İlk kez 2020 arifesinde rapor edilen ve 2020’nin ikinci çeyreğine girilmesiyle bir pandemiye dönüşen COVID19 toplumları her seviyede etkileyerek yaşam tarzlarını ve iş yapma süreçlerini sekteye uğrattı, zaman zaman askıya alınmasına sebep oldu, ya da hızlı bir değişime zorladı.
Evlerinde kalan sayısız tüketici ve onlara ihtiyaç duydukları ürün ve hizmetleri kesintisiz olarak sağlamaya çalışan kurum ve kuruluşların çalışanları da bu vesile ile bilgi teknolojilerinden daha fazla istifade etmeye başladılar. Daha önce maddi veya kültürel sebeplerle uygun görülmeyen veya ötelenen teknolojik açılımlar özellikle uzaktan çalışma, e-ticaret, online eğlence, sosyal medya ve haberleşme gibi alanlarda özel şartlar göz önünde bulundurularak devreye alındı. Bu durum yaşanan kısmen kontrolsüz dönüşümden ve kısmen de bilgi teknolojilerinin doğası gereği sağladığı avantajlar yanında yönetilmesi gereken riskleri de beraberinde getirdi.
Uygulanan yöntemlere göre farklılıklar gösterse de
siber saldırı yüzeyleri genel olarak kullanım yoğunluğu ve hacmi ile doğru orantılı büyümektedir. Sofistike siber saldırganlar ileri saldırı yöntemleri kullanmaları durumunda bu kaideden bağımsız hareket edebilseler dahi böylesi gruplar hem sayıca azdır hem de yüksek maliyetleri dolayısıyla sadece özel hedeflere yönelmektedirler. Siber saldırganların sofistikasyonu kademe kademe azaldıkça hedef aldıkları saldırı yüzeyleri tabana yayılmaktadır, dolayısıyla geneli etkileyen siber saldırıların çoğunluğu düşük sofistikasyona sahip gruplar veya kişiler tarafından gerçekleştirilmektedir. Basit finansal kazanç amacı ile hareket eden pek çok siber saldırgan ise oldukça düşük sofistikasyona sahip yöntemlerle hedef gözetmeksizin ağlarını atmaktadırlar.
Çalışanların aynı zamanda birer bireysel kullanıcı oldukları ve sahip oldukları siber zaafiyetlerin sadece kendileri ve yakın çevrelerini değil, aynı zamanda çalıştıkları kurumları da etkilediği düşünüldüğünde, siber farkındalıkları risklerin yönetilmesinde daha da önem kazanmaktadır. Yukarıdan aşağıya, en üst seviye yöneticilerden hatta şirket sahiplerinden başlayarak en alt seviye çalışana kadar, kurumsal kültürün içinde kendine yer bulması gereken siber farkındalık kavramı söz konusu düşük sofistikasyondaki siber saldırılara karşı en önemli ve
düşük maliyetli savunma aracı olmaktadır. Kurumsal siber farkındalık doğru şekilde lanse edilmesi halinde bir adım öteye gidilerek orta seviye sofistikasyondaki siber saldırganlara karşı pasif bir
caydırıcılık da sağlayabilmektedir.
Geleneksel olarak sadece kendi alanı hakkında bilgi sahibi olması beklenen, yan konulara girdiğinde hoş karşılanmayan yönetici tipi günümüzde yerini disiplinlerarası çalışan, kurumsal ihtiyaçlara göre kendini geliştiren ve kriz anlarında insiyatif alabilen liderlere bırakmaktadır. İş güvenliği uzmanı olmasa da veya ayrımcılıkla mücadele aktivisti olarak meydanlarda etkinlikler düzenlemese de modern yöneticilerin bu konularda hassasiyet sahibi olması beklendiği gibi, siber güvenlik alanında da kurumsal kültürü dönüştüren, farkındalığın artmasında yol gösterici olan kişiler ön plana çıkmaktadır. Sadece kurumiçi iletişim kanallarının doğru kullanımı sayesinde, başka büyük yatırımlara sıra gelmeden,
bilinen zaafların tespiti ve
önlenebilir siber güvenlik risklerinin önü alınabilmektedir.
