www.pwc.com.tr/siberguvenlik
Ekim 2014
Öne çıkanlar
• Bilgi teknolojisi (IT),
operasyonel teknolojiler
(OT) ve tüketici (CT)
teknolojilerinin birleşmesi
kapsamlı iş fırsatları
doğuracak.
• Tüketici teknolojilerinin
İnternete bağlanırlığı
giderek daha fazla artacak.
Bu durum, gizlilik ve
güvenlik konularında yeni
kaygıları beraberinde
getirecek.
• K armaşıklığın artıp
zayıflıkların çoğaldığı söz
konusu süreçte bu
teknolojilerin faaliyet
alanlarının birleşmesiyle
çok boyutlu güvenlik
sorunları açığa çıkacak.
• İşletmeler bilgi güvenliği
ve siber güvenlik
konusunda, tüm teknoloji
alanlarına yönelik riskleri
tespit edip yöneten,
kapsayıcı ve birimler arası
bir yaklaşım geliştirmek
zorundalar.
Dijital Teknolojilerin
Birleşimi
Bilgi teknolojisi, operasyonel
teknolojiler ve tüketici teknolojilerinin
birlikteliği, iş dünyası ve toplum
açısından güvenlik coğrafyasını ne
şekilde değiştirecek?
Her şeyin ve herkesin dijital olarak bağlantılı
olduğu bir dünya hayal edin. Nesnelerin
İnterneti olarak bilinen oluşum, işletmeler,
hükümetler ve tüketiciler için sayısız fırsat
ve yetkinlik sunacak.
Bu kavram, faaliyetleri iyileştirecek, tüketici
ilişkilerine yeni bir tanım getirecek ve
işletmelere yenilikler sağlayacak.
Bahsettiğimiz dijital birleşme, bireylerin
yaşamlarına eşsiz kolaylıklar, sağlık
açısından iyileştirmeler sağlayıp kişilere
evleri ve arabaları konusunda yeni bir
kullanım anlayışı kazandıracak.
Bunların yanı sıra, Nesnelerin İnterneti bilgi
güvenliği, gizlilik ve kişisel güvenlik
açısından yeni riskler de doğuracak.
Dijital birleşme, işletmeler, faaliyetler, veriler
ve insanlar arasındaki bağlantıları tek bir çatı
altında toplamış uzun yıllardır süregelen
teknoloji gelişmelerine dayanıyor.
Örneğin, hiper bağlantılı şehrinizde her
günkü ulaşımınızı aklınıza getirin.
Arabayla işe gelirken, bilgisayar
korsanlarının kablosuz bağlantı yoluyla
otomobilin sensörlü frenlerine ve
direksiyonuna erişip bu mekanizmaları
kontrol edebileceğini biliyorsunuz.
Görünmeyen tehditleri oluşturan aktörler,
sadece eğlence amacı taşıyan fakat aynı
zamanda halkın güvenliğini tehlikeye
atabilecek mesajları paylaşmak amacıyla
elektronik yol işaretlerini de değiştirebilir.
Organize saldırganlar, ana gaz
borularındaki basıncı arttırmak üzere doğal
gaz sağlayıcılarının endüstriyel kontrol
sistemlerini ele geçirebilir ve bu işlemin
uygulandığı boru üzerindeki ilk blokta bizi
bir patlama karşılayabilir.
Bu riskleri ne teorik ne de farazi olarak
anlatıyoruz. Siber suçlular, bağlantılı
cihazların büyük bir çoğunluğuna
sızabildiklerini ve bu cihazları kontrol altına
alabildiklerini kanıtladılar. Nesnelerin
İnternetini oluşturan sayısız bağlantılı
cihaz, temel güvenlik önlemlerinden yoksun
olduğu için sistemlere erişmek nispeten
kolay. Tüm bunların sonucunda, dijitallerin
birleşmesi - bilgi teknolojisi (IT),
operasyonel teknoloji (OT) ve tüketici
teknolojisi (CT) - devasa bir zorluk olarak
önümüzde duruyor.
