Etiket arşivi: Can Demirel

Sektörel

Siber güvenlikteki uzman açığını kapatmak için ortak hareket etmeliyiz

Yorum yapın

Bahçeşehir Üniversitesi’nde geçen hafta perşembe günü düzenlenen ‘Siber Güvenlikte Özel Sektör – Akademi İş Birliği ve İstihdam’ panelinde Türkiye’de siber güvenlik sektörünün gelişimi için atılması gereken adımlar masaya yatırıldı.

Etkinliğin ana sponsoru Biznet’ten takım lideri Can Demirel, Trapmine CEO’su Celil Ünüver, Picus Security eş-kurucusu Süleyman Özarslan ve Barikat Akademi Direktörü Bahtiyar Bircan, Siber Bülten genel koordinatörü Minhac Çelik moderatörlüğünde siber güvenlik eğitimleri, üniversitelerde siber güvenlik derslerinin açılması, Türkiye’de siber güvenlik girişimlerinin önündeki engeller, dünyadaki fırsatlar, ülkemizin bölgesel bir merkez olabilmesi gibi konularda görüşlerini paylaştı.

İki saat süren ve yüzden fazla katılımcının bulunduğun panel uzman yetiştirmek için düzenlenen eğitim kampları üzerine katılımcıların düşüncelerini paylaşması ile başladı.

Siber güvenlikteki uzman açığının kapatılması için özel şirketlerin ve akademinin iş birliği yapmasının önemini vurgulayan Can Demirel Biznet’in Sakarya Üniversitesi ile birlikte düzenlediği Endüstriyel Güvenlik Kampı’nı (EKS) kampını örnek gösterdi.

Uzman açığını kapatmaktaki temel bakışlarının “ortaklık” olduğunu vurgulayan Demirel, “Temel anlamda inancımız Biznet de bu işi tek başına yapamaz. Çok değerli firmalar var. Üretici firmalar var. Bu firmalarla işbirliği yapmanın da bir yolunu aramalıyız” dedi.

Üniversiteden çıkan bireylerin iş aradığını ve şirketlerin de çalışan aradığını belirten Demirel, “Bu iki segmenti birleştirecek çözümler bulmalıyız. Amacımız şikâyet etmeyi bırakıp işin bir tarafından tutup uzman kaynağı problemini nasıl çözebilirizi araştırmaktır” diye konuştu.

Akademi ile özel sektör arasında bir iletişim kopukluğunu olduğunu da belirten Demirel, “Temel problemlerimizden biri bu. İki taraf da birbiriyle konuşmuyor. Ortada bir strateji olması ve herkesin buna katkı yapması gerekiyor. İletişim kurmamız gerekiyor. Şu an akademinin vizyonu ve gittiği taraf farklı. Özel sektör ise hizmet verip ürün çıkarmak istiyor. Aynı amaca hizmet edebilecek şekilde bir potada birleştirebilirsek başarılı olabiliriz. Bu ortak çalışma kültürünü geliştirmek lazım,” dedi.

DİPLOMA İLE SERTİFİKA BİR YERE KADAR, GAYRET VE MERAK BAŞARININ ANAHTARI

Trapmine CEO’su Ünüver, siber güvenlik kamplarındaki eğitim süresinin yetersiz olduğunu kabul ederken önemli olanın katılımcıların gösterecekleri gayret olduğunun altını çizdi. Kendisinin iktisat mezunu olmasına karşın kendi gayretleriyle bir şey öğrendiğini anlattı. Ünüver, “Bu 3-5 günlük eğitim programları profesyonel olmaları için yeterli değil ama biz bu kamplarda kapının girişini göstermiş oluyoruz. En azından biz alamadığımız bir eğitimi öğrencilere vermiş oluyoruz” ifadelerini kullandı.

Kocaeli Üniversitesi’nde Yardımcı Doçent olan Özarslan da ilginin önemine dikkat çekti. Mühendislik mezunlarının bir adım önde olabileceğini ancak gerekli ilgiyi göstermemeleri halinde farklı bölümlerden gelenlerin arkasına düşebileceklerini anlattı.

