MİKTAD KARAALİOĞLU
Almanya’da doğup büyüyen 26 yaşındaki bir çocuğu. Almanya’da bankalar, havayolu şirketleri, telekominikasyon şirketleri ve ilaç sanayiinde bir çok büyük firmaya başta IT güvenliği olmak üzere bilişim hizmetleri veriyor. Karadağ Türkiye’de de bir çok firmaya da danışmanlık hizmeti verdi. Karadağ’a göre Türkiye’de IT güvenliğinin önemi kavranabilmiş değil. Ülke büyük bir siber güvenlik tehdidi altında.
IT Güvenliği deyince ne anlıyoruz?
Birincisi fiziksel güvenlik. İş yerimizde bilgisayar ve serverler ne kadar güvenli. Yangın ve benzeri felaketlerle karşı tedbir var mı? Server çökerse ne olur, çalışanlar bilgisiyarların giriş kodlarını koruyor mu? vs. İkincisi ise hacker saldırılarına karşı ne kadar güvenliyiz. Güvenlik düzeyi ne kadar yüksek? Açık kapılar var mı (Back Door)? ‘Firewall’larımız (Güvenlik duvarı) ne kadar güçlü?İnternet Kontrol Sistemimiz ne kadar (Monitoring)... Gelen kim gibi Cyber güvenlikle ilgili konular.
Türkiye’de bir çok havayolu, banka ve sigorta şirketinin IT bölümlerini incelediniz. Türkiye’de gözlemlediğiniz sorunlar neler?
Ana başlık olarak söylecek olursa, Türkiye’de IT konusunda yeterli yatırım yapılmıyor ve yeteri kadar önemsenmiyor. Türkiye’deki iş kültürü yeteri kadar inovasyonlara açık değil maalesef. Örneğin kontrol ettiğimiz bir havayolu şirketinde dışarıdan gelen birisinin sorunsuz şekilde bilgilere ulaşma imkanı vardı. Bu şirketlere kartla ya da parmak iziyle girebilirsiniz. Onun haricinde girmek imkansız olmalı. Ancak durum maalesef böyle değildi. Kapı kilidi düşük kalitede ve hemen bozuluyor. Ve şirketin kapıları örneğin içerisi sıcak diye açık. Yani basit gerekçelerle açık. Zaten burdakiler bizim adamlarımız düşüncesiyle hiçbir ciddi önlem yok. İçeriye girmeyi başardın. Her çalışanın kendine özel kullanıcı isimi ve şifresi var. Bu mahrem bilgiyi elemanlar kağıda yazıp monitora yapıştırıyor. Yabancı biri bunu görebilir.
Ya da mesai arkadaşlarına bu kodlar veriliyor. Arkadaşları yardımcı olsun diye. Diyelimki o kişinin bilgisayarından sisteme girdim. Her türlü suistimali yapabilirim. Ve suç da kullanıcıya kalır. Bu uyarıları yaptığımızda çalışanlar kabullenmek istemedi. Oysa bu kurallar olmazsa olmaz güvenlik tedbirleri
Yani yaptığımız hataların farkında bile değiliz?
Evet. Binanın içinde serverlerin korunması için ekstra bir oda var. O odanının fazla ısınmaması için bir klima şart. Örneğin klima kumandası odanın dışında. İsteyen klimayı açıp kapatabiliyor. Ayrıca server odasının klimasını dışarıyı soğutmak amaçıyla kullananlar da var. Oysa bu odaya normalde sadece IT sorumluları girebilmeli. Ve bu odaların iki adımla korunması lazım. Ancak yetkisi olan kişilerin bu odaya girebilmesi gerekiyor.
Kilit sistemleri çok ilkel. Basitçe bir tornavidayla açılabilir. Bunlar belki abartılı tedbirler olarak düşünülebilir. Ancak kötü niyetli birinin çok rahat suistimal edebileceği zaafiyetler. Basit gibi görünüyor oysa çok önemli güvenlik tedbirleri bunlar.
Kurumsal şirketlerin böylesi zaafiyetleri olmaz diye düşünüyoruz. Durum öyle değil galiba.
-Türkiye’de faaliyet gösteren Alman şirketlerinin, Türkiye şubelerinin IT Güvenliğini denetledik. Ve çok büyük zaafiyetler gördük. Başka illerde temsilcilikleri bulunan şirketlerin ana serverlerini inceledik. Örneğin ane merkezde elektrik kesildi bunun önüne nasıl geçersin? Jenaratörün en az 8 ve 12 saat arası yetecek kadar enerji üretmesi gerekiyor. Bu süre içinde tamir yapılabilir. Eğer olmazsa iligili şirketin bütün sistemi çöker. Müşteri hesapları ödemeler vs. Bazı branşlarda 1 saat milyonlarca liraya mal oluyor. Bizim kontrol ettiğimiz şirkette jeneratör en fazla 1.5 saat çalışıyordu.
Ayrıca arıza için kullanılan alternatif server binanın dışında bir konteynerdaydı. Ve bunun elektriği ise herkesin geçebileceği bir sokak üzerinden alınıyordu.
Hatırımda kalan bu konteynerın önüne konulan bir yağ fıçısının üstünde kül tablası ve izmaritler vardı. Bunun server için ne denli bir tehlike olacağını düşünemiyorlardı.
Personel sayısı ve eğitimi?
