Avrupa Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018’dan bu yana yürürlükte.
8 aylık süreçte Avrupa çapında 95 binden fazla şikayet bildirildi. En büyük şikayet konusu ise telefon üzerinden yapılan pazarlama faaliyetleri oldu. En dikkat çekici ceza ise 50 milyon Euro ile Google’a kesildi.
Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik ve ilgili uygulamalar, sadece Türkiye’de değil; ABD, Japonya ve Çin gibi ülkeler tarafından da dikkatle takip ediliyor.
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. Bu nedenle GDPR ile ilgili gelişmeler, bilgi güvenliği kuruluşu ESET ve Avrupa’da bu yönde hizmet sağlayan tüm kuruluşlar tarafından da dikkatle izleniyor.
Şüpheli GDPR ihlalleri 95.000’den fazla şikayete neden oldu
Avrupa Komisyonu üyeleri, Mayıs 2018’de yürürlüğe giren yönetmelikle ilgili 8 aylık güncel verileri paylaştı. Buna göre, Avrupa Birliği vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındığı duyuruldu.
Yetkililer genel olarak yeni gizlilik kurallarının olumlu etkilerine övgüde bulunarak, AB vatandaşlarının veri koruma ve diğer haklarının önemi konusunda daha bilinçli hale gelmelerinin yanı sıra, aynı zamanda bu haklarını kullandıklarını da belirttiler. Açıklamada “küresel bir standart haline gelen dünyadaki en güçlü ve en modern veri koruma kuralları” vurgusu yapıldı.
Telemarketing ve tanıtım amaçlı e-posta
Avrupa genelinde GDPR uygulamalarını denetleyen Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan verilere göre şikayetler çoğunlukla telefon üzerinden yapılan pazarlama faaliyetlerinden (tele pazarlama) geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve video kayıt gibi faaliyetler izledi.
Kurumlardan 41 bin şikayet
Sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
255 soruşturma açıldı
Bununla birlikte, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı. Üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon Euro para cezası vermesi oldu. Teknoloji devi, bu karara itiraz edeceğini duyurdu.
Bazı ülkelerde yerel kanunlar henüz uyumlu değil
Bunun dışında, Avrupa Birliği’nin yönetim kanadı tarafından aralarında Bulgaristan, Çek Cumhuriyeti, Portekiz, Slovenya ve Yunanistan’ın yer aldığı beş AB üyesi ülkenin henüz yerel kanunlarını GDPR gereksinimleriyle uyumlu hale getiremediklerine dikkat çekildi.
Konu Türk şirketlerini de ilgilendiriyor
GDPR, Avrupa Birliği içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. Bu noktada GDPR ile ilgili önlemler konusunda ESET’in Türkçe olarak hazırladığı bir özel bilgilendirme sayfası da bulunuyor: https://www.eset.com/tr/business/kvkk/
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kaspersky Lab’ın düzenlediği bir araştırmaya göre, her iki Türk’ten biri, özel verisini para karşılığında tanımadığı birine satabileceğini söyledi. Yüzde 24’ü ise, ödül karşılığında gizliliğinden vazgeçebileceğini belirtti.
Türkiye’de kullanıcıların yarısından fazlası (%55) modern dijital dünyada tamamen gizli kalmanın imkansız olduğuna inanıyor. Hatta birçok kullanıcı verilerini ve çevrim içi kimliklerini korumak yerine satmayı tercih ediyor. Ancak bunun çok büyük sonuçları olabiliyor.
Kişisel verilerin kötüye kullanımı veya yanlış ellere geçmesinin yaratabileceği ciddi sonuçlara rağmen Türkiye’de kullanıcıların dörtte biri (%24) ücretsiz bir ödül aldıklarında rahatlıkla gizliliklerinden vazgeçip verilerini paylaşabileceğini belirtti.
Araştırmaya Türkiye’den katılanların %47’si para karşılığında hiç tanımadıkları biriyle tüm özel verilerini paylaşabileceğini söyledi. Özel verilerini paylaşıp karşılığında gelir ya da ödül elde etmek isteyen kullanıcılarının sayısı giderek artıyor. Ancak bu kısa vadeli yaklaşım uzun vadede büyük sorunlar doğurabiliyor.
