ݺߣ

ݺߣShare a Scribd company logo

Siber Güvenlik: Büyük Riskler Sessiz Tehditler

K
Koryak Uzan

Tıbbın Ustaları dergisinde yayınlanan Büyük Riskler Sessiz Tehditler başlıklı siber güvenlik farkındalığı makalem.

1 of 6
Download to read offline
BÜYÜKRSKLER SESSZTEHDTLERSESSZTEHDTLER
KoryakUZAN INVICTUS A.Ş. Yönet c Ortağı koryak.uzan@ nv ctuseurope.com
Tek cümle le açıklayacak olursak, s ber güvenl ğ “k ş ve kurumların yürüt- mekte olduğu faal yetler ve b lg varlıklarını, d j tal ortamlardan geleb lecek tehl kelere karşı korumalarıdır” şekl nde özetlemem z mümkün. Pek çok k ş pekâlâ bu tanımı yapab lecek durumda olmasına karşın “d j tal dünyadan ge- leb lecek tehl keler” fades ne yazık k halen anlaşılamıyor. Günümüzde, ne- redeyse tüm operasyonumuz d j talleşm ş olmasına karşın yüzleşeb leceğ - m z r skler n boyutu halen gözardı ed l yor. Sırtını sorgulamaksızın bu alanda oluşturulan (Ancak günümüz tehd t ve metotlarının oldukça ger s nde kalan) uluslararası b lg güvenl ğ standartlarına dayayan kurumlar aslında almakta oldukları r sk n halen farkına varamıyor. S ber güvenl k özell kle son yılların en popüler konuları arasında yer alıyor. Bu popülerl k öneml b r farkındalık yaratıyor olsa da, herkes n aklında c dd b r b lg k rl l ğ olduğunu söylemeden geçemey z. Sık sık, kamu ve özel sektörün yaşadığı s ber saldırılar, farklı ülke ve gruplarca desteklenen s ber olaylar veya devletler arasında süregelen s ber savaşlar g b konular kulağımıza çalınıyor olsa da, halen b rçok nsan bu yoğun b lg bombardımanı net ces nde “ney n ne olduğunu” gerçek anlamıyla kavramakta zorluk çek yor. Bu noktada s ber güvenl k le lg l temel kavramların anlaşılması ve farklı sektörler n ne tür teh- d tler le yüzleşeb leceğ n n anlaşılması özell kle farmasöt kal çözümler gel ş- t ren herkes yakından lg lend r yor.
YAZ TIBBIN USTALARI 157 Ney Korumak İst yoruz? Öncel kle tek b r hususun bu noktada anlaşılması çok öneml . S ber r skler yalnızca barındırdığımız b lg ler de- ğ l, sürdüregeld ğ m z tüm faal yetler lg lend r yor. Bu alanda kr t k altyapılar ç n çözüm sağlayıcı olarak fa- al yet gösteren b zler n her şeyden önce sorduğu soru en öneml etken olarak öne çıkıyor: “Ney korumamız gerek yor?” Halen pek çok k ş ve ku- rum s ber güvenl ğ yalnızca web s tes le l şk lend r - yor. Oysa, tüm operasyonu- muz farklı d j tal çözümler tarafından yönet l yor. Üs- tüne-üstlük, dayandığımız tüm bu s stemler n kurum dışına (Internete) er ş mler bulunuyor. IP kameraların- dan telekonferans s stemler ne, g r ş/çıkış turn keler n- den veya yüz tanıma s stemler nden kurum ç proje yönet m yazılımımıza kadar b r çok şey doğrudan dış dünyaya açık veya dış dünyaya açık olan s stemler le l şk lend r lm ş ken, s ber güvenl k r skler n n değer- lend r lmes nde yok sayılıyor. Tümbus stemler ngü- vende olduğu ve güvenl şek lde yapılandırıldığı “farz ed l yor” ve bu s stemler n n üret c ler n n b lg güvenl ğ nden de y anladığı farz ed l yor. Ancak gerçek, bu varsayımlardan çok daha farklı. Bunu düşünmek; b r doktorun müth ş b r yakın dö- vüş uzmanı veya asker olduğunu varsaymaya benz yor. D ğer yandan, b r s stem kuran ve gel şt ren le o s stem- de zaf yet arayan k ş ler n çok farklı perspekt flere sah p olduğunu özell