Kategori arşivi: Lostar

Lostar

Lostar: Kişisel Veri Güvenliği Rehberi tavsiye niteliğinde önemli bir doküman

Yorum yapın

Bilgi teknolojilerinin sosyal, ticari ve kurumsal her alanda artan önemi ve beraberinde getirdiği siber tehditler, ülkeleri kişi hak ve özgürlüklerini korumaya yönelik yasal düzenlemeler yapmaya zorluyor.

Türkiye’de bu alanda atılan en önemli yasal adımlardan biri yaklaşık iki yıl önce yürürlüğe giren Kişisel Verileri Koruma Kanunu (KVKK) olmuştu.

KVKK sonrası uyum sürecini kolaylaştırmak için geçtiğimiz aylarda Kişisel Verileri Koruma Kurumu tarafından “veri sorumlularının alması gereken teknik ve idari tedbirlere” ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımlandı.

Rehberi ve beraberinde getirdiklerini Siber Bülten’e değerlendiren Lostar Bilgi Güvenliği’nin Kurucu Genel Müdürü Murat Lostar’a göre, kurul tarafından yayınlanan bu dokümanın ve ilgili maddelerinin en önemli özelliği yasal bir yaptırım gücünün olmaması.

“Bu rehber, bizim tavsiye niteliğinde diyebileceğimiz, herhangi bir yaptırımı olmayan, tek tek her satırı yapmak zorunda olmadığımız ama ‘acaba biz bu işi nasıl yaparız’ diye düşündüğümüzde bize yanıt veren dokümanlardan bir tanesi,” diyor Lostar.

KVKK’ya göre, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan veri sorumlusu, kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü “teknik ve idari” tedbirleri almakla yükümlüdür.

“Peki ama ‘kurum bu verilerin güvenliğini sağlarken neler yapabilir, nedir bu teknik ve idari adımlar?’ sorusunu cevabını bu dokümanda buluyoruz,” şeklinde konuşuyor Lostar.

CEO’ya göre, banka, sigorta şirketi ya da sağlık kuruluşlarının bilgi işlem altyapılarındaki kişisel verileri korumak için neler yapılabileceklerine ilişkin idari ve teknik adımlar bu rehber doküman sayesinde daha net olarak belirtiliyor.

“Aslında bu rehber, şirketlerin yüzde 99’unu çok güzel bir şekilde kapsıyor ve çok güzel yol gösteriyor. Kurumlar ne yapacağını anlamak için bu rehbere bakıyor olacak.”

 

-Mağduriyetleri giderebilecek bir rehber

Lostar’a göre Verileri Koruma Rehberi’nin şöyle bir yararı daha var.

“Biz güvenlik camiasında biliriz, yüzde yüz güvenlik olmaz diye. Mükemmel güvenli önlemleri altında bile saldırıya uğrayabilirsiniz. Bu durumda Kişisel Verileri Koruma Kurulu’nun sizlerin bu konuda bir kusurunuz olup olmadığını değerlendirme durumu söz konusu olacaktır,” diye belirtiyor Lostar ve ekliyor:

“Böyle bir mağduriyet durumunda, eğer siz bu rehber dâhilindeki maddeleri uygulamış olduğunuzu ve gerekli önlemleri aldığınız gösterebilirseniz, yaşamış olduğunuz veri çalınması olayının aslında sizin kusurunuzdan değil de karşı taraftan kaynakladığını ispatlama olasılığınız artıyor.”

Lostar’a göre raporda siber saldırılara karşı kişisel veri güvenliğini sağlamak için çalışan eğitiminin önemi de ciddi şekilde vurgulanıyor.

Rehberin dokümanın “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” adlı maddesinde, kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmalarının, kişisel veri güvenliğinin sağlanması için hayati önem taşıdığı özellikle belirtiliyor.

 

-Siber güvenlik şirketleri için yeni rehberlik hizmeti

KVKK yayınlandığından beri kurumlar kanunla uyumlu hale gelebilmek için birçok çalışma yapıyor.

