Yakın zamanda Twitter'ın el değiştirmesini fırsat bilen hackerlar T24 dahil olmak üzere farklı şahıs ve kurumlara siber saldırılar düzenlemişti. Bu saldırılara maruz kalmak için çok takipçili, çok zengin ya da çok tanınmış biri olmanız gerekli değil. hepimiz her an tehdit altındayız. Tüm günü geçirdiğimiz telefonlarımızdan, wifi ağlarından, bilgisayarlarımızdan tüm özel hayatımıza, banka hesaplarımıza ve şahsi bilgilerimize erişilmesi çok kolay aslında.
Peki bunun için alınabilecek hiçbir önlem yok mu? Kendimizi bu siber saldırılardan nasıl koruyacağız? Bunu işin uzmanına Karmasis İş Geliştime Müdürü Burak Baysal'a sorduk.
- Siber güvenlik nedir ve hem bireysel hem de kurumsal olarak neden dikkat edilmesi gereken bir mevzu?
Siber Güvenlik en kısa tanımı ile bulut sistemleri, mobil cihazları, elektronik sistemleri, ağları ve verileri kötü amaçlı saldırılardan korumayı içeriyor. Sadece kurumlar nezdinde değil, bireyler için de önemli ve dikkate alınması gerekli. Bireysel olarak en çok finansal kayıplara neden olabiliyor ancak genel çerçeveye baktığımızda kişisel verilerin özellikle sağlık alanında başkalarının eline geçmesi, can güvenliğinizi dahi etkileyecek kadar önemli bir konu. Bu ve bunun gibi daha pek çok sebeple kişisel veri güvenliği önemli.
Veri güvenliğinin sağlanmaması kurumsal olarak hem finansal hem de itibar kayıplarına neden olabiliyor. Bugün global olarak yaklaşık 3 trilyon dolara mal olan siber güvenlik suçlarının, 2025'te 10.5 trilyon dolar zarara neden olacağı tahmin ediliyor.
- Evden ve hibrit çalışma modelleri nedeniyle siber güvenlikte bireysel güvenlik konusunun da önemi arttı. Evde çalışma kurumların sistemlerini ne derece güvensiz hale getirdi? Saldırılar arttı mı?
Pandemide güvenlik açığı ile ortaya çıkan zararlarla siber güvenliğin önemi daha da anlaşıldı. Bu sebeple siber saldırı tehlikelerine ve açıklarına karşı dijital dönüşüme yapılan yatırımlarla siber güvenlik alanında yapılan yatırımlar birbiri ile entegre ilerlemek durumunda kaldı. Kurumların da güvenliği artırmak üzere yatırımlarını artırdığını gözlemledik. Araştırmalar kurumların yüzde 70'inin bulutla ilgili veri ihlali yaşadığını gösteriyor. Özellikle uzaktan çalışma sisteminin başlaması, e-ticaretin bu dönemde yıldız sektör haline gelmesi, temassız ödemelerin artmasıyla finans sektörünün tehlikelere açık olan öncelikli alanlardan olduğunu söyleyebiliriz. Bu süreçte güvenliği arka plana atan firmaların zarar gördükleri ve tehlikelerle karşı karşıya kaldıklarını gözlemliyoruz.
En büyük risk grubunda olan sektörlerin başında küçük işletmeler geliyor diyebilirim. Sektör uzmanları, KOBİ'lerin yüzde 60'ının, kimlik avı dolandırıcılığı ve kötü amaçlı yazılım saldırılarına maruz bırakıldığını söylüyor. İkincil grupta ise sağlık, kamu ve devlet kurumları var diyebiliriz. Çünkü bu kurumlar hackerlar için parmak izleri, Sosyal Güvenlik numaraları gibi hassas bilgilerden oluşan bir hazineye sahip.
