G10’un hazinelerinin yöneticilerinin ajandalarında siber saldırılarının yeri var mıdır? Özel sektördeki kuruluşların kaçının yönetim kurulunun gündem maddesidir siber saldırılar ve savunma? Ne kadar sıklıkla bu konular konuşulur? Bütçelerinden bunlara ayrılan pay nedir? Geçtiğimiz günlerde British Airlines’ı felç edenler, yarın o ülkenin hazinesini darphanesini, borsasını da işlemez hale getirebilir mi?
Globalleşen dünyada her insanın, her çalışanın elinde bir akıllı telefon; hesabına giriyor, mail gönderiyor, para transferi yapıyor, sözleşmelere onay veriyor, yazılar gönderip-alıyor.
Risk her geçen gün büyüyor. Sadece satın alma biriminin alacağı ürünlerle sorunlar çözülemeyecek durumda konunun en üst seviyede C seviyesinde temsil edilmesi, bunun için de belki Güvenlikten sorumlu ‘GMY’ gerekiyor.
Dünyadaki darphanelerin eş zamanlı siber saldırıya uğraması piyasalarda nasıl bir etki yapar? Vergi dairelerinde her bireyin özel verisi dururken, bunların ortaya çıkması nasıl bir huzursuzluğa vesile olur? Devletler kanun çıkartarak siber saldırıların önüne geçemeyeceğine göre farklı bir şeyler yapmak lazım. Üstelik Siber Dünya her geçen gün farklı şekle bürünürken tek tip çözümler, tüm sorunlara çözüm olamayacak.
Bilgi güvenliği için kurumlar, kuruluşlar çok ciddi yatırımlar yapıyor. Bu yatırımlarda sonunda müşteriye yansıyor. Müşteri kamuda vergisini veren vatandaş, özel sektörde tüketici. Kimi veriler var ki, kesinlikle yetkisiz kimsenin giremediği koruması en yüksek mertebede ve yerde saklanması gerekiyor. Kimi veri de kimi gözlerin görmesinde sakınca olmayan türden. O denli hassas olmaya gerek yok. Peki tüm bu değerler tek bir kasaya konup o kasa da kaf dağında bir mağarada mı saklanmalı yoksa bir kısmı orada bir kısmı burada olmak üzere dağıtık bir yapıda mı saklanıp, korunmalı?
Birey verisini koruması için yönlendirmeli, kurumun verisi için yönergeler hazırlanmalı, vatandaşın ve devletin verisine (veri, bilgi, birikim) hassas olmalı, kanun koyucu cezaları ve yaptırımları buna göre düzenlemeli. Bireyden kuruma doğru bir liste yapsak diye düşününce şu maddeler aklıma geldi: Kullanıcı adı ve şifre dışında farklı sistemler kullanılmalı, Yazılımların yamaları düzenli kontrol edilmeli ve anında yamalar yüklenmeli, Bilgi güvenliği çalışma grupları oluşturulup, çalıştaylar yapılmalı, Ataklar sonrası öğrenilmiş dersler toplantıları düzenlenmeli, Yüksek seviye hakları olan hesapların hareketleri düzenli denetlenmeli, Taşeron hesapları ve erişimleri yoğun kontrol altında tutulmalı, IT bölümleri geçmiş dönemdeki saldırı benzerlerini simulasyonlar yaparak denemeli, olası saldırı ve sonrasında neler yapmayı planlıyorsa onların tatbikatını yapmalı (Yangın, Deprem, Sell Felaket Tatbikatlarında yapıldığı gibi).
Kendi deneyimlerinize göre listeyi genişletebilirsiniz. Deneyiminizden edindiğiniz sonuçları bizimle de paylaşırsanız bu listeyi sürekli güncel ve paylaşıma açık tutarak herkesin yararlanmasını da sağlayabiliriz.