Lostar’a göre bu çalışma farklı yollardan geçerek mümkün ve bu yollardan bir tanesi içeride tutulan verileri daha güvenli hale getirmek.

“Bizim için bu doküman son derece değerli. Resmi bir kurum tarafından yayınlanmış olmasının da çok ciddi bir anlamı var,” diyor tecrübeli CEO.

Murat Lostar’a göre yayınlanan rehber, kurumların veri güvenliği ile ilgili yapmış oldukları çalışmaları inceleyip, idari ve teknik anlamda almaları gereken başka ne gibi veri güvenliği önlemleri olduğunu ve bunların nasıl gerçekleştirebileceklerini ayrıntılı ve düzgün bir raporla sunabilecekleri bir hizmet de başlattı: “Bu veri güvenliğini yeterince sağlıyor muyum sorusunun cevabını veren bir hizmet.”

Lostar’a göre bu hizmet kapsamında güvenlik şirketi, hizmet alan kurumun bilgi güvenliği ile ilgili almış olduğu farklı idari ve teknik önlemleri değerlendiriyor ve rehber doküman ile kıyaslıyor.

“Bu alınan önlemlerin bu rehber dokümanın hangi maddelerine nasıl uyduğunu ya da uymayan yerlerin neler olduğunu ortaya koyuyoruz.”

Ayrıca, bu değerlendirme sonucunda kurumun hangi maddelerle ilgili hiç çalışma yapmamış olduğu ortaya çıkıyor.

“Ve bu eksilerin tamamlanması için neler yapması gerektiğini bir rapor haline getirip, bir yol haritasıyla beraber müşterimize teslim ediyoruz,” diye ekliyor Lostar.

Lostar Bilgi Güvenliği’nin kurumlar için hazırlamış olduğu “Güvenlik Rehberi” yazısına aşağıdaki link üzerinden ulaşabilirsiniz:

https://lostar.com.tr/2017/08/sirketler-icin-guvenlik-rehberi.html

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar

Hidden Cobra’nın Türkiye’de bir sonraki adımı büyük soygun

Yorum yapın
Lostar Siber Güvenlik Uzmanı Ali Tonkaz

ABD başta olmak üzere birçok ülkenin gündeminde olan Kuzey Koreli siber suç grubu Hidden Cobra, bir süredir yaptığı saldırılarla Türkiye’nin gündemini de meşgul ediyor.

ABD hükümetine göre, Kuzey Kore devletinin desteklediği örgüt, Bankshot, Badcall ve Hardrain ve Fallchill olarak bilinen zararlı yazılımları kullanarak telekom ve finans kurumlarını hedef alıyor.

ABD merkezli bilgisayar güvenliği firması McAfee’nin raporunda yer alan iddialara göre, Kuzey Koreli saldırganların son kurbanı Türkiye’deki mali kuruluşlar oldu.

Konuyla ilgili Siber Bülten’e konuşan Lostar’ın siber güvenlik uzmanı Ali Tonkaz’a göre, 2-3 Mart tarihlerinde gerçekleşen saldırı Hidden Cobra’nın birçok saldırısından sadece biri.

“Daha önce çok sayıda farklı ülkeye bu ve buna benzer saldırılar gerçekleşmişti. Ülkemize karşı yapılan bu saldırıyı ele alırsak, saldırı zararlı Word dosyası ve sosyal mühendislik saldırılarının bir araya gelmesi ile gerçekleşti,” diyor Tonkaz konu ile ilgili. Tonkaz’a göre saldırı şu şekilde oldu: “Zararlı Word dosyası oltalama maili ile birlikte kurum çalışanlarına gönderildi. Bu zararlı dosyanın içerisinde Kore Internet Güvenliği Ajansı tarafından duyurulan Adobe Flash zararlısı yer almaktaydı. Bu zafiyet ile birlikte saldırgan istediği şekilde kod çalıştırabiliyordu.”

“Saldırıda ilk hedeflenen, hükümet tarafından kontrol edilen büyük finansal yapılar oldu,” diyor Tonkaz ve altını çiziyor: “Saldırının asıl amacını ileride yapılacak bir saldırı için bilgi toplama ve hazırlık olduğu tahmin ediliyor.”

