Kırılmayan sistem, geçilmeyen güvenlik duvarı, yüzde yüz güvenli bir ağ artık mümkün değil. Bir sistemin dışarıdan gelecek saldırılardan yüzde yüz korunmasını istiyorsak, dışarıya hiçbir bağlantısının olmaması gerekli. Oysa günümüzün bağlantılı dünyasında, artık hem kişisel hem de kurumsal kullanımda böyle bir sistem mümkün değil. İsterseniz kurabilirsiniz, ancak hiçbir işe yaramaz.
Sistemler madem dış dünyaya bağlantılı olmak zorunda, bu durumda saldırılara da açık kalıyorlar ve geleneksel koruma yöntemlerinin eninde sonunda aşılmak gibi kötü bir ünü var. Daha önce Kaspersky 2022 güvenlik zirvesinde irdelediğimiz gibi, sistemleri korumak yerine siber saldırılara bağışık hale getirmeyi hedefleyen Siber Bağışıklık, artık güvenlik dünyasının gündemini oluşturuyor.
Peki nedir Siber Bağışıklık? Nasıl çalışır, nasıl bir donanım ve yazılım sistemine ihtiyaç duyar ve nasıl uygulanır. Tüm bu soruları, Siber Bağışıklık kavramının mimarlarından ünlü güvenlik firması Kaspersky’dan konunun uzmanı Evgeniya Ponomareva’ya sorduk. İşte Siber Bağışıklık ve işte bağışık sistemlerin kurulması için yapılması gerekenler…
CHIP Online: Firmaların siber bağışıklıklarını geliştirmek ve siber saldırı risklerini azaltmak için nasıl bir yol izlemeleri gerekiyor?
Evgeniya Ponomareva: Her şeyden önce, firma genelinde temel siber güvenlik becerileri ve farkındalığı gerekiyor. Buna ek olarak siber güvenli davranış kültürünün, saldırı alanını ve olay sayısını azaltmanın anahtarı olduğunu düşünüyoruz.
Modern BT sistemleri birçok nedenden dolayı siber saldırılara karşı savunmasız kalıyor. Genellikle ağa bağlı teknolojileri eski sistemlerle birleştiriyorlar ve süreçleri kesintiye uğratmamak için kritik güvenlik açıklarını yamasız bırakabiliyorlar. Siber suçlular bu alışkanlığı çok iyi biliyor ve kötüye kullanabiliyor. Zayıf erişim kontrolleri, varsayılan ayarlar, kullanım kuralları ve politikalar korkunç sonuçlar doğurabiliyor. Kurumsal sistemlerin periyodik güvenlik denetimleri ile siber güvenliğin sağlanmasındaki sorunları tespit etmeleri ve zamanında önlem almaları gerekiyor.
Siber Bağışıklık, sadece hoş bir terim değil. Kaspersky, 2020'den beri Kaspersky Cyber Immunity'yi AB, Rusya, İngiltere ve ABD'de ticari marka olarak tescil ettirmiş durumda. Siber Bağışıklığa sahip sistemlerin uygulanması, saldırı yüzeyini azaltıyor ve yeni tehditlere karşı koruma sağlıyor, çünkü tasarımdan itibaren güvenli sistemlerin çalışma prensibi, imza veri tabanları kullanan sistemlerden çok farklı.
Kaspersky'nin Siber Bağışıklık yaklaşımı, tehlikeye atılması neredeyse imkânsız olan ve potansiyel güvenlik açıklarının sayısını en aza indiren çözümler oluşturmanın bir yolunu sunuyor. Bu tür çözümler geliştirmek, daha önceki nesillerin özel amaçlı işletim sistemlerini kullanan benzer güvenlik odaklı projelerden daha ucuza mal olabiliyor.
CHIP Online: Çalışanların eğitimi ve yetiştirilmesi kurumların Siber Bağışıklık kazanmasında nasıl bir rol oynuyor ve kurumlar çalışanlarını siber güvenlikle ilgili en iyi uygulamalar konusunda nasıl etkili bir şekilde eğitebilir?
