Etiket arşivi: siber güvenlik

Biznet Türkiye’de EKS siber güvenlik ekosistemi için kolları sıvadı

24 Nisan 2018 Ergün Varlık Yorum yapın

Biznet Bilişim, Türkiye’de endüstriyel kontrol sistemleri alanında bir siber güvenlik ekosisteminin oluşturulması için ilgili paydaşları içinde bulunduran bir model önerisi geliştirdi. ‘Endüstriyel Kontrol Sistemleri Siber Dayanıklılık Vizyon Planı‘ adı verilen model, ilgili küresel ekosistemle aktif etkileşim halinde yerel bir platform kurarak, Türkiye’deki kritik altyapıların siber dayanıklılığını arttırmayı amaçlıyor.

Yurtdışında sürdürülen incelemelerin sonunda Biznet’in Türkiye için önerdiği modelin amaçları arasında, bu alanda uzman insan kaynağının yetiştirilmesi, bilgi birikiminin oluşturulması, EKS siber güvenliği alanında küresel örnekleri ile rekabet edebilecek yerli ürün ve hizmetlerin geliştirilmesi yer alıyor.

Biznet, böyle bir ekosistem için hizmet sağlayıcı firmalar ve işletmeler (“asset owners”), kamu ve akademilerle (üniversite, araştırma enstitüleri v.b) birlikte üçlü bir güvenlik sarmalı modelini öneriyor. Söz konusu modelde gönüllü kuruluşlara da yer veriliyor.

Yayınlanan dökümanda da belirtildiği gibi, bu üçlü sarmalda her bir paydaşın kendi içinde üzerine düşen görevler öngörülüyor. Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosistemi Akademi Eylem Planı’nda akademi ayağında amacın, araştırmacı kaynağının sağlanması, insan kaynağı yetiştirme, EKS siber güvenlik laboratuvarının kurulumu ve teknik araştırmalar için destek sağlanması olması gerektiği dile getiriliyor.

İşletmelerin sunacağı katkının ise yaşanmış ihlal ya da tehditlere ilişkin bilgi paylaşımı, iş ve staj imkânı sağlanması ve laboratuvar için süreç bilgisi ve ekipman temini olabileceği öngörülüyor. Hizmet ve teknoloji sağlayıcılarının da EKS siber güvenlik istihbarat desteği, eğitimler, araştırmacı desteği sağlama ve üniversite araştırmacılarının ilgili konularında yapacağı uluslararası sunum ve konferans için sponsorluk desteği vermesi gibi katkılar sağlayabileceği dile getiriliyor.

Kamu, regülasyon kurumları ve gönüllü kuruluşların ise oluşturulacak yol haritası kapsamında destekleyici bir rol üstlenebileceği dile getiriliyor. Bu kurum ve kuruluşların rehberlik, regülasyon, standartlaşma, yaygınlaştırma gibi konularda yol çizmesi beklenenler arasında.

Biznet’in hazırladığı dökümanda eğitim seferberliğinin söz konusu modelin bir parçası olması gerektiğinin altı çiziliyor. Buna göre, endüstriyel uzmanlık (endüstriyel yazılımlar, ürünler ve destekleyici eğitimler); siber güvenlik ve iş sürekliliği gibi konu başlıklarında bilgi birikiminin sürekli artması gerektiği öngörülüyor.

Bütün bu bilgiler saha bilgisi ile harmanlanıp pratik uygulamalara dönüştürülmeli. Ardından da farkındalık programları, dijital eğitim platformu, sınıf içi eğitimler ve üniversitelerde tez, doktora gibi yaygınlaştırma çalışmalarıyla desteklenmeli.

Bir olgunluk modelinin oluşturulmasının altı çizilen dökümanda siber dayanıklılığın sürdürülmesi için de vizyon geliştirilmesi öngörülüyor. Bu vizyon üç temel kategori altında incelenebilir:

TR-E-ISAC çatı yapısının kurulması, böylece bilgi paylaşımı altyapısının oluşturulması
Yerli çözüm geliştirme
Siber dayanıklılığın arttırılması ve sürdürülmesi. Bunun rehberlik ve danışma, regülasyon, akreditasyon, standartlaşma ve ulusal faaliyetler ile gerçekleştirilebileceği öngörülüyor.

