Dünyanın 157 ülkesinde denetim vergi ve danışmanlık hizmeti sunan Pricewaterhousecoopers (PwC) Türkiye’de müşterilerine siber güvenlik konusunda denetim ve danışmanlık sağlıyor.
Her geçen gün artan siber tehditlere karşı müşterilerine çeşitli yollardan yardımcı olan PwC siber güvenlik ekibinin başında ise sektörün yakından tanıdığı bir isim, Adil Burak Sadıç bulunuyor. Konferanslarda yaptığı etkili sunumlarla siber güvenlik etkinliklerinin aranan yüzü haline gelen Sadıç ile tecrübelerini, sektörün geleceğini ve farkındalık eğitimlerinin içeriğini konuştuk.
PwC’nin siber güvenlik alanında verdiği hizmetler arasında denetimin yanında güvenlik testi de bulunuyor. Son yıllarda özellikle orta ve büyük boy kurumlar için güvenlik testi yapan ‘merdivenaltı’ siber güvenlik şirketleri hem ucuz iş gücüyle sektörün gelişmesini engelliyor, hem de müşterilerin ciddi güvenlik sorunları yaşamasına neden oluyor.
Bu konuya değinen Sadıç, denetim yapan şirketler arasında yeterince profesyonel olmayanların çalıştıkları sisteme zarar verdiği talihsiz olayların sektördeki aktörler tarafından yakından bilindiğini söyledi. “Testler sırasında büyük bir bankanın ana bankacılık sisteminin zarar görmesi, devre dışı kalması, çalışmaz hale gelmesinden tutun operatörlerdeki problemlere ya da muhasebe sunucusunda bir problem yaşanmasına kadar bunlar yaşanabiliyor. Bir servisin kısa süreli durması gibi problemler çok kolay çözülebilir ama özellikle ana bankacılık sistemleri gibi sistemlerin durması ve ayağa kalkması oldukça ciddi mali kayıplara yol açabilir.” ifadelerini kullanan güvenlik uzmanı, PwC’nin düzenlediği güvenlik testlerinin bazı bölümlerinde sisteme zarar vermemek için test edilen kurumdan yetkililerle işbirliğine gidilen durumlar olduğunu söyledi.
Şirketin güvenlik denetim ve danışmanlık hizmetleri hakkında konuşan Sadıç, müşterilerine sundukları hizmetleri birkaç kademeye ayırdıklarını anlattı: “Genelde bir kurumla çalışmaya başladığımız zaman özellikle testin ilk haftasında müşteriye gitmemeye çalışıyoruz. Onlardan sadece bize nereyi test etmemizi istediklerini söylemelerini istiyoruz ve sıfır bilgiyle test yapıyoruz. Haliyle dışarıdan bir saldırgan nasıl yaklaşıyorsa biz de onlara öyle yaklaşıyoruz. İkinci aşamada kurumun içine giriyoruz ama bu seferde “dışarıdan gelen bir danışmanınız ya da misafiriniz nasıl çalışıyorsa, bu kablosuz ağ olabilir kablolu ağ olabilir, biz onunla bir test yapalım” diyoruz. Bir sonraki aşamada çalışan standart bir bilgisayarınızı verin biz kendi bilgisayarlarımızı da kullanmayalım böylece size içeriden bir çalışan nasıl zarar verebilir gibi kademeli olarak ilerletiyoruz. Prensibimiz bir denetim işlevi verebilmemiz için özellikle ilk aşamalarda kurum içinden minimum kontağınızın olması. Bizim yaptığımız çalışmayı bilen bir güvenlik yöneticisi olabilir, BT müdürü olabilir. Yeri geldiği zaman BT denetlendiği için kurumun üst yönetiminden birisi genel müdür ya da genel müdür yardımcısının bildiği testlerimiz de olabiliyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”3″]Hükümetlerin de siber tehditlerle karşı karşıya kaldığı bir dönemde olduğu yorumuna katılan Burak Sadıç, Ankara’nın siber güvenlik konusunda özel sektör ile yeterli işbirliğine gitmediğini düşünüyor. ABD, İngiltere ve Almanya gibi ülkelerle karşılaştırıldığında “hükümetimiz özel sektörü tamamen bağrına basmış değil” diyen Sadıç’a göre ABD siber ordu geliştirme amacında da sırtını özel sektöre dayamış durumda. “ABD, siber ordu geliştirmek söz konusu olduğu zaman bunu çok fazla ordu kılıfında yapamazsınız deyip Silikon vadisiyle çok ciddi bir işbirliği var. Keza İngiltere’ye gittiğiniz zaman bizim İngiltere’deki ofisimiz İngiliz hükümetiyle çok çok yakın çalışıyor. Hatta ve hatta İngiltere hükümetinin içinde belli görevlerde çalışan danışmanlarımız da var.”