ÇALIŞANLARIN, SOSYAL MEDYA PAYLAŞIMLARINA DİKKAT ETMESİ GEREKİYOR
Çalışanların kendileri ve şirketleri hakkında çok fazla bilgi paylaşmamaya dikkat etmesi gerekiyor. Career Builder tarafından yapılan çalışmada, işverenlerin %57’si sosyal medyada gördükleri paylaşımlar nedeniyle bir adayı işe almaktan vazgeçtiğini, üçte biri (%34) ise paylaşımları nedeniyle bir çalışanı işten çıkardığını veya uyardığını belirtti.
Açıkça paylaşsak da paylaşmasak da bilgilerimiz yanlış ellere geçtiğinde gerçek hayatımıza büyük etkileri olabiliyor. Kaspersky Lab’ın yaptığı araştırma, Türkiye’de yaklaşık her üç kişiden birinin (%30) kişisel verilerine izinsiz bir şekilde erişildiğini ortaya koydu. Bu durum kullanıcılar için birçok farklı sonuç doğurabiliyor. Örneğin, Türk katılımcıların yarısından fazlası (%55) bu tür bir olayın kendilerini strese soktuğunu dile getirdi. %8’lik bir kesim maddi zarara uğrarken spam ve reklamlarla rahatsız edilenlerin oranı ise %23 oldu.
TÜRKLER, SİBER SUÇLULARDAN KORKUYOR
Birçok kişi özel bilgilerini gizli tutmak veya bunlara başkalarının erişmesini engellemek için önlemler alsa da bu sonuçlar yaşanabiliyor. Türkiye’de insanların, kişisel verilerine erişmesinden en çok korktuğu grupların başında siber suçlular geliyor. Onu genel olarak tüm internet ortamı ve sosyal ağlar takip ediyor. Türk kullanıcıların %59’u bilgilerinin gizli kalması için cihazlarını parola ile koruyor. Araştırmaya Türkiye’den katılanların %51’i kullandıkları cihazlar, hizmetler ve uygulamalardaki gizlilik ayarlarını düzenli olarak kontrol edip değiştirdiğini, %33’ü gizlilik amacıyla web kameralarının üzerini kapattığını ve %43’ü ise verilerini şifrelediğini belirtti.
DİJİTAL HİJYENE DİKKAT
Kaspersky Lab Tüketici Ürünleri Pazarlama Müdürü Marina Titova, “Verilerin tüketicilerin aleyhine nasıl farklı şekillerde kullanılabileceğini görmek için çok uzağa bakmanıza gerek yok. Bunun çeşitli nedenleri var. 500 milyon müşteriyi etkileyen ve çoğunun dolandırıcılığa uğramasına neden olan 2018’deki Marriott veri sızıntısı veya Forever 21 mağazalarındaki kasiyer terminallerinin müşterilerin kredi kartı bilgilerini açığa çıkarması gibi olaylar giderek sıklaşıyor. Müzisyen olan eski sevgilisinin e-posta hesabına girerek burs teklifini reddedip Montreal’den taşınmasını engelleyen kadının neden olduğu durum da bunlara örnek olarak gösterilebilir.
“Dijital hijyeninizi koruyup, çevrim içi gizliliğin ve kendinizi güvene almanın ne kadar önemli olduğunu bilerek verilerinizin başkaları tarafından ele geçirilmesini önleyebilirsiniz. Herkes verilerinin gizli kalmasını sağlayabilmeli. Sırlar gizli kalabilir ve internet üzerinden yapılan işlemlerde veri kaybı bir beklenti yerine bir istisnaya dönüşebilir. Güvenlik ürünleri ve pratik adımların birlikte kullanıldığı bir çözümle tehditleri en aza indirip internetteki verilerinizi koruyabilirsiniz.” dedi.
Çevrimiçi dünyanızın gizli kalmasını sağlamak ve verilerinizin kötüye kullanılmasını engellemek için şu basit adımları izleyebilirsiniz:
Sosyal medyada paylaşım yaparken iki defa düşünün. Görüşlerinizi veya bilgilerinizi herkesle paylaşmanın daha büyük etkileri olabilir mi? Paylaştığınız içerik şimdi ya da ileride size karşı kullanılabilir mi veya zarar verebilir mi?