Konuyla ilgili Siber Bülten’e konuşan Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, böyle bir ekosistemin hayata geçirilmesi için bütün tarafların gönüllü olması ve tüm tarafların katkı sunmasının gerekliliğinin altını çizdi.

Biznet, geliştirdiği bu model önerisiyle kendi üzerine düşen görevlerle ilgili somut aksiyonlar alıyor.

Güven ilişkisi temel olgu

Can Demirel, söz konusu üçlü sarmalda bütün kurumların paydaş olarak yer alacağını ve bu paydaşlar arasındaki ilişkinin güven ilişkisi ve ortak kazanç olmak üzere iki temel olgu üzerine inşa etmenin gerekliliği vurguladı. “Bilgi paylaşımının ön planda olduğu böyle bir platformda güven ilişkisi ve ortak kazanç en önemli iki olgu. Kazanç ile sadece maddi kazanımlardan bahsetmiyoruz. Böyle bir ekosistem içinde bilgi edinimi, siber tehditlere karşı iş birliği gibi parasal değeri olmayan kazanımlar da söz konusu.”

Üniversitelerle iş birliği yapılacak

Demirel, şu anda hem endüstriyel kontrol sistemleri hem de siber güvenlik alanında çalışma yapan akademik kuruluşlarla görüştüklerini, başlangıç olarak Sakarya Üniversitesi ile iş birliği içinde olduklarını, ama farklı üniversiteleri de sürece dahil ederek akademisyenlerin desteğiyle ilerleyeceklerini belirtti.

“Örneğin bu yaz bir EKS siber güvenlik kampı ilgili paydaşların desteği ile gerçekleştirilecek. Bu tarz programlarla hem insan kaynağı eksiğini gidermek hem de farkındalığı arttırarak hem bu alanda yetkin insan kaynağının yetiştirilmesi ek olarak nitelikli araştırma faaliyetlerinin gerçekleştirilmesini hedefliyoruz.”

Yayınlanan dokümanda önerilen modelin akademi ayağında ekosistem kurulum faaliyetleri kapsamında akademi ile birlikte işletilecek laboratuvarın kurulmasına öncelik verilmesi belirtiliyor.

Buna göre bu laboratuvarlarda endüstri ihtiyaçları gözetilerek araştırma konuları belirlenmeli ve araştırmalar yürütülmeli.

Biznet’in kendi analizine göre araştırma için üzerinde durulması gereken konu başlıkları arasında şunlar var: Endüstriyel cihazların gömülü işletim sistemlerine yönelik güvenlik analizi, endüstriyel protokoller üzerinde tersine mühendislik, endüstriyel bileşenler üzerinde zafiyet araştırması, izole ağlara sızma yöntemleri ve atak-savunma değerlendirmeleri.

Biznet’in geliştirdiği üçlü sarmal modelinde yer alacak paydaşların iki ana kategoriye ayrılması öneriliyor. Kurucu paydaşlar; ekosistemin kurulmasına öncülük eden ve kurulum aşamasından itibaren ekosistemin içerisinde yer alan paydaşlar olarak belirlenirken üye paydaşlar, kurulum sonrası ekosistem bünyesinde yer alan paydaşlardan oluşacak.

“Geçmiş denemeler ve küresel örneklerden edinilen bilgiler ışığında somut adımlar atılarak ilerlemenin faydalı olacağını değerlendiriyoruz. Somut çıktıların başarı olma şansını arttıracağına inanıyoruz.”

Yurtdışındaki modelleri inceleyerek böyle bir model geliştirdiklerini söyleyen Demirel, doğru adımların atılması halinde Türkiye’nin bu konuda önemli bir yol kat edeceğini düşünüyor: “Elbette bir paydaş olarak üzerimize düşen aksiyonlarla ilgili somut adımlar atarken diğer paydaşların da doğru zamanda doğru adımlar atması gerekiyor. Doğru strateji ve aksiyonlarla bırakın dünyaya yetişmeyi, küresel bir başarı öyküsü çıkarabiliriz.”