Evgeniya Ponomareva: Siber güvenlik problemlerinin yüzde sekseninden fazlası insan hatasından kaynaklanıyor. Çalışanların davranışlarını değiştirmek siber güvenliğin karşısındaki en büyük zorluk. İnsanlar genellikle beceri kazanmaya ve alışkanlıklarını değiştirmeye zaman ayıramıyor, bu yüzden pek çok eğitim çabası boş bir formaliteden öteye gidemiyor.
Etkili bir eğitim, farklı bileşenlerden oluşmalı, insan doğasının özelliklerini ve edinilen becerileri özümseme yeteneğini dikkate almalı. Kuruluşlar genellikle davranışları daha iyi hale getiren etkili çalışan eğitimi için doğru araç ve yöntemleri bulmakta zorlanıyor. Bunu başarmanın anahtarı, yetişkin eğitiminde en son teknikleri ve teknolojileri kullanan ve en alakalı ve güncel içeriği sunan eğitimi uygulamakta yatıyor. Güçlü bir kurumsal siber güvenlik duruşu oluşturmak, ilgili tüm çalışanların sistematik eğitimi olmadan mümkün değil.
Siber Bağışıklık sadece KasperskyOS ve teknolojileri ile ilgili değil. Tasarımdan itibaren güvenli sistemler geliştirmek için bir metodoloji. Elbette, geliştirme sürecine dahil olan çalışanlar için eğitim gerekli. Siber Bağışıklık sistemlerinin çalışması sırasında insan hatasının etkisi çok daha az, çünkü siber güvenlik mekanizmaları anormal davranışları engelliyor.
Kaspersky bünyesinde yer alan Kaspersky Akademisi, küresel olarak müşterilere eğitim hizmetleri sunuyor ve bu hizmetler arasında Siber Bağışıklık ilkelerine dayalı tasarımla güvenli sistemlerin nasıl geliştirileceğinin açıklanması da yer alıyor.
CHIP Online: Bu çerçevede geliştirmiş olduğunuz KasperskyOS var. Bu işletim sisteminin geleneksel işletim sistemlerinden farkı ne?
Evgeniya Ponomareva: KasperskyOS mikro çekirdeği Kaspersky tarafından dahili olarak geliştirildi ve halihazırda var olan herhangi bir işletim sistemine dayanmıyor. Mimarisinde yer alan ilkeler sayesinde, işletim sistemimiz Siber Bağışıklığa sahip ürünler için temel oluşturuyor. Siber saldırı türlerinin çoğuna karşı yerleşik güvenliğe sahip. Bu özellik, yüksek düzeyde güvenlik güvencesi gerektiren dijital altyapılar için kritik öneme sahip.
KasperskyOS mikro çekirdeği yalnızca birkaç yüz bin satır kod içeriyor, bu nedenle saldırı yüzeyi minimumda tutuluyor. Sistem bileşenlerinin sıkı izolasyonu her durumda çalışabilirlik sağlıyor. Parçalardan biri arızalansa bile işletim sistemi kritik işlevlerini yerine getirmeye devam ediyor. KasperskyOS tarafından desteklenen çözümler ek koruma gerektirmiyor. İhtiyacınız olan her şey zaten sistemin içinde yarıyor.
CHIP Online: KasperskyOS işletim sistemini kuruluşlar ve ulaşım sistemleri veya enerji santralleri gibi kritik altyapılar için güvenli bir seçim haline getiren temel özellikler neler?
Evgeniya Ponomareva: KasperskyOS mimarisine ve felsefesine güvenlik gömülü olarak geliyor. Bu nedenle, sistem yöneticileri ve uygulama geliştiricileri tarafından açıkça izin verilmeyen hiçbir şeyin çalışmasına veya işlev görmesine imkân bulunmuyor. İzin verilen her eylemi tanımlayan güvenlik politikaları, KasperskyOS tabanlı bir BT ürününün tasarım aşamasından itibaren tanımlanıyor.
KasperskyOS, güvenlik politikalarının belirlenmesinde esneklik sağlıyor. Sistemin yaşam döngüsü boyunca izleyeceği ve potansiyel olarak tehlikeli işlemler gerçekleştirmesini önleyecek kurallar getiriyor.