McAfee’ye göre de saldırı sırasında para çalınmasının söz konusu olmadığı ancak saldırıların Türkiye’de önümüzdeki dönemde geniş çaplı saldırılar için bir ön hazırlık niteliğinde.

“Grup 2009’dan beri aktif”

Tonkaz’a göre, 2009 yılından beri aktif olan grubun faaliyetleri arasında kamu ve özel kurumlara ait verilerin çalınması ve web sitelerinin kullanılabilirliğinin bozulması gibi istismarlar bulunmakta. “Son yıllar içerisinde faaliyetlerine hız veren grup 2017 senesinde altyapılara yönelik yaptığı DDoS saldırıları ile isminden söz ettirdi. Buna ek olarak son 2 sene içerisinde birçok Truva zararlısı ile saldırılarına devam etti.” diyor Tonkaz. WannaCry, grubun arkasında olduğu iddia edilen en büyük saldırılardan biriydi.

ABD, geçtiğimiz yıl aralarında Türkiye’nin de bulunduğu 150 ülkede 300 binden fazla bilgisayarı etkileyen fidye yazılımı WannaCry’ın siber saldırılarından ‘Kuzey Kore’nin doğrudan sorumlu olduğunu’ iddia etmişti. Birçok siber güvenlik kuruluşu da Hidden Cobra’yı suçlamıştı. Fidye yazılım dünya genelinde hastaneler, şirketler ve bankaları etkilemiş milyarlarca dolar zarara uğratmıştı.

“En zayıf halka insan”

Tonkaz’a göre siber saldırıların genelinde olduğu gibi Hidden Cobra saldırılarında da arkasında yatan sebep insan faktörü. “Herkesin bildiği gibi güvenliğin en zayıf halkası insandır,” şeklinde konuşan siber güvenlik uzmanına göre bu halkayı güçlendirmek için de çalışanların kesinlikle bilinçlendirilmesi gerekiyor: “Bu bilinçlendirme tek sefer ile sınırlı kalmamalı; belirli aralıklar tekrar edilmeli ve çalışanların bilinci yüksek tutulmalıdır.”

Tonkaz, insan faktörünün yanında yeni çıkan zafiyetlere karşı tüm şirketlerin tetikte olmasını ve güncel haberleri ve gelişmeleri takip etmesini de bu saldırılara karşı alınması gereken diğer önlemler olarak sıralıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar

“IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor”

Yorum yapın
Siber Güvenlik Danışmanı Cansın Yıldırım

Son aylarda karmaşık DDoS saldırılarının sayısında görülen ciddi artış siber güvenlik firmaları başta olmak üzere birçok kuruluşun dikkatini çekiyor. DDoS saldırılarına dair günümüzdeki tehdit ortamı hakkında yayınlanan çok sayıda istatistik, gelişen Nesnelerin İnterneti (IoT) dünyasını ve gittikçe daha fazla sayıda cihazın internete bağlanıyor olmasını artan saldırı sebeplerinin başında gösteriyor.

Dağınık Hizmet Engelleme (Distributed Denial of Service) saldırısı, birden fazla bilgisayarın tek bir noktaya saldırması anlamına geliyor. Deloitte Global’e göre, 2013’teki en büyük saldırı saniyede 300 gigabitti. 2014 yılında 400 gigabit, 2015 yılında ise 500 gigabitti. Fakat 2016 yılında büyük bir sıçrama oldu ve saniyede 1 Terabit/saniye eşiğini geçti.

Geçtiğimiz haftalarda ise isteyen herkesin yazılımların kaynak kodlarını paylaşabileceği bir depolama servisi olan Github, bu zamana kadar kaydedilen en büyük DDOS saldırısına maruz kaldı. Dakikalarca hizmet dışı kalan site, saniyede 1,35 terabayt trafikle saldırıya uğradı.