‘Kültürün içselleştirilmesi şart’

Can Demirel, söz konusu ekosistemin bütün paydaşlara yararlı olabilmesi için kültürel yaklaşımların önemine de değindi: “Buradaki en önemli noktalardan biri yurtdışında gözlemlediğimiz bilgi paylaşımına ve farklılıklara açık olmayı öngören kültürel yaklaşımları içselleştirebilmek.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz

haber

Katar ve TÜBİTAK‘tan siber güvenliğe ortak yatırım

22 Mart 2018 Ergün Varlık Yorum yapın

TÜBİTAK ve Katar Ulusal Araştırma Fonu’nun (QNRF) ortak girişimi kapsamında Türk ve Katar kuruluşları tarafından gerçekleştirilen iki siber güvenlik araştırma projesi ödüle layık görüldü. Hangi projelerin destek almaya hak kazandığı, Katar Ulusal Kongre Merkezi’nde düzenlenen Katar Araştırma Konferansı (ARC ’18) sırasında duyuruldu. Projeler TÜBİTAK ve QNRF’nin ortak inisiyatifi ‘Akademi, Endüstri İşbirliği’nin sonucunda ödüllendirildi.

QNRF’in yöneticisi Dr. Abdul Sattar Al Taie, konferans sırasında yaptığı açıklamada fon sağlanacak olan projelerin, Katar ve Türk kuruluşları tarafından müşterek sunulan 13 proje arasından seçildiğini söyledi. Projelerden biri Hamad bin Khalifa Üniversitesi, Katar İçişleri Bakanlığı ve Katar 2022 Dünya Kupası Yüksek Kurulu’nun (SC) Türk akademisyenler ve işletmelerle ortaklaşa hazırladığı ‘Siber saldırılara karşı savunma amaçlı derinlemesine siber istihbarat platformu’ adını taşıyor. Diğer proje ise Katar Üniversitesi, Katar Genel Elektrik ve Su Şirketi Kahramaa’nın Türk ortakları ile hazırladığı ‘Devlet Düzeyinde Akıllı Dağıtım Şebekesi Altyapısı’nın Siber Güvenliği’ adlı proje oldu.

İlgili haber>> Türkiye ve Katar siber işbirliğine başlıyor

Projelerin Akademi ve Sanayi’nin işbirliği vasıtasıyla bilim ve sanayi alanında faaliyet gösteren Türk ve Katarlı katılımcılar arasındaki işbirliğini artırmayı amaçladığı görülüyor. ‘Siber Güvenlikte Akademi-Sanayi İşbirliği’ programı 2017 Ekim ayında hayata geçirildi. Program, 2015 yılında QNRF ve TÜBİTAK arasında ortak çıkarlara dayanan projelerde işbirliği yapmak için imzalanan programın devamı niteliğinde.

TÜBİTAK Başkan Yardımcısı Dr. Orkun Hasekioğlu, bunun Türkiye ve Katar arasındaki işbirliğinin bir örneği olduğunu söylerken şöyle devam etti: “Siber güvenlik iki ülke için de kritik önem taşıyor ve bunun gelecekte sağlık ve havacılığa ilişkin konularda daha geniş bir yelpazede kendini göstereceğini öngörüyoruz.” Hasekioğlu, ayrıca bu müşterek araştırma inisiyatifinin, bir dizi etkinliğin ilk bölümü olduğunu, ileride her iki ülkeden uzmanların yer alacağı araştırma enstitüleri kurulmasının yanı sıra iki ülke arasında öğrenci ve akademisyen değişimi programları düzenlenebileceğini ifade etti.

Siber Bülten abone listesine kaydolmak için formu doldurun

Siber Güvenlik

Microsoft her yıl siber güvenliğe 1 milyar dolar yatırım yapıyor

24 Şubat 2018 Ergün Varlık Yorum yapın

Microsoft’un bulut uygulama, geliştirme ve altyapı platformu Azure Government’ın Bilgi Güvenliği Baş Sorumlusu (CISO) Matthew Rathbun, işletme altyapısını savunmak için yapay zekadan büyük ölçüde faydalandıklarını söyledi.

Rathbun, techrupublic.com sitesine verdiği röportajda bilgi güvenliğine yaptıkları dev yatırımlarla ilgili açıklamalarda bulundu. Microsoft, her gün 7 trilyon siber tehdidi savuşturuyor ve her yıl siber güvenliğe 1 milyar dolar yatırım yapıyor.

