Siber tehditlerin boyutu ve sıklığı kontrolden çıkmış halde iken Türkiye ve küresel alanda önemli bir güvenlik açığı söz konusu.
StrixEye kurucularından ve “Ethical Hacking” kitabının yazarı Ömer Çıtak’a göre, “gelecek oldukça tehlikeli.” Her ne kadar tehlikeli olsa da, sayısız genç için de büyük bir potansiyel saklıyor. Dünyanın dört bir yanında milyonlarca güvenlik uzmanı için çalışma imkanı bulunuyor. Çıtak, Türkiye’nin yabancı ülkelerdeki şartları sunamadığı için hızla uzman kaybettiğini belirtirken, gençlere geleceğe yönelik önemli tavsiyelerde bulundu.
2022’de şirketlerin en çok maruz kaldığı saldırı türleri hangileri? Son kullanıcı ve hizmet sağlayan kurumlar açısından?
Bugünlerde neredeyse herkesin çok para kazanacağı bir dijital ürün fikri vardır muhakkak. Bu insanlar akıllarındaki bu fikri dijital bir ürüne çevirmeden evvel bir konuya karar vermelidirler. Bu ürün B2B (business-to-business/kurumlar arası) mi yoksa B2C (business-to-consumer/işletmeden tüketiciye) mi olacak? Her iki modelde de ilk baştaki B harfi sizsiniz. Yani bu ürünü geliştiren kurum. Sonraki B veya C harfleri ise ürününüzün hedef kitlesini belirtir. B2B, ürününüzün hedef kitlesinin kurumlar yani şirketler olduğu anlamına gelir. B2C ise ürününüzün hedef kitlesinin dijital ürün tüketen son kullanıcılar yani bireyler olduğunu belirtir.
Nasıl ki bugün bir dijital ürün fikri hayata geçirilirken ilk olarak hedef kitlesini belirlemek gerekiyor ise, siber dünyadaki saldırganlar da bir saldırı gerçekleştirmeden önce bu saldırının B2B mi yoksa B2C mi olması gerektiğine karar veriyorlar. Sonuçta geliştirilen bir dijital ürün ile gerçekleştirilen bir siber saldırının öncelikli motivasyonu ortaktır: PARA.
Sonuç olarak gerçekleştirilen siber saldırıları şirketlere yapılan siber saldırılar ve son kullanıcılara yapılan siber saldırılar olarak ikiye ayırırsak karşımıza şu sonuç çıkıyor. Şirketlere yapılan saldırıların başını fidye yazılımlar (ransomware) yani fidye yazılımları çekerken son kullanıcılara yapılan saldırıların başını Phishing yani oltalama saldırıları çekiyor.
Türkiye’de şirketler fidye yazılım tehdidini ciddiye almaya başladı mı?
Bir önceki soruda nasıl ki saldırı türlerini ikiye ayırırsak bu soruda da siber saldırıya maruz kalan şirketleri ikiye ayırabiliriz. 1: Güvenlik farkındalığı olanlar, 2: Başına ne gelirse gelsin ders almayanlar.
Güvenlik farkındalığı olan şirket henüz başlarına bir Ransomware vakası gelmemiş olsa dahi önceden önlemlerini almış durumdalar. Gerek ransomware tespit yazılımları olsun, gerek olası bir vakada minimum kayıp ile geçmişe dönmek olsun bu konularda ellerinden gelen önlemleri almış vaziyetteler.
Fakat diğer şirketler için benzer bir yorum yapmak çok mümkün değil. Başlarına ne gelirse gelsin vakadan sonra sanki o vaka hiç yaşanmamış ve bir daha böyle bir vaka yaşamalarının mümkünatı yokmuş gibi davranıyorlar. Bu tarz şirketlerin yakın zamanda siber saldırılar vasıtası ile büyük maddi kayıplara uğramamaları için güvenlik ürünlerine ve ekiplerine yatırım yapmalarını tavsiye etmekteyiz.
Güvenlik uzmanı açığını gidermek için neler yapılmalı? Bug bounty gibi programlar teşvik için ne kadar yeterli?
Güvenlik uzmanı yetersizliği çok ciddi bir konu. Hele de Türkiye’deki şirketler için. Yetişmiş uzmanlar birer birer yurt dışına göç ediyor. Yurt dışı şirketlerinin sunduğu imkanlar çok cezbedici. Birçok kendini geliştirmiş uzman, bu teklif karşısında seçimini gitmekten yana yapıyor.
Şirketlerin siber güvenlik uzman açığını kapatması için yurtdışı şirketlerinin sağladığı imkanları sağlaması gerekiyor. Bu imkanlar sadece maddiyatla da sınırlı kalmıyor. Türkiye’deki şirketlerinin hepsinin global iş yapmadığı gerçeğini ele alırsak bu şirketlerin yurtdışı şirketleri ile güvenlik uzmanı rekabetinde şansı çok yüksek değil.
Bug bounty programları, yeterli büyüklükte olmadığı için siber güvenlik ekibi kurmakta zorlanan şirketler için çok mantıklı bir alternatif. Kendi siber güvenlik ekibini kurmakta zorlanan şirketler, siber güvenlik danışmanlığı veren şirketlerden hizmet alarak veya bug bounty platformlarını kullanarak en azından orta seviye bir güvenlik sağlayabilirler.
Siber güvenlik alanında uzmanlaşmak isteyen gençler hangi temel adımları izlemeli?
