Endüstriyel siber saldırıların önemli hedeflerinden birisi, finans sektörü. Türkiye de son yıllarda finans dünyasının yaşadığı siber saldırıların sayısı bir elin parmaklarını geçecek kadar çok. Terazinin bir yanında finansal kuruluşlar, diğer yanında ise yapay zekâ, makine öğrenimi gibi teknolojilere hızla adapte olan siber güvenlikçiler duruyor. Söz konusu finans ekosistemi olunca, iş para kaybetmekle bitmiyor; itibarınızı yitirmek, kritik hizmetleri sağlayamamak gibi sonuçlarla da yüzleşmek zorundasınız. Bankalardaki milyonlarca kişinin menkul varlıklarını bir kenara koyun, sadece kişisel verileri bile derin internette bir servet değeri taşıyor. IMF, siber saldırıların finansal kuruluşların kârının yarısına göz diktiğini söylüyor.
Öncelik “oltaya gelen” yüzde 91
İngiltere menşeli siber güvenlik şirketi Keepnet’in kurucusu Ozan Uçar, siber saldırıların yüzde 91’inin insan kaynaklı, etkili yöntemlerden birisinin de sosyal mühendislik olduğunu söylüyor. Kurbandan gerekli bilgileri ya da erişim yetkisini almak için bir temas kuruluyor. Bu bir internet arkadaşı da bir e-posta olabiliyor. Uçar, bu yüzde 91’i oltalama (phishing) yönteminin oluşturduğunu kaydederken; bu, hepimizin belki her gün karşılaştığı bir saldırı tipi. Örneğin banka şifrenizi isteyen bir e-posta, ondan şüphelenmeden verdiği adımları izlediğinizde finansal varlıklarınızı kaybettirebilir.
Ülke stratejisine devlet desteği eklenebilir
İşin bir de ödeme ayağı var. Mobil alışveriş çağında, adi hırsızlıktan kart çalınmasına kadar birçok tehlike, üstelik evinizin rahatlığında karşınıza çıkabiliyor. Türkiye’deki ödeme kuruluşları için de zorunlu tutulan PCI-DSS güvenlik sertifikası, fiziksel güvenlikten siber farkındalığa kadar her şeyin sıkı değerlendirilmesi sonrasında, sızma testlerinden de başarılı olarak alınabiliyor. Burada deva olunmak istenen dert dolandırıcılık gibi gözükse de, siber güvenlik farkındalığı; 2017’deki WannaCry ve NotPetya’da olduğu gibi çok daha büyük kayıpları önlemeyi sağlıyor. 24 Solutions Türkiye Direktörü Emrah Elmas, 2012’de siber güvenlik stratejisi yayınlayan ve 2016’da bunu güncelleyen Türkiye’nin, Birleşmiş Milletler’in internet ve telekomünikasyon ajansı ITU’nun her yıl yaptığı Global Cyber Security Index 2017 sıralamasında 0,581 puan ile 43. sırada olduğunun altını çiziyor. Bu durumdan çıkış içinse özellikle küçük ve orta ölçekli kurumların siber güvenlik yatırımlarına devlet desteği olması gerektiğini düşünüyor.
Ders müfredatlarına kadar girmeli
Uçar ve Elmas’la konuşmalarım gösteriyor ki; siber güvenlik farkındalığı için siber güvenlik kültürü şart. Bu iş için de hedefte insan var. Uçar, işin kurumsal boyutta kalmasından çok ders müfredatlarına kadar hayatın içine girmesini faydalı görüyor. Çünkü siber saldırganlar tek ve büyük bir hedeftense küçük ama çok sayıda saldırının daha kazançlı olduğunu gördü ve buna göre hareket ediyorlar. Çare bireysel siber güvenlik eğitiminden ve kurum içi simülasyonlardan geçiyor.
Aytun Çelebi, Gazeteci
Yorumlar