Barikat Akademi Direktörü Bircan siber güvenlikte ilginin önemine katıldığını fakat sadece başlangıç için yeterli olduğunun altını çizdi:  “Lise mezunu olup sertifika bile almadan yaptığı işlerle ortaya çıkan insanlar var. Merak ve gayret daha kıymetlidir. Google ve Facebook gibi firmalar işe alımlarda üniversite mezuniyeti şartını kaldırdılar. Geleneksel eğitim bizim ihtiyaçlarımızı karşılamıyor. Özellikle siber güvenlik… Özgeçmişi doldurup iş aramaya çıkayım devri bitti. Beceri temelli daha önemli” ifadelerini kullandı.

Bircan siber güvenlik programlarında, katılımcılara sızma testlerinin ardından rapor yazmaları gerektiğinin veyahut olay müdahale ekibinde çalışanların farklı saatlerde çalışmak zorunda kalacaklarının anlatılmadığını hatırlattı. Bircan, “Mesela sızma testi uzmanı olarak çalıştığınızda vaktinizin yarısı bunu anlatacak rapor yazmanızla geçecek” dedi. Olay müdahale ekiplerinin ise cuma akşamları ve insanların genel olarak tatil yaptığı saatlerde çalıştığına dikkat çekti.

HER ŞEY TEK TIKLA HALLOLUYOR

Panelistler, dünyanın çeşitli ülkelerindeki deneyimlerini de paylaştı. Estonya’nın başkenti Tallinn’de şirketini kurmuş olan Trapmine CEO’su Celil Ünüver, Estonya’nın start-uplar açısından cazip olduğunu, Start-up Estonya adlı kurumun girişimcilere birçok konuda yardımcı olduğunu vurguladı.

“Yatırım ve fon bulma noktasında da çalışmaları oluyor. Size çeşitli programlar hakkında bilgi veriliyor. Dinamik bir destek var. Bürokrasi yönünden de avantajları var. Türkiye’de 2016 yılında şirket kurduğumuzda iki günümüz resmi işlerle geçti. Estonya’da yarım günde bilgisayar başında halloldu.” şeklinde konuştu.

Kısa süre önce Avrupa’nın en geniş güvenlik kümelenmesi olan Hague Security Delta’ya katılarak oluşumun ilk Türk üyesi olan Biznet’in Hollanda tecrübelerini paylaşan Demirel, memurların, özel sektör zihniyeti ile hareket ettiğine dikkat çekti: “Bir şey sorduğunuzda özel sektör gibi takip ediyorlar. Danışmanlık şirketi gibi çalışıyorlar” dedi.

DÜNYADA SİBER MİLLİYETÇİLİKLER GÜÇLENİYOR

Panel sırasında Trapmine CEO’su Celil Ünüver, siber güvenlikte küresel seviyede kutuplaşma yaşanmaya başladığına dikkat çekti. Siber güvenliğin artık siyasi olarak algılandığı, özellikle Rus menşeli Kaspersky’nin ABD’den sınır dışı edilmesi ile bu kutuplaşmanın daha da sertleştiğini vurguladı. Çin’de bazı hacker gruplarının Amerika’daki yarışmalara katılmasının yasakladığını hatırlatan Ünüver, “ABD ve Avrupa’da kendi ürünlerimizi alalım akımı var” dedi.

Biznet takım lideri Can Demirel de siber milliyetçiliğin oluştuğunu belirtti. Demirel, “Gittiğimiz konferanslardaki konulardan biri mutlaka bu oluyor. Rusya ve Çin’in stratejilerden bahsediliyor” diye konuştu.

Ünüver, şirketinin Estonya merkezli olmasına rağmen şirketteki Türk izlerinden dolayı müşterilerde soru işaretleri oluştuğunu kaydetti. Yardımcı Doçent Özarslan da bir önyargı olduğunu doğruladı. “Bir fuarda stant açtık. İnsanlar gelip ürünü sorunca anlatıyoruz. Sonrasında nereden geldiğimizi soruyorlar. Türkiye’den geldiğimizi duyunca bir duraksıyorlar. Türkiye, mühendislik ve siber güvenlik bir araya gelince duraksıyorlar. İnsanlar inanmıyor. Bu önyargıyı kırmamız vakit aldı” diye konuştu.

Süleyman Özarslan, yurtdışındaki önyargının yanı sıra Türkiye’deki kurumlar da benzer bir durum olduğunu anlattı. “Yerli ürünlere karşı olumsuz bakış açısını Türkiye’de de kırmak lazım” ifadelerini kullandı.