Özellikle evden çalışma döneminin içinde olduğumuz şu günlerde şirketlerin sunucularına uzaktan erişim sağlayan kişilerin yaptığı işlemlerin kayıt altına alınması gerektiğinin altını çiziyoruz. Tehditleri önceden algılayabilen araçlardan faydalanmak da veri ihlallerine karşı alınması gereken önlemler arasında. Bu yüzden, Karmasis olarak ihlallerin önüne saldırı gerçekleşmeden geçebilecek, bütünsel denetleme mekanizmaları geliştirdik, Eğer tüm taraflar için güvenli bir dijital dönüşümden bahsediyorsak, bunun için siber güvenliğin ilk sırada gelmesi gerekiyor.
- Bireysel siber güvenlik hakkında neler bilmemiz gerekiyor?
Siber güvenlik sürekli devam eden tehdit unsurlarına sahip. Arabanızın kapısını kilitlerken camları açık bırakmadığınız gibi yalnızca telefonunuza şifre koyup bilgisayarınıza şifre koymamak, evdeki internet ağının güvenliğini sağlamamak, takip eden rakamlar veya doğum günleri gibi kolay tahmin edilen şifreler kullanmamakla başlayabilirsiniz.
- Bu alanda doğru bilinen yanlışlar nelerdir?
"Bana bir şey olmaz, benim peşime neden düşsünler" diye düşünmeyin. Kişilere ve tüketicilere dair elde edilen her bilginin kazanca çevrilebileceği bir çağda yaşıyoruz. Bugün pek çok kişi sevdiklerinin çalınan dijital fotoğraflarını geri almak veya kendileri için önemli olan dosyalarına yeniden erişebilmek için binlerce dolar ödemek zorunda kalıyor.
Güvenlik farkındalıkla başlar. Siz elinizden gelen tüm önemleri alırsanız, hem maddi hem de manevi kayıplar yaşama ihtimaliniz o kadar azalacaktır.
- Mobil cihazlarda siber güvenliği nasıl sağlayacağız? nelere dikkat etmeliyiz?
Mobil cihazların şifresi mutlaka olmalı. Cihazlar içinde mümkünse bankacılık şifreleri gibi önemli kişisel verilerinizi kolay ulaşılabilecek yerlerde saklamayın.
- Scam mesaj olarak gelen ve özellikle ileri yaştakilerin dolandırılmasına yol açan çok fazla durum var. Bir mesajın dolandırıcılık olduğunu nasıl anlarız?
Öncelikle mesajın size geldiği telefon numarası veya email adresini kontrol etmelisiniz. Eğer kurumun adının doğru şekilde yazdığı bir epostadan gelmiyorsa, kurumun kullandığı telefon numaralarından değilse, herkesin kolayca ücretsiz hesap açabildiği email servislerinden birinden atılmışsa, sizin hiç çalışmadığınız bir kurumdan geliyorsa bu mesaj kesinlikle bir dolandırıcılık mesajıdır. Mesajdaki veya epostadaki linklere tıklanmamalıdır.
- Yurtdışında hem bireysel hem kurumsal siber güvenlik sigortacılığı da başladı. Bu uygulamalar Türkiye'de var mı, gelecek mi ya da olmalı mı sizce?
Türkiye'de de böyle uygulamalar var. Sigorta yaptırıp yaptırmamak kişisel bir tercih. Önemli olan farkındalıkla adım atıp riskleri minimuma indirmek. Veriniz bir kere başkasının eline geçtikten sonra maddi olarak zararınızın karşılanması önemli olsa da, yaşayacağınız manevi kayıp veya itibar kaybını yerine koymak mümkün olmayacaktır.
- Yine yurtdışında dijital dolandırıcılık konusunda devletlerin halka sundukları bilgilendirme ve başvuru hatları mevcut. Bizde bu düzenlemeler nasıl yapılıyor, nereye başvurmalı şüpheli durumlarda? Mevzuatta geliştirilmesi gereken noktalar nelerdir?
