Dünya, giderek daha küçük bir yer hâline geliyor. Uluslararası şirketlerden küçük işletmelere kadar birçok kurum ve kuruluş bulut sistemlere geçiş yaptıkça dünyanın küçüldüğü, yurt dışı çalışma imkânlarının da çoğaldığını görüyoruz. Yurt dışında çalışmak isteyen siber güvenlik uzmanları da bu fırsatları değerlendirebilir ve kariyerine yepyeni bir yol çizebilir.
SİBER GÜVENLİK KÜRESEL BİR ALANDIR
Siber güvenlik küresel bir sorun. Dolayısıyla siber güvenlikçilere dünya çapında bir talep var. Farklı bir deneyim, yeni bir ortam veya potansiyel olarak daha yüksek ücret arayan profesyoneller, yurt dışında çalışarak bu fırsatlardan yararlanabilirler.
Uluslararası bir şirkette, o şirketin bulunduğu ülkede veya uzaktan çalışmak isteyen güvenlik uzmanları, maaş, kültür ve hatta çalışma saatlerinde farklılıklar beklemelidir. Bu farklı hususlara uyum sağlayabilirlerse, küresel olarak önemli olan bu meslekte başarılı olabilirler.
Herhangi bir sektörde başka bir ülkede çalışmak bazı farklı anlayışları da doğalında beraberinde getirecektir. Söz gelimi değişen iş yeri kültürlerinin dışında siber güvenlik uzmanları, farklı talepler ve düzenlemelerle karşılaşmayı bekliyor olmalıdır.
Örneğin Birleşik Krallık’taki siber güvenlik çalışanları, Ulusal Siber Güvenlik Merkezi’ni (NCSC) ve işlerindeki rolünü anlamalıdır. Benzer şekilde AB’deki profesyoneller de GDPR’yi dikkate almalıdır. Söz konusu farklılıkların bazıları çalışanların örneğin ABD’de gördüklerinden daha katı olurken diğerleri olmayacaktır. Yine de yurt dışında çalışanlar için adaptasyon gerektirirler.
Her ülkenin iş standartları, yaşam maliyetleri, ödeme ölçekleri doğal olarak birbirinden farklılık gösterir. Örneğin İsrail’de haftalık çalışma süresi 43 saat olarak bilinirken iş haftası da Pazartesi-Cuma değil, Pazar-Perşembe günleri arasıdır. Farklı kültürlere adapte olmanın gerektireceği yaşam biçiminin yanında örneğin mesai saatleri dışında mesajlara yanıt vermekten sorumlu olmadığınızı belirten Fransız yasalarının sağladığı haklara da hazırlıklı olmanızı tavsiye ederiz.
YURT DIŞINDA ÇALIŞMANIN FAYDALARI
Söz konusu farklılıklara uyum sağlamak zor olsa da yurt dışında çalışmanın birçok avantajı olduğu bir gerçek. Bu avantajların en önemlisiyse tabii ki maddiyat. Gerek Türkiye’de yurt dışı şirketlerinde uzaktan çalışıp Dolar veya Euro cinsinden para kazanmak gerekse yurt dışında yaşayıp orada ortalama üstü maaş almak, yaşam standardınızı oldukça yükseğe çekebilir.
Siber güvenlik konusunda küresel bir biçimde yaşanan istihdam artışı da arayışlarınızı kolaylaştırabilir. Örneğin ABD dünyadaki herhangi bir ülkeden fazla siber güvenlik uzmanı istihdam ederken Birleşik Krallık, Brezilya, Güney Kore ve Japonya gibi ülkeler de giderek gelişen güvenlik sektörüne sahiptir.
YURT DIŞINDA ÇALIŞMANIN ZORLUKLARI
Yurt dışında çalışmak, benzersiz zorlukları beraberinde getirecektir. Bunlardan bir tanesi başka bir ana dil konusudur. Ana dil konusu karşınıza çıkabilecek en büyük engeldir.
Bunun yanı sıra gerekli beceriler ve istenen yetenekler de ülkeler arasında farklılık gösterebilir. ABD’de nitelikli bir siber güvenlik uzmanı dedirten beceriler, Japonya’da aynı tanımlamayı taşımayabilir.
Tabii bir diğer sorun da bir siber güvenlik çalışanı olarak uzaktan çalıştığınızda veri güvenliğinizin nasıl olacağı yönünde.