Bu süreç, teknoloji alanları birleşmeye
devam ettikçe daha karmaşık hale gelecek
bir sorunu işaret ediyor. Gelişen iş
ekosistemleri, İnternet yoluyla doğrudan
veya dolaylı olarak bağlantılı olan akıllı
cihazların oluşturduğu büyük bir evrene
dönüşecek. Şu anda, bu bağlantılı sistemler,
inşaat otomasyonu, üretim fabrikaları,
otomobiller, uçaklar, petrol ve benzin üretim
tesisleri, kişisel tıbbi cihazlar ve akıllı evler
gibi alanları kapsıyor. Yarın ise bu sistemler
tüm şehirleri ele geçireceğe benziyor.
Bu büyük metamorfoz süreci halen sürüyor.
Şu anda tahmini olarak 10 milyar cihaz
doğrudan veya dolaylı olarak İnternete bağlı
durumda - araştırma şirketi IDC, 212 milyar
cihazın 2020 yılının sonunda online hale
gelmesini öngörüyor.1
İnternet Protokolü Sürüm 6’ya (IPv6)
geçildiğinde ise potansiyel online cihaz
sayısı pratikte limitsiz olacak.
Dijital birleşme, işletmeler, faaliyetler,
veriler ve insanlar arasındaki bağlantıları
tek bir çatı altında toplamış uzun yıllardır
süregelen teknoloji gelişmelerine dayanıyor.
(Şekil 1) Kablosuz ağlar, akıllı telefon ve
tabletler, mobil uygulamalar ve bulut
bilişimin yakaladığı önlenemez büyüme,
çalışan verimliliğini, e-ticaret kapasitelerini
ve tüketicilerinin yaşamlarını son
zamanlarda oldukça iyileştirdi.
Aynı zamanda, giderek daha ucuz ve küçük
hale gelen gömülü mikro işlemciler,
sensörler ve robotik cihazlar, üretim tesisleri
ve endüstriyel kontrol sistemleri arasında
bağ oluşturmak amacıyla bir çok sektörde
uygulamaya alınıyor. Bu cihazlar,
işletmelerin fabrikalarını, uzaktaki
varlıklarını ve fiziki süreçlerini etkin şekilde
yönetmesini sağlıyor.
Bu birleşme, iş fırsatları açısından herkesi
doyuracak ve en sonunda tüketicilerle olan
ilişkileri yeni bir boyuta taşıyacak. Söz
konusu birleşme yüksek rakamlar
yakalayacak: IDC, dijital birleşme ile ilişkili
teknoloji ve hizmet harcamalarının, yıllık
birleşik yüzde 7,9 artış kaydederek, 2020
yılında 8,9 trilyon dolar küresel gelir
oluşturacağını tahmin ediyor. 2
1. IDC, Internet of Things (IoT) 2013 to 2020 Forecast: Billions of Things, Trillions of Dollars, Doc #243661, Ekim 2013
2. IDC, Internet of Things (IoT) 2013 to 2020 Forecast: Billions of Things, Trillions of Dollars, Doc #243661, Ekim 2013
Dijital Teknolojilerin Birleşimi
| 2
Peki temel problem nedir? Yaygın
entegrasyon ve bağlanırlık, işletmeler ve
tüketiciler açısından çok çeşitli güvenlik
riskleri oluşturacak. Siber saldırı atak
yüzeyi- yani düşmanların verilere,
uygulamalara ve sistemlere erişmeye
çalıştığı noktalar- , katlanarak büyümeye
devam edecek. Bu saldırılar, şirket
endüstriyel operasyonları, nihai kullanıcı
ürünleri ve hizmetleriyle ilgili farklı varlık
türlerini kapsayacak şekilde, bilindik bilgi
güvenliği kapsamının ötesine geçecek.
Örneğin, bugünün otomobillerine bağlantı
sunan teknolojileri göz önüne getirin. Yeni
nesil otomobiller İnternete bağlantısı
bulunan onlarca bilgisayarı sisteminde
bulunduruyor. Bilgisayar korsanları,
frenleri, direksiyonu ve hatta motoru kontrol
altına alacak şekilde bu gömülü
bilgisayarlara sızabildiklerini kanıtlamış
durumdalar.
Dahası, aygıt yazılımıyla ilgili
güncellemeleri, bakım takibini ve gerçek
zamanlı haberleşmeyi gerçekleştirmek üzere
bazı otomobiller, otomatik olarak üreticinin
IT ve OT sistemlerine bağlı bulunuyor.