NE KADAR DEĞER KATTIĞINA BAKMAK LAZIM

Celil Ünüver, konuşması sırasında Türkiye’deki “yerli ve milli” rüzgârına da değindi. “Yerli ve milli olabilirsin ama sende bir zafiyet olabilir. Bu zafiyeti bulan başka bir ülke bunu kullanılabilir. Bütün kurumlara sızabilir. Yerli ve millilikte ölçü ürünün ülkeye ne kadar fayda getirdiği olmalı. Ne kadar döviz kazandırabildiğin olmalı” diye konuştu.

Barikat Direktörü Bircan, ülke sınırlarını kapatıp her şeyi yerli olarak yapacağız anlayışının “çok gerçekçi” olmadığını vurguladı. Bircan, açık kaynaklı teknolojilerin kullanılabileceğine dikkat çekti.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

BizNet

Biznet Türkiye’de EKS siber güvenlik ekosistemi için kolları sıvadı

Yorum yapın

Biznet Bilişim, Türkiye’de endüstriyel kontrol sistemleri alanında bir siber güvenlik ekosisteminin oluşturulması için ilgili paydaşları içinde bulunduran bir model önerisi geliştirdi. ‘Endüstriyel Kontrol Sistemleri Siber Dayanıklılık Vizyon Planı‘ adı verilen model, ilgili küresel ekosistemle aktif etkileşim halinde yerel bir platform kurarak, Türkiye’deki kritik altyapıların siber dayanıklılığını arttırmayı amaçlıyor.

Yurtdışında sürdürülen incelemelerin sonunda Biznet’in Türkiye için önerdiği modelin amaçları arasında, bu alanda uzman insan kaynağının yetiştirilmesi, bilgi birikiminin oluşturulması, EKS siber güvenliği alanında küresel örnekleri ile rekabet edebilecek yerli ürün ve hizmetlerin geliştirilmesi yer alıyor.

Biznet, böyle bir ekosistem için hizmet sağlayıcı firmalar ve işletmeler (“asset owners”), kamu ve akademilerle (üniversite, araştırma enstitüleri v.b) birlikte üçlü bir güvenlik sarmalı modelini öneriyor. Söz konusu modelde gönüllü kuruluşlara da yer veriliyor.

Yayınlanan dökümanda da belirtildiği gibi, bu üçlü sarmalda her bir paydaşın kendi içinde üzerine düşen görevler öngörülüyor. Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosistemi Akademi Eylem Planı’nda akademi ayağında amacın, araştırmacı kaynağının sağlanması, insan kaynağı yetiştirme, EKS siber güvenlik laboratuvarının kurulumu ve teknik araştırmalar için destek sağlanması olması gerektiği dile getiriliyor.

İşletmelerin sunacağı katkının ise yaşanmış ihlal ya da tehditlere ilişkin bilgi paylaşımı, iş ve staj imkânı sağlanması ve laboratuvar için süreç bilgisi ve ekipman temini olabileceği öngörülüyor. Hizmet ve teknoloji sağlayıcılarının da EKS siber güvenlik istihbarat desteği, eğitimler, araştırmacı desteği sağlama ve üniversite araştırmacılarının ilgili konularında yapacağı uluslararası sunum ve konferans için sponsorluk desteği vermesi gibi katkılar sağlayabileceği dile getiriliyor.

Kamu, regülasyon kurumları ve gönüllü kuruluşların ise oluşturulacak yol haritası kapsamında destekleyici bir rol üstlenebileceği dile getiriliyor. Bu kurum ve kuruluşların rehberlik, regülasyon, standartlaşma, yaygınlaştırma gibi konularda yol çizmesi beklenenler arasında.

Biznet’in hazırladığı dökümanda eğitim seferberliğinin söz konusu modelin bir parçası olması gerektiğinin altı çiziliyor. Buna göre, endüstriyel uzmanlık (endüstriyel yazılımlar, ürünler ve destekleyici eğitimler); siber güvenlik ve iş sürekliliği gibi konu başlıklarında bilgi birikiminin sürekli artması gerektiği öngörülüyor.

Bütün bu bilgiler saha bilgisi ile harmanlanıp pratik uygulamalara dönüştürülmeli. Ardından da farkındalık programları, dijital eğitim platformu, sınıf içi eğitimler ve üniversitelerde tez, doktora gibi yaygınlaştırma çalışmalarıyla desteklenmeli.