Durumu Siber Bülten’e değerlendiren Lostar’ın Siber Güvenlik Danışmanı Cansın Yıldırım’a göre, gerçekten de son yıllarda DDoS saldırılarında ciddi bir artış var. “Bu artış hem saldırıda kullanılan cihaz sayısı hem de gönderilen paket büyüklüğünde hissediliyor.” diyor Yıldırım.

Cihaz sayısındaki artışa 2016 yılındaki Mirai zararlı yazılımın gerçekleştirdiği saldırıyı örnek gösteren Yıldırım, varsayılan kullanıcı adı ve parola ile IoT cihazlarına bulaşan Mirai zararlısnını Fransız hosting firması OVH ve gazeteci Brian Kerbs’i hedef aldığını hatırlattı.

Teknoloji gazetesi The Register’daki bir habere göre IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor. “Her gün İnternet’e açılan cihaz sayısı göz önünde bulundurulduğunda Mirai gibi zararlı yazılımlarla ve onların saldırılarıyla sık sık karşılaşacağız gibi duruyor.” diye ekliyor Yıldırım.

28 Şubat 2018’de ise GitHub tarihin en büyük hizmet engelleme saldırısına maruz kalmıştı; saldırıda “Amplification Attack” denilen yöntem kullanılmıştı. Amplification yani yükseltme saldırıları sunucudan dönen yanıtın gönderilen istek paketinden çok daha büyük olmasından kaynaklanıyor. Ayrıca UDP protokolünün doğası gereği sunucudan dönen yanıtın saldırganın belirlediği hedef sisteme yönlendirilebildiği için az bant genişliği kullanarak istenilen hedefe büyük miktarlarda paket göndermek mümkün.

İnternet’e açık memcached sunucularının UDP portunu kullanılarak saniyede 1.3 Terabitlik bir yükseltme saldırısı sonucu GitHub sunucularını 10 dakika boyunca hizmet veremez duruma getirdiğini aktaran Yıldırım’a göre ister politik nedenlerden olsun isterse de maddi kazanç, hizmet engelleme saldırıları göz ardı edilemeyecek bir tehlike.

Dijital paraların hızla değer kazanmasının artan DDoS ataklarının en önemli sebeplerinden biri olarak lanse edilmesi konusunda ise Yıldırım şunları aktardı: “Bu ve benzeri saldırıları sadece dijital paraların değer kazanmasına bağlamak bence eksik bir ifade olur. Sonuçta hizmet engelleme saldırıları dijital paralar ortada yokken de gerçekleşiyordu ama elbette maddi kazanç saldırganlar için ciddi bir motivasyon kaynağı.”

‘Büyük saldırılar devam edebilir’

GitHub saldırısından sadece birkaç gün sonra ağ güvenliği firması Arbor Networks 1.7Tbps büyüklüğünde atak tespit ettiğini duyurdu. CloudFlare firmasının memcached saldırıları ile ilgili hazırladığı blog yazısında 15 byte’lık istek paketinin 750kB’lık cevap ürettiğini yazdığını hatırlatan Yıldırım’a göre bu da yaklaşık olarak 51 bin 200 katına tekabül ediyor.

Aynı blog yazısına referansta bulunarak, saldırının 120 farklı noktadan ama ağırlıklı olarak Avrupa ve Kuzey Amerika’daki büyük hosting firmalarından geldiğini belirten Lostar’ın güvenlik danışmanı sözlerine şöyle devam etti: “Arama motoru Shodan’a göre hala 88 bin memcached sunucusu İnternet’e açık Bu da ileride daha büyük saldırıların olabileceği anlamına gelebilir.”

DDoS’a karşı bu önlemleri alın!

Birçok istatistik, proaktif ve sürekli gelişen DDoS korumasının hayati önem taşıdığını gösteriyor. Yıldırım’a göre ise kullanılmayan servislerin kapatılması ve güvenlik duvarı gibi çözümlerin devreye alınıp, erişim yetkilerinin doğru yapılandırılması saldırı yüzeyini azaltacaktır.