Arka plana bakıldığında, otomobil
üreticileri, operasyonel fabrika-üretim
sistemlerini IT ortamlarıyla ve arka ofis iş
sistemleriyle birleştirip otomatik hale
getirmeyi sürdürüyor.
Bu yaygın karşılıklı bağlanabilirlik durumu,
otomobillerin, IT sistemlerinin ve
operasyonel makinelerin siber tehditlere
gitgide daha açık hale geldiği bir ortam
yarattı.
Yukarıda verilen örnek, dijital birleşmeyle
gelen sayısız riskten sadece birisini
gösteriyor. Şu anki durumda tek bir şey
kesin olarak söylenebilir: Dünün güvenlik
uygulamalarıyla teknoloji birleşmesiyle
çoğalan riskler şöyle dursun daha bugünün
tehditleri etkin şekilde yönetilemiyor.
Güvenlik konusunda, operasyonel
teknolojiler, bilgi teknolojisi ve tüketici
teknolojisine özel güvenlik hedeflerini
barındıran stratejik bir yaklaşıma ihtiyaç
duyulacak.
Temel teknoloji alanlarını tanımlamak
Bilgi teknolojisi
geçmişten bu yana, iş birimlerini ve
işlemleri desteklemek amacıyla verilerin
işlenmesi ve yönetilmesine yönelik
kullanılan kaynakları ve bağlanırlığı
kapsıyor. Bilgi teknolojisinin amacı, veri ve
sistemlerin gizliliğini, bütünlüğünü ve
sürekliliğini sağlamaktır. IT, kurumsal
kaynak planlama, insan kaynakları
yönetimi, müşteri hizmeti, hareket işleme,
finansal raporlama ve kurumsal işbirliği
gibi alanları içeriyor.
Operasyonel teknoloji
genel olarak, fiziki ekipmanları ve olayları
takip ve kontrol eden ya da ürünlerin ve
hizmetlerin üretimini ve sunulmasını
destekleyen sistemler veya ilgili
otomasyon varlıkları olarak tanımlanıyor.
Bir üretim fabrikasında vananın
kapatılması gibi nesnelerle ilgili fiziki
kontrol, Operasyonel Teknolojinin
temelini oluşturuyor. Tarihsel olarak
baktığımızda, operasyonel sistemlerin
IT’den ayrı olarak yönetilip
sürdürüldüğünü görüyoruz. İşletmelerin
OT ve IT alanlarını birleştirmeye ve bu
ikisi arasında şirket iç ağları veya İnternet
yoluyla bağlantı kurmaya başlamasıyla bu
durum değişiyor. OT, çevresel kontrol,
fabrika yönetimi, entegre tesis yönetimi,
elektrikli akıllı şebekeler, hava trafiği
kontrolü ve otomatik lojistik operasyonlar
gibi sistemleri kapsıyor.
Tüketici teknolojisi
şirketlerin nihai kullanıcılara veya
müşterilere sağladığı ürünleri ve
hizmetleri kapsıyor. Akıllı telefonlar,
tabletler, sağlık ve form takip cihazları,
konum duyarlı hizmetler ile İnternet oyun
ağları bu teknolojinin kapsamındaki
alanlara örnek olarak gösterilebilir. Bulut
bilişim merkezli hizmetlerdeki büyümeyle
birleşen yaygın bağlanabilirlik ve gelişmiş
mobilite tüketici ürünlerinin yükselişini
ayrıca destekledi. Yakın saha iletişimi
(near field communication-NFC), radyo
frekans tanımlama (radio-frequency
identification-RFID) ve Bluetooth Düşük
Enerji (Bluetooth Low Energy) gibi
teknolojiler, dijital cüzdan ve kişisel sağlık
takibi gibi yeni akım ürünlerin
sunulmasına imkan sağlıyor.
Dijital Teknolojilerin Birleşimi
| 3
Şekil 1:
Dijital birleşmenin tam öyküsü
1980’ler
1990’lar
• IT, OT ve CT farklı ortamlarda
ve farklı platformlarda faaliyet
gösteriyordu
• OT, merkezileştirilmiş
operasyonu sağlamak üzere
ağa bağlandı
• OT ve CT özel platformlar
üzerinde çalışıyordu.