Bir olgunluk modelinin oluşturulmasının altı çizilen dökümanda siber dayanıklılığın sürdürülmesi için de vizyon geliştirilmesi öngörülüyor. Bu vizyon üç temel kategori altında incelenebilir:

  1. TR-E-ISAC çatı yapısının kurulması, böylece bilgi paylaşımı altyapısının oluşturulması
  2. Yerli çözüm geliştirme
  3. Siber dayanıklılığın arttırılması ve sürdürülmesi. Bunun rehberlik ve danışma, regülasyon, akreditasyon, standartlaşma ve ulusal faaliyetler ile gerçekleştirilebileceği öngörülüyor.
Can Demirel

Konuyla ilgili Siber Bülten’e konuşan Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, böyle bir ekosistemin hayata geçirilmesi için bütün tarafların gönüllü olması ve tüm tarafların katkı sunmasının gerekliliğinin altını çizdi.

Biznet, geliştirdiği bu model önerisiyle kendi üzerine düşen görevlerle ilgili somut aksiyonlar alıyor.

Güven ilişkisi temel olgu

Can Demirel, söz konusu üçlü sarmalda bütün kurumların paydaş olarak yer alacağını ve bu paydaşlar arasındaki ilişkinin güven ilişkisi ve ortak kazanç olmak üzere iki temel olgu üzerine inşa etmenin gerekliliği vurguladı. “Bilgi paylaşımının ön planda olduğu böyle bir platformda güven ilişkisi ve ortak kazanç en önemli iki olgu. Kazanç ile sadece maddi kazanımlardan bahsetmiyoruz. Böyle bir ekosistem içinde bilgi edinimi, siber tehditlere karşı iş birliği gibi parasal değeri olmayan kazanımlar da söz konusu.”

Üniversitelerle iş birliği yapılacak

Demirel, şu anda hem endüstriyel kontrol sistemleri hem de siber güvenlik alanında çalışma yapan akademik kuruluşlarla görüştüklerini, başlangıç olarak Sakarya Üniversitesi ile iş birliği içinde olduklarını, ama farklı üniversiteleri de sürece dahil ederek akademisyenlerin desteğiyle ilerleyeceklerini belirtti.

“Örneğin bu yaz bir EKS siber güvenlik kampı ilgili paydaşların desteği ile gerçekleştirilecek.  Bu tarz programlarla hem insan kaynağı eksiğini gidermek hem de farkındalığı arttırarak hem bu alanda yetkin insan kaynağının yetiştirilmesi ek olarak nitelikli araştırma faaliyetlerinin gerçekleştirilmesini hedefliyoruz.”

Yayınlanan dokümanda önerilen modelin akademi ayağında ekosistem kurulum faaliyetleri kapsamında akademi ile birlikte işletilecek laboratuvarın kurulmasına öncelik verilmesi belirtiliyor.

Buna göre bu laboratuvarlarda endüstri ihtiyaçları gözetilerek araştırma konuları belirlenmeli ve araştırmalar yürütülmeli.

Biznet’in kendi analizine göre araştırma için üzerinde durulması gereken konu başlıkları arasında şunlar var: Endüstriyel cihazların gömülü işletim sistemlerine yönelik güvenlik analizi, endüstriyel protokoller üzerinde tersine mühendislik, endüstriyel bileşenler üzerinde zafiyet araştırması, izole ağlara sızma yöntemleri ve atak-savunma değerlendirmeleri.

Biznet’in geliştirdiği üçlü sarmal modelinde yer alacak paydaşların iki ana kategoriye ayrılması öneriliyor. Kurucu paydaşlar; ekosistemin kurulmasına öncülük eden ve kurulum aşamasından itibaren ekosistemin içerisinde yer alan paydaşlar olarak belirlenirken üye paydaşlar, kurulum sonrası ekosistem bünyesinde yer alan paydaşlardan oluşacak.

“Geçmiş denemeler ve küresel örneklerden edinilen bilgiler ışığında somut adımlar atılarak ilerlemenin faydalı olacağını değerlendiriyoruz. Somut çıktıların başarı olma şansını arttıracağına inanıyoruz.”

Yurtdışındaki modelleri inceleyerek böyle bir model geliştirdiklerini söyleyen Demirel, doğru adımların atılması halinde Türkiye’nin bu konuda önemli bir yol kat edeceğini düşünüyor: “Elbette bir paydaş olarak üzerimize düşen aksiyonlarla ilgili somut adımlar atarken diğer paydaşların da doğru zamanda doğru adımlar atması gerekiyor. Doğru strateji ve aksiyonlarla bırakın dünyaya yetişmeyi, küresel bir başarı öyküsü çıkarabiliriz.”