kle bel rtmem z gerek yor. Zaten tam da bu sebeple, dünyada yüz b nlerce IT f rması bulunur ken ş n gereğ nce yapan s ber güvenl k f rması sayısı 1000’ geçm yor. Farklı sektörler nasıl mücadele ed yor? Farklı alan- larda h zmet eden sektörler n b rb r nden farklı güven- l k ht yaç ve öncel klend rmeler söz konusu. Örneğ n b r e-t caret f rması veya b r havayolu ş rket sürekl “er ş leb l r” olması ç n alması gereken önlemlere yatı- rım yapar ken; b r ar-ge laboratuvarı ver ler n n çalınma r sk ne karşı alması gereken önlemlere daha fazla kay- nak ayırıyor. Bankalar g b hem er ş leb l r olması, hem de barındırdığı ver n n güvenl ğ n ön planda tutması gereken yapıların se s ber güvenl k yatırımları d ğer tüm sektörler n ötes nde. Örneğ n, ortağı olduğum ku- rum havacılık, b yomed kal, enerj , telekomün kasyon, ödeme s stemler g b 7 farklı kr t k endüstr ye h zmet ver yor olsa da, yoğunluğumuzun %50’den fazlası 15 bankacılık kurumu le f nans sektöründen gel yor. Sağlık sektörünün s ber güvenl k olgunluğu: Sağ- lık sektörünün gerek farkındalık, gerekse mücadele konusunda olması gereken olgunluğun çok ger s n- de olduğunu söylemek yanlış olmayacaktır. Pek tab ; bu konuda söz gel m b r sağlık kurumu, b yomed kal f rması veya laç ş rket n n faal yet gösterd ğ ülken n son derece öneml b r etken olduğunu söylemel y z. Bu konuda İng ltere, Amer ka ve İsv çre’n n farklı faal - yet türler ç n şart koştuğu farklı düzenlemeler var. Bu şartlar, beraber nde öneml b r farkındalık ve güvenl k okur yazarlığı get r yor. D ğer yandan, sağlık sektörü ve bağlı bulunduğu farklı sektörlerden dünya devler ne ev sah pl ğ yapan b r çok ülke halen s ber güvenl ğe b r “araç muayenes ” gözüyle bakıyor. “Geçer not bulunan raporumuzu alalım, dosyamıza koyalım, b ts n-g ts n” şekl nde örnekleyeb leceğ m z bu yaklaşım her geçen gün farklı kurumlara m lyonlarca dolar zarar ett rse de zararlar sümen-altı ed lmeye devam ed yor. F nans sektörü; am r standartların b rer “asgar ” ge- reks n m olduğunu anlamış ve devamlı daha karmaşık atak senaryolarına karşı farklı test ve h zmetler alıyor ken sağlık g b son derece öneml ver ler n şlend ğ b r sektörün bu olgunluktan uzak olması şaşkınlık ver c b r durum. Bu noktada, sürdürülen mücadelen n bambaş- ka b r savunma parad gması olduğunun, s ber güvenl k
r sk n n, b r dolandırıcılık r sk , personel ver ml l ğ r sk veya loj st k kayıpları r sk g b alışılagelm ş “ ç/dış dene- t m”mantığı ledüşürülemeyeceğ n nkes nolarak drak ed lmes salık ver l yor. Dolayısı le, özell kle sağlık endüstr s ndek k ş ve kurumların artık sırtlarını temeldüzenlemelere,asıluzmanlıkalanıs bergü- venl kolmayandenetç raporlarına,ISO27001,ISO 27799 g b ver emn yet (güvenl ğ değ l!) stan- dartlarına değ l gerçek anlamda “tekn k” know- how sah b çözümlere dayaması gerek yor. S ber saldırganların dünyası: Öncel kle nasıl IT yö- net c l ğ , r sk yönet c l ğ ya da güvenl k uzmanlığı b r meslek ve kazanç kapısı se, s ber yer altında “hacker”- lığın da b r meslek olduğunu b lmel y z. B zlere gerek medya, gerekse Hollywood tarafından portre ed len asosyal, ev n n bodrum katında yaşayan, yalnız ve “kay- betm ş” b lg sayar korsanı prof l h çb r şek lde gerçeğ yansıtmıyor. Öyle k ; s ber dünyanın yer