ÖZGE ÖZDEMİR
06 10 2015, 07:36 Güncelleme: 07:39
Online veri tabanlarında depolanan bilginin sayısı ve önemi her geçen gün artsa da siber saldırılara karşı ne kadar önlem alındığı tam bir muamma. Teknolojiye daha çok bağımlı hale geldikçe bireyler, şirketler ve hükümetler saldırıya daha açık kalıyor.
FBI’ın eski CIO'su (Bilgi Teknolojileri Direktörü) Chad Fulgham ise her değerli verinin arkasına düşecek bir karanlık gücün mutlaka olduğu uyarısında bulunuyor.
Türk Telekom Grubu’nun gerçekleştirdiği “Türk Telekom Agile Zirvesi 2015” sırasında sorularımızı yanıtlayan Fulgham, şirketlerin siber güvenliği bir ekosistem olarak ele alması gerektiğini, bireylerin ise basit önlemlerle korunabileceklerini anlattı.
2008-2012 yılları arasında FBI’da çalışan Fulgham, şimdi siber güvenlik alanında danışmanlık ve sistem hizmeti veren PerCredo şirketinin yönetim kurulu başkanı olarak görev yapıyor.
Hem Çin hem de ABD birbirini siber saldırılarla ilgili olarak suçluyor. Sizce iki ülke arasında ciddi bir siber mücadele var mı?
Her ülke durumunu kendi lehine çevirmek için ne gerekliyse onu yapacaktır. ABD’nin dünyada egemen askeri güç olduğunu düşünürsek hem şirketler hem de devletler bu durumu yatırım için olanaklı bir hale çevirmeye çalışacaktır diyebiliriz. Suçlamaları siyasetçilere ve istihbarat servislerine bırakıyorum; ancak benim FBI’da çalıştığım yıllarda devlet kaynaklı siber saldırılarda artış olduğunu gördük.
Devletler arasında görülebilecek büyük çapta bir siber savaşın sonuçları sizce ne olur?
Bilgi güvenliği sektöründe klasik bir espri vardır; “Eğer siz ağınızı yönetmek istemiyorsanız, yönetmek isteyen birileri mutlaka bulunur.” Enerjiniz yoksa, temiz su kaynaklarınız yoksa, ülkenizdeki ürünleri taşıma kabiliyetiniz yoksa; bu çok umutsuz bir varoluş olur. Bu yüzden eğer ülkeler bu konudaki zayıf yanlarının üzerine gitmezse ileride enerji, ulaşım ve su konusunda kritik altyapı sorunlarıyla mücadele etmek zorunda kalabilirler.
Devletler bu konuda hangi önlemleri almalı?
Yapmaları gereken ilk şey, bilgi teknolojileri programından sorumlu olan bir kişiyi göreve almak ve onlara gerekli olan ekip ile kaynakları sağlamak olacaktır. Genelde kurumlar güvenliği belirli bir seviyeye kadar göz önüne alıyor; bu konudaki önlemlerinizi en alt seviyede tutmanızın iyi bir strateji olduğunu düşünmüyorum. Sadece teknolojiye değil; aynı zamanda eğiterek ve gelişmelerini sağlayarak insanlara da yatırım yapmak daha geçerli bir önlem almanızı, böylece kötü şeyler olduğunda zararlı çıkmamanızı sağlayacaktır.
Bir zamanlar Amerikan hükümeti için çalışan bir yetkili olarak ABD’nin bu saldırılara karşı savaşmak için sahip olduğu teknoloji hakkında ne düşünüyorsunuz?
Gizli bilgiler olduğu için detaya giremem ama Amerikan hükümetinin bilgi teknolojileri sektörüne özellikle de siber güvenlik alanına çok miktarda yatırım yaptığını söyleyebilirim. Dünyada siber saldırıların arttığını göz önüne alırsak bu durumu anlamlandırabiliriz; aynı zamanda ABD çok ama çok büyük bir hedef. O yüzden bu sadece gidip bir şeyler satın almakla olmaz; politikalarınızdan, teknolojiyi kullanarak sizi savunacak kişilere kadar bütün ekosisteminizi gözden geçirmek durumundasınız. Bilgi güvenliği için ne yapmış olursanız olun, büyük ihtimalle yeterli olmayacaktır. #pagebreak#
Hangi sektörlerin tehdit altında olduğunu söyleyebilirsiniz?