Kaçırılmayacak etkinlik >> Siber Güvenlikte Başarılı Kariyer -Mentor Burak Sadıç

Rathbun bu paranın hangi alanlarda kullanıldığını şu sözlerle anlattı: “Microsoft’un siber güvenlik bütçesinin çoğu inovasyona gidiyor. Bulut ise siber güvenlik konusundaki düşüncelerimizi değiştiren gerçek anlamda bir bükülüm noktası. Yatırım derken geleneksel yöntemlerden bahsetmiyoruz. Çalışanlara prim vermek gibi bir şey değil. Nasıl daha iyi olabiliriz’e odaklanıyoruz.”

Bir şirketin her gün 7 trilyon vakayı işlemden geçirmesinin tek yolunun otomasyondan ve büyük veri analizlerinden geçtiğini söyleyen Rathbun, “Ayrıca mümkün olduğunca her alanda insan müdahalesini azaltmak istiyoruz” dedi ve ekledi: “Tehdit unsuru olan vakaların yüzde 90’ı insan kaynaklı. Ya yanlışlıkla ya da planlı bir şekilde yapılan bu hatalar bir şekilde şirketin güvenliğini tehlikeye atıyor. Azure’un üretim atmosferine sıfır insan müdahalesinin olacağı ideal bir ortamı eninde sonunda yakalayacağız.”

Siber Bülten abone listesine kaydolmak için formu doldurun

Siber Güvenlik

Lübnan 21 ülkede binlerce kişiye ‘siber saldırı düzenlemiş’

21 Ocak 2018 Ergün Varlık Yorum yapın

Mobil güvenlik şirketi Lookout ile Electronic Frontier Foundation (EFF) adlı dijital haklar grubu, Lübnan istihbarat servisinin en az 21 ülkede binlerce cep telefonu kullanıcısına siber saldırı düzenlemiş olabileceğini iddia etti.

Lookout ve EFF’in ortak raporuna göre, hedeflenen ülkeler arasında Türkiye bulunmuyor ancak çalındığı iddia edilen veriler arasında Türkçe mesajlar da yer alıyor. ABD, Fransa, Suudi Arabistan, Çin, Ürdün, Hindistan, Suriye, Güney Kore rapora göre hedeflenen ülkelerden bazıları.

İlgili haber>> Cep telefonunuz gerçekten güvende mi?

Raporu hazırlayan uzmanlar özellikle askeri personelin, aktivistlerin, gazetecilerin ve avukatların siber saldırılara maruz kaldığını açıkladı. Araştırmacılar casus yazılımın siber ortamda izini sürerken Lübnan’da bir hükümet binasına denk geldiklerini ve bu binanın da Beyrut’taki Lübnan Genel Güvenlik Direktörlüğü’ne (GDGS) ait olduğunun ortaya çıktığını söyledi. Ancak uzmanlar saldırılarından doğrudan GDGS mi, yoksa bir çalışan mı sorumlu emin değil.

‘Dark Caracal’

Raporda “Dark Caracal” olarak tanımlanan siber korsan grubunun diğer ülkelerdeki korsanlarla bağlantılı bir altyapıyı kullandığı yazıldı. Lookout ve EFF raporunda, “Elimizdeki kanıtlar GDGS’nin büyük olasılıkla Dark Caracal’ın arkasındaki aktörleri doğrudan desteklediği ya da bağı olduğunu gösteriyor” ifadelerini kullandı.

EFF’nin sibergüvenlik direktörü Eva Galperin, “ABD, Kanada, Almanya, Lübnan ve Fransa’daki insanlar Dark Caracal’ın saldırısına maruz kaldı. Hedefler arasında askeri personel, aktivistler, gazeteciler ve avukatlar var. Çalınan veriler telefon sohbetlerinden ses kayıtlarına, belgelerden fotoğraflara kadar uzanıyor” dedi.

Uzmanlar Dark Caracal’ın 2012 yılından bu yana faaliyet gösterdiğini ve birbirinden bağımsız görünen casus saldırı kampanyalarından ötürü izini sürmenin zor olduğunu söylüyor. Hükümet yetkilileri, askeri personel, tesisler, mali kuruluşlar, imalat şirketleri, savunma endüstrisi de Dark Caracal’ın hedefleri arasında. Caus yazılımları kişinin akıllı telefonuna gönderen siber korsanlar fotoğraflara, belgelere, mesajlaşmalara ve sohbetlere ulaşıyor.