altında bam- başka b r “karanlık pazar" söz konusu. Sırf ego ç n b lg s stemler ne g r p zaf yet arayan, zarar veren veya b lg kaçıran k ş ler olduğu g b bunu b r kazanç kapısı hal ne get renler de var k bu k ş ler henüz y rm l yaşlarında m lyonlarca dolarlık servetler kontrol ed yorlar. Üstel k sayıları, yüzler ve hatta b n- ler le ölçülüyor. K m ler farklı f nans grupları, k m ler farklı örgütler, devletler veya bas t şek lde “rak pler” ta- rafından desteklenen bu k mseler n b lg düzey sanıla- nın çok ötes nde. B rçoğu kr t k altyapının b r güvenl k önlem olarak kurup bıraktığı güvenl k duvarlarını, An- t V rus yazılımlarını gözler kapalı baypas edeb len bu k ş ler, benzer ne az rastlanır saldırı senaryoları tasarla- yarak uygulayab l yor. Üstel k bahsedegeld ğ m z bu s ber yeraltında her- hang b r et k çek nce de söz konusu değ l. Örneğ n b r laç f rması, rak b n n gel şt rmekte olduğu lacın FDA onayı ç n gerçekleşt rd ğ süreçlere l şk n raporları ele geç rtmek üzere m lyonlarca dolar harcayarak bu k ş le- r n h zmetler nden faydalanab l yor. Veya bas t şek lde b r sağlık kuruluşu, rak b n n rezervasyon ve hasta b lg portalının uzun b r sürel ğ ne er ş lmez hale gelmes n sağlayab l yor ya da çok daha kötüsü, “akıllı” hastaneler- dek “akıllı” odaların aklını karıştırarak hastanede nf al ortaya koyab l yor. Esp yonaj, sabotaj ve daha n celer . Endüstr yel es- p yonaj veya sabotaj g b farklı tehd t türler nden bah- setm ş ken b r de tehd tler n kaynağına l şk n akıl yü- rütmekte fayda var. Örneğ n b zler, b r kurumun s ber güvenl k sev yes n gerçekç saldırı s mülasyonları ve tatb katları le test ett ğ m z durumlarda “ ç tehd tler” ve “dış tehd tler” olmak üzere k farklı başlıkta değerlend - r yoruz. Aslen “penetrasyon test ” veya “sızma test ” ded ğ - m z bu h zmetler n “ ç sızma test ” ded ğ m z fazında; b r ş rket çalışanının b lg sayarından veya ş rket ağına hal hazırda bağlı bulunan b r aygıttan hareketle kuru- munuzda nelere er ş leb l r, neler dışarı çıkab l r, nasıl casusluk senaryoları devreye sokulab l r veya steme- den, ne tür saldırganların çer ye yerleşmes n n yolu açı- lab l r g b vaka örnekler üzer nden g d l r. Bu noktada ş rket çer s ndek y ve kötü n yetl k mseler sebeb yle oluşab lecek r skler n neler olduğu anlaşılab l r. D ğer yandan, organ ze hacker gruplarının dünyanın ötek ucundan ağınıza sızdığı senaryoların r sk , tesp t ve önlenmes hedef yle gerçekleşt rd ğ m z dış sızma testler nde karşılaştığımız hmal ve know-how eks kl k- ler b zler hayrete düşürüyor. Ne yazık k halen, b lg gü- venl ğ “endüstr s n n” altın standart kabul ett ğ , ancak hacker’lar arasında kom k ölçüde kolay baypaslanab len metotlar le karşı karşıya kalıyor, çok kısa b r süre çer - s nde test ett ğ m z yapının ana sunucularında yetk s z şek lde tam yönet c yetk s ne yükseleb l yoruz. Pek tab tüm bunları b r s mülasyon olarak koord nel b - ç mde yürütüyor, tüm zaf yetler raporluyoruz. Bunun ötes nde çoğu zaman, test ett ğ m z s stemlerde, b zden önce aynı s steme sızmış kötü n yetl k ş ler n zler n ve arka kapılarını yakalayab l yoruz. Ters ne mühend sl k: Son yıllarda gözlemled ğ m z “nesneler n nternet ” akımından belk de en çok fay- dalanan endüstr lerden b r n n de b yomed