“Bunun dışında ağ trafiğinin izlenmesi ve kayıt altına alınması olası saldırıyı tespit etmek ve engellemek adına önemli bir adım olacaktır. Bunlara ek olarak, saldırı simulasyonları gerçekleştirilerek kurumların bu tür hizmet dışı bırakma saldırılarına karşı yeterliliklerinin ölçülmesi gerektiği düşüncesindeyim.” diye ekliyor Yıldırım.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar, Şirket Haberleri

Lostar’dan 20. yılında küresel açılım: Londra

Yorum yapın

Türkiye’nin öncü bilgi güvenliği danışmanlığı şirketlerinden Lostar 1 Ocak’ta 20. yaşını doldurdu. Bilgi güvenliği kavramının olmadığı’ yıllarda kurulmuş olan şirketin kurucusu Murat Lostar ile geçmişi, gelecek planlarını, Londra’da açılan Lostar ofisini ve küresel bir şirket olma hedefini konuştuk.

1986’da daha üniversite öğrencisiyken çalıştığı yazılım şirketi için bir muhasebe programı yazan Murat Lostar, daha sonra kurduğu şirkette Türkiye’nin ilk sigorta yazılımları başta olmak üzere birçok farklı alanda yazılım geliştirmiş. Network ve veri tabanları alanında da çalıştıktan sonra kendi şirketini kurmaya karar vermiş ve 1 Ocak 1998 günü Lostar doğmuş.

Sektörün bugünkü haline geleceğine kimsenin ihtimal vermediği 90’lı yılların ortalarında bilgi güvenliği alanında bir şirket kurmak fikrinin nasıl doğduğunu sorduğumuz Murat Bey şirketin bir hobi sebebiyle doğduğunu açıkladı: “Bilgi güvenliği ile uğraşmak onunla ilgili konularda çalışmak benim için bir hobi olduğundan Bilgi Teknolojileri alanında nereye yöneleceğim diye kendime sorduğumda güvenlik doğal olarak yönlendiğim alan oldu.”

“İlk kurulduğumuz yıllarda bir banka CIO’suna firewall’u anlatmak zorunda kaldım.”

Lostar’ın sektörde geçirdiği deneyimler Türkiye’nin bilgi güvenliği alanında geçirdiği evriminde bir göstergesi. Murat Lostar’dan dinleyelim:

“Bir banka CIO’suna – tabi o zamanlar bilgi işlem yöneticisi diyorduk- firewall’un güvenlik açısından gerekli bir ürün olduğunu uzun bir süre anlattım. Yönetici sessizce dinledikten sonra sunucuların önüne yeni bir şey koymanın gerek olmadığını söyleyiverdi. Başkalarına da anlatmaya çalıştım ancak başarılı olamadım. Üstelik bunu yaparken bir ürün satıcısı olarak da yapmadım. Ama yine de ikna edemedim.”

Türkiye’deki bilgi güvenliği seviyesinin henüz istenen seviyeye ulaşmamış olmasından ötürü Lostar’ın ilk müşterileri yurtdışından olmuş:

“İlk 2-3 yıl daha çok yurtdışında projeler oldu. Compaq diye bir şirket vardı. Compaq’a güvenlik ile ilgili bir kitap yazdım ve bu kitabın kursunu oluşturdum. Şirketin bütün Avrupa’daki bayilerinin eğitimi gibi projeler aldım.”

Bugüne geldiğimizde Türkiye’deki farkındalık seviyesini sorduğumuz tecrübeli yöneticiden, 20 yıl önceki gibi yine firewall’un gerekli bir ürün olduğunu anlatmak zorunda kaldıkları durumlar olduğunu öğreniyoruz.