İnternetteki hesaplarınızın parolalarını ailenizle veya arkadaşlarınızla paylaşmayın. Sevdiklerinizle hesaplarınızı paylaşmak iyi ya da kullanışlı bir fikir gibi görünebilir fakat bu aynı zamanda parolalarınızın çalınma ihtimalini de artırır. Parolalarınızı kendinize saklayın, böylece ilişkileriniz kötüye giderse gizli bilgilerinizi koruyabilirsiniz.
Çevrim içi gizlilik konusunu ciddiye alın, çok gerekli olmadığı takdirde üçüncü taraflarla bilgilerinizi paylaşmayın. Böylece verilerinizin yanlış ellere geçme ihtimalini azaltırsınız.
Hassas verilerinizi saklayıp korumak için Kaspersky Password Manager gibi yasal uygulamalar kullanın. Bu sayede bilgileriniz potansiyel tehditlere karşı güvende olur.
Boğaziçi Üniversitesi’nin SAS işbirliği ile düzenlediği Veri Analitiği ile İş Uygulamaları sertifika programı 30 Mart’ta başlıyor.
SAS, Boğaziçi Üniversitesi Analitik ve İçgörü Araştırma Merkezi (AIM) koordinatörlüğünde gerçekleşecek Veri Analitiği ile İş Uygulamaları sertifika programına destek veriyor. SAS’ın teknolojik altyapısını ücretsiz olarak paylaştığı program, örnek veri setleriyle uygulamalı olarak düzenlenecek eğitim ile katılımcılara iş yaşamında kullanacakları bakış açılarını vermeyi amaçlıyor. 30 Mart-4 Mayıs 2019 tarihleri arasında yürütülecek programa aim@boun.edu.tr adresi ile iletişime geçerek başvuru yapmak mümkün.
Türkiye’de Veri Analitiği alanında yetişmiş insan kaynağı açığı olduğunu ve bu ihtiyacın giderilmesine katkı sunmak amacıyla Boğaziçi Üniversitesi ve Analitik ve İçgörü Araştırma Merkezi (AIM)’nin yürüttüğü çalışmalar ve eğitim programlarına hem bilgi birikimleri hem de teknolojileriyle destek verdiklerini ifade eden SAS Orta Doğu, Türkiye ve Doğu Avrupa Pazarlama Direktörü Nurcan Bıçakçı Arcan, Veri Analitiği ile İş Uygulamaları sertifika programı ile bu kapsamda önemli bir adım daha attıklarını dile getirdi.
“Veri analitiği işletmelerin çok daha iyi kararlar verebilmelerine olanak sağlıyor ve veri analitiğine yapılan yatırımlar sayesinde firmalar verimlilik, karlılık ve sürdürülebilir süreçler konularında rekabet avantajı yakalıyorlar” diyen Boğaziçi Üniversitesi Analitik ve İçgörü Araştırma Merkezi Direktörü Dr. Hüseyin Sami Karaca sözlerini söyle sürdürdü: “Şirketlerin ellerinde bulunan büyük veriden anlamlı sonuçlar çıkarıp bunları şirketleri daha ileriye taşıyacak kararlara dönüştürmesi için veri analitiği vazgeçilmez bir konumda yer alıyor. Bu alanda gelişmiş teknolojik altyapıya sahip SAS’ın derin bilgi birikimi ve tecrübesiyle verdiği destekle hayata geçirdiğimiz Veri Analitiği ile İş Uygulamaları sertifika programı veri analitiği alanında uzmanlaşmayı amaçlayan, kariyerini bu yönde şekillendirmek ve fark yaratmak isteyenler için mükemmel bir fırsat oluşturuyor.”
Boğaziçi Üniversitesi İdari Bilimler Binası’nda 30 Mart-4 Mayıs 2019 tarihleri arasında yürütülecek programda dersler Cumartesi günleri 09.30-16.30 saatleri arasında yapılacak.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Teknolojik inovasyon hayatımızı hızlı şekilde değiştirmeye başladı. Özellikle robotik teknolojide yaşanan gelişme yakın bir gelecekte sosyal hayatımızda da hissedilecek. Endüstriyel alanda yoğun şekilde kullanılan robotlar artık hizmet sektörüne de destek sunmaya başladı. Örneğin, humanoid robot üretiminde önemli bir şirket olan Pal Robotics geceleri ürünleri kontrol etmek amacıyla mağazaların içinde gezen Stockbot’u fuarlarda görücüye çıkardı.