İşletim sistemimizin bileşenleri izole güvenlik alanlarına ayrılmış durumda ve birbirlerini etkilemeleri mümkün değil. Tüm etkileşimleri mikro çekirdekten geçerken Kaspersky Güvenlik Sistemi her biri için bir güvenlik kararı veriyor. Bir etkileşim tanımlı politikalarla eşleşmezse, yürütülmeden önce engelleniyor. Bu sayede, KasperskyOS için geliştirme yaparken Siber Bağışıklığa sahip olmayan güvenilmeyen bileşenleri kullanmak mümkün. Bunlardan birinin güvenlik açığı olduğu kanıtlanırsa ve saldırganlar bundan yararlanırsa bile, işletim sistemi bileşenin güvenlik politikası tarafından yetkilendirilmeyen ve ürünün işleyişini etkileyen işlemleri gerçekleştirmesine izin verilmiyor.
Tüm bu özellikler, siber güvenlik açısından yüksek gereksinimleri olan bağlantılı kritik sistemler için önem taşıyor. Örneğin, 5G ağlarının yanı sıra araçlar ve çevre arasındaki iletişim ve etkileşimler dahil olmak üzere teknolojideki ilerlemeler, akıllı araçların çevre hakkında giderek diğer yol kullanıcıları, hava durumu, yol işaretleri ve işaretleri, yol koşulları ve diğer faktörler gibi daha fazla veriyi hesaba katmasına gerek duyuyor. Ancak akıllı araçların birbirleriyle ve yol altyapısıyla tam olarak etkileşime girmesini sağlayan şey nesnelerin interneti (IoT) teknolojileri. Otonom olarak veri alışverişi yapan, verileri hızla işleyen ve sonuçlara yanıt veren akıllı cihazlar, öngörülemeyen yol durumları olasılığının en aza indirildiği bir ortam oluşturuyor.
Bu kadar karmaşık sistemlerin güvenliği büyük bir dikkatle ele alınmalı.
Kaspersky bu alanda Siber Bağışıklık temelli birkaç ürün geliştirdi. Bu ürünler hem yol altyapısının hem de araçların güvende kalmasını sağlıyor.
CHIP Online: Yazılım ve donanım dünyası sürekli değişiyor, gelişiyor ve iyileşiyor. Bu durum KasperksyOS'u nasıl etkiliyor?
Evgeniya Ponomareva: Yeni teknolojilerin gelişme hızı son yıllarda önemli ölçüde arttı. Teknoloji geliştirme trendlerini yakından takip ediyor ve işletim sistemi geliştirme stratejimizi buna göre uyarlıyoruz. Şimdi, teknoloji ortaklarımızın işletim sistemine ve Siber Bağışıklık ilkelerine dayalı ürün ve çözümleri bağımsız olarak geliştirmelerine olanak tanıyacak KasperskyOS platform yaklaşımını hazırlıyoruz. Geliştirici ekosisteminin ve onlar için araçların geliştirilmesine çok yatırım yapıyoruz. Buna ek olarak Siber Bağışıklık ilkeleri ve güvenli geliştirme konusunda çeşitli eğitim kurslarımız bulunuyor.
Stratejik hedeflerimizden biri de teknoloji ortaklıkları geliştirmek. Siber Bağışıklığa sahip bir gelecek inşa etmek için çeşitli bölgelerden şirketlerle aktif olarak çalışıyoruz. Kaspersky’nin yeni iş birliklerine çok açık firma olduğunu söylemem gerekiyor.
CHIP Online: Bağlantılı cihazlarla ilişkili güvenlik riskleri neler ve kullanıcılar ve firmalar bu riskleri nasıl azaltabilir?
Evgeniya Ponomareva: Modern araçlar, tekerlekli bilgisayarlar olarak nitelendiriliyor. Araç içi sistemler kullanıcıların arama yapmasına, müzik dinlemesine, interneti kullanarak rotaları haritalandırmasına ve çok daha fazlasına olanak tanıyor. Ancak gerçek şu ki, akıllı arabalar motoru ve frenleri, farları ve dönüş sinyallerini, silecekleri ve klimayı, eğlence ve navigasyon sistemlerini kontrol eden bilgisayarlardan oluşan bütün bir sisteme sahip.