ÇALIŞILACAK EN İYİ ÜLKELER
Her ülke, yurt dışında çalışan siber güvenlik uzmanları için benzersiz avantajlar ve dezavantajlar sunar. Çalışılacak en iyi yer, insanların tercihlerine ve ihtiyaçlarına bağlı olarak değişebilir ancak genel olarak konuşursak, bazı alanlar siber güvenlik için diğerlerinden daha iyidir.
Örneğin Hindistan, hızla büyüyen BT ve bankacılık sektörlerine sahip ve siber güvenlik uzmanları için birçok fırsat yaratmakta. İsviçre bankacılık sektörü sayesinde güvenlik görevlilerine de yüksek istihdam sağlıyor ve düşük vergi oranı da cazip duruyor. Avrupa Siber Güvenlik Yasası ve GDPR gibi mevzuatlar, güvenlik uzmanlarına olan talebi artırdığı için AB’nin de sunduğu birçok fırsat var.
Ortalama maaşları daha yüksek olan ülkeleri seçmek de önemli olabilir. Örneğin Lüksemburg, siber güvenlik uzmanları için yıllık 110.000 doların üzerinde en yüksek ortalama ücrete sahip fakat aynı zamanda yüksek bir yaşam maliyetine de sahiptir. Japonya, Belçika ve Birleşik Krallık da güvenlik çalışanları için dünya çapında en yüksek maaşlar sunan ülkeler arasındadır.
Fransa’da pazar günü gerçekleştirilecek Cumhurbaşkanı seçiminde ikinci tura kalan Cumhurbaşkanı Emmanuel Macron, tekrar seçildiği takdirde siber suçların takibi için 1500 siber savaşçı istihdam edeceğini söyledi.
İkinci tura kalan diğer aday aşırı sağcı Marine Lepen’le yaptığı tartışmada konuşan Macron, ülkenin siber güvenlik alanında birçok tehditle karşı karşıya kaldığını belirtti.
Cumhurbaşkanı Macron, hastanelere, kamu hizmetlerine saldıran fidye yazılım çetelerinin ve terör gruplarının siber savaş yöntemlerini kullanmaya devam ettiğini vurguladı.
Macron, söz konusu siber tehdit aktörlerine karşı 1500 siber güvenlik uzmanı kadrosunu açmayı planladığını açıkladı. Cumhurbaşkanı ayrıca bu adımın güvenlik anlamında büyük bir devrim olacağını savundu.
Türkiye’de belediyeler ve üniversiteler gibi kamu kurumlarındaki siber güvenlik uzmanı açığı, bilgisayar sistemlerindeki zafiyetlerin uzun süre fark edilmemesine yol açıyor. Dışardan zafiyeti bulanlara ise sembolik hediyeler verilerek durum geçiştiriliyor.
Zafiyetler de siber tehdit aktörlerinin kolay saldırı düzenlemesine ve büyük veri ihlallerine sebep oluyor.
Sakarya Akyazı Belediyesi de bu durumun yaşandığı kamu kurumlarından biri.
Bize e-posta yoluyla ulaşan lise öğrencisi Tunahan Yanıkoğlu durumu Siber Bülten’e şöyle aktardı:
“Belediyenin internet sitesinde aralık ayının ilk günlerinde bir arkadaşımla zafiyet taramaları yaptık ve 1 adet SQL Injection, 1 adet doğrulanmış XSS ve 83 adet doğrulanmamış XSS zafiyeti tespit ettik.
SQL Injection zafiyeti, istismar edildiğinde saldırganların tüm veri tabanına erişmesine olanak tanıyor.
Konuyu belediyeye e-posta yoluyla bildirdik ama aradan günler geçmesine rağmen yetkililer geri bildirimde bulunmadı. Ardından belediyenin çözüm hattını arayıp güvenlik açığı hakkında bilgi verdim.
Yetkililer konuyla ilgileneceklerini söyledi ama yine herhangi bir geri dönüş alamadık. Geçtiğimiz haftalarda belediyeden bir yetkiliye telefon ettim ve konu hakkında gelişme olup olmadığını sordum.
BİLGİ İŞLEM: “ÖNEMLİ BİR ŞEY ŞEY YOK SORUNU ÇÖZDÜK”
“Konuyla ilgilenmesi için bilgi işlem müdürlüğünün kurulduğunu ve bilgi işlem ekibinin ‘önemli bir şey olmadığını ve sorunu çözdüklerini’ söylediklerini bana iletti.