Türkiye'de de hem devlet kurumları hem de özel kurumlar sıklıkla mesajlar ve e-mail aracılığı ile bireylere ulaşıp nelere dikkat etmeleri konusunda uyarılarda bulunuyorlar.
Bilgi Teknolojileri ve İletişim Kurumu'nun Ulusal Siber Olaylara Müdahale Merkezi ve ayrıca bireylerin güvenliği için internetyardım.org.tr gibi websitelerinde bilgilendirici içerikler mevcut.
- Cloud'da sakladığımız fotoğraf ve dosyaları korumak için ne yapmamız gerekli?
Bulutta sakladığımız tüm veriler de öncelikle bizim belirlediğimiz şifrelerle korunuyor. Dosya veya fotoğraf ya da diğer verilerinizi ve bilgilerinizi, tanınmış bir firmanın bulutunda saklamak da önemli. Piyasada pek çok veri saklama hizmeti sunan kuruluş var ancak hem donanım sağlayıcılar hem GSM operatörleri bireysel olarak fotoğraflarınızı ve dosyalarınızı saklamak için pek çok fırsat sunuyor.
- Çoğumuz sosyal medya ya da online alışveriş sitelerine üye olurken gelen sözleşmelere dikkat etmiyoruz. Verilerimizin 3. şahıslarla paylaşılması durumu bizim için ne kadar risk yaratıyor?
Eğer tanınmış bir marka ve arkasındaki güvenli bir firmaya verilerinizi paylaşma izni veriyorsanız aslında büyük bir riske girmiyorsunuz. Çünkü hem yerel hem de global firmalar Türkiye'de Kişisel Verileri Koruma Kanunu, Avrupa'da muadili GDPR ve Amerika'da CCPA gibi tüketiciyi ve verisini koruyan kanunlara tabidir. Bu kanunlar, kurumlara verinizi anonimize ederek saklama şartı getirir. Yani veriniz 42 yaşındaki, İstanbul Bakırköy'de oturan, şu kimlik numaralı Ahmet veya Ayşe Yılmaz olarak 3. partilerle paylaşılamaz.
Dikkatli olmak gereken nokta bir anda popüler olan, kimin yaptığı veya kime ait olduğu çok da belli olmayan uygulamalar veya websiteleri ile verileri paylaşmamak. Bundan birkaç yıl önce Rusya'dan çıkan bir "yaşlanma" uygulaması vardı. Herkes telefonlarına indirdi, üye oldu, fotoğraflarını yükledi. Şimdi o fotoğraflar nerede saklanıyor, sizin hangi verilerinizle eşleştiriliyor, bunu bilmiyoruz. İşte bu risk.
- Gittiğimiz mekanlarda halka açık wifi kullanmak bizi riske atıyor mu?
Halka açık wifi kullanmak bir risk. Güvenli olmayan, şifrelenmemiş ağlar üzerinden kullanıcı olarak siber güvenliğinizi kolayca sağlamak mümkün değil. Bu ağları kullanarak yaptığınız işlemlerin de ötesinde, ağa bağladığınız cihazlarda bulunan her türlü bilgiyi de riske atmış oluyorsunuz.
- Günün sonunda devlet kurumları bile Anonymous gibi başarılı hackerlar tarafından hacklenebiliyor. O zaman aslında "siber güvenlik" dediğimiz şey tamamen bu başarılı hackerların radarına girip girmememize mi bağlı?
Siber güvenlik farkındalıkla başlar demiştik. Farkında olmak, veriyi koruyacak önlemleri almak ve süreklilik çok önemli. Virüsler evrimleşse de, tıbbın ilerleyip yeni tedavi yöntemleri bulması gibi, teknoloji ilerledikçe biz de yeni savunma yöntemleri geliştiriyor, ağların ve cihazların savunma sistemlerini sağlamlaştırıyoruz.
Başarılı savunma sistemleri zaten haber olmuyorlar. Hacker'ların radarına girmedikleri için değil, girdiklerinde güvenliği sağlayabildikleri için.