‘Kültürün içselleştirilmesi şart’

Can Demirel, söz konusu ekosistemin bütün paydaşlara yararlı olabilmesi için kültürel yaklaşımların önemine de değindi: “Buradaki en önemli noktalardan biri yurtdışında gözlemlediğimiz bilgi paylaşımına ve farklılıklara açık olmayı öngören kültürel yaklaşımları içselleştirebilmek.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

BizNet, Şirket Haberleri

Biznet uzmanları EKS güvenliğinin kalbinin attığı S4 konferansındaydı

Yorum yapın

2000 yılında kurumların bilgi güvenliği ihtiyaçlarına çözüm üretmek amacıyla Ankara’da kurulan Biznet Bilişim uzmanları, ocak ayında endüstriyel kontrol sistemleri (EKS) güvenliği alanında önde gelen konferanslardan S4’e katıldı.

Şirketin bilgi güvenliği uzmanı ve takım lideri Can Demirel, ABD’de gerçekleşen konferansla ilgili izlenimlerini, Biznet’in yeni başlattığı ve sunuculuğunu Biznet İç Girişimcilik Direktörü Hakan Terzioğlu’nun yaptığı podcast serisinin ilk bölümünde anlattı.

EKS’nin son zamanlarda gündemde oldukça geniş bir yer kapladığına ve bu konuda dünyada gerçekleşen konferansların olgunlaşmak açısından önemli olduğuna değinen Terzioğlu ve Demirel, S4 konferansından edindikleri bilgilerin çok faydalı olduğunu söyledi.

EKS güvenliğinde uzman sayısı az

Can Demirel, bu konferansla bir kez daha EKS güvenliği alanında çalışan uzman sayısının dünya genelinde az olduğunu fark ettiklerini söyledi:

“Bu yüzden ekosistemin önemi büyük. Biz de dünyada neler yapılıyor, bunu görmek amacıyla son 1,5 yıldır ABD, Avrupa ve Ortadoğu’da yapılan etkinliklere katılıyoruz. Bunların sonucunda, ABD pazarının bu konuda çok daha olgun olduğunu gördük. S4 konferansı da bu düşüncemizi perçinlemiş oldu.”

Terzioğlu, 24 ülkeden toplam 440 kişinin konferansa katılım sağladığını, bu sayının rekor katılım olarak yorumlandığını söyledi.

Demirel de uzman sayısının azlığından dolayı insanların bir yerden sonra birbirini tanımaya başladığını söyledi.

Biznet geçtiğimiz sene de EKS odaklı bir başka konferansa katılmak üzere ABD’deydi.

S4 herkese hitap eden bir konferans

Can Demirel, Dale Peterson’ın 2007 yılından beri düzenlediği S4 konferansının en önemli avantajlarından birinin farklı katılımcılara hitap edecek şekilde düzenlenmesi olduğunu belirtti. Terzioğlu da bu konferansın EKS’nin iş, teknik ve yönetim alanını aynı potada eriten ve her seviyeden topluluğa hitap etmeye çalışan interaktif bir etkinlik olduğunu söyledi:

“Etkinliğin organizasyon kalitesi ve detayları çok iyiydi. Kullanabileceğimiz somut bilgiler edindik. Edinilen bilgilerin tartışıldığı sosyal etkinliklere de katılım çok yüksekti.”

ABD’deki “farklılıkların birliği” kültürünü benimsememiz gerek

Can Demirel, konferansta gözlemlediği en önemli noktalardan birinin kültür olduğunu söyledi. Farklı düşüncelere toleransın söz konusu olmasının ve birbirlerine katılmayan kişilerin fikirlerini rahatlıkla tartışabilmesinin ABD’de bu alandaki pazarı olgunlaştıran faktörlerden biri olduğunu ekledi.

“Teknik detayların yanı sıra, asıl yapılması gereken kültürel yaklaşımları da kendi sektörümüze, ülkemize, çalışma arkadaşlarımıza yansıtabilmek.”

Demirel ayrıca hem IT hem OT yaklaşımlarının konferansa dahil edilmesinin önemli olduğunu söyledi.