kal sektörü olduğunu söyleyeb l r z. Neyse k , özell kle ürett ğ çö- zümler n k ş ler n hayatında doğrudan yer aldığı yen - l kç c haz ve çözümler n üret c ler mümkün olan tüm r skler n el m ne ed lmes konusunda hassas davranı- yor. Özell kle hastanın f z k durumunun (şeker, nabız, kalp sağlığı metr kler vb.) doğrudan nternet bağlantısı le merkez b r yapıya beslend ğ geleceğ n hasta tak p çözümler ne değ nmek gerek yor. Bu noktada b r çok ürün, İsv çre veya Türk ye of s m zde “ters ne mühen- d sl k” testler ne tab tutuluyor. Her ne kadar güvenl k araştırmacısı olan b zler n alanından uzak g b görünse de, bu tür çözümler n yolu doğrudan b zlerden geç yor. Z ra yaptığımız testlerde bu ürünler n okuduğu, gönder- d ğ ve aldığı ver ler n saldırganlarca değ şt r leb leceğ b r çok zaf yet tesp t ed lerek, ürün henüz gel şt rme aşamasında ken ortadan kaldırmak mümkün olab l - yor. Neler yapmalı? Özell kle s ber güvenl k önlemler ve prosedürler açısından en başarılı kurumların, üst yö-
net c ler n bu konu le çok daha ç- çe olduğu kurumlar olduğunu söylemek kes nl kle doğrudur. S ber saldırı, endüstr yel esp yonaj, d j tal sabotaj g b öğeler b rer b - l mkurgu senaryosu değ l, tüm kr t k altyapıların sık sık yüzleşt ğ b rer kötü tecrübe olmaya devam ed yor. Artık; hasta b lg ler ver tabanlarının satışa çıkarıla- b ld ğ , randevu s stemler n n er ş lmez hale get r leb l- d ğ , tetk k ve muayene kayıtlarının s l neb ld ğ , laç formüller n n çalınab ld ğ , p yasaların d j tal mecralar sayes nde man püle ed leb ld ğ yepyen b r dünyada yaşıyoruz. Bu dünyada sess z, görmed ğ m z ve sayısı yüzb nler aşan ler -düzey karşıt grup le mücadele et- mek ç n artık bu dünyanın ç nden gelen k ş ler le, bu yen dünyaya uygun çözümler üzer nde çalışmak gere- k yor. S ber güvenl ğ n, şaret konulup geç lmes gereken b r d ğer prosedürel zorunluluk değ l, anlık olarak mü- dahale ve tak p gerekt ren, y anlamak ve sürekl ken- d m z güncellemek le yükümlü olduğumuz b r konu başlığı olduğu asla unutulmamalı. Ne yazık k bu konu, güvenl k ürünler koyup, takıp çalıştırarak önüne geçe- b leceğ m z b r r sk değ l. Öyle k , kullandığımız güven- l k ürünler n n, b zler korumaktan öte, ağımıza açılan b r arka kapı olab leceğ ne l şk n onlarca makale ve kav- ram-kanıtlama yazısını b zzat b zler yayımladık. İlaç, tıp veya b yomed kal dah l, ancak bunlar le sınır- lı olmamak üzere sağlık sektörünün bu yarışta kapatması gereken açık düşündüğünden de fazla. Buradak en bü- yük yardımcıları se, perspekt f ve know-how sah b “tek- n k” uzmanlar. Öngörülemez hasarlara uğramamak adına kr t k ver şleyen tüm kurumların, kend ler n , gerçek s - ber dünyaya uygun senaryolar le test ett rmes , bunun yanında kurum genel ndek s ber güvenl k farkındalığını öneml ölçüde arttırması b r nc l öncel kler olarak kar- şımıza çıkıyor. Tak ben bu testler n raporlarındak tüm zaf yetler n g der lmes (k ş md ye kadar “Kr t k” zaf yet barındırmayan h çb r sağlık altyapısı le karşılaşmadık) ve her türlü d j tal yapılandırma ve gel şt rme sürec ne güvenl ğ n dah l ed lmes gerek yor. Tüm bunların daha kolay b r yolu ne yazık k mevcut değ l. Ve saldırganın onlarca denemes nden yalnızca b r nde başarılı olması, amacına ulaşması ç n yeterl olab l yor.