Kamu özel sektör işbirliğinin temelinde artan siber tehditlerle mücadelenin devletlerin kaynaklarını zora sokması olduğunu söyleyen Sadıç, SOME’lerin kurulma sürecini de değerlendirdi: “SOME kurarken sadece güvenlik alanında çalışan minimum 3-4 eleman barındırmak zorundasınız. Tatilleri de göz önünde bulundurursanız güvenlik operasyon merkezlerinde bir koltukta beş kişinin oturması gerekiyor. Saldırganlar uyumuyorlar. Böyle düşündüğünüzde kritik altyapılara baktığınızda belli bir teknik seviyenin üzerinde kalifiye 400 ila 500 arasında eleman ihtiyacı doğuyor. Türkiye’de şuanda 400 ila 500 tane eleman var mı –tüm Türkiye genelinde derseniz- bu profilde bu teknik yetenekte yok. O yüzden de mutlaka ve mutlaka zaten kamuyla özel sektörün işbirliği yapması gerekiyor.”
ALTINDA BEZLE SALDIRI YAPAN ARKADAŞLAR ŞİMDİ EKİBİMİZDE
Siber güvenlik uzmanı yetiştirme konusunda fikirlerini paylaşan Sadıç, 10-15 yıllık tecrübe sahibi uzmanların kendi ekibinde çalışmasının az bulunan bir şans olarak değerlendirdi. “Tecrübeliyim diyen insanlara bakarsanız kaba tabirle altında bezle saldırı yapan arkadaşlar diyebilirsiniz. Ben kariyerime 20 sene önce başladım ve 15 sene önce güvenlik altyapılarını kuran ekiplerin içindeydim. 15 sene önce bizler sistem kurmaya çalışırken -sokaktaki çoluk çocuk sizin sistemlerinize saldırabilir diye- bahsettiğim arkadaşlar şu an büyüdüler, okullarını bitirdiler, profesyonel olarak bizim ekibimizde ve benzer ekiplerde çalışmaya başladılar. Okulu bitirip ondan sonra 15 sene tecrübeli olmuş profesyonel danışman sayısı çok çok az.”
İş başvurularında çozukluktan itibaren kazanılan bu tecrübeyi nasıl ölçtüğü sorulan Burak Sadıç, çocukluktan itibaren bu işlerle uğraşan insanların becerilerini kanıtladıkları zaman diğer adayların önüne geçtiğine dikkat çekiyor. “Denetim yapacak ekip için eleman aradığımızda çok iyi bir üniversiteden çok iyi bir not ortalamasına sahip arkadaş mı, burada bahsettiğimiz on-on beş sene tecrübesi olan bir arkadaş mı dediğiniz zaman belki de lise mezunu olabilir, bu on-on beş sene tecrübeli ama üniversiteyi yeni bitirmiş arkadaş bizim için çok çok daha değerli olabiliyor.” diyen Sadıç bu noktada üniversitelerin mezunlara kattığı ‘kurumsal kültürün’ de önemini vurguladı.
Siber güvenlik uzmanı açığı nedeniyle İngiliz hükümetinin birkaç yıl önce hüküm giymiş hackerları devlette işe alabileceğine dair bir değişiklik yapıldığı hatırlatılan Sadıç, benzer bir durumun şirketler açısından çok daha zor olduğunu söyledi. Hüküm giymiş kişileri işe alan şirketler olduğunu belirten Burak Sadıç, siber suçlara müdahil olmuş kişilere sadece uzaktan test yaptırılması gerektiğine dikkat çekti.
Yıllarca güvenlik teknolojisi üreten bir firmada çalışan Sadıç, kendisine sıklıkla yöneltilen sorunların başında ‘anti-virüs üreticileri mi virüsleri yazıyor?’olduğunu söylüyor ve ardından cevabını ekliyor: “ Bir güvenlik teknolojisi üreticisi ya da güvenlik danışmanlığı veren firmanın bu tarz bir yola gitmesi tamamen kendi ekmeğiyle oynamaktır. Adı üzerinde güven üzerinde inşa edilmiş bir işletme bunların hepsi.” Güven noktasından yola çıkan Sadıç’a göre tam da bu yüzden şirketlerin hüküm giymiş hacker istihdam etmesi söz konusu değil.
PwC’nin siber güvenlik alanında verdiği hizmetlerden biri de farkındalık eğitimleri. Farklı sektörlerden birçok şirkete siber güvenlik farkındalık eğitimi verdiklerini söyleyen Sadıç, söz konusu güvenlik olunca bu eğitimlere şirketin her kademesinden çalışanın katılması gerektiğini söylüyor. “Farkındalık eğitimleri güvenlik görevlisinden CEO’ya kadar herkese verilmeli.” diyen uzman, yoğun tempolarından dolayı eğitime katılamayan üst düzey yöneticilere özel eğitimler tasarlanmış. Bu eğitimlere bizzat kendisi katılan Sadıç, “Siz sadece beyaz yakalılara bu hizmeti vererek bir noktaya kadar gelebilirsiniz ama mavi yakalıların da hepsine olmasa bile ulaşabildiğiniz kadar kısmına bu eğitimi vermeniz gerekiyor.” dedi.
Bu eğitimlerin faydalarına dikkat çeken Burak Sadıç, “Bu da tabii ki iki şekilde fayda sağlıyor. Birincisi kurumun güvenlik seviyesini artırıyor direkt olarak tabii ki genel müdürden başladığı için bu olay. Ama diğer taraftan ikinci farkındalık da genel müdür eğer bu olayların farkında değilse bu bir saatlik seans sonunda farkında olacağı için daha sonra kurum içindeki güvenlik bütçesi arttırılıyor.”
I liletalry jumped out of my chair and danced after reading this!