İspanya-Türkiye ortaklığında Mayıs ayı sonunda gerçekleştirilen LOCARD siber güvenlik konferansının ortak kurucularından Igor Lukic, 2020’li yıllara hazırlanırken kulağımızda küpe olması gereken önemli bilgiler sundu.
EnigmaSec firmasının kurucusu ve CEO’su olan Lukic, 5G’nin desteğiyle süper hızlı veri transferiyle 20 milyardan fazla cihazın olacağı Nesnelerin İnterneti çağında bireylerin çok dikkatli olması, devletlerin ise yasal çözümlerle siber suçlara karşı koyması gerektiğini belirtti.
Siber dünyada iyi-kötü ayrımının var olmadığını vurgulayan Lukic’e göre yeni nesilde ‘kötüler’ daha fazla olacak. Kolay para peşinden giden ve Darknet’i giderek güçlendiren siber suçluların karşısında internete bağlı sayısız cihaz kullanacak insanların son derece dikkatli olması gerekiyor. Aksi takdirde başınıza çok ciddi sorunlar çıkabilir, hatta ölebilirsiniz.
Lukic’in sunumunda dikkatimi çeken iki husus var. Birincisi siber suçluları evinizin içine davet etmeniz için sayısız imkan sunmamız. İkincisi de hiç aklımıza gelmeyecek anlarda fiziksel saldırıya maruz kalacak kadar tehdit altına girmemiz. Örneğin akıllı aynalar gizliliğimizi tamamen ortadan kaldıracak casus ekranlarına dönüşecek, bazılarımız akıllı klozetlerin saldırısında yaralanacağız.
Ne kadar trajikomik gelse de, 2020’li yıllarda bir kural kaçınılmaz olacak: İnternette bir işlem yapmadan önce iki kere düşünün.
Akıllı ev ve şehirleri risklerden koruyabilecek miyiz?
Teknoloji söz konusu olduğunda hiç bir zaman tam korumadan söz edemezsiniz. Çünkü teknoloji insan yapımıdır. Bu yüzden doğası gereği mükemmel değildir. Yeterli kaynaklarınız ve amaçlarınız olduğu sürece teknolojiden yararlanmak zorundasınız ve bu bizi her zaman risklerle karşı karşıya getirir. Bankalar parayı, gıda tesisleri yiyecek üretimini korumak için teknolojiden yararlanıyor.
Özellikle üretim yapanlar IoT riskinin düşük olduğunu düşünüyor ancak söz konusu risk insanların ne kadar harcadığı veya ne kadar gıda tükettiği değil. Dikkat edilmesi gereke IoT’de her şeyin bağlantılı olması. Eğer bir yere siber saldırı düzenleyebiliyorsanız, finans veya gıda ağını tehdit edebilirsiniz.
Burada en iyi örnek, akıllı evinizde modemin ele geçirilmesi. Ağdaki merkezi bir noktayı ele geçirmeleri, evinizin kapılarını açmanızdan farksız bir durum.
İnternete bağlı cihazların güvenliği maliyeti artıracak mı?
IoT ile gelecek hizmet, stratejik pazarlamayı da doğrudan ilgilendirecek. Üreticiler satışa sunmadan önce ürünlerin güvenlik garantisi verdiğinden emin olmalı. Teknolojinin her alanda giderek büyük firmaların markası altında sunulduğu görüyoruz. Büyük markaların da veri sızıntısına izin veren ürünlere toleransı bulunmuyor. Bu kapsamda ürünleri defalarca testlerden geçiriyorlar. Daha düşük standartlara sahip olan Çin malları ise bu nedenle daha ucuz oluyor. Hong Kong veya diğer şehirlerde kaliteye odaklanan ancak güvenliği aklından bile geçirmeyen üreticiler mevcut.
Nesnelerin İnterneti nasıl bir suç tablosu oluşturabilir?
Bana kalırsa tüm suç çeşitleri tamamen dijital altında toplanmaya başlıyor. Zaman ilerledikçe insanlar teknolojiyi daha farklı kullandığı gibi suçlular da dijitale kaymaya başlayacak. Kolay para, her geçen gün daha fazla insanı siber suçlara çekmeye başlayacak ve devletlerin siber suçlara karşı sunduğu yasal açıklar eylem ve hareket alanını artıracak.
Kötümser biri değilim ama görünen tablo özellikle genç insanların ağırlıklı olarak ‘karanlık tarafı’ seçeceğini gösteriyor. Kodlama ve siber güvenlik yeteneği yüksek olan genç insanlar firmalardan istedikleri maaşları almayacaklarını bildikleri için kendi paralarını kazanmaya yönelecek. Siber suç dünyasında size suçlular para ödüyor. Kısaca vergi ödemek gibi bir derdiniz yok. Ayrıca zamanla yaptığınız eylem sayısını ve kazandığınız parayı da artırıyorsunuz.
