ile yayınlanan bildiride veri odaklı yaklaşımlar, risk tabanlı çözümler ve siber güvenlik mimarisinin yaşayan bir süreç olduğu vurgusu ön plana çıkmaktadır.
Son günlerde bir hayli popüler olan Zero Trust Security Modeli’nin ve bir çok yeni nesil güvenlik yaklaşımının temelinde değişen bu anlayış yatmaktadır.
Böyle bir evrende dogmalara dayanan, sabit fikirli, geleneksel, dünün düşünce yapısı ve çözümleri elbette yetersiz kalacaktır. Bu değişimde ayakta kalmanın ve güvende olabilmenin tek yolu öncelikle düşünce yapısını değiştirmek ve güvenlik alanındaki bilgi birikimi ve tecrübeyi, basma kalıplar şeklinde kullanmak yerine farklı bakış açısı ve zihin yapısı ile çözüm üretmek üzere kullanmalıyız. Einstein’ın dediği gibi “Bir problemi, onu yaratan zihin yapısı ile çözemezsiniz.”
Her yeni teknoloji sunduğu kolaylıkların yanı sıra beraberinde yeni tehdit yüzeyleri ile yeni güvenlik risklerini beraberinde getiriyorlar. Fakat sadece bu nedenle her yeni gelişmeye güvensiz yaftasını yapıştırmanın doğru olmadığına inanıyorum. Yakın bir geçmişte Bulut Bilişim için yapılmış talihsiz açıklama bunun en güzel örneklerinden birisidir. Teknolojinin detaylarını, imkan ve kabiliyetlerini bilmeden, öğrenmeden bu anlayışın sürdürülmesi ise Bulut Bilişim altyapılarının ülkemizde prematüre düzeyde kalmasına neden olmuştur. Bütün dünyanın salgın nedeni ile kapandığı bir dönemde kurtarıcısı olan Bulut Bilişim altyapılarının değeri ise daha sonra anlaşılmıştır.
Tüm dünyada nitelikli siber güvenlik uzmanı ihtiyacı günden güne artmaktadır. Sürekli gelişen ve daha karmaşık hale gelen dijital dünyada saldırılar da benzer şekilde kompleks hale gelmektedir. Tehdit aktörlerinin devlet destekli siber orduları kapsayacak şekilde genişlediğini düşünürsek etkin siber güvenlik önlemlerinin ancak ve ancak bu her anlamda kendisini iyi yetiştirmiş nitelikli uzman personel ile sağlanabilecektir. Teknik kontroller ise bu usta ellerde etkin bir savunma silahına dönüşecektir.
Günümüzde artık bilgiyi ve tecrübeyi saklamanın bir önemi kalmamıştır. Bilgi ve tecrübe, paylaştıkça artacaktır. Bu anlamda bizlere düşen en büyük sorumluluk bu alanda uzmanlaşmak isteyen genç arkadaşları doğru ilgi alanlarına yönlendirecek bilgi birikimi ve tecrübemizi paylaşmaktır. Aksi takdirde, Bedri Rahmi Eyüpoğlu’nun Üç Dil şiirindeki Mernuş’lar gibi onlarca arkadaşı geride bırakmış olacağız.
Unutmayınız ki “Denebilir ki, hiçbir şeye muhtaç değiliz, yalnız tek bir şeye çok ihtiyacımız vardır; çalışkan olmak. Sosyal hastalıklarımızı araştırırsak temel olarak bundan başka, bundan önemli bir hastalık bulamayız, hastalık budur. O halde ilk işimiz bu hastalığı esaslı şekilde tedavi etmektir. Milleti çalışkan yapmaktır. Servet ve onun tabii sonucu olan rahatlık ve mutluluk yalnız ve ancak çalışkanların hakkıdır.” — Mustafa Kemal ATATÜRK
Esen kalın