EKS’de ürün denildiği zaman ‘anomali tespiti’ akla geliyor

Can Demirel, konferansta nesnelerin interneti ve bulut mimarilerinin çok tartışıldığını söyledi. Bir nevi EKS’nin kendisi değil, EKS’nin ekosisteminde olabilecek mimarilerin güvenliğine ilişkin oturumlar da oldu.

Ayrıca bu sene ilk defa yapılan OT ve EKS ortamlarına özel anomali tespit ürünlerine yönelik seansların da olduğunu belirtti. Demirel bu konuda kendilerinin de çok soru aldığını söyledi.

Terzioğlu da anomali tespitinin konferansta önemli bir yer tuttuğunu söyledi:

“Bu alan yoğun bir alan. EKS’de ürün dediğimiz zaman anomali tespiti akla ilk gelen noktalardan.”

Uzaktan erişim problemi

Demirel, uzaktan erişim probleminin müşterilerden sıkça soru aldıkları alanlardan biri olduğunu ve konferansta da buna yönelik oturumlar yapıldığını söyledi.

Terzioğlu da EKS sistemlerinde uzaktan erişimin önemine değindi:

“Uzaktan erişim EKS sistemlerinde kritik. Çünkü EKS sistemlerinde üreticilerin mühendisleri bile dışarıdan bağlanarak müdahale ediyor. Bu nokta da kullanılan çözüm de önemli, o katmanın güvenliğini sağlamak da önemli. Zafiyet olması durumunda sisteme istemediğimiz kişiler de bağlanabilir ve sistemin göbeğine kadar inebilir.”

Bilgi paylaşımı kritik önemde

Can Demirel, konferansta en çok dikkatini çeken şeylerden birinin, birbirine rakip olabilecek firmaların bile aynı masada buluşması ve kamu kurumlarının varlığı olduğunu söyledi.

Konferansta elektrik üreticilerinden siber güvenliğe bakan kişilerle tanışma fırsatı yakaladıklarını söyleyen Demirel, siber güvenlik ihlali durumunda kurumların birbiriyle kurduğu iletişimin önemine değindiklerini söyledi.

“Şirketler analiz sunumlarını doğrudan EKS güvenliğiyle ilgilenen kişilerin önünde gerçekleştirdi. Bu hem cesaret gerektiren hem de takdir edilmesi gereken bir noktaydı.”

Can Demirel, bu konuda kendilerinin de hem ABD hem Avrupa’da kamu kuruluşları ve firmalarla iletişim içinde olduğunu söyledi:

“’Bir güvenlik ihlaliyle karşılaştığınızda ne yapıyorsunuz?’, ‘Saklıyor musunuz yoksa paylaşıyor musunuz?’, ‘Paylaşım varsa bu nasıl oluyor?’ gibi sorular soruyoruz.”

Demirel, bu noktada rakip firmaların bile bilgi paylaşımında bulunduklarını ve ciddi bir iş birliği içinde olduklarını söyledi:

“Görüştüğümüz çoğu firma ‘Ne seviyede bilgi paylaşacağımız belli, sakınca görmüyoruz,’ dedi.”

Türkiye EKS güvenliğinde ilerlemeye devam ediyor

Demirel yaptıkları ikili görüşmelerde Biznet’i anlatma fırsatı bulduklarını ve katılımcıların kendilerini ilgiyle dinlediklerini söyledi. Terzioğlu da Amerika pazarı daha olgun olsa da Türkiye’nin çok geride olmadığına değindi:

“Bu konferansta gördük ki oradaki konu başlıkları bizim Türkiye’de müşterilerimizle konuştuğumuz konularla aynı. Türkiye EKS güvenliği konusunda iyi ve hızlı bir başlangıç yaptı. Regülasyonlar da yerinde.”

Can Demirel, Türkiye’nin Amerika pazarını yakalamasının mümkün olduğunu ama öncelikle kültürel bariyerlerin aşılması gerektiğini vurguladı.

“Biznet’in de aşması gereken sınırları var, bunun için çalışıyoruz ve paydaşlarımızla birlikte hareket etmenin büyük bir kazanım olacağını düşünüyoruz. Biz de küresel seviyede hizmet veren kişi ve firmalar çıkarabiliriz. Sadece doğru adımları doğru felsefeyle atmamız ve iş birliği yapmamız gerekiyor.”

Terzioğlu da Türkiye’nin iyi bir pazar olgunluğuna ulaşması için iş birliğinin önemli olduğuna değinerek sözlerini sonlandırırken,  Biznet’in yıl boyunca siber güvenlikteki popüler konularla ilgili 12 tane podcast yayınlayacağını da duyurdu.

