in , , ,

“Dönüşürken risk artıyor”

Zeynep İnanoğlu Özdemir, dünyaca ünlü siber güvenlik şirketlerinden Palo Alto Networks’ün CMO’su… İşi gereği onlarca sektörü ve şirketi bu açıdan gözlemliyor. İçinde bulunduğumuz dönemde konunun daha da önemli hale geldiğine, özellikle enerji ve üretim sektörlerinde riskin arttığına dikkat çekiyor. Özdemir, “en büyük risk dijital dönüşüm sırasında ortaya çıkıyor” diyor.

donusurken-risk-artıyor

YAZI: MEHTAP DEMİR

Teknolojiye çok küçük yaşlarda başlayan ilgisi onu 18 yaşında bu alana girmeye itti. Kariyerinin ilk 10 yılında yazılım mühendisi olarak, daha sonra ise doktora yaptığı bilgisayar mühendisliği alanında çalıştı.

Harvard’da elektrik mühendisliği okudu. Ardından 3,5 yıl, ABD’de Microstrategy adlı bir şirkette çalıştı. Sonrasında ise Cambridge Üniversitesi’nde sinyal işleme ve makine öğrenimi üzerine doktora yaptı. Hayatında her zaman analitik sistemlerin, veri işlemenin ve ses teknolojilerinin bir yeri oldu. Bu alanlarda kısa bir süre çalıştıktan sonra esas tutkusu olan siber güvenliğe yöneldi. Palo Alto Networks’ün global CMO’su Zeynep İnanoğlu Özdemir’den bahsediyoruz.

“Sanatçı bir aileden gelmemden dolayı, bulunduğum noktaya şaşıranlar oluyor” diyen İnanoğlu her zaman daha farklı olma, farklı işler yapma isteği olduğunu söylüyor. “Bugün bakınca, insanların aile mesleklerini seçmemesinin çeşitlilik getirdiğine inanıyorum. Ailenin yaptığını yapmaya devam etmek bana sıkıcı geldi. O nedenle çok net oldum ve neden hoşlandığımı bildiğim için bu yolda devam ettim” diye konuşuyor.

PALO ALTO’NUN MİSYONU

Misyonumuz, “Her gün, bir önceki günden daha güvenli olsun”. Şirketlerin, karşılarında kendilerini zorlayan bir saldırgan grubunun olduğunu unutmamaları gerekiyor. Yani, bugünün dünden daha güvenli olması lazım. Hedefimiz, o saldırgan grup geliştikçe, bizim de bir adım önde olmamız, bazı şeyleri öngörebilmemiz ve müşterilerimizi koruyabilmemizdir.

Belli bir yaştan sonra misyonuna inanmadığınız yerlerde çalışmak çok zor. Ben siber güvenliğin önümüzdeki 10 yılda büyük bir misyona sahip olacağına inanıyorum. Bazı kriminal sorunları durdurmak, insanların güvenli bir şekilde dijital dönüşüm sürecinden geçmesini, insanların kendilerine özgüvenli bir şekilde işlerini büyütebilmelerini ve bunun için güvenlik altyapısının doğru olmasını istiyoruz. Kendini gelişmekte gören tüm şirketler için siber güvenlikte partner olarak konumlanmak istiyoruz.

BÜYÜK GÜVENLİK YATIRIMI!

Gartner’a göre, 2021’de siber güvenlik harcamaları 150.4 milyar doları buldu. Bu, global siber güvenlik bütçelerinde yıldan yıla yüzde 12.4 gibi bir büyümeye işaret ediyor. 2020’de büyüme oranı yüzde 6.4 idi. Yani 2021’de büyümenin hızlandığına tanıklık ettik.

En fazla yatırım yapan sektörler olarak “bankacılık, teknoloji ve üretim” öne çıkıyor. Yine Gartner’ın araştırmasına göre, siber güvenlik yatırımları arasında en fazla büyüme bulut güvenliği alanında yaşanıyor. Bunu veri güvenliği, altyapı güvenliği ve kimlik/erişim güvenliği izliyor.

Peki, bir şirket, gelirinin veya dijital ağırlıklı bütçesinin ne kadarını siber güvenliğe ayırmalı? Bu sorunun yanıtı sektöre göre farklılık gösteriyor. Şirketinizin büyüklüğü, hangi alanlarda aktif olduğu, nasıl bir teknolojik altyapıya sahip olduğu bu rakamları belirliyor. O nedenle yüzde vermek zor. Örneğin, “public” bulutta yoğun varsanız ya da her şeyi sadece “on prem” yapıyorsanız onun için gereken güvenlik ile agresif bir dijital dönüşüm yöneten bir şirketin ihtiyaç duyduğu güvenlik arasında çok fark vardır.