Veri tabanında 350’den fazla vatandaşın bütün kişisel verileri yer alıyordu ve bunun göz ardı edilmemesi gerekiyordu. Güvenlik açığının halen mevcut olduğunu kendilerine ilettiğimde bizi belediye binasına çağırdı.
Belediye binasına gittiğimizde bilgi işlem müdürü bizi ofislerine götürdü. Ofise girdiğimizde bilgi işlem personeli film izliyordu.Bilgi İşlem ofisinde biraz tartıştıktan sonra başkan yardımcısının ofisine geçtik. Başkan yardımcısına durumu açıkladık ve bilgi işlem ekibine açığı derhal kapatmalarını ve ardından beni arayıp kontrol ettirmeleri talimatını verdi.
BELEDİYENİN BUG BOUNTY ÖDÜLÜ: KAHVE FİNCANI SETİ
Birkaç gün sonra bilgi işlem müdürü gerekli kontrolleri sağlamam için beni aradı ve kontrolleri yaptıktan sonra açığın halen kapanmadığını farkettim. Dosya yapısı aşırı kötüydü ve zaten siteyi tamamen yenileme planları vardı.
Ben de bu sebeple SQL İnjection zafiyetini barındıran dosyayı silmelerinin en iyi çözüm olacağını söyledim. Birkaç kez daha açığı kapatmayı denediler fakat bir işe yaramadı.
En sonunda önerdiğim şekilde dosyayı sildiler ve açık kapandı. Ama XSS açıkları hala saldırganların istismarına açık.. Bize ödül olarak ne verdiler dersiniz? Kahve fincanı seti…
Bir önceki yazımı Maslow’un “Elinde çekiç olan, her şeyi çivi sanar” sözüyle bitirmiştim. Yazıyı bu anlamlı sözle bitirmemin tek sebebi hukukçular ile güvenlikçiler arasındaki ayrımı göstermek değildi. Bu söz hayatın çoğu noktasında karşılığını bulduğu gibi, bilgi güvenliği uzmanlarının kendi içinde de geçerli. O yazımın sonunda bu yazıma ufak bir gönderme yapmıştım.
Bilgi Güvenliği tek başına belli bir disiplinden ibaret değildir.Tam tersine, belki de bilgi teknolojileri alt dalları içerisinde en fazla konuya dokunan alan diyebilirim. Sistemden, networke, yazılımdan, insan kaynakları süreçlerine, fiziksel güvenliğe, regülasyonlara vs pek çok alana dokunur. Bu yüzden kurum içerisinde de etkin bir bilgi güvenliği yapısının tesis edilmesi için tüm bu konuları bilmek ve bu işlerin asıl sorumlularıyla iletişim halinde olmak, süreçlerin içinde olmak gerekir. Yani “büyük resmi görmek” için 360 derecelik bir bakış açısına sahip olmak gerekiyor.
Yukarıda bahsettiğimiz büyük resim gerçekten organizasyonun ve hatta organizasyon dışı faktörlerin tamamını kapsıyor. Burada organizasyon dışı faktörler biraz kafa karıştırmış olabilir, buna birazdan tekrar değiniriz.
Bilgi Güvenliği sadece Gizlilik demek değildir
Bilgi Güvenliği’nde önce şu en temel şeyi tekrar hatırlamamız gerekiyor, biz bilginin sadece Gizlilik (Confidentiality) bileşenini değil, Bütünlük (Integrity) ve Erişilebilirlik (Availability) bileşenlerini de korumak durumundayız.
Gizliliğin ne olduğu az çok herkes biliyor. Örneğin sizin bir müşteri veritabanınız var, bu veritabanına sadece yetkili kişiler için erişim izni vermek ve diğer herkese karşı korumak gizliliğin sağlanmasıdır.
Diğer bileşenler için saldırı tiplerinden örnek vermek daha açıklayıcı olabilir. Sizin bir web siteniz var, bir sabah ofise geldiğinizde baktınız ki web sitesinin ana sayfasında X örgüte ilişkin propaganda mesajları var. İşte bu durumda sizin müşteri ya da diğer gizli bilgilerinize erişilmemiş ya da halen web siteniz erişilebilir olduğundan Erişilebilirlik bileşeni de zarar görmemiş olabilir. Gerçekleşen şey, olması gereken içeriğin bozulması, yani Bütünlük bileşeninin zarar görmesidir. Özetle Bütünlük, verinin bulunduğu ya da iletildiği ortamda bilinçli ya da bilinçsiz şekilde bozulmasının önlenmesidir.