Siber Bülten abone listesine kaydolmak için formu doldurun

BizNet

Biznet uzmanı Demirel uyardı: “Dijitalleşme kritik altyapılara yönelik tehditleri daha da arttıracak”

Yorum yapın

 

Siber güvenlik şirketi Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, 2018 yılında endüstriyel kontrol sistemlerinde (EKS) siber güvenlik alanını bekleyen gelişmeleri değerlendirdi. 2017’nin EKS için oldukça hareketli geçtiğine değinen Demirel, yeni gelen yönetmelik ve düzenlemelerle devletten özel sektöre kadar birçok alanda artan siber güvenlik farkındalığının yanı sıra bu yılın yeni saldırı ve zararlı yazılımları da beraberinde getireceğini belirtti.

Demirel’e göre, siber güvenliğin bilgi teknolojilerine kıyasla EKS tarafında daha genç bir alan olmasından dolayı 2018’in de en az geçen seneki kadar hareketli geçmesi bekleniyor. Biznet uzmanları, 2017 yılı boyunca Türkiye, Avrupa ve Kuzey Amerika’dan elde ettikleri pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini birleştirerek yeni yılda bu alanda beklenen gelişmeleri derlediği bir kapsamlı blog yazısı kaleme aldı.

Demirel, yazısında öncelikle fidye yazılımları ve IT-OT (Bilgi Teknolojileri – Operasyonel Teknolojiler) yakınsamasından doğacak saldırıların artacağına değindi. Nitekim, geçtiğimiz yıl hem ülkemizde hem de dünyanın birçok yerinde kritik altyapıların WannaCry, Petya, NonPetya gibi fidye yazılımı saldırılarından etkilendiğini ve birçok işletmenin operasyonlarının durduğuna şahit olmuştuk. Buna ek olarak IT-OT yakınsamasının kontrolsüz şekilde artmasının kritik altyapılar için yeni bir saldırı yüzeyi oluşturduğu vurgulandı. Demirel’e göre, saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018’de kritik altyapılar, fidye yazılımlar ve zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı vb.) daha çok etkilenebilir.

Can Demirel / Biznet

Bilgi güvenliği uzmanının makalede vurguladığı ikinci önemli nokta ise doğrudan endüstriyel kontrol sistemlerine yönelik özel zararlı yazılımlarda görülecek artış. Demirel, STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayında gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan hedef alan zararlı yazılımların ve buna bağlı güvenlik olaylarının yeni yılda daha da artış göstereceğini tahmin ediyor.

Öte yandan, 2018 yılında özellikle endüstriyel kontrol sistemlerine yönelik özelleşmiş zararlı yazılımları destekleyen ya da koordine eden devlet destekli (state-sponsored) aktörlerin sayısının artması da bekleniyor. Daha önce bu tarz zararlı yazılımların genellikle bu aktörler tarafından yönetildiği biliniyor. Demirel, bu sene, ulusal seviye aktörlerin daha ofansif faaliyetler göstermesini beklediklerini vurguladı.

UÇTAN UCA GÜVENLİK DAHA ÖNEMLİ HALE GELECEK

2018 yılı, birçok işletme için uçtan uca güvenlik gereksinimi de beraberinde getirecek. Demirel, endüstriyel kontrol sistemlerinin güvenliğinin birçok işletme için yeni bir kavram olduğunu ve işletmelerin genellikle bu konuda stratejik yol haritasını oluşturmakta zorlandığını vurguladı.

Bu yüzden de Biznet’in tahminlerine göre, şirketler, olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacak. Bu öngörünün bir yansıması olarak da makalede, hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı ve IT ile OT güvenliğinin birlikte değerlendirileceği belirtildi. Demirel, özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını belirtti.

Can Demirel’in yazısında üstünde durduğu diğer bir konu ise işletme ve üreticilerin, güvenli tasarım prensiplerini benimseyip daha güvenli mimariler kurmak için harekete geçecek olmaları. Diğer bir deyişle, 2018, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.

Demirel’ göre, son yıllarda yaşanan ihlallerin büyük bir kısmı, tedarikçilerin kullandığı sistemler üzerinden gerçekleştiği için, işletmeler, bu yıl kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi) için de siber güvenlik önlemlerini arttıracak ve hatta zorlayacak.