• CT ayrı bir ortamda
bulunmaktaydı
• Teknolojiler arasında veri
paylaşımı bulunmamaktaydı
• Özel çözümlerin getirdiği
belirsizlikle kısmen korunsa da
OT söz konusu bağlantı
nedeniyle savunmasız hale
geldi
• Bir ağa bağlı olmadıkları için
OT ve CT çok sınırlı risklere
maruz kalmaktaydı
Bilgi
Teknolojisi
Operasyonel
Teknoloji
2000’ler
2010’lar
• OT, maliyetleri düşürmek ve
uygunluğu arttırmak amacıyla
standartlaştırılmış IT kanallarını
kullanarak IT’ye bağlandı
• IT ve OT arasındaki sınırlar
kalkmaya başladı
• CT, IT’ye özel amaçlı kanallar
aracılığıyla bağlandı
• OT, artık belirsizliğin getirdiği
korumadan faydalanmıyordu.
CT de savunmasız durumda
bulunuyordu. Geleneksel IT
güvenliği sistemleri de bu
alanlara koruma sunmuyordu
Tüketici
Teknolojisi
İnternet
Özel
Bağlantı
• IT’ temelli teknolojiler, OT ve
CT alanlarında da yaygınlaştı
• Bu üç teknolojinin bir araya
gelmesi entegre teknoloji
ekosistemini temsil etmeye
başladı.
• IT, OT ve CT siber tehditler
karşısında savunmasız kaldı
İşletmelerin, teknolojileri tüm
kapsamıyla içerecek şekilde
güvenlik modellerini
güncellemesi gerekiyor
IT Protokolü
Tabanlı Bağlantı
Yeni ve daha büyük güvenlik
tehditlerine hazırlanmak
Bilgi teknolojisi, operasyonel teknoloji ve
tüketici teknolojisinin oluşturduğu
ekosistemlerin birlikteliği güvenlik risklerinin
doğasını da değiştirecek.
Bu birleşme, iş faaliyetleri, kamu sağlığı ve
güvenliği ve tüketici güveni açısından ciddi
sonuçlar doğurabilecek siber saldırılar için
yeni fırsatların da önünü açacak.
Birçok organizasyon için, bu risklerin sayısı,
güvenlik tehditleri tam anlamıyla
anlaşılmadan yeni teknolojilerin
uygulanmasını teşvik eden iş stratejileriyle
daha da artacak.
Ayrı ve eşit olmayan süreçler
Bilgi teknolojisi, operasyonel teknoloji ve
tüketici teknolojisi arasındaki artan karşılıklı
bağlanabilirliğe rağmen, çoğu organizasyon
her bir alan için ayrı güvenlik uygulamalarını
sürdürüyor.
IT sistemlerine yönelik güvenlik sistemleri
genellikle daha köklü ve olgunken, aynı
uygulamalar operasyonel teknolojiye ve
tüketici teknolojisine eşit oranda yansımıyor.
Bu durum kaçınılmaz olarak kullanıcı
erişimi, yama yönetimi ve üçüncü taraf risk
yönetimi gibi temel güvenlik süreçleri
açısından boşluklarla sonuçlanıyor.
Dijital Teknolojilerin Birleşimi
| 4
Pek çok işletme, karşılıklı bağlantılı
teknolojilerden kaynaklanan ortak tehditleri
ele alan politikaları ve prosedürleri henüz
uygulamaya geçirmedi. Nispeten daha olgun
IT alanında dahi, çoğu şirket, üçüncü
taraflarla ilgili güvenlik risklerini
değerlendirme konusunda hiçbir adım
atmıyor.
PwC tarafından yürütülen US 2014 State of
Cybercrime Survey, organizasyonların sadece
yüzde 44’ünün iş faaliyetlerine başlamadan
önce üçüncü tarafların güvenliğini
değerlendirdiğini ve yine sadece yüzde
31’inin şirket dışı ortaklarla yaptığı
sözleşmelere güvenlikle ilgili hükümleri dâhil
ettiğini ortaya koydu. 3
Yeni cihazlar bağlantılı ekosistemlere akın
ettikçe, söz konusu iş ortaklarının
standartları karşıladığından emin olmak için,
organizasyonların iş ortaklarının güvenlik
kapasitelerini dikkatlice değerlendirmesi
kritik bir rol oynuyor. Fakat bu
değerlendirmeyi yapmak da çoğu IT ve
güvenlik departmanının kapasitesini
zorlayabilir.
