14 Aralık 2016 Çarşamba

Microsoft Güvenlik Zirvesi

Bugün sabahtan öğlene kadar Sakıp Sabancı Müzesi'nde, Microsoft'un düzenlediği Güvenlik Zirvesi etkinliğindeydim.

Bu etkinliğe katılmak istememin nedeni özellikle yeni çıkan veya gelişmekte olan Microsoft güvenlik teknolojilerinden ziyade, Kişisel Verilerin Korunma Kanunu (6689 numaralı kanun) hakkında bilgi edinmekti. "Bir kanun hakkında bilgi edinmek için neden bir Microsoft etkinliğine katılıyorsun ki?" diye bir soru gelebilir tabii akla mantıklı olarak. Biliyorsunuz Microsoft'un bir bulut çözümü var Azure (ki bu konuda size bir sürprizim olacak yakında!), birçok müşteri Kişisel Verilerin Korunması kanunu çerçevesinde verilerini bir bulut ortamına koymaya çekiniyor. Microsoft da Azure'a ciddi yatırım yapıyor ve (bazen biraz agresif bir şekilde de olsa) kullanılmasını istiyor. Bu nedenle bu kanunun verilerimizi Azure veya herhangi bir bulut ortamına koymaya engel olup olmadığını herkesten çok Microsoft ve benzer sektördeki firmalar araştırıyordur diye düşünüyorum.

Peki ben neden Kişisel Verilerin Korunma Kanunu ile bu kadar ilgileniyorum? Bu kanun çerçevesinde verilerden biz de sorumlu oluyoruz arkadaşlar. Birçok müşteri ile çalışıyoruz. Hem müşterilerimde bu konuda bir farkındalık yaratmak, hem de bu konudaki hukuki yükümlülüklerimizi daha iyi bilmek ve anlamak istediğimden bu kanun beni doğrudan ilgilendiriyor. Eğer bu yazıyı okuyorsanız, muhtemelen sizi de ilgilendiriyor!

Etkinliğin yapıldığı salondan bir görüntü

Yine anladım ki Kişisel Verilerin Korunması Kanunu henüz daha emekleme aşamasında. Birçok net olmayan yer var, soru işaretleri var. Kanun çerçevesinde bir kurulun belirlenmesi ve bu kurulun da bazı şeyleri belirlemesi gerekiyor. Fakat henüz kurul tamamen belirlenmiş değil. Bu nedenle bu kanunda kurulun belirleyeceği söylenen bazı şeyler belirlenemiyor. Bunlar belirlenemediği için de bahsettiğim muğlaklıklar oluyor. Sonuç olarak Microsoft dahil, konu ile ilgilenen herkes sabırsızlıkla bu kurulun seçilmesini ve görevini yerine getirmesini bekliyor!

Efendim edindiğim diğer bilgilerden de bazılarını aktarayım. Öncelikle seminerde veriler bilgilere göre Türkiye'de internet kullanıcısı 46 milyon civarındaymış. Türkiye'deki cihazlarda bulunan zararlı uygulamalar (Malware) dünya ortalamasına göre 2 kat fazlaymış.

Bir çalışmaya göre kötü niyetli bir kullanıcı bir şirketteki kullanıcılara zararlı içerik olan bir e-posta gönderdiğinde, 100 kişiden 6'sının gelen e-postadaki ekli dosyaları açtığı belirtlenmiş. Bu kadar çok Bot olmasının, zararlı uygulamaların bu kadar yaygın olmasının ve her geçen gün daha fazla şirketin sunucu ve bilgisayarlarının fidye isteyen korsanlar tarafından ele geçirilmesine şaşmamalı.

Etkinlik sırasında konuşmacılardan birisi, büyük bir şirketin CEO'sunun kendisine anlattığı yaşanmış bir olaydan bahsetti. O büyük şirkette çalışan bir mühendisin gelen ekli bir e-postayı açması neticesinde sunucu, fidye isteyen bir yazılımca kitlenmiş. Çok büyük bir fidye karşılığı kilidi açmayı başarmışlar. Fakat aynı kişi o fidye yazılımının nasıl çalıştığını merak etmiş ve tekrar çalıştırınca aynı fidyeyi yine ödemek zorunda kalmışlar. Konuşmacı bunu anlatırken dinlemeliydiniz, çok güldük.

Yukarıda bahsettiğim gibi doğrudan bize yansımayan başka birçok çeşit ihlal var. Firmaların bu ihlalleri keşfetmesi ortalama 200 gün sürüyormuş. Tabii 200 güne kadar olan oluyor. Yani veritabanınıza sızıldıysa oradaki veriler sızdırılabiliyor veya değiştirilebiliyor veya aklınıza ne gelirse artık, çünkü bu noktada tamamen korsanın insafına kalıyorsunuz.

Veritabanı bazında güvenlik sadece Login oluşturmak/silmek, Ali ve Ayşe'yi X rolünün üyesi yapmak veya yapmamakla sağlanmıyor arkadaşlar. Bu konuda çok daha etraflıca düşünmeniz gerekiyor. Artık her zamankinden çok daha fazla sorumluluğumuz var. Kötü niyetli kişiler kadar çeşitli ve hızlı çözüm geliştiremediğiniz noktada, geri kalıyorsunuz ve hem kendinizi hem de verilerinizi tehlikeye atıyorsunuz. Aman dikkat!


Hayırlı işler,
Ekrem Önsoy

Hiç yorum yok: