Yüksek güvenlik her zaman yüksek koruma anlamına gelmez

Dünyada yaklaşık olarak her 39 saniyede bir siber saldırı olduğunu biliyor muydunuz?

Ya da mesela 2020 yılında veri ihlallerinin maliyetinin küresel ortalamasının 3,86 Milyon Dolar olduğunu? Bu rakamın ülkemizde ise 12,3 milyon TL olduğunu?  IBM ve DELL’in2020 yılında siber güvenlik ve veri ihlalleri konusunda yaptığı araştırmaların sonuçları dikkat çekici. Türkiye’den de veri ihlali ve fidye yazılım gibi önemli siber güvenlik başlıklarında çarpıcı rakamlar var…

Yaşadığımız pandemi bir anda en az 4-5 sene sonrası için yakalanması gereken dijital süreçlerin hemen ve şimdi hayata geçirilmesini sağlarken, olası riskleri de eşzamanlı olarak artırdı. Zaten hızlanmış olan ve bu yıl ekstra ivme kazanan dijitalleşme; Nesnelerin İnterneti (IoT), Yapay Zeka ve Makinelerin Öğrenmesi, siber güvenliği artık kurumların vazgeçilmezi haline getiririrken, “VERİ” ise giderek daha da artan bir değer kazanıyor.  Dünya Ekonomik Forumu Global Risk Analizi Anketi’nde risk sıralamasında siber saldırılar, son birkaç yıldır su ve iklim krizi, olağanüstü hava koşulları ve doğal afetlerin bulunduğu yüksek risk grubunda yer alıyor. Siber saldırılara hazırlanmak, yanıt vermek ve herhangi bir saldırı karşısında ayağa kalkıp devam edebilmek ise çok yönlü bir güvenlik yönetimi yaklaşımı gerektiriyor.

Neden önemli?

Elektronik aygıtların yoğun kullanımı siber güvenlik açısından riski yükseltiyor. Uzaktan/evden çalışma ile veriler daha dağınık bir yapıya gidiyor, bu da siber güvenlik açıklarını artırıyor. Nesnelerin İnterneti’nin (IoT) yükselişi sayesinde ağa bağlı cihazların sayısı giderek yükselirken bilgisayar korsanlarının sistemleri tehlikeye atması için önlerine daha büyük fırsatlar çıkıyor. IBM Veri İhlalleri Araştırmasına göre Dünyadaki veri ihlallerinin yarıdan fazlası kötü niyetli saldırılardan kaynaklanıyor.  Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 280 gün sürüyor. Bu rakam ülkemizde ise 292 gün! IBM’in araştırmasına katılan kurumların yüzde 39’u veri ihlallerinden 1 yıl sonra bile bu konunun maliyetlere yansıdığını söylüyorlar. Ülkemizde veri ihlalinin en çok görüldüğü ilk 3 sektör Finans, Hizmet ve Teknoloji. DELL verilerine göre Türkiye, geçtiğimiz 1 yılda fidye yazılımına maruz kalan ülkeler arasında Suudi Arabistan ve Çin ile birlikte ilk üçte.

Video yönetim sistemlerinin hassasiyeti

Tek bir noktadaki bir güvenlik açığı, tüm sistemi ve bağlı cihazları etkileyebilecek kadar etkilidir. Kişisel verilerin mahremiyeti ise siber güvenlik açısından son dönemlerin en öncelikli maddesi. Ülkemizde veri ihlallerinin ortalama maliyeti 12,3 milyon TL. Tek bir kişisel verinin ihlal edilmesinin ortalama maliyeti ise 630 TL.  Bu nedenle Milestone Systems olarak kullanımın da öncesinde, yazılımızın tasarım aşamasından itibaren güvenli bir platform olmasını çok önemsiyoruz. GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği) uyumlu tek video yönetim yazılımı olmamız da bunun en önemli göstergesi. Ülkemizdeki KVKK yükümlülüklerinin yanı sıra, uluslararası iş yapan kurumlar için GDPR kapsamında 20 milyon Euro ya da cironun yüzde 4’üne kadar yüklü cezalar getirilebiliyor. Bunun bilincinde hareket etmek ve GDPR-hazır bir video yönetim yazılımı kullanmak “gizliliği” kurumsal güvenlik kültürünün bir parçası haline getirmeyi mümkün kılıyor.