Hâlihazırda, güvenlik çalışanları, yaygın
fakat nispeten önemsiz zayıflıklar altında
öyle ezilmiş durumda ki bu çalışanlar,
dikkate değer etkiler yaratabilecek yeni
riskleri yönetmede başarısız oluyor.
Yama yönetimi, ayrı ve eşit olmayan süreçler
için sunulabilecek başka bir örneği
oluşturuyor. Pek çok işletmenin, IT
varlıklarına ilişkin işletim sistemlerinin ve
aygıt yazılımlarının güncel kalmasını
sağlamak için politikaları ve süreçleri
bulunuyor fakat sadece birkaç tanesi OT ve
CT teknolojilerinin güncellenmesi için aynı
özeni gösteriyor. Birçok sektörde, OT
varlıkları eskimiş olduğu ve yama geçilmesi
mümkün olmayan, kullanımdan kalkmış
işletim sistemleri uygulandığı için, özellikle
operasyonel sistemlere yönelik yazılım
güncellemesi önemli zorlukları beraberinde
getiriyor.
Bu yama geçilmemiş sistemler, OT
sistemlerini hedef alan siber olayların
artmaya devam etmesi nedeniyle işletmeleri
ciddi risklere maruz bırakabilecek önemli
zayıflıklar yaratıyor
Şekil 2:
Güvenlikle ilgili yeni sorunlar: Kilit sektörlerdeki operasyonel teknolojiler ve tüketici teknolojileri
Sektör
Operasyonel teknoloji örnekleri
Tüketici teknolojisi örnekleri
Otomotiv
Otomatik üretim & lojistik
Araç içi haberleşme & navigasyon sistemleri,
uzaktan tanı & bakım, Gelecekte Kullanılacak
Karayolları
Tüketici ürünleri
Otomatik üretim & lojistik
Ev otomasyonu & güvenliği, akıllı beyaz eşyalar,
giyilebilir cihazlar, akıllı telefonlar & tabletler
Enerji & Altyapı
Üretim & iletim, akıllı şebeke, akıllı varlık
yönetimi, otomatik sayaç okuma
Akıllı sayaç uygulamaları, akıllı termostatlar,
altyapıya yönelik dijital haberleşme
Eğlence, medya &
iletişim
Kablolu dağıtım ağları, yayın ekipmanları
Set-üstü kutular, on-demand (talep üzerine)
hizmetler, video akışı
Finansal hizmetler
ATM’ler, şube ekipmanları, hareket & ödeme
işleme
Online bankacılık, alternatif döviz kuru
sistemleri, dijital cüzdanlar
Sağlık hizmeti
sağlayıcısı/sorumlusu
Elektronik tıbbi raporlar, eczaneler için
otomatik dağıtım sistemleri, RFID gerçek
zamanlı konum
Giyilebilir sağlık cihazları, uzaktan hasta takibi,
e-doktor hizmetleri, hasta portalları &
uygulamaları
Perakende & tüketim
Satış noktası sistemleri, RFID stok yönetimi,
konum odaklı reklamcılık
Alışveriş uygulamaları, mağaza içi Wi-Fi, dijital
cüzdanlar, e-ticaret
Teknoloji
Veri merkezleri, bulut hizmetler, haberleşme
protokolleri, ürün yaşam döngüsü yönetimi
Gömülü teknoloji & bağlanırlık, tüketici bulut
hizmetleri, sosyal ağ
3. CSO magazine, CERT Division of the Software Engineering Institute at Carnegie Mellon University,
PwC, and the US Secret Service, 2014 US State of Cybercrime Survey, Haziran 2014
Dijital Teknolojilerin Birleşimi
| 5
Kamuya açık altyapı sağlayıcılarıyla ilgili
endüstriyel kontrol sistemleri hakkında
kaygılar artıyor. Amerikan İç Güvenlik Birimi
(The Department of Homeland Security DHS) yakın bir zaman önce, bilgisayar
korsanlarından oluşan bir grubun İnternet
üzerinden ABD’deki kamu altyapısına başarılı
şekilde ulaştığını ve bu yapıya ait kontrol
sistemi ağını değiştirdiğini bildirdi. 4
Bu olay sonucunda hiçbir zarar meydana
gelmezken, kritik altyapı sağlayıcılarının karşı
karşıya bulundukları tehditlerin oldukça
gerçek tehditler olduğu görülmüş oldu.