Korsanlar ayrıca telefonun kontrolünü ele geçirerek sahibinin bilgisi dışında fotoğraf çekebiliyor ve kayıt yapabiliyor. Raporda özellikle Android telefonların riskli olduğuna dikkat çekildi.

‘Keşke bu tür yeteneklerimiz olsaydı’

Lookout şirketi başkan yardımcısı Mike Murray, “Dark Caracal tehdit aktörlerinin ana hedef platformu olarak cep telefonlarını kullandıkları son yılda artan bir eğilimin parçası” dedi.

Raporun yayımlanmasından önce Reuters’ın sorularını yanıtlayan GDGS genel direktörü Tümgeneral Abbas İbrahim “Raporun içeriğini görmek istediğini” söyledikten sonra “Genel Güvenlik’in bu tür yetenekleri yok. Keşke olsaydı” demişti.

Araştırmacılar Android işletim sistemini geliştiren Google şirketine 2017 sonunda bilgi verdi. Google saldırıda kullanılan uygulamaların tespit edilmesi için uzmanlarla yakın çalıştıklarını açıkladı.

Saldırılara maruz kalan kullanıcılardan WhatsApp, Viber ve Signal uygulamalarının sahtelerini indirmeleri istenmişti.

Siber Bülten abone listesine kaydolmak için doldurunuz

BizNet

Biznet uzmanı Demirel uyardı: “Dijitalleşme kritik altyapılara yönelik tehditleri daha da arttıracak”

12 Ocak 2018 Ergün Varlık Yorum yapın

Siber güvenlik şirketi Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, 2018 yılında endüstriyel kontrol sistemlerinde (EKS) siber güvenlik alanını bekleyen gelişmeleri değerlendirdi. 2017’nin EKS için oldukça hareketli geçtiğine değinen Demirel, yeni gelen yönetmelik ve düzenlemelerle devletten özel sektöre kadar birçok alanda artan siber güvenlik farkındalığının yanı sıra bu yılın yeni saldırı ve zararlı yazılımları da beraberinde getireceğini belirtti.

Demirel’e göre, siber güvenliğin bilgi teknolojilerine kıyasla EKS tarafında daha genç bir alan olmasından dolayı 2018’in de en az geçen seneki kadar hareketli geçmesi bekleniyor. Biznet uzmanları, 2017 yılı boyunca Türkiye, Avrupa ve Kuzey Amerika’dan elde ettikleri pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini birleştirerek yeni yılda bu alanda beklenen gelişmeleri derlediği bir kapsamlı blog yazısı kaleme aldı.

Demirel, yazısında öncelikle fidye yazılımları ve IT-OT (Bilgi Teknolojileri – Operasyonel Teknolojiler) yakınsamasından doğacak saldırıların artacağına değindi. Nitekim, geçtiğimiz yıl hem ülkemizde hem de dünyanın birçok yerinde kritik altyapıların WannaCry, Petya, NonPetya gibi fidye yazılımı saldırılarından etkilendiğini ve birçok işletmenin operasyonlarının durduğuna şahit olmuştuk. Buna ek olarak IT-OT yakınsamasının kontrolsüz şekilde artmasının kritik altyapılar için yeni bir saldırı yüzeyi oluşturduğu vurgulandı. Demirel’e göre, saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018’de kritik altyapılar, fidye yazılımlar ve zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı vb.) daha çok etkilenebilir.

Bilgi güvenliği uzmanının makalede vurguladığı ikinci önemli nokta ise doğrudan endüstriyel kontrol sistemlerine yönelik özel zararlı yazılımlarda görülecek artış. Demirel, STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayında gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan hedef alan zararlı yazılımların ve buna bağlı güvenlik olaylarının yeni yılda daha da artış göstereceğini tahmin ediyor.

Öte yandan, 2018 yılında özellikle endüstriyel kontrol sistemlerine yönelik özelleşmiş zararlı yazılımları destekleyen ya da koordine eden devlet destekli (state-sponsored) aktörlerin sayısının artması da bekleniyor. Daha önce bu tarz zararlı yazılımların genellikle bu aktörler tarafından yönetildiği biliniyor. Demirel, bu sene, ulusal seviye aktörlerin daha ofansif faaliyetler göstermesini beklediklerini vurguladı.