More Related Content

Siber Güvenlik: Büyük Riskler Sessiz Tehditler

  • 2. KoryakUZAN INVICTUS A.Ş. Yönet c Ortağı koryak.uzan@ nv ctuseurope.com
  • 3. Tek cümle le açıklayacak olursak, s ber güvenl ğ “k ş ve kurumların yürüt- mekte olduğu faal yetler ve b lg varlıklarını, d j tal ortamlardan geleb lecek tehl kelere karşı korumalarıdır” şekl nde özetlemem z mümkün. Pek çok k ş pekâlâ bu tanımı yapab lecek durumda olmasına karşın “d j tal dünyadan ge- leb lecek tehl keler” fades ne yazık k halen anlaşılamıyor. Günümüzde, ne- redeyse tüm operasyonumuz d j talleşm ş olmasına karşın yüzleşeb leceğ - m z r skler n boyutu halen gözardı ed l yor. Sırtını sorgulamaksızın bu alanda oluşturulan (Ancak günümüz tehd t ve metotlarının oldukça ger s nde kalan) uluslararası b lg güvenl ğ standartlarına dayayan kurumlar aslında almakta oldukları r sk n halen farkına varamıyor. S ber güvenl k özell kle son yılların en popüler konuları arasında yer alıyor. Bu popülerl k öneml b r farkındalık yaratıyor olsa da, herkes n aklında c dd b r b lg k rl l ğ olduğunu söylemeden geçemey z. Sık sık, kamu ve özel sektörün yaşadığı s ber saldırılar, farklı ülke ve gruplarca desteklenen s ber olaylar veya devletler arasında süregelen s ber savaşlar g b konular kulağımıza çalınıyor olsa da, halen b rçok nsan bu yoğun b lg bombardımanı net ces nde “ney n ne olduğunu” gerçek anlamıyla kavramakta zorluk çek yor. Bu noktada s ber güvenl k le lg l temel kavramların anlaşılması ve farklı sektörler n ne tür teh- d tler le yüzleşeb leceğ n n anlaşılması özell kle farmasöt kal çözümler gel ş- t ren herkes yakından lg lend r yor.
  • 4. YAZ TIBBIN USTALARI 157 Ney Korumak İst yoruz? Öncel kle tek b r hususun bu noktada anlaşılması çok öneml . S ber r skler yalnızca barındırdığımız b lg ler de- ğ l, sürdüregeld ğ m z tüm faal yetler lg lend r yor. Bu alanda kr t k altyapılar ç n çözüm sağlayıcı olarak fa- al yet gösteren b zler n her şeyden önce sorduğu soru en öneml etken olarak öne çıkıyor: “Ney korumamız gerek yor?” Halen pek çok k ş ve ku- rum s ber güvenl ğ yalnızca web s tes le l şk lend r - yor. Oysa, tüm operasyonu- muz farklı d j tal çözümler tarafından yönet l yor. Üs- tüne-üstlük, dayandığımız tüm bu s stemler n kurum dışına (Internete) er ş mler bulunuyor. IP kameraların- dan telekonferans s stemler ne, g r ş/çıkış turn keler n- den veya yüz tanıma s stemler nden kurum ç proje yönet m yazılımımıza kadar b r çok şey doğrudan dış dünyaya açık veya dış dünyaya açık olan s stemler le l şk lend r lm ş ken, s ber güvenl k r skler n n değer- lend r lmes nde yok sayılıyor. Tümbus stemler ngü- vende olduğu ve güvenl şek lde yapılandırıldığı “farz ed l yor” ve bu s stemler n n üret c ler n n b lg güvenl ğ nden de y anladığı farz ed l yor. Ancak gerçek, bu varsayımlardan çok daha farklı. Bunu düşünmek; b r doktorun müth ş b r yakın dö- vüş uzmanı veya asker olduğunu varsaymaya benz yor. D ğer yandan, b r s stem kuran ve gel şt ren le o s stem- de zaf yet arayan k ş ler n çok farklı perspekt flere sah p olduğunu özell kle bel rtmem z gerek yor. Zaten tam da bu sebeple, dünyada yüz b nlerce IT f rması bulunur ken ş n gereğ nce yapan s ber güvenl k f rması sayısı 