0 850 532 2800 (Hafta içi: 08:30 - 17:30)

Top

Veri Güvenliği Diğerlerinin Sorunu Mu?

Veri Güvenliği Diğerlerinin Sorunu Mu?

Veri Güvenliği Diğerlerinin Sorunu Mu?

Atalarımız ne güzel söylemiş, “Bir musibet, bin nasihatten evladır” diye. Birkaç sene önce bir kapkaç deneyimi yaşayana kadar bunun benim de başıma gelebileceğine hiç de kafa yormamıştım açıkçası… Hayatta birçok kötü şeyin hep başkalarının başına geleceğine inanmak gibi safiyane düşünceler değil midir başımızı derde sokan? Veri güvenliği de birçoğumuz için hep diğerlerinin düşünmesi gereken bir konu gibi algılanıyor çoğu zaman. “İşin aslı hiç de öyle değil” demekle olmuyor tabi konunun anlam ve önemini izah etmek.

Günümüzde birçok şirket güç, esneklik ve konfor özellikleri nedeniyle bulut uygulamalarını tercih ediyor. Bu durum, diğer bilişim sistemlerinde olduğu gibi, bulut bilişimde de güvenlik risklerine dikkat edilmesi gereğini değiştirmiyor. Hangi büyüklükte bir şirket olursanız olun, veri güvenliği riskiyle her zaman karşı karşıyasınız. Halihazırda yanlış giden hiçbir şey olmadığını düşünüyorsak, büyük hata yapıyorsunuz demektir.  Hata yapmamak için, ne gibi risklerle karşı karşıya kalabileceğimizi bilmeniz gerekiyor. Dilerseniz kısaca bunlara göz atalım.

 

1.Veri ihlali

Medyada zaman zaman “Milyonlarca kişinin kişisel bilgileri çalındı” şeklinde manşetlerle karşılaşıyoruz. Fakat bu geniş ölçekli veri ihlalleri buz dağının sadece görünen kısmı. Çalınan kişisel bilgiler önemli ancak veri ihlaline konu olan diğer bilgiler, örneğin ticaret sırları ve fikri mülkiyet hakları, bir işletme için kişisel verilerin çalınması kadar yıkıcı sonuçlar doğurabilir. Her durumda, veri ihlali maliyeti yüksek bir risk alanı. Bilginin açığa çıkması sonucu maruz kalabileceğimiz para cezaları ve yaptırımlar, marka hasarına bağlı maliyetler, kaybedilen gelir, soruşturma ve tazminatlar de göz önünde bulundurulduğunda, işin boyutları daha da büyüyor.

Bulut uygulamaları da her geçen gün korsanlar tarafından daha cazip hale geliyor. Bunun temel iki nedeni var: Birincisi, bulut önemli miktarda veri içeriyor; İkincisi, birçok şirket veri güvenliği için kılavuzlara uymak konusunda yeteri kadar titiz davranmıyor. Bu rahatlık, güvenlikten sadece güvenlik sağlayıcıların sorumlu olduğu yanılgısından kaynaklanıyor. Müşteriler açısından bakıldığında ise bunun dışarıdan nasıl algılandığı önemli hale geliyor. Özetle şunu akılda tutmak gerekiyor; Her şirket kendi verilerinin güvenliğinden sorumludur ve veri ihlalinin bir kurbanı haline gelme riskini her zaman taşır.

 

2.Veri kaybı

Veri kaybı, veri ihlalinden farklı bir kavram. Veri ihlali, verileri açığa çıkarmayı hedefleyen kötü niyetli bir aksiyonun sonucu iken, veri kaybı ise verinin herhangi bir yedeklemesi olmaksızın, tümüyle kaybolması ve silinmesi anlamına geliyor. Bazen veri kaybı teknik bir nedenden kaynaklanabileceği gibi, bazen şifre anahtarının kaybından, bazen de kasıtlı bir hareketten kaynaklanabiliyor. Sebebi ne olursa olsun, veri kaybı çok maliyetli ve bu nedenle de son derece önem verilmesi gereken bir konu olarak öne çıkıyor.

 

3.İçerideki riskler

Son zamanlarda karşılaşılan riskler göz önünde bulundurulduğunda, en büyük riskin dışarıdaki korsanlardan değil, işverenlerinin verilerini ve ağlarını kasıtlı olarak riske atan çalışanlardan geldiğini görüyoruz.  Ağa erişim imkanı olan ve doğru yönetici ayrıcalıklarına sahip kişiler kolaylıkla veriyi manipüle edebilirler, altyapıya zarar verebilirler, veriyi kullanılmaz hale getirebilir ya da silebilirler.

 

4.Hesap ele geçirme

Bulut servisleri şifre çalma, dolandırıcılık ve yazılım açıklarına karşı diğer ağlarda olduğu gibi korunmalı. Çünkü veri buluta aktarılırken gizlice takip edilebilir, korsanların veri ve işlemleri manipüle etmesi söz konusu olabilir. Bu riske karşı, kullanıcıların kimlik bilgilerine erişimine izin verilmemeli, iki faktörlü kimlik doğrulamayı zorunlu kılınmalı, bütün işlemlerin izleme ve kimlik doğrulamalarını güvenceye alan izleme araçları devreye alınmalı.

 

5.Gelişmiş Kalıcı Tehditler 

GKT’ler en tehlikeli tehditler arasında yer alır. Çünkü tespit edilmesi zor bir ağ trafiği içerisinde hareket ederler. Genellikle şifre çalma saldırıları veya kötü amaçlı yazılımlarla yüklenmiş çevre donanımları gibi tespit edilemeyen yöntemlerle gelirler. Oldukça tehlikeli olan bu saldırıların ağa sızmasını önlemek için ileri seviyede güvenliğe ve eğitim yatırımına gerek vardır. GKT’ler organizasyonları, grupları ve hatta kurumları hedef alabilir. Buna ilişkin olarak, Ofisim.com CEO’su Serdar Turan’ın siber güvenliğe dikkat çektiği yazısını okumanızı tavsiye ederim.

Bulut bilişim olgunlaştıkça ve daha fazla işletme bulutun avantajlarından faydalanmak istedikçe, güvenlikle ilgili stratejik kararlara daha fazla odaklanmamız gerekecek. Başlıca tehditleri anlamak ve onlara karşı korunmak için çaba sarf etmek, atmamız gereken adımların başında geliyor.

İlerleyen yazılarımızda bu konuları detaylı olarak irdelemeye devam edeceğiz.