Başka bir örnek olarak 2013 yılında, İç
Güvenlik Birimi Endüstriyel Kontrol Sistemleri
Siber Acil Durum Müdahale Ekibi (DHS
Industrial Control Systems Cyber Emergency
Response Team ICS-CERT) 256 siber vakayla
ilgilendi. Bu rakam, 2012’ye göre yüzde 86
artış gösterdi. 5
Ayrıca, tehditlerin tamamı organizasyona ait
alanı hedef almıyor. Örneğin, kısa bir zaman
önce ortaya çıkan bilgisayar solucanı Linux
Darlloz, webcamler, kablosuz yönlendiriciler,
set üstü kablolu televizyon alıcıları gibi günlük
tüketici ürünlerini değiştirmek amacıyla
tasarlandı. 6
Söz konusu tehdit, güvenlik, iş itibarı ve kamu
güvenliği açısından ciddi sonuçlar
doğurabilecek yeni risk kategorilerini ortaya
çıkarıyor.
İş stratejileri tehditleri nasıl arttırıyor?
Yeniliği ve rekabet avantajını desteklemek
amacıyla teknolojik ilerlemelerden yararlanan
iş stratejileri de yeni zayıflıklar oluşturabiliyor.
Buna örnek olarak, sağlık sektörüne tüketici
ürünlerinin ve hizmetlerinin girişini
düşünebiliriz. Mesela pacemaker ve glikoz
izleme cihazları hastanın sağlık durumunu
takip edip hastanelere ve doktorlara kablosuz
olarak raporlamak amacıyla kullanılıyor.
Bilgisayar korsanları bu bağlı tüketici
cihazlarına sızabildiklerini gösterdiler.
Korsanların sahip olduğu bu beceri, sadece
ciddi sağlık ve güvenlik riskleriyle
sonuçlanmıyor ayrıca veri gizliliği konusunda
kaygılar uyandırıp hukuki riskler de
yaratabiliyor.
Bu tür teknolojiler, oluşabilecek riskler tam
anlamıyla anlaşılmadan uygulanmaya
başlandı. Ayrıca sadece birkaç sağlık hizmeti
sağlayıcısı bu tip riskleri yönetme konusunda
hazırlıklı bulunuyor.
Birleşmeler, satın almalar ve müşterek
girişimler yoluyla büyüme odaklı iş
stratejilerinin, birleşen teknolojilere yönelik
güvenlik uygulamalarının entegrasyonu
konusunda karmaşa yaratıp zorluk
oluşturabildiğini de gördük. Çünkü
işletmeler, yapılan anlaşmaların ilk
aşamalarında birleşen teknolojilerin
doğuracağı sonuçları tam olarak
değerlendiremiyor, bununla birlikte, anlaşma
görüşmeleri yaptığı şirketlerin çalışanlarının
söz konusu bu teknolojilere erişimini nasıl
sınırlayacaklarını hemen anlayamıyorlar.
Artan riskler, artan düzenlemeler
Getirdiği yeni zayıf noktaların yanı sıra,
dijital birleşme, kaçınılmaz olarak yeni
düzenlemeler de doğuracak.
Amerikan Gıda ve İlaç Kurumu (The US Food
and Drug Administration - FDA), hâlihazırda,
bağlı tıbbi cihazları ve sağlıkla ilgili bilgilerin
elektronik aktarımını yönetmek üzere daha
etkin siber güvenlik sistemleri için girişimde
bulundu. 7 Benzer şekilde, Ulusal Karayolu
Trafik Güvenliği Kurumu (National Highway
Traffic Safety Administration), şoförsüz
otomobillere yönelik başlangıç niteliğinde bir
politika yayımladı. 8
Daha kapsamlı olarak, ABD Ulusal
Standartlar ve Teknoloji Enstitüsü (US
National Institute of Standards and
Technology - NIST), kritik altyapılarla ilgili
siber riskleri azaltmayı hedefleyen bir Siber
Güvenlik Çerçevesi geliştirdi. 9 Bu çerçeve
risk odaklı bir siber güvenlik rehberi sağlıyor.