Yine önemli teknoloji şirketlerinden Oppent’in otonom araçları, hastanelerde çamaşırları ya da atık malzemeleri taşıyor, 100 yıllık geçmişi olan Yaskawa şirketinin Motoman robotu laboratuvar örnekleri hazırlıyor, Bristol merkezli OC Robotics nükleer santraller ya da uçak kanatlarının içi gibi tehlikeli noktalarda denetim yapması için yılan kollu robotlar üretiyor.
Fonksiyonlarının genişlemesi ve hizmet robotlarının çalışma ortamları nedeniyle güvenlik gereksinimleri de değişiyor ve karmaşıklaşıyor. Örneğin evin içinde internete bağlanabilen bir robotun kullanılması evin iç mekanının görüntülenebilmesinin yolunu açıyor. Bunlar saat kaçta eve gelip gittiğinizden kimlerle görüştüğünüze kadar hayatınıza dair tüm bilgileri kaydedebiliyor. Bu sayede kullanıcıların kişisel verilerine erişmenin de yolu açılmış oluyor.
Ayrıca yine internet bağlantısı sayesinde robota erişebilen kötü niyetli kişilerin ev sahibinin diğer birçok kişisel bilgisine ulaşması da söz konusu olabiliyor. Bu açıdan, tüketicilere yönelik makinelerde veri güvenliğinin de ön planda olması gerekiyor. Toplanan verilerin kime ait olacağı, hangi biometrik verilerin veya hangi verilerin sensör tarafından toplandığı, ne kadar veri toplandığı, bu verilerin nasıl kullanılacağı konularında şu an tam bir açıklık bulunmamaktadır. (S. Peppet, Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent, sf.95)
Robotlar açısından hukuksal anlamda bu konuya uygulanabilecek doğrudan bir düzenleme bulunmuyor. Avrupa Birliği’nin düzenlemelerine ve Türkiye’deki uygulamalara bakıldığında bunlar söz konusu problemlere çözüm için fikir verebilir. AB’nin 2002/58/EC Direktifi’ne göre , genel olarak kötü amaçlı yazılım saldırısı gibi belirli riskler söz konusu olduğunda, hizmet sağlayıcı tarafından kişiler bilgilendirilmeli ve bilgilerinin gizliliği sağlanmalıdır. (kısım 4, md.1) Burada kişilerin temel hak ve özgürlüklerini koruma adına hizmet sağlayıcının da yükümlülüklerinin belirlenmesi gerekir.
Türkiye’de KVKK açısından bir değerlendirme yapıldığında veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri bulunmaktadır. Ancak söz konusu yapay zekaya sahip bir robot tarafından kaydedilen veriler olduğunda veri sorumlusu ve veri işleyenin belirlenmesi önemli sorun teşkil etmektedir. KVKK açısından veri sorumlusu, her hangi bir temsilci, sorumlu kişi anlamında değil, doğrudan ilgili gerçek kişi veya tüzel kişi olarak tanımlanmış durumdadır. Örneğin, bir anonim şirketin kendisi bu kanun anlamında tüzel kişi olarak veri sorumlusudur. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Her ne kadar kanunda gerçek kişi veya tüzel kişi olarak belirlenmişse de kendi başına karar alıp uygulayabilen yapay zekalı bir robotça işlenmiş kişisel veriler bakımından veri sorumlusu ve veriyi işleyen kavramlarının yeniden belirlenmesi gerekecektir.
Bu konuya dair düzenlenmiş kanunlar istisnalar getirse de kişisel veriler ilgili kişinin rızası olmaksızın işlenemez. Sosyal hayatta hizmet sektöründe kullanılan veya evimizde bulunan robotların kameralar ve internet bağlantısı yoluyla tam olarak hangi bilgilerimize eriştiğini fark edemeyebiliriz. Bu robotlarca toplanan kişisel verinin amacının dışında kullanılmaması gerekir. Yine AB’nin 2009/136/EC Direktifi’nde, kişisel veri ihlali durumunda hizmet sağlayıcının, kişilere gerekli önlemleri almaları için bildirimde bulunması, bu bildirimin ihlali gidermek için alınan önlemlerin yanı sıra ilgili kişiye tavsiyeler de içermesi gerektiği belirtilmektedir. ( md.61)
KVKK düzenlemesinde de veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Yukarıda belirtilmiş olduğu gibi burada da kullanılan robotik teknoloji açısından yazılımcı ve üretici bakımından veri sorumlusu kavramının aydınlatılması gerekir.