“Bilgi güvenliği farkındalığı seviyesini değerlendirirken kurumlar ve bireyler olarak iki grup oluşturmamız gerek. Kurumları büyüklüklerine göre, hatta büyük kurumları da sektörlerine göre ayırmamız lazım. Regüle sektörler yani, bankacılık, enerji, telekom, hem regülasyonları gereği hem de geçmiş yıllarda yaşadıkları musibetleri gereği, bu konuda oldukça yüksek farkındalığa sahipler ve git gide bu farkındalık seviyeleri artıyor. Çok iyi bütçeler ayırıyorlar ama yeterince eleman bulamadıkları için taşıma su ile devam etmek zorunda kalıyorlar. Regüle olmayan sektörlerde ise, kurumun başındaki insanların vizyonları doğrultusunda bir bilgi güvenliği olgunluğundan bahsedebiliriz. Bu farkındalık seviyesine 100 üzerinden 60 dersek, bunlar dışındaki sektörlerde ne yazık ki hızla sıfıra doğru gerilediğini görüyoruz. “

“Akıllı telefonları aptal telefonlar gibi kullanıyoruz.”

“Bireyler açısından bakarsak, bilgisayar okuryazarlığımız Avrupa ve ABD ile yarışacak seviyede. Ancak bilgi güvenliği okur yazarlık seviyesini karşılaştıracak olursak standardın altında kaldığınız görürüz. Bir teknolojiyi kullanıyorsanız o teknolojinin getirdiği risklere karşı almanız gereken önlemleri bilmeniz lazım. Ütüyü yangınlardan, arabayı hırsızlıklardan öğrendik ama akıllı telefonları bilgisayarları bilmiyoruz. Güvenlik okur yazarlığımızın seviyesi sahip olma seviyemizin de oldukça altında. Akıllı telefon alıyoruz ama bunu bir aptal telefon gibi kullanıyoruz. SMS yerine WhatsApp’ı kullanıyoruz. Güvenlik açısından bakarsak zaten daha el freni ve frenin yerini bilmiyoruz.” diye ekliyor Murat Lostar.

Lostar 2038’de nerede olacak?

Geçmiş ile ilgili düşüncelerini sorduğumuz Murat Lostar’dan bir de gelecek planlarını dinlemek istiyoruz. Lostar 2018’in şirket için bir milat olduğunu söylüyor ve bunun nedenini şöyle açıklıyor:

“Bende ve diğer mesai arkadaşlarımın heyecanında bir kayıp yok. Bununla beraber 20. yılı biz bir milat kabul ederek başlıyoruz. 20. yıl bizim için sıfırıncı yıl. Çünkü ilk kez yurt dışında, Londra’da, bir ofis açtık. Bir taraftan Türkiye’deki işlerimize devam ederken, diğer taraftan da Londra merkezli yurtdışı işlerimi genişleterek devam edeceğiz.  Geçtiğimiz 20 yıl ile önümüzdeki 20 yıla karşılaştırmak için bakarsak sadece ticari faaliyetlerimizde büyüme değil aynı zamanda işletme biçimimizde de değişiklikler olacağını görüyoruz. Mesela ilk 20 yılda çok ürün geliştirmedik, danışmanlık hizmeti verdik. Önümüzdeki yıllarda ürün vermeye ağırlık vereceğiz.” diyen Murat Lostar, şirketin bilgi güvenliği farkındalığı konusundaki birikimini kullanıcıların davranış değişikliklerini dönüştürmek için kullanacaklarını ve bunu bir ürünle yapacaklarını açıkladı.

Farkındalığı artırmanın yanında davranış biçimlerini değiştirecek metodoloji: ESAM (Employee Security Awareness Methodology)

“Ülkemizde bilgi güvenliği farkındalığını artırmak için yıllardır çeşitli çalışmalar yaptık. Bu faaliyetlerimizin bazı şirketlerde neden çalıştığını bazılarında neden çalışmadığını gözlemledik. O gözlemlerimiz sonucunda yeni bir bakış açısı geliştirdik: Güvenlik Farkındalık Metodolojisi (Employee Security Awareness Methodology-ESAM). Şimdi ESAM’ı alt tarafta destekleyecek ürünler geliştiriyoruz. Ürünler ve metodoloji ile bilgi güvenliği konusunda sadece farkındalığın artmasını değil bununla beraber davranış değişikliği konusunda ilerleme kaydetmeyi hedefliyoruz. Bilgisayarın başından kalkarken, bilgisayarın kilitlenmesi gerektiğini kime sorsanız gerekli der. Ama bilgisayarın başından kalktığında bilgisayarı kilitlemek başka bir iştir. Biz şimdi bu başka iş üzerine odaklanacağız.”