Erişilebilirlik konusunda vereceğim örneği tahmin ediyorsunuzdur. DDoS saldırısı tam olarak bunu hedefler fakat sadece bu değil. Fidye amacıyla kullanılan ve diskinizdeki bilgilerin şifrelenmesine neden olan crypto zararlılarının da hedefi Erişilebilirlik’tir. Bu Bütünlük’e de zarar verse de aslında temel hedef Erişilebilirlik’tir.
Diyebilirsiniz ki “ama verdiğin tüm örnekler siber saldırılarla ilgili”, haklısınız. O zaman 1-2 tane de fiziksel dünyadan örnek verelim. Sel olması ve tek veri merkezinizdeki sistemlerinizin sular altında kalması, çalışması kazısı sırasında fiber kabloların kopması, yetkisiz birinin arşiv odasına girip tüm müşteri evrakını karıştırması vs. fiziksel dünyadan gelebilecek tehditlere sadece birkaç örnek.
Öncelikle bu giriş kısmıyla güvenliğin Gizlilik’ten ibaret olmadığını ortaya koymak istedim. Yazının devamında da kontrollerin de tek tip olmadığını, güvenliğin sadece teknik kontrollerden meydana gelmediğini göreceğiz.
360 Derece Bilgi Güvenliği ile neyi kast ediyoruz?
Bilgi Güvenliği sadece teknik kontroller ile sağlanabilecek bir konu değildir. Örneğin kilitli olmayan arşiv odasına misafirlerin girmesi, orada bulunan müşteri klasörlerini alıp götürmesi DLP ile engelleyebileceğiniz bir konu değildir. Ya da dere yatağına yapılmış veri merkezinizi sel basması ve sistemlerinizin 1-2 hafta çalışamaması Firewall ile engelleyebileceğiniz bir risk değildir.
Bunlar ve daha pekçok riski azaltmak için çok farklı kontroller uygulamak gerekmektedir. Bunlar Fiziksel Kontroller olabileceği gibi, İdari/Yönetsel Kontroller de olabilir. Örneğin işe giriş sırasında personele imzalatılan Kabul Edilebilir Kullanım Politikası, Parola Politikası, Gizlilik Sözleşmesi vs Yönetsel Kontroller’e örnektir.
Peki uygulayacağımız kontroller her zaman riski önlemeye yönelik kontroller midir? Hayır! Kontrol dediğimizde aklımıza ilk gelen şey Firewall, AV gibi Önleyici Kontrol grubundaki bileşenler olsa da, pekçok farklı kontrol Önleyici Kontrol kategorisine girmez.
Fiziksel kontrollerden başlarsak, örneğin kamera bir önleyici kontrol değil, İzleme Kontrolü’dür. Ya da bina içerisinde özel alanlara girişte yazan “Personel Harici Giremez” benzeri uyarı levhaları Caydırıcı Kontrollerdir. Ya da bir sisteme login olurken çıkan uyarı mesajları yine caydırıcı kontroldür.
Yönetsel Kontrol’ler ise daha çok sözleşme, mevzuat, standart vb kontrollerdir. Mesela GDPR/KVKK, yasal mevzuat ve yaptırımı olan bir mevzuat olsa da, önleyici bir kontrol değildir. Yasalar daha çok caydırıcı kontrollerdir. İçeriğine göre denetim gibi maddeler içeriyorsa İzleme Kontrolleri arasına da dahil edebiliriz.
En çok kullanılan başlıklara gore aşağıdaki tabloyu ve birkaç örneği hazırladım. Bazı örnekler yukarıda belirttiğim gibi birden fazla kategoriye de dahil olabilir. Tabi örnek sayısı da arttırılabilir.