1000’ geçm yor. Farklı sektörler nasıl mücadele ed yor? Farklı alan- larda h zmet eden sektörler n b rb r nden farklı güven- l k ht yaç ve öncel klend rmeler söz konusu. Örneğ n b r e-t caret f rması veya b r havayolu ş rket sürekl “er ş leb l r” olması ç n alması gereken önlemlere yatı- rım yapar ken; b r ar-ge laboratuvarı ver ler n n çalınma r sk ne karşı alması gereken önlemlere daha fazla kay- nak ayırıyor. Bankalar g b hem er ş leb l r olması, hem de barındırdığı ver n n güvenl ğ n ön planda tutması gereken yapıların se s ber güvenl k yatırımları d ğer tüm sektörler n ötes nde. Örneğ n, ortağı olduğum ku- rum havacılık, b yomed kal, enerj , telekomün kasyon, ödeme s stemler g b 7 farklı kr t k endüstr ye h zmet ver yor olsa da, yoğunluğumuzun %50’den fazlası 15 bankacılık kurumu le f nans sektöründen gel yor. Sağlık sektörünün s ber güvenl k olgunluğu: Sağ- lık sektörünün gerek farkındalık, gerekse mücadele konusunda olması gereken olgunluğun çok ger s n- de olduğunu söylemek yanlış olmayacaktır. Pek tab ; bu konuda söz gel m b r sağlık kurumu, b yomed kal f rması veya laç ş rket n n faal yet gösterd ğ ülken n son derece öneml b r etken olduğunu söylemel y z. Bu konuda İng ltere, Amer ka ve İsv çre’n n farklı faal - yet türler ç n şart koştuğu farklı düzenlemeler var. Bu şartlar, beraber nde öneml b r farkındalık ve güvenl k okur yazarlığı get r yor. D ğer yandan, sağlık sektörü ve bağlı bulunduğu farklı sektörlerden dünya devler ne ev sah pl ğ yapan b r çok ülke halen s ber güvenl ğe b r “araç muayenes ” gözüyle bakıyor. “Geçer not bulunan raporumuzu alalım, dosyamıza koyalım, b ts n-g ts n” şekl nde örnekleyeb leceğ m z bu yaklaşım her geçen gün farklı kurumlara m lyonlarca dolar zarar ett rse de zararlar sümen-altı ed lmeye devam ed yor. F nans sektörü; am r standartların b rer “asgar ” ge- reks n m olduğunu anlamış ve devamlı daha karmaşık atak senaryolarına karşı farklı test ve h zmetler alıyor ken sağlık g b son derece öneml ver ler n şlend ğ b r sektörün bu olgunluktan uzak olması şaşkınlık ver c b r durum. Bu noktada, sürdürülen mücadelen n bambaş- ka b r savunma parad gması olduğunun, s ber güvenl k
  • 5. r sk n n, b r dolandırıcılık r sk , personel ver ml l ğ r sk veya loj st k kayıpları r sk g b alışılagelm ş “ ç/dış dene- t m”mantığı ledüşürülemeyeceğ n nkes nolarak drak ed lmes salık ver l yor. Dolayısı le, özell kle sağlık endüstr s ndek k ş ve kurumların artık sırtlarını temeldüzenlemelere,asıluzmanlıkalanıs bergü- venl kolmayandenetç raporlarına,ISO27001,ISO 27799 g b ver emn yet (güvenl ğ değ l!) stan- dartlarına değ l gerçek anlamda “tekn k” know- how sah b çözümlere dayaması gerek yor. S ber saldırganların dünyası: Öncel kle nasıl IT yö- net c l ğ , r sk yönet c l ğ ya da güvenl k uzmanlığı b r meslek ve kazanç kapısı se, s ber yer altında “hacker”- lığın da b r meslek olduğunu b lmel y z. B zlere gerek medya, gerekse Hollywood tarafından portre ed len asosyal, ev n n bodrum katında yaşayan, yalnız ve “kay- betm ş” b lg sayar korsanı prof l h çb r şek lde gerçeğ yansıtmıyor. Öyle k ; s ber dünyanın yer altında bam- başka b r “karanlık pazar" söz konusu. Sırf ego ç n b lg s stemler ne g r p zaf yet