Lostar CEO’su şirketin Londra yolculuğunda devletin çeşitli kurumlarından destek aldıklarını da ifade etti: “Ürün satmayan ve mühendislik yapan bizim gibi kurumların çok da uzun ömürlü olamadığını gördük. Bir birikimin oluşabilmesi için bir sektörde uzun yıllar çalışmak gerekiyor. Yurtdışındaki bir ürünün Türkiye’deki versiyonunu satmaktan bahsetmiyoruz. Yeni bir fikri yaratmaktan bahsediyoruz. ESAM’ın geliştirilmesi sürecinde TÜBİTAK’tan farklı projelere destekler aldık. İngiltere yolculuğumuzda Ekonomi Bakanlığının destekleri bize fayda sağladı ve sağlamaya devam edecek.”

Lostar Londra’yı seçmelerinin arkasında 4 yıllık bir çalışma olduğunu da sözlerine ekledi. İlk olarak yurtdışı ofisi için hazırladıkları listede 10 ülke bulunduğunu aktaran Murat Lostar, daha sonra bunu 3’e indirdiklerini Brexit sürecine rağmen Londra’da karar kıldıklarını söyledi.

Geleceğin iş insanları bugünkünden çok farklı olacak.”

Murat Lostar’ın gelecekte siber güvenliğin nasıl bir hal alacağına dair öngörüleri hayli dikkate değer. Lostar, asansörün ilk kullanılmaya başladığı zamanlarda asansör kabininde bulunan ve insanların gitmek istediği katlara basan ‘asansör görevlisine’ benzettiği BT uzmanlarının gelecekte yaptıkları işlerin büyük bir kısmını devredeceklerini ve buna paralel olarak güvenlik anlayışının değişeceğini düşünüyor:

“BT’ciler görevlerinin önemli bir kısmını işi BT olmayan insanlara devredecek. Şu andaki avukatlar bilgisayarla sonradan tanıştılar. Ama avukat adayları bilgisayarla doğdular. Onlar avukat olduklarında bugünkü bilgi işlemcinin yaptığı işleri tıpkı müşteriye giderken asansörde çıkacakları kata kendi bastıkları gibi kendileri halledebilecek. Bilgi işlemcilik farklı bir boyut kazanacak. Davranış biçimlerinde de farklılıklar olacak. Biz bugün güvenliği çalışanların yetkisini elinden alarak sağlama içgüdüsüyle ilerliyoruz. Çünkü o insanların bilgisayarı nasıl kullanacağını sınırlandırarak güvenliği sağlıyoruz. Ama önümüzdeki dönemde hayat bu şekilde yürüyemeyecek. O insanlar buna razı olmayacaklar. Buna bağlı olarak da güvenlik de değişecek. İstediğiniz programı indirme, local admin yetkisi verirseniz bugünkü güvenlik anlayışı yerini başka bir anlayışa bırakacak. Güvenlik ihtiyacı da değişecek. Ben normalde sadece BT’nin içindekilere verdiğim eğitimi diğer departmanlara da vermek durumunda kalacağız.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

BitCoin, Lostar

Blockchain teknolojisi Lostar webinarında anlatıldı

Yorum yapın

Lostar, son zamanlarda ekonomi ve teknoloji gündeminin önemli bir parçası haline gelen Bitcoin’in ana mantığı olan blok zincir veya daha çok bilinen adıyla “blockchain” sistemi için geçtiğimiz günlerde bir webinar düzenledi.

Youtube’dan canlı olarak gerçekleştirilen yayında Lostar CEO’su Murat Lostar, dijital para birimi Bitcoin’in temelini oluşturan blok zincir teknolojisiyle ilgili merak edilenleri bir demo üzerinde anlattı.