Kişisel veriler ilgili kişinin açık rızası olmadan aktarılmamalıdır. Ancak özellikle bulut teknolojisinin robotlara uygulanmasıyla verilerin gizliliği ve güvenliği açısından daha büyük bir risk altına giriliyor. Robotların internet aracılığıyla aralarında veri transferi yapması kişisel verilerin aktarılması tehlikesini artırıyor. Bu noktada kişisel verilerin güvenliğinin sağlanması amacıyla örneğin, yetkisiz erişimi, kötücül kod dağıtımını önleme gibi tedbirler alınmalıdır. EU 2016/679 sayılı Tüzük’teki düzelemeye baktığımızda, veri güvenliği değerlendirilirken oluşabilecek maddi veya maddi olmayan zararlar nedeniyle kişisel veri işleme yoluyla oluşan risklere dikkat edilmesi vurgulanmaktadır. (md.49) KVKK’da da, kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin açık rızası aranmaktadır. Ancak bir robotun hangi bilgileri kaydettiğini ve bu verileri hangi üçüncü kişilere, ne zaman aktardığını, sonrasında ise oluşabilecek zarardan sorumluluğu tespit şu an büyük bir belirsizlik yaratıyor.
Değinilmesi gereken başka bir nokta ise bireylerin kendilerine ait verilerin toplanmasına ve aktarılmasına önceden izin verip veremeyeceğidir. Robotta bulunan ve birtakım verileri kaydedeceğini bildiğimiz çipin aktif halde bulunmasını istemeyebiliriz. Burada karşımıza yeni bir hak çıkar “çipi etkisiz hale getirme hakkı”. Bu bir opt-out (vazgeçme/çekilme) usulüdür. Çip başlangıçta aktiftir, kullanıcı daha sonra çipi etkisiz hale getirebilmektedir. Bir başka usul ise opt-in(dahil olma)dir. Burada ise çip başta aktif değildir, kullanıcı aktif hale getirip getirmemeye karar verir.(Yrd. Doç. Dr. A. Ebru Bozkurt Yüksel, Nesnelerin İnternetinin Hukuki Yönden İncelenmesi, sf.123)
Kullanıcının bilgisi dahilinde olmadan, önceden yerleştirilmiş çiplerin veya eklentilerin kişilere ait özel nitelikli verileri, açık rıza olmaksızın işlemesi de bir yaptırımla düzenlenmelidir. Ayrıca kişiler, robot tarafından uygun olarak işlenmiş olan verilerin, unutulma hakkının bir karşılığı olarak, silinmesini isteme hakkına da sahip olmalıdır. İşlenmesini gerektiren veriler re’sen veya ilgili kişinin talebi üzerine anonim hale getirilebilir. Ancak evlerde kullanılan robotlar özel hayata dair en hassas bilgileri kaydedebildiğinden bu verilerin anonim hale getirilmesi de pek mümkün gözükmüyor.
Genel olarak, yapay zekalı robot teknolojisinin henüz gelişme aşamasında olduğunu söyleyebiliriz. Bu alanda bireylerin toplanan verilerinin nasıl kullanılacağı, gizliliğinin ve güvenliğinin nasıl sağlanacağı konusunda bir açıklık söz konu değil. KVKK ve ilgili yönetmeliğe bakıldığında, kişisel verilerin işlenmesinde uyulması gereken ilkeler, verilerin işlenme şartları, silinmesi, yok edilmesi ve anonim hale getirilmesi, aktarılması, kişilerin bilgilendirilmesi ve yükümlülükler gibi pek çok önemli nokta düzenlemiş olmakla birlikte kullanıcıların bilgilerinin gizliliği, genel veri korumasına dair AB ile uyumu sağlayan düzenlemelere ihtiyaç var. Şu aşamada robotik teknolojinin getirdiği sorunlara mevcut düzenlemelerin yorumlanması yoluyla çözüm üretilebilse de gelecekte yapay zekalı robotlara yönelik standartların belirlendiği özel düzenlemelerin yapılması gerekecektir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kamu Bilişimcileri Derneği ve International Data Corporation (IDC) Türkiye tarafından düzenlenen 3. Kamu Siber Güvenlik Zirvesi’nde sektördeki nitelikli bilgi güvenliği uzmanı açığı ön plana çıktı.