Gelelim kullanımdaki hassasiyetlere… Kurumların saldırılara karşı kendi sistemlerini anlık olarak savunması hayati önem arz ediyor. Yapılan araştırmalar siber saldırıların sadece yüzde 40’ının dışardan geldiğini gösteriyor. Yüzde 60’ı dahili, yani içeriden sızdırılan datalarla yapılıyor.  Sistemin en dış halkası, en uç ürünü kamera. Kameraların güvenliği, mahremiyetin güvenliği kadar sistemin güvenliğinde de ön cepheyi oluşturuyor. Uzaktan erişimin öneminin iyice arttığı bu yeni dönemde, anonim şifreleme bariyeriyle sahada binlerce aygıtı olası tehditlere karşı koruyabilmek mümkün. Milestone XProtect’in şifre anonimleştirme özelliği ile, desteklenen cihazların tamamına tek hamlede benzersiz ve yetkisiz kullanıcıların göremeyeceği birer şifre atanıyor. Sisteme bağlı her bir kamera için tek bir tuşla, bağımsız, benzersiz ve mümkün olan en geniş algoritmayla, en zor şifrelemeyle saniyeler içinde atanabiliyor. Tahmin edilebilen şifreler yerine XProtect her aygıta benzersiz bir şifre atıyor ve bunu kullanıcı da bilmiyor, şifreler veri tabanına yazılıyor. Kullanıcı ancak yetkisi varsa yeni şifreyi sunucuya sorabiliyor. Bu sorguda kayıt altına alınıyor.

Şifre anonimleştirme haftanın/ayın/yılın belli dönemleri için önceden belirlenen planlı uygulamalarla da yapılabiliyor. Böylece şifre paylaşımı dahil, insan faktöründen muaf bir siber güvenlik katmanı oluşuyor. Video Yönetim Sistemleri’ni “güvenli ve dayanıklı” kılmanın bir diğer ayağı da sertifikalı kimlik doğrulama sistemleri kullanmak. Kerberos ve benzeri sertifikalarla birlikte çift faktörlü doğrulama kullanmak, sistemi çok daha dirençli hale getirmesiyle, ortalama 7,1 milyon Dolar küresel veri ihlali maliyete sahip sağlık sektörü başta olmak üzere, kişisel verilerin yoğun olduğu tüm sektörler için ekstra önem taşıyor.

Yalnızca bugünü değil, yarını da düşünmek

Tehditler ve hedefledikleri sistemlerin sürekli olarak geliştiği günümüzde daha fazla güvenlik her zaman daha çok koruma anlamına gelmez. İç saldırılar, insan hatası ve sistem karışıklığı yalnızca güvenlik seviyesini artırarak çözülemeyebilir. Teknolojinin sorumlu kullanımı da bu noktada çok önemli bir etken. Biz Milestone Systems olarak 2017 yılında altına imza attığımız Kopenhag Mektubu ile halihazırda bu konunun hassasiyetle takipçisiyiz. Kopenhag Mektubu dünyadan pek çok kanaat önderinin ortak çalışması olan, teknolojinin etik ve olumlu kullanılması yönünde bir bildiri.“Biz insanlığın yararına teknoloji geliştiriyoruz, kullanıcılarımız da bunu insanlık yararına kullanmakla yükümlüler” taahhüdünün altına imzamızı atıyoruz.

Milestone olarak eğer ürünlerimizin bu strateji dışında kullanıldığını fark edersek yazılımımızın kullanımını engellemeye kadar giden müdahelelerde bulunuyoruz. Çünkü biliyoruz ki, güvenlik önlemlerinin ve en iyi uygulamaların geliştirilmesi ve uygulanması, güvenlik risklerini tanımlamaya ve anlamaya yönelik devamlılığı olan ve bunlara karşı koymak için uygun adımları atan “güçlendirme” sürecini dinamik kılmakla mümkün…

Video Yönetim Sistemi sağlayıcınız tasarımından uygulamasına, güncellemesinden takibine “güvenliğin” öncelikli olduğu bir yapı ortaya koyduğu sürece, siber güvenliğiniz sağlam temeller üzerine inşa edilmiş olacaktır.