HAZIRLIKSIZ ŞİRKETLER ÇOĞUNLUKTA

Siber güvenlik yatırımları artsa da bugün azınlık şirketler dışında kimsenin performansının çok iyi olmadığını görüyoruz. Siber tehditlere hazırlık konusunda, şirketlerin yapısından veya regülasyonlardan dolayı belki bir tık daha hazırlıksız olabilirler diye düşünüyorum.

Türkiye’deki şirketler konusunda çok bilgili değilim, ancak dünya çapında son 12 ay içinde birçok şirketin çok hazırlıksız olduğunu zaten gördük. Bu sektörel olarak da değişiyor. Örneğin, yüksek teknoloji şirketlerinde, finans alanında oyuncuların çok daha donanımlı olduklarını söyleyebilirim. Buna karşın, enerji ve üretim gibi alanlarda farkındalık bile çok oturmadığı için teknoloji tarafının çok daha zayıf olduğunu görüyoruz.

SALDIRIYA EN AÇIKLAR!

Çok yoğun bir dijital dönüşüm sürecinden geçen şirketlerin siber saldırılara daha çok açık olduğu kesin… Şöyle düşünün. Ağlarımız (network’ler) var ve bu ağlar dönüşüyor… Bu bir mimari değişiklik anlamına geliyor. Çünkü çalışanlar dışarıda, uygulamalar dışarıya kayıyor.

Ayrıca buluta koyduğunuz uygulamaların bambaşka bir güvenlik altyapısıyla korunması gerekiyor. Örneğin, tedarik zincirlerinde bulut da çok önemli. Bulutta bir uygulama inşa ederken farklı komponentler kullanılıyor. “Shift left” diye bir akım var. Artık güvenliği sadece uygulamaları kullanırken yapmıyorsun, mühendisler daha uygulamayı kodlarken o güvenlik altyapısını onların düşünmesi gerekiyor. Bulutta bunlara çok dikkat ediyoruz.

Dolayısıyla ağ güvenliği, bulut güvenliği ve otomasyon ve analitik olarak ayırırsak, ana hatlarıyla üç konu var.

O nedenle dönüşüm sürecinde bazı sorulara yanıt aramak gerekiyor. Birinci soru, mevcut ağların bu dönüşüme nasıl güvenli şekilde hazırlanacağıdır. İkincisi, buluta geçiliyorsa, kodlamadan üretime kadar geçen sürede güvenliğin nasıl sağlanacağıdır.

Üçüncüsü ise, tehditler anlamındaki en kritik konudur. Çünkü, o tehditleri engellemek için önce kendi güvenlik açıklarınızı bilmelisiniz. Bazı engellemeler ile durdurmaya çalışabilirsiniz. Ancak bunlar sofistike saldırılar olduğu için, mutlaka içeriye girecektir. Siz o anda en son savunma dediğimiz, Security Operations Center (SOC) konusuna odaklanmalısınız. Yani içeriye girenleri, daha yollarında durdurabilmek için yapacaklarınızı planlamalısınız. Bu noktada makine öğrenimi, yapay zeka ve analitik konuları çok önem kazanıyor.

“HİÇ KİMSEYE GÜVENME”

Şu anda siber güvenlikte çok popüler olan bir konu olarak, “zero trust”, yani hiçbir şeye güvenmeden bir siber güvenlik mimarisi inşa etmek olarak öne çıkıyor. Geçtiğimiz aylarda Beyaz Saray, tüm resmi kurumlara, “Zero trust mimarisini nasıl kurabileceğinize odaklanın” diye bir kararname gönderdi.

“Zero trust”, tüm varlıklara ve varlıklar arasındaki iletişime, hiçbirine güvenmemeyi ifade ediyor. Örneğin, bir kullanıcı binanıza girdiğinde, normalde kendini tarattı ve içeri girdi diye ona güveniyordunuz. Fakat “zero trust”ta o kullanıcıya güvenilmiyor. “Telefona, laptopa ve laptopun telefonla iletişimine güvenmeyeceksin ve hepsini sorgulayacaksın” diyor ve mimariyi bu şekilde konumlandırıyor.

Bulutta çok farklı bir dünya, farklı mimariler var. Bir IT mimarisindeki farklı kurgu biçimlerini, farklı varlıkların birbiriyle olan konuşmasını sorgulamak lazım. Çünkü, o tip davranışları anladığımız zaman, içimize sızmış olan siber tehditleri bir nebze durdurma şansınız oluyor.

RİSKİ YOK ETMEK MÜMKÜN

Her zaman yeni riskler doğacaktır ama bence minimize etmek mümkün. Farklı kademeler söz konusu. Riskleri, daha hiç size gelmesine izin vermeden yok etmelisiniz. Ev gibi düşünürsek, bir evin her yerinde delikler varsa hırsız o deliklerden içeriye girer. Önce delikleri kapatmalısınız. İçeriye istediğiniz alarm sistemini kursanız da, ilk adım delikleri kapatmak. Yani kırılganlıkları, güvenlik açıklarını, “fizibilite”yi belirlemek.