-Yüzlerce kişinin çalıştığı bir firmada IT den sorumlu bir kişi var. Bu kişi server güvenliğinden, personele malzeme teminine kadar her işi yapıyordu. Normalde yüzlerce kişinin çalıştığı bir firmada en az 5 uzman IT’cinin bulunması gerekiyor. Eskiyen bilgisayarlarda şirkete ait hassas bilgiler var. Bu bilgisayarların usulüne uygun imha edilmesi lazım. Ancak bu eski bilgisayarların yine herkesin ulaşabileceği yerlerde kontrolsüz şekilde depolandığını gördük. IT ile ilgili bilgilerin düzenli kaydedilmesi şart. Böylece sistem bir kişiye bağımlı olmaz. Yeni gelen eski kişinin nasıl çalıştığını bilmesi gerekiyor. Süreçlerin anlaşılır bir şekilde kaydı edilmesi ve ilgili birimin yöneticilerini bu konuda bilgilendirilmesi gerekiyor. Örneğin ana serverin kodu, lisanlar, admin hesaplarının giriş kodlar vs. gibi.
Yöneticilerin bilgisi de yetersiz mi?
Yine burada şöyle bir sorunla karşı karşıyazı. Bazı IT çalışanları bu tür temel bilgileri üstlerine vermiyor. Ve böylece kendilerinin kontrol edilmesini engelliyorlar. Yöneticilerin IT bilgileri konusunda bilinçlenmesi gerekiyor. IT kontrolü zannedildiği gibi zor ve karmaşık değil. Sadece kavramların anlaşılır olarak izah edilmesi gerekiyor. Yöneticiler bu bilgileri IT elemanlarından talep etmek zorunda. IT uzmanları kolay şeyleri zorlaştırıp gösteriyorlar. Aslında kolay şeyleri biraz da ticari kaygılarla zorlaştırıyorlar. Bu noktada yöneticilerin dışarıdan IT güvenliği, alt yapı danışmanlığı vs konularında hizmet veren şirketlerden istifade etmesi gerekiyor. Yöneticiler neyi, ne şekilde kontrol etmeleri gerektiğin bilmek zorunda.
Peki Alman firmalarının durumu nedir?
Alman firmalarında fiziksel ve software olarak sistemin açığı yok. Zaman zaman personelin yeterli eğitime almamış olmasından kaynaklanan hatalar olabiliyor. Alman firmaları IT güvenlik konusunda bilinçli ve bu konuda gerekli yatırımları yapmaktan çekinmiyorlar. Bir şirketin alt yapısı çünkü IT dir.
IT güvenliği konusunda mutlaka bilinimesi gereken noktalara neler?
Her şirket yöneticisinin düşünmesi gereken noktalar şunlar: Şirketin IT güvenliği konusunda hiç kafa yordunuz mu ve şirket içi bir toplantı yaptınız mı? Hafta da bir kez şirketin IT sorunları toplantısı yapmak gerekiyor. IT güvenliği konusunda piyasada hangi imkanlar var ve şirketimize özel imkanı kullanabiliyor muyuz?
Son iki yılda şirketin IT güvenliği nasıldı şimdi nasıl? Şirket bu konuda bir yatırım yaptı mı? Yani kısaca IT şirket işleyişinde artık ana hatta en önemli unsur. Şirketlerin bu gerçeği kabullenmeleri gerekiyor.
SINAVI SADECE BANKALAR GEÇTİ
Türkiye’de IT güvenliği konusunda sektörlere göre bir karne verecek olursak? Hangi sektörler hassas?
Banka, telekominikasyon, Hava yolu şirketleri, sigorta şirketleri, turistik şirketler ve internet üzerinden alış veriş yapan büyük şirketleri kontrol ettik. Bankalar hariç bütün sektörlerin güvenlik konusunda büyük zaafiyetleri var. IT güvenliği ilke olarak her sektörde aynı mantıkla işler. Bankalar yurt dışı ile çok çalıştığı için uluslarası standartlara ayak uydurmak zorundalar. Ve bunun için de denetleniyorlar. Bu denetlemeler sürekli yapılıyor. Ve hatalar telafi edilmeyince de yaptırımları var. Dolayısıyla bankalar bu kültüre alıştılar. Güvenlik konusunda bilinçliler. Yurtdışı bağlantısı olmayan sigorta şirketleri IT güvenlik sorununu hafife aldıklarına şahit oldum. Sigorta personeli güvenlik için meslek içi eğitim programlarına yeterli düzeyde gönderilmiyor. Ya da zamanı geçmiş güvenlik teknolojileri kullanıyorlar. Çünkü yatırımdan kaçıyorlar.
Ancak yeni programlar, ki kullanılan programlar sürekli yenilenmek zorunda, eski güvenlik yöntemleri ile korunamıyor. Bu şirketler için sürekli bir güvenlik zaafiyeti anlamına geliyor. Online alış veriş yapan şirketle en son teknolojiyi kullanarak satış yapıyorlar. Ama çalışanları yeni teknolojiler konusunda yeterli eğitimden geçirilmediği için bu programların optimal kapasitesini kullanamıyorlar. Böylece sadece güvenlik zaafiyeti yaşamıyor, gelirleri de düşüyor.
ALMAN ŞİRKETLER ONA EMANET
Karatronics GmbH isimli IT altyapı hizmetleri veren bir şirketin yöneticisi ve sahibi. Şirket Almanya’da özel banklar, hava yolu şirketleri, resmi kurumlar, telekominikasyon şirketlerine IT Altyapısı hazırlama, geliştirme ve denetleme konusunda hizmetler veriyor. Karatronics GmbH Türkiye’de işi yapan Alman şirketlerine de denetim ve güvenlik hizmeti sunuyor.