Ankara Sheraton Hotel’de gerçekleştirilen zirvede kamuda dijital dönüşüm ve siber güvenlik alanındaki farkındalık konuları ele alındı. Zirvenin açılış sunumunu yapan IDC Türkiye Araştırma Müdürü Yeşim Öztürk, siber güvenlik alanında yaşadığımız dönemin 2022’ye kadar “artırılmış inovasyon” çağı olduğunu belirterek, “2022’den itibaren ise otomasyon çağına geçmiş olacağız. Otomasyon çağında yapay zekanın hayal edemeyeceğimiz türevleriyle karşılaşacağız. Şu an bizim için çok kritik. Alt yapılarımızı oluştururken güvenliği de ön plana almamız gerekiyor.” dedi.
Siber güvenliğin gelecek 10 sene boyunca birinci öncelikleri olmaya devam edeceğini vurgulayan Öztürk, “Siber güvenlikteki global trende göre nitelikli bilgi güvenliği uzmanı açığı artıyor. Regülasyonlar artmaya devam edecek. 2022 itibariyle barajlar taşıma sistemleri, nükleer santraller gibi kritik alt yapılara yönelik saldırılara karşı önlemler alınacak.” diye konuştu.
“Birçok üniversite siber güvenlik yüksek lisans eğitimi veriyor”
Türkiye’de siber güvenlikle ilgili en çok yatırım yapılan alan uç nokta güvenliği olduğunu aktaran Öztürk, karmaşıklaşan ve değişen tehditlerle uç nokta güvenliği alanındaki ihtiyaçların da değiştiğine dikkati çekti. İnsan kaynağı yatırımları artmaya başladığını vurgulayan Öztürk, “Artık birçok üniversite yüksek lisans seviyesinde siber güvenlik eğitimi vermeye başladı.” dedi.
Geçen sene Kişisel Verileri Koruma Kanunu’nun (KVKK) gertirdiği regülasyonların gündemde olduğunu hatırlatan Öztürk, “Bu yıl da bu konuyu konuşmaya devam edeceğiz. Veri keşfetme, veri sınıflandırma ve güvenliğini sağlama, şifreleme gibi konular gündemimizde olmaya devam edecek. Veri güvenlik operasyonu merkezleri de konuşulacak.” ifadelerini kullandı.
Açılış konuşmasını Kamu Bilişimcileri Derneği Başkanı Doç.Dr. Gökhan Özbilgin ile beraber yapan AFAD Bilgi Sistemleri ve Haberleşme Dairesi Başkanı İrfan Keskin ise kamudaki Siber Güvenlik Sektörün bir nevi çıkmazda olduğuna dikkati çekerek, “9-6 mesai yapan çalışanla veri merkezi yönetilemiyor. Veriyi dışarı veremezsek yönetmemiz mümkün değil.” diye konuştu.
“Bir-iki site hackleyen kendini siber güvenlik uzmanı olarak tanıtıyor”
Sektördeki bütün bilgi ve birikimin birleştirilerek bir metodolojiye oluşturmak gerektiğini vurgulayan Keskin sektördeki insan kaynağı açığının bulunduğunun altını çizdi. Keskin, “Bir-iki site hackleyen kendini siber güvenlik uzmanı olarak tanıtıyor. Bunu denetleyen bir mekanizmaya ihtiyaç var” ifadelerini kullandı.
Doç .Dr. Özbilgin ise siber güvenlikte insan kaynağı ve veri paylaşımının önemli olduğunu belirterek, “Kurumlar Havelsan’dan hizmet almaya başladı. 7 gün 24 saat çalışan bir güvenlik merkezimiz var” diye konuştu.