Esasen kripto para Bitcoin için geliştirilmiş olsa da, bilişim camiası bu teknolojinin kullanılabileceği bir çok potansiyel alan bulma yarışı içinde. “Blockchain’in kullanılabilme potansiyeli inanılmaz, aklıma her gün farklı çözümler geliyor,” diyor Lostar.

Nedir bu blok zincir?

2008’de icat edilen ve her türlü elektronik işlemlerde kullanılabilen bu teknolojinin en büyük faydalarından biri, tek bir kurum ya da kuruluş tarafından kontrol edilemiyor olması, yani “şeffaf” bir yapı olması.

  • Girdi herhangi bir boyutta olabilir. Çıktı hep aynı kalır.
  • Aynı girdi hep aynı çıktıyı üretir.
  • Girdideki küçük tek bir değişiklik, çıktıda büyük değişiklik yapar.
  • İstenen çıktıyı üretmek matematiksel olarak mümkün değildir. Tek çözüm deneme/yanılma şanstır.
  • Bu yapı içinde geçmişte yapılan işlemler asla değiştirilemeyecek şekilde saklanır.

“Blok zincir ile ilgili önemli noktalardan bir tanesi de; nasıl ki internet temel olarak bizim veriyi paylaşmamızı sağladıysa blok zincir de değer alışverişini imkanlı hale getirdi.”

“İnternette blok zincirin ortaya çıkmasında önce imkansız olan bir problem vardı, İngilizce ismiyle ‘double spending problem’. Bu aslında bir kripto problemidir. Diyelim ki aynı anda benim cebimde elli lira var, ben elli liranın bir kopyasını başkasına verdiğimde artık cebimde o elli liranın kalmaması gerekiyor. Blok zincir bunu ortadan kaldırdı,” diyor Lostar.

Kurumsal dünyada Blok zincir

Tecrübeli siber güvenlik uzmanı Murat Lostar’a göre, kurumsal dünyada blok zincirin kullanım alanı oldukça geniş. Lakin kurumların bu sisteme geçmeden önce aşağıdaki iki kategoriden hangisi içerisinde olduklarını öğrenmek için bazı sorulara cevap vermesi gerekiyor.

Eğer ‘Veri tabanı ihtiyacı var mı?’, ‘Farklı taraflar (kişi kurum) veri tabanında güncelleme yapmak zorunda mı?’, ‘Yazılan verilere ilişkin bir güven sorunu olabilir mi?’ gibi sorulara hayır cevabı veriyorsanız Blok zincire kurumsal anlamda ihtiyacınız yok demektir.

“Bu durumlar yok şirketinizde blok zincirini kullanarak emek, zaman ve işletim parası harcamamıza gerek yok,” diyor Lostar.

Fakat eğer iş ortamınızda ‘Herkesin güveneceği ortak bir otorite bulmak zor, hatta imkansız mı?’, ‘Verilerin bir tarafça saklanması sakıncalı mı?’, Farklı tarafları bu yeni uygulamayı kullanmaya ikna edebilecek durumda mısınız?’ gibi soruların cevabı evet ise o zaman Blok zinciri değerlendirmeniz gerekiyor demektir.

“Herkesin güveneceği ortak bir otorite bulmak zor hatta imkansız mı? işte önemli sorulardan biri bu,” diye belirtiyor tecrübeli CEO.

“Ben eğer merkezi bir otoriteye güveniyorsam benim sektörümün bir tane güvenilir ağabeyi var ise ve sektördeki bütün ekipler bu ağabeyin söylediğine güveniyorsa o zaman Blok zincir yapmak çok da şart değil. Ama böyle birisi yoksa özellikle Blok zincir normalden daha iyi bir çözüm olarak karşımıza çıkıyor olabilir.” diye ekliyor Lostar.

Fakat Lostar’a göre eğer kurumlar kendi ekosistemlerini tedarikçilerini ve müşterilerini ya da aracılarını böyle bir yapıyı kullanmaya ikna edebilecek durumda ise işte o zaman Blok zincir kullanmak anlamlı olabiliyor.

Webinarın tamamına bu link üzerinden izleyebilirsiniz

Siber Bülten abone listesine kaydolmak için doldurunuz