Kendini siber güvenlik alanında geliştirmek isteyen gençler için günümüzden neredeyse limitsiz kaynak bulunmakta. Video ders sitelerinde iki kupa kahve fiyatına sürüyle ders bulunmakta. İki kahve parası bıle olmayanlar için alternatif ücretsiz eğitim setleri bulunmakta. Online anlamakta zorluk çekenler için fiziksel siber güvenlik eğitimleri, kampları düzenlenmekte. Genç arkadaşlar bu kaynaklar vasıtası ile kendilerini geliştirebilirler.
Tabii siber güvenlik çok geniş bir uzay olduğundan genç arkadaşlar bu kaynakları tüketmeden evvel bir alan belirlemeli. Sonuçta bu kaynaklar hep spesifik konular üzerine sunuluyor. Genel siber güvenlik uzmanlığı diye bir kavram bulunmamakta. Alan seçmekte zorlanan arkadaşlara ie kendi kitabımı öneririm. Online kitap satış platformlarında “Ethical Hacking” diye ararlarsa benim ismimle yazılmış bu kitabı bulup satın alabilirler.
Güvenlik ve teknoloji şirketleri yeni nesil siber tehditlerle mücadele etmek adına ne kadar başarılı?
Yeni nesil siber saldırıları karşı şirketler şuan çok savunmasız. Bunun sebebi ise halihazırdaki güvenlik ürünlerinin yeni nesil siber saldırı tanıyamıyor oluşu. Bu yeni nesil saldırılar, geleneksel saldırılara nazaran daha kompleks ve birden fazla davranıştan oluşan bütüncül saldırılar oluyor. Günümüzdeki güvenlik sistemleri yapıları gereği birden fazla davranıştan oluşan kompleks saldırıları tanımlayamadığı için şirketler bu saldırıları karşı savunmasız durumda.
Yeni nesil saldırıları tanıyabilen ve gerekli önlemleri alan ürünler yeni yeni geliştirilmekte. Bu ürünler, başını İsrail ve ABD’nin başı çektiği, siber güvenlik ve yatırım ekosisteminin güçlü olduğu ülkelerde geliştiriliyor. Yakın zamanda yeni nesil saldırıları anlayacak ürünleri sayısı artacak ve her şirkette ilk kullanılan siber güvenlik ürünlerinden biri haline gelecek.
Tüketicilerin en çok dikkat etmesi gereken modern tehditler neler? Dijital ortamda her yaştaki kullanıcı nelere dikkat etmeli?
Son kullanıcılara yönelik yapılan saldırıların başını Phishing yani oltalama saldırılarının çektiğini söylemiştik. Bireyle öncelikle bilinçli olmalı. Herşeyin başı bilinçli olmak. Yabancılardan gelen e-postalar açılmamalı, WhatsApp veya diğer mesajlaşma uygulamalarında bilinmeyen insanlardan gelen mesajlar açılmamalı, açılsa dahi bu mesajlar bis dosya ve bir görsel içeriyor ise bu dosya veya görsel indirilmemeli, sosyal medya hesaplarında muhakkak iki adımlı doğrulama açık olmalı.
Son olarak şunu unutmamalıdır; sanal dünya ile siber dünyadaki tehditler çok benzer. Nasıl ki gerçek dünyada tanımadıkları insanlara güvenmeden hareket ediyorlar ise siber dünyada da aynı yöntemi uygulamaları gerekiyor.
Deepfake gibi yeni nesil teknolojiler siber suçları ne derece tehlikeli kılabilir?
Siber suçluların ellerinde en büyük silah saldırdıkları nesnelerin insan olması. İnsan, güvenlik zincirindeki en zayıf halka. Dolayısı ile siber suçlular bir siber saldırının başlangıç noktası olarak hedef tahtasına insanları koyuyor. Bunu, insanları kolayca kandırabilecek yöntemler ile yapıyorlar. Günümüzde Deepfake gibi teknolojiler yokken veya çok ilkelken bile siber suçluların ürettikleri dolandırıcılık yöntemleri şaşkınlık verici.
Deepfake gibi teknolojilerin gelişmesi ile siber suçuların kendi yöntem yelpazelerini genişletecekleri aşikar. Dolayısı ile bireyler artık eskisinden daha temkinli olmalı. Çünkü “çocuğun elimizde” isimli bir WhatsApp mesajında izlediği videodaki çocuk kendi çocuğu olmayabilir. Siber suçlular tarafından üretilmiş sahte bir video olabilir.
Gelecek çok korkutucu, temkinli olmakta fayda var.
StrixEye’ın geliştirmeye çalıştığı teknoloji bir gün akıllı şehirleri koruyabilecek mi? Önümüzdeki yıllarda beklentileriniz neler?
StrixEye, 2,5 senedir geliştirdiğimiz ve geliştirmeye devam ettiğimiz çok kıymetli bir teknoloji. Yeni nesil karmaşık saldırıları anlayabilen, bir siber saldırıyı saldırı öncesinde tahmin edebilen ve gerekli önlemleri alabilen, dünyada çok benzeri olmayan nadir bir teknoloji.
Bu teknoloji, akıllı şehir sistemleri olmak üzere birden fazla noktada kullanılabilir. Üst seviye saldırıların yaygınlaşmaya başladığı günümüzde, halka açık dijital sistemi olan her şirketin muhakkak gündeme alması gereken bir konu.
Biz, geliştirdiğimiz bu 2,5 senelik süreçte, sadece güvenlik zincirindeki en zayıf halka olan insanın yani bizim yöntemlerimize güvenmedik. Yapay zekanın da desteğini aldık. Dolayısı ile bugün StrixEye, bizim bile hayal edemediğimiz kompleks bir saldırıyı önceden yakalayabilir halde.
Teknolojimizi merak eden ve değerlendirmek isteyen şirketler bizimle iletişime geçerek StrixEye’ı test edebilirler.
Ana görsel: Matias Malka/Unsplash