UÇTAN UCA GÜVENLİK DAHA ÖNEMLİ HALE GELECEK

2018 yılı, birçok işletme için uçtan uca güvenlik gereksinimi de beraberinde getirecek. Demirel, endüstriyel kontrol sistemlerinin güvenliğinin birçok işletme için yeni bir kavram olduğunu ve işletmelerin genellikle bu konuda stratejik yol haritasını oluşturmakta zorlandığını vurguladı.

Bu yüzden de Biznet’in tahminlerine göre, şirketler, olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacak. Bu öngörünün bir yansıması olarak da makalede, hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı ve IT ile OT güvenliğinin birlikte değerlendirileceği belirtildi. Demirel, özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını belirtti.

Can Demirel’in yazısında üstünde durduğu diğer bir konu ise işletme ve üreticilerin, güvenli tasarım prensiplerini benimseyip daha güvenli mimariler kurmak için harekete geçecek olmaları. Diğer bir deyişle, 2018, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.

Demirel’ göre, son yıllarda yaşanan ihlallerin büyük bir kısmı, tedarikçilerin kullandığı sistemler üzerinden gerçekleştiği için, işletmeler, bu yıl kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi) için de siber güvenlik önlemlerini arttıracak ve hatta zorlayacak.

Son yıllarda kritik altyapıları hedef alan saldırılara karşın, ulusal ve uluslararası standart ve regülasyonların bu alanın korunması için yeterli düzeyde olmadığı görülüyor. Demirel, özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artacağını belirtti. Bunun sonucunda regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması bekleniyor.

Öte yandan, güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktılarının, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edileceği ve kötü niyetli amaçlar için kullanılacağı tahminler arasında.

Bunların yanı sıra, Demirel, kara borsada EKS zafiyetlerine olan talebin artması sonucu, bu alanda yeni ve spesifik bir pazar oluşmasını ve EKS zafiyetleri ile EKS zararlı yazılımlarının alım-satımının daha popüler hale gelmesini beklediklerini belirtti.

IT VE OT BİRİMLERİ İÇİN KÖPRÜ GEREKİYOR

Siber güvenlik alanındaki insan kaynağı eksikliği endüstriyel kontrol sistemlerinde yeni yılda da kendini gösterecek. Bu yıl, endüstriyel kontrol sistemlerine hâkim siber güvenlik uzman ihtiyacının, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam etmesi bekleniyor. Demirel’e göre, işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını hali hazırda bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.

2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanacağı da beklentiler arasında. Demirel, işletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerin ortaya çıkabileceğini vurguladı.

Geçtiğimiz yıl, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. Demirel, bu yıl EKS Siber Güvenlik girişim ekosisteminin büyüyeceğini ve daha fazla girişimin farklı sorunlara çözümler geliştireceğini belirtti. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağı tahmin ediliyor.

2017 yılında birçok EKS altyapı üreticisi, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattı. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Demirel, bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceğini beklediklerini belirtti.

Demirel, makalesinde bu yıl kritik altyapıları ilgilendiren yeni fiziksel güvenlik konularının tartışılmaya başlanacağını da belirtti. Hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri gündeme gelecek konular arasında.

SİBER SİGORTA VE YERLİ YAZILIM GÜNDEMDE KALMAYA DEVAM EDECEK

Can Demirel’in makalesinde değindiği diğer bir gelişme siber güvenlik sigortası. Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi bir süredir meşgul ediyordu. Demirel, makalesinde bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini belirtti.

Demirel’in üzerinde durduğu konulardan biri de EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformları oldu. Demirel, 2018 yılından itibaren bu tarz platformların ülkemizde daha ön plana çıkmasını beklediklerini belirtti.

Yazıda son olarak kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyetine değinildi. Bu durum, 2017 yılında dünya çapında hızla yükselen trendlerden biri olmuştu. Demirel, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketlerinin etkilendiğini hatırlatarak, bu yaklaşımın sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olduğunu belirtti. Dolayısıyla, Demirel’in tahminlerine göre, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek.

Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemini vurgulayan Demirel, bu yıl siber milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS siber güvenliği olacağını belirtti ve milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmelerin ülkemiz için de bir fırsat olabileceğini vurguladı.