Devletler nasıl önlemler almalı?
Farkında olduğumuz bir gerçek var ki, o da siber dünyadaki karanlık hizmetlerin aynı zamanda devletler tarafından da kullanıldığı. Hacking Team’e yapılan saldırının ardından ortaya çıkan belgeler bu durumu açıkça ortaya koydu. Burada karşımıza çıkan mesaj, siber dünyada iyi ve kötünün aynı olduğu. Ülkenizi saldırılardan korumak için siber silahlar kullanmanız iyi bir şey. Ancak aynı zamanda siber suçlulardan gelen bir teknolojiyi kullanıyorsunuz. O zaman bu tabloda kim iyi ve kim kötü? Bunu bilemeyeceğiniz gibi siber suç döngüsünün de sonu gelmeyecek. Kötü olarak bildiğiniz ne ise onu sona erdirmenin yolu yok.
Benim tavsiyem, toplumun korunması adına yasaların öne çıkması. Siber suçlara karşı önlem alabilirsiniz ancak içinden çıkmak asla söz konusu olamaz.
Nesnelerin İnterneti’nde en kritik hedefler neler?
Bir siber suçlu olsaydım doğrudan internete bağlı herhangi bir cihazı hedef alırdım. İnternet aracılığıyla kontrol edilen her türlü cihazı tespit edip, saldırıya geçerdim. Çünkü hedefi belirleyip ona saldırmanız ve ele geçirmeniz, ağ içinde yatay veya dikey olarak ilerlemenizi sağlar. Böylece çok daha fazla saldırı hedefi tespit ederseniz.
İkinci hedefim özel bilgiler saklayan kişisel bir cihaz olurdu. Ne zaman kalıyorsunuz, iş yeriniz nerede, evinizin adresi ne, kimlerle görüşüp konuşuyorsun gibi soruların cevapları kullanabileceğiniz veri anlamına gelir. Böylece bilgilerini çaldığım kişinin sosyal medyasını kontrol edebilir, bilgisayarına girebilir ve ondan fidye isteyebilirim. Kimlik hırsızlığı gördüğümüz en rutin saldırı türü.
Tavsiyem, internete bağlayacağınız cihazın ne olduğuna dikkat etmeniz. Bunu neden yaptığınızı düşünmeniz. Güvenlik kameranızı iyi bir şifre ile korumazsanız birisi veya birileri sizin evinizi ve ne yaptığınızı görebilir. Burada iyi ve kötü aklınızdan geçmeli. Evinizi daha güvenli kılmak bir yanda dursun, farkında olmadan evinize birilerini davet edebilirsiniz. Bunu genelde yapmıyoruz. Bir cihazı alıyoruz ve internete bağlayıp kullanmaya başlıyoruz.
Siber dünyada iyi ve kötü ayrımı kalmadı… İyi ve kötüyü birbirinden ayırt edilemediği bir dünyadayız.
Nesnelerin İnterneti ile ölüm riski doğacağını da biliyoruz değil mi?
Ölüm riskini kabul etmeye hazırız. İnsanlar gizlilikleri ve güvenlikleri için risk oluşturacağını bilmesine rağmen hayatlarını kolaylaştıracak teknojilere kapı açıyor. Sosyal medya başta olmak üzere insanların her ikisinden ödün verdikleri birçok teknoloji mevcut. Yararlı hizmet ve eşyalar her zaman kazanan taraf olur ve Nesnelerin İnterneti için de aynısı geçerli.
Ne gibi önlemler alınmalı?
Sınırsız limiti olan bir kredi kartınız varsa dikkatli bir şekilde düşünmelisiniz. Bu kredi kartını neden ve nerede kullanacağınıza dikkat etmelisiniz. Çünkü yeterince korumadığınız ve korunması için yardım almadığınız eşyalar sizin hakkınızda çok önemli bilgiler sızdırabilir.
Siber güvenlikte hasar değerlendirmesi çok önemli. Tıpkı evinizi, arabanızı sigorta ettirmeniz gibi siber dünyada da riskleri değerlendirmelisiniz. ‘Kredi kartı bilgilerim çalınırsa veya evimin güvenlik bilgileri ele geçirilirse ne yapmalıyım’ diye düşünmeli ve bir B Planı hazırlamalısınız.
Twitter şifrenizi çaldırmanız işinizi kaybetmenize bile yol açabilir. Twitter’ı şifresiz Wi-Fi ağlarında kullanmamanız gerektiğini bilmelisiniz. IoT ile doğrudan etkileşim içinde olan insanlar risklerin her zaman var olduğunu bilmeli ve buna göre hareket etmeli. Unutmayın, IoT’de öncelik daima risk değerlendirmesi olmalı.