Değerli herhangi bir veriye sahipseniz, büyük ihtimalle peşinizden geleceklerdir. Telekom olsun, sigorta olsun ya da bankacılık sektörü, fark etmez. Değerli her türlü verinin arkasından geleceklerdir; çünkü bu veriyi elde edebilirlerse karanlık dünyada satabilecekleri birileri mutlaka vardır.
Şirketlerin siber güvenlik alanında en çok yaptığı hatalar nedir?
Sadece teknolojiyi satın almak yanılgısına düşüyorlar; “Eğer ben bu teknolojiyi alırsam, çok fazla miktarda parayı bu gereçler için harcarsam, güvende olurum” diye düşünüyorlar. Halbuki bütün ekosistemi düşünmeleri gerek. Her kurum farklı düzeyde güvenliğe ihtiyaç duyar; o yüzden her kurum kendince bir strateji belirlemeli. Bu yüzden en büyük hata gidip sırf parayı harcamak olacaktır.
Bireylerin de bulut teknolojisini kullandığını ve saldırılara maruz kaldığını düşünürsek, bizim bu konuda ne yapmamız gerekir?
Bazen bulut teknolojisinin daha az güvenli olduğu düşünülür, bu her zaman öyle değil. Özellikle de yeterli sayıda kaynağa ve insana sahip olmayan küçük kurumlar, arkasında büyük işletmelerin olduğu bulut teknolojisini kullanabilir. Bireyler için aslında çok basit önlemler var: Kredi bilgilerinizin güvenliğini güncellediğinizden emin olun; bu bilgilerinizin güvenliğini sağlayan programları kullanın; karmaşık şifreler belirleyin, bunu yapmanızı sağlayan çok sayıda uygulama var; bütün bilgilerinizin bir kredi kartında olduğundan emin olun ve onu evinizden dışarı çıkarmayın, dışarıda başka bir kart kullanın. Ev bilgisayarlarınız, cep telefonlarınız ve tabletlerinizi sürekli güncelleyin. Bana önemli bir şirket için çalışan üst düzey bir CIO, “Sistemimizi sadece yılda bir güncelliyoruz” dediğinde, “Kafayı mı yediniz?” cevabı vermiştim.
Üçüncü Dünya Savaşı’nın siber dünyada yaşanacağına dair kıyamet senaryolarıyla ilgili ne düşünüyorsunuz?
Bu soruya cevap vermekten nefret ediyorum; bunun sebebi de tehlikeli bir dünyada yaşıyoruz ve bu dünya gittikçe kötüleşiyor. Felaket tellallığı yapıyor gibi görünmek istemem ama hem bireysel hem de kurumsal olarak teknolojiye daha bağımlı hale geliyoruz. Daha çok cihaz ediniyoruz ve birbirimize daha çok bağlı bir hale geliyoruz. Miktar ve bağımlılık arttıkça risk de artıyor.
IŞİD gibi militan örgütlere karşı siber dünyada hangi güvenlik önlemleri alınmalı?
Burada bir denge var; bu denge ise tamamen güvenli olmak ve insan hakları arasında. Buna verebilecek doğru bir cevap yok. Gerçekten siyah ve beyaz yok; daha çok gri var. Toplum olarak bu dengenin neresinde durmak istiyorsunuz? Toplum olarak ne kadar güvende olmak istiyorsunuz? Hükümete ne kadar yetki vermek istiyorsunuz? FBI ile ilgili en çok sevdiğim şeylerden biri Amerikan hükümetinde kötü şeyleri engeller ve suçluları hapse atarken bir yandan da insan haklarını koruyan bir kurum olmasıydı. Bu doğru ya da yanlış değil; nerede durmak istediğinizle ilgili...