Bilhassa yöneticiler düzeyinde bireysel farkındalık ile başlasa da kurum çapında kabul görerek uygulanması halinde tam anlamıyla işe yarabilecek farkındalık uygulamaları da bulunmaktadır. Bunlardan ilk akla geleni sektörlerden ve kullanıcı tiplerinden bağımsız olarak herkesin günlük rutinlerinde ve düşünce tarzlarına takip etmeleri gereken basit kurallardan oluşan
siber hijyen uygulamalarıdır. Hemen ardından kendine has özellikleri ve yasal gereklilikleri kapsayacak
sektörel doğru uygulama örnekleri gelmektedir. Sektörel doğru uygulamalar da siber hijyen gibi zaman içinde yaşanan olaylardan alınmış dersler doğrultusunda hazırlanmış rehber niteliğindeki kurallardır. Sürekli olarak güncellenen bu rehberler kurumsal siber hijyen kültürünün bir parçası olduğunda, hesaplanması çok kolay olmasa da düşük sofistikasyondaki siber güvenlik risklerinin çoğu saf dışı edilebilmektedir.
Farkındalık kadar önemli olan hazırlıklı olmak da siber güvenliğin köşe taşlarından birisi olarak karşımıza çıkmakta ve her kurumun kendi risk yönetim paradigmaları doğrultusunda hukuki, operasyonel ve teknik şartları göz önünde bulundurarak tatbik edilmektedir. Siber olaylar yaşanmadan önce yasalara, düzenlemelere ve özel sözleşmelere bağlı olarak kurumların hangi şartlar altında hangi hak ve sorumluluklara sahip olduğunun net bir şekilde yöneticilerce bilinmesi gerekmektedir. Kriz anında hızlı karar alınmasını gerektiren durumlar ortaya çıktığında hali hazırda önceden düşünülmüş senaryoların ve oyun planlarının bulunması, mümkünse yöneticilerin ve kritik göreve sahip çalışanların bu senaryoların üzerinden dönemsel olarak geçmeleri büyük avantaj sağlayacaktır.
Siber saldırılar sonucunda iş süreçlerinin sekteye uğramaması veya bu sürenin kısaltılması için operasyonel ve teknik bazı önlemler, yedeklemeler veya alternatif acil durum planları da yapılabilir. Bu imkanların gerektiğinde kullanılması siber saldırıyı engellemese de etkilerini ve kurumsal olarak uğranacak maddi ve manevi kayıpları önüne geçilmesini veya kontrol altına alınmasını sağlayabilir. Kriz anlarında işbirliği yapılabilecek diğer kurum ve kuruluşlarla önceden ilişkilerin kurulması, iletişim noktaların ve protokollerinin belirlenmesi kaos anında büyük fayda sağlamaktadır. İş süreçlerinin parçası olan tedarikçiler, müşteriler, altyapı sağlayıcılar dışında siber güvenlik profesyonelleri ve kolluk kuvvetleri ile de nasıl bir iletişim içinde olunacağı Hazırlıklılık Planında yer almalıdır.
Bilhassa ortaya çıkmış veya çıkacak zararların tespiti, kanıtların toplanması ve daha sonra var ise oluşan zararın tazmini için saldırının hemen akabinde gerekli yasal hazırlıkların yapılması ve ilk günden itibaren yasal danışmanların da kriz yönetimi içinde görev ve sorumluluk alması hayati önem taşımaktadır. Gereğinde uzman danışmanlardan bilhassa sahada destek alınması gerekeceğinden tercihen önceden atanacak bir çözüm ortağına yetki verilmesi, olası bir saldırı anında hemen gerekli başvuruların yapılmasını sağlayabilecek, kriz anında çözüm ortağı seçimi veya vekaletname çıkartılması gibi ciddi gecikmelere yol açan sorunlar yaşanmayacaktır.
Şirketlerin, güncel trendler ve COVID19 sonrası dönemde kalıcı hale gelmesi beklenen söz konusu kullanıcı alışkanlıkları dolayısıyla kendi siber güvenliklerini olduğu kadar müşterilerinin de başta KVKK olmak üzere ilgili mevzuattan doğan yasal haklarını korumak adına belli başlı adımları atması ve sektörel gerekliliklerine paralel şekilde nasıl bir siber güvenlik postürüne sahip olunmak istendiğinin belirlemesi çok önemlidir.
İstenilen siber güvenlik postürüne nasıl ulaşılabileceği, siber güvenliğin nasıl Şirket kültürü haline getirilebileceği ve siber risklere karşı hazırlıklılık ve farkındalık için ne gibi somut çalışmalar yapılabileceğini ise yazı serimizin gelecek sayılarında adım adım anlatacağız.
Sinan Eraydın, Amerika- Türkiye İlişkileri Sorumlusu, CSFI
Av. Efe Kınıkoğlu, Ortak, Moral & Partners