GÜVENLİK KONTROLLERİ
Önleyici Kontroller
(Preventive Controls)
İzleme Kontrolleri (Detective Controls)
Caydırıcı Kontroller (Deterrent Controls)
GÜVENLİK KONTROLLERİ
Önleyici Kontroller
(Preventive Controls)
İzleme Kontrolleri (Detective Controls)
Caydırıcı Kontroller (Deterrent Controls)
Teknik Kontroller
(Technical Controls)
Firewall, IPS, DLP, WAF, Endpoint Security vs Yama Yönetimi
Yedekleme
…
SIEM, DAM, EDR vs Zafiyet Tarama
Sızma Testleri
…
Logon mesajları
…
Fiziksel Kontroller
(Physical Controls)
Turnike, bariyer, güvenlik görevlisi
Yedekli kablolama
…
Kamera
Duman dedektörleri
…
Uyarı tabelaları
…
İdari / Yönetsel Kontroller
(Administrative Controls)
Politikalar
Görevler ayrılığı
Farkındalık Eğitimleri
…
İç ve Dış Denetimler
Sözleşmeler
Regülasyonlar
Bazı kaynaklarda Düzeltici Kontroller (Corrective Controls) başlığı da görebilirsiniz. Bu da çok yaygın olarak kullanılan bir kategoridir. Bu daha çok bir denetim sonrası ortaya çıkan eksiklikleri giderme amacıyla uygulanan kontrollerdir. Örneğin bir pentest sonucu çıkan bulguların giderilmesi için alınan aksiyonları bu kategoriye koyabilirsiniz. Ya da yapılan bir iç/dış denetim sonrası gelen rapordaki uygunsuzlukarın giderilmesi için alınan aksiyonları (sistem odası girişine kart okuyucu koymak, sözleşmelere KVKK maddeleri eklemek, Veri Sınıflandırma Sistemi kurmak vs) yine Düzeltici Kontrol grubuna koyabiliriz.
Organizasyon dışı faktörler demiştiniz, açar mısınız?
Aslına bakarsanız uyguladığımız kontrollerin pek çoğu organizasyon dışındaki faktörlere karşı ya da onların talebiyle uyguladığımız kontrollerdir. Peki neler olabilir bu organizasyon dışı faktörler?
Yasa koyucu
Saldırganlar
Rakipler
Müşteriler
İş ortakları
…
Bunlar gibi pek çok etmeni göz önünde bulundurmamız gerekir bilgi güvenliğini tesis ederken. Bunlardan gelebilecek riskleri değerlendirmeliyiz. Örneğin devletin koyduğu mevzuata uyulmazsa ceza alınabilir. Diğer taraftan saldırganlar zaten en çok değerlendirilen dış faktörlerdir. Rakiplerimizin sanayi casusluğu yoluyla bizden sızdırabileceği ya da gereksiz bilgileri ifşa etmemiz nedeniyle pazar avantajı sağlaması başka bir risktir. Bu gibi senaryoların tamamını göz önünde bulundurmamız gerekiyor.
Kontrolleri uygulamada sınırımız ne olmalı?
Tüm bu yukarıda bahsettiğimiz alanlarda kontroller planlayıp, uygulayıp, iyileştirirken bilgi güvenliği ekibinin/sorumlusunun asıl hedefinin iş süreçlerine katkıda bulunmak, onları desteklemek olduğunu, alınan önlemlerin şirket ana faaliyetlerine köstek olmaması gerektiğini unutmamamız lazım. İngilizce tabirle “business blocker” değil, “business enabler” olmayan bir güvenlik yapısı, şirkete zarar verir. Örneğin bir e-ticaret işi yapıyor şirketiniz. Siz güvenlik konusunda uygulayacağınız kontrollerde müşteri deneyimi gibi en önemli business faktörünü göz ardı ederseniz, iş birimi gerekli onayları çok üst seviye yöneticilerden alacak ve sonraki gelişmelerin de büyük kısmını sizi by-pass ederek hayata geçirecektir. Fakat bu demek değildir ki siz her şeyi kabul edeceksiniz, tam tersi, risk sizin riskiniz değil zaten. Altına imzayı da o yüzden siz atmamalısınız. Biraz kafa karıştırabilir, bunu da ileride daha detaylı tartışabiliriz.
Bilgi güvenliğini gerçek anlamda tesis etmek için odağa sadece müşteri verilerini de koymamak gerekir. İyi bir yapıda, bilgi güvenliği yöneticisi organizasyon içindeki tüm departmanlarla (İK, İdari İşler, IT, Pazarlama, Müşteri İlişkileri vs) sürekli iletişimde olmalı ve riskleri onlarla beraber değerlendirmelidir. Aksi takdirde sadece IT odaklı bir bilgi güvenliği anlayışı çok eksik kalacaktır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