Son yıllarda kritik altyapıları hedef alan saldırılara karşın, ulusal ve uluslararası standart ve regülasyonların bu alanın korunması için yeterli düzeyde olmadığı görülüyor. Demirel, özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artacağını belirtti. Bunun sonucunda regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması bekleniyor.

Öte yandan, güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktılarının, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edileceği ve kötü niyetli amaçlar için kullanılacağı tahminler arasında.

Bunların yanı sıra, Demirel, kara borsada EKS zafiyetlerine olan talebin artması sonucu, bu alanda yeni ve spesifik bir pazar oluşmasını ve EKS zafiyetleri ile EKS zararlı yazılımlarının alım-satımının daha popüler hale gelmesini beklediklerini belirtti.

IT VE OT BİRİMLERİ İÇİN KÖPRÜ GEREKİYOR

Siber güvenlik alanındaki insan kaynağı eksikliği endüstriyel kontrol sistemlerinde yeni yılda da kendini gösterecek. Bu yıl, endüstriyel kontrol sistemlerine hâkim siber güvenlik uzman ihtiyacının, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam etmesi bekleniyor. Demirel’e göre, işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını hali hazırda bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.

2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanacağı da beklentiler arasında. Demirel, işletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerin ortaya çıkabileceğini vurguladı.

Geçtiğimiz yıl, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. Demirel, bu yıl EKS Siber Güvenlik girişim ekosisteminin büyüyeceğini ve daha fazla girişimin farklı sorunlara çözümler geliştireceğini belirtti. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağı tahmin ediliyor.

2017 yılında birçok EKS altyapı üreticisi, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattı. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Demirel, bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceğini beklediklerini belirtti.

Demirel, makalesinde bu yıl kritik altyapıları ilgilendiren yeni fiziksel güvenlik konularının tartışılmaya başlanacağını da belirtti. Hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri gündeme gelecek konular arasında.

SİBER SİGORTA VE YERLİ YAZILIM GÜNDEMDE KALMAYA DEVAM EDECEK

Can Demirel’in makalesinde değindiği diğer bir gelişme siber güvenlik sigortası. Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi bir süredir meşgul ediyordu. Demirel, makalesinde bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini belirtti.

Demirel’in üzerinde durduğu konulardan biri de EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformları oldu. Demirel, 2018 yılından itibaren bu tarz platformların ülkemizde daha ön plana çıkmasını beklediklerini belirtti.

Yazıda son olarak kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyetine değinildi. Bu durum, 2017 yılında dünya çapında hızla yükselen trendlerden biri olmuştu. Demirel, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketlerinin etkilendiğini hatırlatarak, bu yaklaşımın sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olduğunu belirtti. Dolayısıyla, Demirel’in tahminlerine göre, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek.

Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemini vurgulayan Demirel, bu yıl siber milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS siber güvenliği olacağını belirtti ve milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmelerin ülkemiz için de bir fırsat olabileceğini vurguladı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Haftasonu Sec For You Konferansını kaçırmayın!

Yorum yapın

Türkiye’nin gözde üniversitelerinden Koç Üniversitesi’nde faaliyet gösteren IEEE Kulübü tarafından organize edilen Security For You Bilgi Güvenliği Konferansı 24-25 Ekim tarihlerinde Taxim Hill Hotel’de gerçekleştirilecek.

Alanında uzman kişilerin de katılacağı konferasta, katılımcıların güncel siber saldırıları ve korunma yollarını anlamasını, kariyer planlamalarında yardımcı olmayı ve kişilere güvenli yazılım geliştirme alışkanlıkları kazandırmayı amaçlanıyor.

İLGİLİ HABER >> TÜRKİYELİ UZMANLAR HACKING’İN SÜPER LİGİNDE TER DÖKECEK

Celil Ünüver, Bahtiyar Bircan, Işık Mater, Faruk Ünal, Behruz Cebiyev, Can Demirel, Kenan Abdullahoğlu, Ünlü Ağyol ve Bekir Karul gibi isimlerin konuşmacı olarak katılacağı konferansın ilk gününde sunumlar yapılırken, ikinci gününde atölye çalışmalarına yer verilecek.

Etkinliğin detaylı programına www.sec4u.org adresinden ulaşabilirsiniz.

Ücretsiz davetiye almak için TixBox sayfasını ziyaret ediniz.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]