arayan, zarar veren veya b lg kaçıran k ş ler olduğu g b bunu b r kazanç kapısı hal ne get renler de var k bu k ş ler henüz y rm l yaşlarında m lyonlarca dolarlık servetler kontrol ed yorlar. Üstel k sayıları, yüzler ve hatta b n- ler le ölçülüyor. K m ler farklı f nans grupları, k m ler farklı örgütler, devletler veya bas t şek lde “rak pler” ta- rafından desteklenen bu k mseler n b lg düzey sanıla- nın çok ötes nde. B rçoğu kr t k altyapının b r güvenl k önlem olarak kurup bıraktığı güvenl k duvarlarını, An- t V rus yazılımlarını gözler kapalı baypas edeb len bu k ş ler, benzer ne az rastlanır saldırı senaryoları tasarla- yarak uygulayab l yor. Üstel k bahsedegeld ğ m z bu s ber yeraltında her- hang b r et k çek nce de söz konusu değ l. Örneğ n b r laç f rması, rak b n n gel şt rmekte olduğu lacın FDA onayı ç n gerçekleşt rd ğ süreçlere l şk n raporları ele geç rtmek üzere m lyonlarca dolar harcayarak bu k ş le- r n h zmetler nden faydalanab l yor. Veya bas t şek lde b r sağlık kuruluşu, rak b n n rezervasyon ve hasta b lg portalının uzun b r sürel ğ ne er ş lmez hale gelmes n sağlayab l yor ya da çok daha kötüsü, “akıllı” hastaneler- dek “akıllı” odaların aklını karıştırarak hastanede nf al ortaya koyab l yor. Esp yonaj, sabotaj ve daha n celer . Endüstr yel es- p yonaj veya sabotaj g b farklı tehd t türler nden bah- setm ş ken b r de tehd tler n kaynağına l şk n akıl yü- rütmekte fayda var. Örneğ n b zler, b r kurumun s ber güvenl k sev yes n gerçekç saldırı s mülasyonları ve tatb katları le test ett ğ m z durumlarda “ ç tehd tler” ve “dış tehd tler” olmak üzere k farklı başlıkta değerlend - r yoruz. Aslen “penetrasyon test ” veya “sızma test ” ded ğ - m z bu h zmetler n “ ç sızma test ” ded ğ m z fazında; b r ş rket çalışanının b lg sayarından veya ş rket ağına hal hazırda bağlı bulunan b r aygıttan hareketle kuru- munuzda nelere er ş leb l r, neler dışarı çıkab l r, nasıl casusluk senaryoları devreye sokulab l r veya steme- den, ne tür saldırganların çer ye yerleşmes n n yolu açı- lab l r g b vaka örnekler üzer nden g d l r. Bu noktada ş rket çer s ndek y ve kötü n yetl k mseler sebeb yle oluşab lecek r skler n neler olduğu anlaşılab l r. D ğer yandan, organ ze hacker gruplarının dünyanın ötek ucundan ağınıza sızdığı senaryoların r sk , tesp t ve önlenmes hedef yle gerçekleşt rd ğ m z dış sızma testler nde karşılaştığımız hmal ve know-how eks kl k- ler b zler hayrete düşürüyor. Ne yazık k halen, b lg gü- venl ğ “endüstr s n n” altın standart kabul ett ğ , ancak hacker’lar arasında kom k ölçüde kolay baypaslanab len metotlar le karşı karşıya kalıyor, çok kısa b r süre çer - s nde test ett ğ m z yapının ana sunucularında yetk s z şek lde tam yönet c yetk s ne yükseleb l yoruz. Pek tab tüm bunları b r s mülasyon olarak koord nel b - ç mde yürütüyor, tüm zaf yetler raporluyoruz. Bunun ötes nde çoğu zaman, test ett ğ m z s stemlerde, b zden önce aynı s steme sızmış kötü n yetl k ş ler n zler n ve arka kapılarını yakalayab l yoruz. Ters ne mühend sl k: Son yıllarda gözlemled ğ m z “nesneler n nternet ” akımından belk de en çok fay- dalanan endüstr lerden b r n n de b yomed kal sektörü olduğunu söyleyeb l r z. Neyse k , özell