Uygulama isteğe bağlı olsa da, söz konusu
rehber, yasal incelemelerde kullanılabilecek
bir siber güvenlik standardı sunacak. Sonuç
olarak, güvenlik organizasyonlarının
düzenleme, uyum ve güvenlik konularındaki
bu yeni şartlara uyum sağlaması gerekebilir.
Söz konusu organizasyonlar riskleri
yönetmek amacıyla tehditler karşısında
kapsamlı bir bakış açısı ve bütüncül bir
yaklaşım sergilemedikleri için, operasyonel
teknoloji ve tüketici teknolojisi, birçok
organizasyon için özel bir zorluk oluşturacak.
4.
5.
6.
7.
Department of Homeland Security, ICS-CERT Monitor, Ocak – Nisan 2014, Mayıs 2014
Department of Homeland Security, ICS-CERT Year in Review 2013, Şubat 2014
Symantec Corp., Linux Worm Targeting Hidden Devices, 27 Kasım 2013
Food and Drug Administration, Cybersecurity for Medical Devices and Hospital Networks: FDA Safety
Communication, Haziran 2013; Food and Drug Administration, FDASIA Health IT Report, Nisan 2014
8. National Highway Traffic Safety Administration, U.S. Department of Transportation Releases Policy on
Automated Vehicle Development, 30 Mayıs 2013
9. National Institute of Standards and Technology, Framework for Improving Critical Infrastructure
Cybersecurity, Şubat 2014
Dijital Teknolojilerin Birleşimi
| 6
Olabilecekleri değerlendirmek - ve şimdi
harekete geçmek
Teknolojilerin birleşmesi süreci hâlihazırda
önemli bir yol kat etmiş durumda bulunuyor.
Ayrıca, bağlantılı cihazlar, tahmin
edilemeyecek şekillerde değişim geçirecek ve
çoğalacak. Cihazlarla birlikte güvenlik riskleri
de aynı değişimi yaşayacak.
Birleşme virajına önde girmek isteyen
organizasyonlar, entegre güvenlik konusunda,
operasyonel teknolojiye, bilgi teknolojisi ve
tüketici teknolojisine özgü güvenlik
hedeflerini barındıran stratejik bir yaklaşım
oluşturmak için hemen harekete geçmeliler.
Bu kapsayıcı yaklaşımın, organizasyona ait
çeşitli iş alanlarında ve birimlerinde paylaşılıp
benimsenmesi gerekiyor. Bugün, IT
departmanları, paydaşlar arasındaki iş
birliğinin teşvik edilmesi açısından en iyi
konumda bulunuyor olabilir. Gelecekte ise,
birimler arası süreçlerin, bilgi kaynaklarının
ve kurum çapında ilişkilerin desteklenmesinde
sorumluluk üstlenen yeni bir liderlik rolü
yaratmak gerekecek.
Birleşme virajına
önde girmek
isteyen
organizasyonlar
hemen harekete
geçmeli
Birleşmenin getirdiği güvenlik sorunlarının
yönetilmesinde, liderlik becerileriyle birlikte
güvenlik istihbaratının paylaşılması ve tehdit
bilincinin geliştirilmesi amaçlı güçlü
işbirliğine ihtiyaç duyulacak. Araştırmamız
şirketlerin yüzde 50’sinin şuanda güvenliği
iyileştirmek üzere diğer şirketlerle iş birliğine
girdiğini gösteriyor. 10 Bu iyi bir başlangıç
fakat dijital ekosistemlerin birleşmesi, hem
şirket içi hem şirket dışı olarak yaygın bir bilgi
paylaşımını gerektirecek.
Entegre bir güvenlik yaklaşımı geliştirmek
için, işletmeler aşağıdaki aşamaları izlemeliler.
1. Potansiyel paydaşları belirleyin: İlk
olarak, tüm birimlerden güvenlik çalışmasına
katılması gereken paydaşları tespit edin. IT ve
bilgi güvenliği birimlerinden temsilcilerin
kesin katılım sağladığı ve iş operasyonları,
tasarım ve mühendislik ekiplerinden de kilit
üyelerin yer aldığı bir yönlendirme komitesi
oluşturarak sürece devam edin.
Hem şirket içinde hem de şirket dışında bilgi
paylaşımında bulunmaya ve iş birliği yapmaya
gösterilen özen çok büyük önem taşıyacak.