Delikleri kapattıktan sonra, ikinci adımda, hırsız hâlâ içeriye girebilir, kapıyı zorlar. Ben de kapıyı kapatır, onu içeriye sokmam, yani engellerim.

Üçüncüsü de, hırsız kapınızı çalıyor, farklı bir kılıkta içeriye girmeye çalışıyor. Siz de içeriye alıyorsunuz. O adamın anormal davranışlarından, güvenli ve sağlam olmayan bir insan olduğunu anlayıp polisi çağırmanızı ne sağlar? Sofistike olan ve içeriye sızabilen insanların, bu tuhaf hareketlerinden bir an önce bir şeyleri fark edip onları tekrar dışarıya atma noktasına nasıl gelebilirsiniz? Bunlar önemli.

SİBER GÜVENLİKTE KRİTİK RAKAMLAR

  • 150.4 MİLYAR DOLAR: Gartner’ın araştırmasına göre, 2021 sonunda siber güvenlik harcamalarının 150.4 milyar doları bulması bekleniyor.
  • %7: Ernst & Young’ın araştırmasına göre şirketlerin sadece yüzde 7’si siber güvenliği yapıcı bir iş gerekliliği olarak görüyor.
  • %26: E&Y’ın araştırması, siber güvenlik harcamalarının önemli bölümünün güvenlik operasyon merkezi tarafından yapıldığını gösteriyor. Ancak bu tip merkezler, son 12 aydaki ihlallerin sadece yüzde 26’sını durdurabildi.
  • 70 MİLYON DOLAR: 2015 ve 2019 arası talep edilen en büyük fidye 15 milyon dolar iken, 2020’de 30 milyon dolar, 2021’de ise 70 milyon dolar oldu.

“YENİ TEKNOLOJİMİZ SALDIRGANI 1-2 DAKİKADA DIŞARI ATIYOR”

  1. XDR TEKNOLOJİSİ Palo Alto uzmanları, yakın gelecek için birtakım kritik konular üzerinde çalışıyor. Son 1,5 yılda XDR denilen bir teknoloji yarattık. Bir anlamda bu CMO olmamın ana sebeplerinden biridir. Bu sayede tüm sektöre yeni bir hikaye anlatmaya başladık. Bu hikaye şuydu: Her yerden, tüm altyapınızdan verileri tek bir yerde toplayacaksınız ve analitik ve yapay zeka konusunda birtakım modeller kuracağız. Bunlarla, içinize sızan tehditlerin, içinizde en azından 1-2 dakikadan fazla kalmamasını sağlayacağız.
  2. YENİ KATEGORİ Pazarlamada kategori yaratmak hep konuşulur. Bu ürünü biz 2019’da çıkardık. Şu anda bu ürün kategorisinde 25-26 tane farklı ürün var. Gartner gibi şirketler, bu kategoriyi resmi bir kategori olarak tanımladı.
  3. YÜZDE 80’İ ÇÖZÜLEBİLİR Örneğin, SolarWinds saldırısında XDR kullanan müşterilerimiz ve biz hiç etkilenmedik. Bunun gelişimi ve evrilmesi, güvenliğin yeni çağı olacak. Veri toplama, veriyi birleştirme ve birleşen veriden çıkarılan sonuçlar, birleşen veride siber tehditleri makinelerin gözlemlemesi ve sizin önünüze getirmesi olayı, problemin yüzde 80’ini çözecek.

LİDERLERİN EN BÜYÜK HATASI

  1. BAKIŞ DEĞİŞMELİ Ernst & Young’ın araştırmasına göre şirketlerin sadece yüzde 7’si siber güvenliği yapıcı bir iş gerekliliği olarak görüyor. Daha ziyade “denetimlerle başa çıkmanın bir yolu” veya “risk almayı engelleyici” olarak tanımlıyorlar. Bu perspektifin değişmesi çok önemli.
  2. MASRAF DEĞİL Lider kademesinde de benim gözlemlediğim en büyük zafiyet, siber güvenliğe bir masraf gibi yaklaşılması. Buradan çıkmamız lazım. Bu bir zarar, bir itibar kontrolüdür. Bir şirketin durduk yere, zararlı bir fidye yazılımına onlarca milyon dolar vermesini engellemek mümkün. Sadece zamanında o yatırımı yapmak gerek.
  3. PROAKTİF OLMALI Dikkat edilecek tek konu, reaktif değil, proaktif olmak. Bunu bir masraf kalemi olarak görmekten ziyade bir gereksinim olduğunu görmek çok önemli. O noktadan sonra ise bir yol haritası çizip yapmanız gerekenleri belirlemelisiniz.

Yazar: Mehtap Demir

Fast Company Türkiye Yazı İşleri Müdürü

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

yapılacaklar-yapılmayacaklar

Yapılacaklar ve yapılmayacaklar

ANADOLU’NUN ÇİÇEKLERİ ZEYNEP ÖZTÜRK’ÜN MOTİFLERİNDE HAYAT BULUYOR