kle ürett ğ çö- zümler n k ş ler n hayatında doğrudan yer aldığı yen - l kç c haz ve çözümler n üret c ler mümkün olan tüm r skler n el m ne ed lmes konusunda hassas davranı- yor. Özell kle hastanın f z k durumunun (şeker, nabız, kalp sağlığı metr kler vb.) doğrudan nternet bağlantısı le merkez b r yapıya beslend ğ geleceğ n hasta tak p çözümler ne değ nmek gerek yor. Bu noktada b r çok ürün, İsv çre veya Türk ye of s m zde “ters ne mühen- d sl k” testler ne tab tutuluyor. Her ne kadar güvenl k araştırmacısı olan b zler n alanından uzak g b görünse de, bu tür çözümler n yolu doğrudan b zlerden geç yor. Z ra yaptığımız testlerde bu ürünler n okuduğu, gönder- d ğ ve aldığı ver ler n saldırganlarca değ şt r leb leceğ b r çok zaf yet tesp t ed lerek, ürün henüz gel şt rme aşamasında ken ortadan kaldırmak mümkün olab l - yor. Neler yapmalı? Özell kle s ber güvenl k önlemler ve prosedürler açısından en başarılı kurumların, üst yö-
  • 6. net c ler n bu konu le çok daha ç- çe olduğu kurumlar olduğunu söylemek kes nl kle doğrudur. S ber saldırı, endüstr yel esp yonaj, d j tal sabotaj g b öğeler b rer b - l mkurgu senaryosu değ l, tüm kr t k altyapıların sık sık yüzleşt ğ b rer kötü tecrübe olmaya devam ed yor. Artık; hasta b lg ler ver tabanlarının satışa çıkarıla- b ld ğ , randevu s stemler n n er ş lmez hale get r leb l- d ğ , tetk k ve muayene kayıtlarının s l neb ld ğ , laç formüller n n çalınab ld ğ , p yasaların d j tal mecralar sayes nde man püle ed leb ld ğ yepyen b r dünyada yaşıyoruz. Bu dünyada sess z, görmed ğ m z ve sayısı yüzb nler aşan ler -düzey karşıt grup le mücadele et- mek ç n artık bu dünyanın ç nden gelen k ş ler le, bu yen dünyaya uygun çözümler üzer nde çalışmak gere- k yor. S ber güvenl ğ n, şaret konulup geç lmes gereken b r d ğer prosedürel zorunluluk değ l, anlık olarak mü- dahale ve tak p gerekt ren, y anlamak ve sürekl ken- d m z güncellemek le yükümlü olduğumuz b r konu başlığı olduğu asla unutulmamalı. Ne yazık k bu konu, güvenl k ürünler koyup, takıp çalıştırarak önüne geçe- b leceğ m z b r r sk değ l. Öyle k , kullandığımız güven- l k ürünler n n, b zler korumaktan öte, ağımıza açılan b r arka kapı olab leceğ ne l şk n onlarca makale ve kav- ram-kanıtlama yazısını b zzat b zler yayımladık. İlaç, tıp veya b yomed kal dah l, ancak bunlar le sınır- lı olmamak üzere sağlık sektörünün bu yarışta kapatması gereken açık düşündüğünden de fazla. Buradak en bü- yük yardımcıları se, perspekt f ve know-how sah b “tek- n k” uzmanlar. Öngörülemez hasarlara uğramamak adına kr t k ver şleyen tüm kurumların, kend ler n , gerçek s - ber dünyaya uygun senaryolar le test ett rmes , bunun yanında kurum genel ndek s ber güvenl k farkındalığını öneml ölçüde arttırması b r nc l öncel kler olarak kar- şımıza çıkıyor. Tak ben bu testler n raporlarındak tüm zaf yetler n g der lmes (k ş md ye kadar “Kr t k” zaf yet barındırmayan h çb r sağlık altyapısı le karşılaşmadık) ve her türlü d j tal yapılandırma ve gel şt rme sürec ne güvenl ğ n dah l ed lmes gerek yor. Tüm bunların daha kolay b r yolu ne yazık k mevcut değ l. Ve saldırganın onlarca denemes nden yalnızca b r nde başarılı olması, amacına ulaşması ç n yeterl olab l yor.