2. Zorluğun kapsamını değerlendirin: Risk
altında olabilecek varlıkların kapsamına
yönelik işletme çapında sıkı bir değerlendirme
yapın.
Tüm alanların varlıklarını dikkate almaya
özen gösterin, alanlar arasındaki karşılıklı
paylaşımların haritasını çıkarın ve varlıkların
önemini her bir paydaşın açısından belirleyin.
3. Risk değerlendirmesi yapın: İşletme
çapında varlıklarla ilgili riskleri değerlendirin.
Bu riskleri azaltmak veya ortaya çıkan
etkilerini ortadan kaldırmak amacıyla
çözümler bulun. Daha sonra, mevcut güvenlik
programı uygulamalarındaki boşlukları ve
entegrasyon noktalarını bulun, tüm alanlarda
gerekli kontrolleri ve güvenlik
mekanizmalarını gerçekleştirmek amacıyla
entegre bir plan oluşturun.
4. Sürecin iş üzerindeki etkilerini tespit
edin: Teknoloji birleşmesinin
organizasyonunuzu ne şekilde etkileyeceğini
ortaya koyun ve gelecekteki birleşme süreçleri
sırasında bilgileri ve faaliyetleri güvence altına
almak amacıyla öncelikli hedefleri belirleyin.
5. Güvenliği işinizin bir parçası haline
getirmek için bir plan oluşturun: Mevcut
kontrol ve güvenlik uygulamalarındaki
zayıflıklara odaklanarak, güvenlik çalışmaları
ve girişimlerinin tamamını kapsayan bir yol
haritası çizin.
Birden fazla teknoloji ve platforma
sıçrayabilecek güvenlik vakalarının hızla ele
alınmasında adli bilişim ve müdahale
yetkinliklerinin bulunması çok büyük önem
taşıyacak.
6. Değişimle ilgili riskleri sürekli takip edin
ve ele alın: Organizasyona ilişkin teknoloji ve
faaliyetlerin gelecekteki entegrasyonunu takip
etmek üzere şirket içinde merkezi bir süreç
tasarımı gerçekleştirin ve bu değişikliklerden
doğabilecek riskleri yönetmek için tüm
alanlardaki güvenlik uygulamalarını kapsamlı
şekilde güncelleyin.
Hepsi birden düşünüldüğünde, bu altı aşama
birçok işletme için önemli zorluklar
oluşturacağa benziyor. Bilgi teknolojisi,
operasyonel teknoloji ve tüketici teknolojisinin
birleşmesine yönelik kapsayıcı bir güvenlik
modeli oluşturmak için şimdi harekete geçen
şirketler rakiplerinin önüne geçecekler.
10. PwC, CSO magazine, CIO magazine, The Global State of Information Security® Survey 2014, Eylül 2013
Dijital Teknolojilerin Birleşimi
| 7
www.pwc.com.tr/siberguvenlik
İrtibat Kişileri
Daha fazla bilgi için, bizimle iletişime geçebilirsiniz:
Burak Sadıç
Bilgi Güvenliği ve Siber Güvenlik
Hizmetleri Lideri
[email protected]
Oktay Aktolun
Risk, Süreç ve Teknoloji Hizmetleri,
Şirket Ortağı
[email protected]
Tumin Gültekin
Risk, Süreç ve Teknoloji Hizmetleri,
Şirket Ortağı
[email protected]
Füsun Patoğlu
Risk, Süreç ve Teknoloji Hizmetleri,
Şirket Ortağı
[email protected]
© 2014 PwC Türkiye. Tüm hakları saklıdır. Bu belgede “PwC” ibaresi, her bir üye şirketinin ayrı birer tüzel kişilik olduğu
PricewaterhouseCoopers International Limited’in bir üye şirketi olan PwC Türkiye’yi ifade etmektedir. “PwC Türkiye”, Başaran Nas Bağımsız
Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., Başaran Nas Yeminli Mali Müşavirlik A.Ş. ve PricewaterhouseCoopers Danışmanlık
Hizmetleri Ltd. Şti. ticari unvanları ile Türkiye’de kurulmuş tüzel kişiliklerden oluşan PwC Türkiye organizasyonunu ifade ve temsil etmektedir.
2015-ArşivNo
Download

Dijital Teknolojilerin Birleşimi