Siber Güvenlik Operasyon Merkezleriyle ilgili bir sunum yapan IBM Ülke Güvenlik Lideri Engin Özbay ise, “Güvenlik operasyon merkezi, kağıt üstünde göründüğü kadar kolay değil. Birçok kurumda binlerce saldırı güvenlik operasyon merkezlerince gözardı ediliyor. Bu merkezlerin daha verimli çalışması gerekiyor. Birçok saldırının analizi çok uzun sürüyor” ifadelerini kullandı.
Yaptıkları araştırmalarda kurumların yüzde 77’sinin siber saldırılara işe yarayan müdahale gücü bulunmadığını belirten Özbay, güvenlik uzmanlarının ise yüzde 54’ünün saldırılarla başa çıkamadığını aktardı.
“Yüzünün ortasına yumruğu yiyene kadar herkesin bir planı vardır”
Siber saldırılara yönelik “akıllı müdahale” yönteminin kullanılması gerektiğini belirten Özbay, riskli kullanıcıların tespiti için makina öğrenmesi ve yapay zekaya ihtiyaç olduğunu ifade etti.
ABD’li ünlü boksör Mike Tyson’ın “Yüzünün ortasına yumruğu yiyene kadar herkesin bir planı vardır.” şeklindeki sözünün siber saldırılar sonrası yaşanan durumu özetlediğini vurgulayan Özbay, ”Test etmediğiniz siber olaylara müdahale planı her şeyi daha kötü hale getirebilir.” diye konuştu.
Özbay ayrıca IBM bilim adamlarının, iyi yapay zeka –kötü yapay zeka ayrımı yaparak yapay zekalarda bulunan zafiyetleri araştırdığını aktardı.
“DDos saldırıları internette çok ucuza pazarlanıyor”
Barikat İnternet Güvenliği AR-GE Müdürü Nezir Yücesoy da son dönemde sıkça yaşanan DDos saldırılarını anlatan bir sunum yaptı. Yücesoy, “Dos saldırıları servis dışı bırakma atakları olarak biliniyor. DDos ise bunun çok farklı kaynaklardan yürütülen biçimi. Yapılan DDos saldırılarının çoğunluğu ağ ataklarından oluşuyor.” dedi.
DDos saldırılarının yüzde 81’inin yaklaşık 10 dakika sürdüğünü belirten Yücesoy, sürenin kısalığının saldırganların kimliğini saklamak istemesinden kaynaklanabileceğini söyledi.
Yücesoy, saldırıların firmalara mali anlamda çok büyük zarar vermesine karşılık çok cüzi meblağlarla düzenlendiğini belirterek, “Saldırılar internette profesyonelce pazarlanıyor ve satılıyor. 5 eurodan 60 dolara kadar çıkıyor. Korunmak için ise masraf 10 bin doları bulabiliyor” diye konuştu.
Keys Teknoloji Genel Müdürü Harun Çetin de siber güvenlik ve veri güvenliği ilişkisine dikkati çekerek, “Siber güvenlik sistemlerin varlık sebebi bizim verilerimiz. Verilerin gizliliğinin, bütünlüğünün ve özgünlüğünün sağlanması gerekiyor. Güvenilir ve erişilebilir olan verilerin sorumlusunun ve güvenilirliğinin de sağlanmış olması lazım. Herhangi bir saldırı anında tespit etme ve kurtarma senaryolarının hazır olması lazım”
ABD’deki veri hırsızlığı raporu 2018 verilerine göre kamudaki veri hırsızlığı oranı yüzde 8 olduğunu aktaran Çetin, bu istatistiğin çok ciddi bir oran olduğunu söyledi.
Siber Güvenlik uygulamalarının gerçek hayata uygulanması için siber güvenlik farkındalığının kurumlardaki bütün çalışanlarda oluşması gerektiğini sözlerine ekledi.
