2018, erişim ihlalleri, veri sızıntıları ve ifşaları ile
ilgili endişe verici pek çok bulguyu gündeme taşımaya devam ediyor. Bilişim
güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan
Komtera Teknoloji’nin Genel Müdür Yardımcısı Ziya Gökalp, verileri şifrelemenin
ve iki faktörlü kimlik doğrulamasının öneminin gün geçtikçe arttığını
vurguluyor.
Veri sızıntıları ile ilgili araştırmalar ve gündeme gelen
vakalar, siber güvenliğin 2018’deki durumunun iç açıcı olmadığını gösteriyor.
Veri sızıntılarına dair bulguların kimlik doğrulama ve veri şifrelemenin
önemini öne çıkarttığını dile getiren komtera teknoloji Genel Müdür Yardımcısı
Ziya Gökalp, şirketlerin iki faktörlü kimlik doğrulama, veri şifreleme ve veri
anonimleştirme politikaları belirleyerek dikkatle uygulamasının güvenlik için
şart olduğunu dile getiriyor.
“Sadece Kullanıcı Adı ve Parola, Yeterince Güvenli Değil”
İmalat sanayi sektörü, veri sızıntılarında bu yıl en büyük
artışa sahip olan sektör olurken, perakende, hizmet, sigorta ve sağlık
sektörleri de sızıntı vakalarının artmasıyla artık daha ağır yüklerin altında
kalıyor. Devlet kuruluşları, eğitim, finans sektörleri ile kar amacı gütmeyen
sosyal toplum kuruluşları ise 2018’in ilk yarısına oranla %50 daha az veri
ihlali yaşayarak tablonun nispeten olumlu tarafını yansıtsa da, bu alanlardaki
şirketler de diğerleri gibi sızıntıların önüne geçmeyi başaramıyor.
Bu nedenle hala şifreleme kullanmayan tüm şirketlerin bir an
önce harekete geçerek verilerini önce yetkisiz erişimlere kapalı hale getirmesi
ve ardından şifrelemesi büyük önem taşıyor. Günümüzde şirket sistemlerine, veri
tabanlarına, uygulamalara veya sosyal medya hesaplarına erişimlerin çoğunlukla
sadece kullanıcı adı ve parola ile gerçekleştirildiğini dile getiren Komtera
Teknoloji Genel Müdür Yardımcısı Ziya Gökalp, klavye veya ekran bilgilerini ele
geçirilebilen araç ve programlar ile hackerlerin bu bilgilere rahatça
ulaşabileceğinin altını çiziyor.
“İki Faktörlü Kimlik Doğrulamasının Her Sektörde Uygulanması
Gerekiyor”
Bu noktada iki faktörlü kimlik doğrulama uygulamalarının
kullanımı kaçınılmaz oluyor. Tek kullanımlık şifre üreten uygulamalar, yüz
tanıma, parmak izi tanıma, retina algılama gibi biyometrik yöntemler, açık
anahtar altyapısı ve sertifika kullanımı iki faktörlük kimlik doğrulama
yöntemlerine örnek olarak gösterilebiliyor. Ayrıca, özellikle mobil uygulamalar
üzerinden gerçekleştirilen hesap erişimleri ile ilgili çözüm sağlamaya yönelik,
kullanıcı davranış analizi ve sofistike yapay zeka uygulamaları gibi yeni
yöntemler geliştiriliyor.
İki faktörlü kimlik doğrulamasının bütün sektör ve
platformlara adapte edilememesini, gelecekteki tehlikelerin işareti olarak
gören Ziya Gökalp, bankacılık ve sigortacılık sektörünün bu uygulamayı artık
sıklıkla kullandığını ancak diğer pek çok sektörde uyum sorunu yaşandığını dile
getirerek sosyal medya platformlarında da iki faktörlü doğrulama yönteminin
henüz yaygınlaşmayı başaramadığını ifade ediyor.
“Veri Anonimleştirme Atlanmamalı”
İki faktörlü kimlik doğrulama çözümleri, kurum ve
kuruluşlardaki hesaplar ve verilere erişen kişilerin doğruluğunu kanıtlamaya
imkan verse de bu aşamayı geçen kişilerin bilinçsiz veya bilinçli bir şekilde
veri sızdırma olasılığını ortadan kaldıramıyor. Erişim sonucu verilerin hangi
formda görüntülendiği ve böyle bir formda kopyalanabilme şansının ne düzeyde
olduğu gibi sorular, veri şifreleme ve veri anonimleştirmeye olan gereksinimi
ortaya çıkartıyor.
Her şirketin verilerini şifrelemeye ihtiyaç duyduğunu
belirten Gökalp, şirketlerin verilerini dikkatlice işledikten ve yetki
erişimlerini tanımladıktan sonra veri anonimleştirme çalışmaları da yaparak
ilgili verilerin sadece ilgili kişilerce görüntülendiğinden emin olmasını
öneriyor.
Amerika veya Avrupa’daki şirketlerde yaşanan ve yargıya
intikal eden veri hırsızlığı vakalarında, siber saldırıları gerçekleştirenler
kadar şirket yetkililerinin de suçlu bulunabildiğini hatırlatan Gökalp,
“Hakimler, şirket yöneticilerine ilk olarak ‘Verileriniz şifrelenmiş miydi?’
sorusunu yöneltiyor.” diyor. Veri şifreleme, kimlik doğrulama ve erişim
yönetimi konusundaki adli kurallara uyulması, Avrupa’da GDPR, Türkiye’de KVKK
regülasyonları ile sağlanmaya çalışılıyor.
“Veri Anahtarlarının İyi Saklanması Gerekiyor”
Veri şifrelemeye dair politikaların ciddi bir şekilde ele
alınılmaması durumunda ortaya çıkabilecek en korkutucu durumlardan biri,
şifrelemede kullanılan ve kritik ölçüde önem taşıyan veri anahtarlarının
çalınması oluyor. Siber saldırılar aracılığıyla veri anahtarlarının bir bütün
halinde kopyalanmasının şifrelenmiş verilerin deşifre olması anlamına geldiğini
belirten Gökalp’e göre, anahtarların saklandığı yerin güvenlikli olmasına
mutlaka dikkat edilmesi gerekiyor.
Veri şifreleme işlemlerinin Donanımsal Güvenlik Modülü
olarak adlandırılan güvenlikli cihazlar üzerinde yapılması ve anahtarların da
bu cihazlarda saklanması tavsiyesinde bulunan Gökalp, bu önlemi alan
şirketlerdeki şifrelenmiş verilerin kopyalanması durumunda veri anahtarlarının
ele geçirilemeyeceğini vurguluyor.