Türk Telekom Siber Güvenlik Direktörü Mahmut Küçük ise siber saldırılardaki insan faktörünün önemine değinerek şunları kaydetti:
“Siber saldırıların yüzde 95’i insan hatasından kaynaklanıyor. Ya da insan hatası nedeniyle oluşan sorunlar. Sadece teknoloji yatırımıyla çözülebilecek bir problemden bahsetmiyoruz. Ancak teknolojisiz de olmuyor. Zira çok daha sofistike ataklar kullanılıyor. Eskien firewall ve antivirus kullandığımız zararlı yazılımlar artık yapay zeka ve makine öğrenmesi kullanıyor. Standart ürünlerle karşılamak mümkün değil.“
Yeni yetişen neslin bilgi güvenliği konusunda eğitmemiz gerektiğini belirten Küçük, “Belli bir yaşın üstündekiler de telefon dolandırıcılığı, sosyal medya ve oltalama saldırının açık hedefi. Yıllık zararımız ülke olarak çok yüksek. Saldırganlar yüksek meblağlar elde ediyor. Bu da ciddi bir ekonomi oluşturmuş durumda.” dedi.
“Yerli ürünlere pozitif ayrımcılık yapıyoruz”
Siber güvenlik alanında daha çok uzmanlığı yüksek firmalardan hizmet almak gerektiğini belirten Küçük, “Bunun yanında hadi gelelim şu ürünü satalım güvenliği sağlayalım diyenler oluyor. Böyle bir dünya yok. Satılan ürünü işletecek insan kaynağı olmayınca çorak bir araziye dikilen ağaç gibi oluyor.” benzetmesini yaptı.
Siber güvenlik yazılımlarında yerlilik oranının çok önemli olduğunu vurgulayan Küçük, “Bu konuda yerli ürün oranı yüzde 3 seviyesinde. Bunu artırmak gerekiyor. O yüzden mümkün olduğunca yerli ürünlere pozitif ayrımcılık yapıyoruz.” dedi.
“Buzdağının görünmeyen kısmı akıllı bina cihazları ve IoT”
Nesnelerin İnterneti’nde siber güvenlik açıklarına ilişkin konuşan Check Point Güvenlik Danışmanı Ali Yılmaz ise “2018 yılında IoT saldırılarında yüzde 203 artış olmuş. Mesela bir firmanın faks makinasına sızılarak çok kolay bir şekilde tüm network ele geçirilebiliyor.” diye konuştu.
IoT’de koruma zaafı olduğuna dikkati çeken Yılmaz, “Alan çok geniş olduğu için aksiyon alınacak nokta belirlenemiyor. Asıl büyük problem ise görünürlük yok. Cihazların kaç tanesinde güvenlik olup olmadığı bilinmiyor. Dolayısıyla yönetemediğimiz güç bizim değildir.“ ifadelerini kullandı.
Özellikle sağlık sektöründe ciddi güvenlik açığı olduğunu vurgulayan Yılmaz, “Herhangi bir hastanenin güvenliğine bakıldığında buzdağının görünen kısmı kurumsal BT cihazlarıdır. Ama görünmeyen kısımlar ise akıllı bina cihazları, kurumsal IoT cihazlarıdır. Binada ameliyata yetiştirilen bir hastanın bindiği asansör uzaktan durdurulması onun hayatına mal olabilir.” diye konuştu.
“Deprem gibi siber saldırılar da kaçınılmaz”
TBMM Strateji Geliştirme Başkanı Naim Çoban da kurum ve şirketlerin üst yönetimlerinin siber güvenliğin öncelikli bir mesele olduğuna inandırılması gerektiğini söyledi. Çoban, “Öncelikle siber güvenlikle stratejik yönetim arasında bir ilişki kurulması gerekiyor. Diğer bir husus, siber güvenliği önceleyen bir denetim yaklaşımı uygulanmalı. Kamuda siber güvenliğin sisteme kurgulanması açısından, siber güvenliği önceleyen bir denetim yapısı kurmak gerekiyor. İç ve dış denetimlerde siber güvenlik risklerinin de mutlaka dahil edilmesi lazım. “ ifadelerini kullandı.
Çoban siber saldırı riskinin her zaman bulunduğunu belirterek, “Tecrübelerimizle şunu da görmüş olduk ki depremle siber güvenlik riski arasında fark yok. Nasıl ki deprem gibi afetler kaçınılmazsa siber riskler de kaçınılmaz. O yüzden her an siber saldırı olacakmış hazırlıklarımızı yapıp kritik bilgilerin korunmasına yönelik çalışmak lazım.” şeklinde konuştu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