Akıllı otomobillerin bağlantı sayısının artmasıyla birlikte, bunlara yönelik güvenlik açıkları ve saldırıların sayısında da artış oldu. En popüler saldırılar uzaktan bağlantılar yoluyla gerçekleştirilenler, çünkü artık araca fiziksel erişime ihtiyacınız yok. Daha fazla bağlantı, siber suçlular için daha fazla potansiyel "açık kapı" anlamına geliyor.
Aynı durum bağlantılı tüm cihazlar için geçerli. Eğer bir cihaza uzaktan erişime sahipseniz, iletim sırasında bilgilerin ele geçirilmesinden güncelleme sırasında yazılım görüntüsünün değiştirilmesine ve sistemin tamamen engellenmesine kadar tehditlere açık kalıyorsunuz.
Görev açısından kritik sistemleri proaktif olarak güvence altına almak isteyen kurumlar, siber güvenlik stratejilerini planlarken şunları göz önünde bulundurmalı:
- Güvenlik konseptinin tasarımı
- Belirli parçalar için elde edilecek koruma seviyeleri
- Güvenlik konseptinin yaşam döngüsü boyunca sürdürülmesi
- Güvenlik konseptinin etkinliğinin sağlanması
Yeni şartların ışığında, kurumlar için Siber Güvenlik yaklaşımlarının dönüştürülmesi gerekiyor. Örneğin, sanayi sektöründe Endüstri 4.0 kavramı dijital dönüşüm anlamına geliyor. Otomasyon teknolojisi için bu ifade doğrudur, ancak siber güvenlik açısından dönüşüm henüz gerçekleşmedi. Belki de siber güvenlikten Siber Bağışıklığa geçmenin zamanı geldi artık.
CHIP Online: “Nesnelerin interneti” bağlantılı cihazların güvenliğini nasıl etkiledi?
Nesnelerin interneti, işletmelerin dijitalleşmesinde ve Endüstri 4.0'a başarılı bir şekilde geçişinde önemli bir araç. Cihazları bulut platformlarına bağlamak, uçtan uca dijital hizmetler oluşturmanıza, verileri analiz etme ve cihazın çalışmasını ve durumunu izleme yeteneğinizi geliştirmenize olanak tanıyor. Tüm bunlar kaynak tasarrufu sağlamaya, dijital altyapı yönetimini iyileştirmeye ve iş verimliliğini artırmaya yardımcı oluyor.
Uçtan-uca servislerin güvenli olduğundan ve firmaya maksimum fayda sağladığından emin olmak için nesnelerin interneti cihazları ve onların verilerini siber tehditlerden korumanız gerekiyor. Ancak, nesnelerin interneti güvenliğe yeni bir yaklaşım getirmiş durumda. Birçok farklı bileşenden oluşan karmaşık bir ortam. Bu bileşenlere düzenli olarak güncellemeye ihtiyaç duyan koruma araçları kurmak hemen çok zaman hem de çok kaynak harcayan bir süreç.
Nesnelerin interneti söz konusu olduğunda, siber ve fiziksel dünyalar bir araya geldiğinden dolayı siber güvenliğe başka bir katman eklemek gerekiyor. Kullanıcıların ve hizmetlerin verilerle etkileşime girebilmesi için uçtan uca bağlantılar kullanmak zorunda.
Nesnelerin interneti sistemlerine yönelik başarılı siber saldırıların sıklığı ve karmaşıklığı kuruluşlar için bir uyarı olmalı. Uçtan buluta kadar koordine edilmemiş savunmalar, ekipmanlara yönelik doğrudan saldırıların önünü açıyor.
Kaspersky, endüstriyel sistemlere ve nesnelerin internetine yönelik saldırıları yakından izliyor. Altyapı ve verilerinin güvenliğini ağ geçidi seviyesinde sağlamaya yönelik yaklaşımlardan biri, ekipman ile bulut platformu arasındaki bağlantıyı mercek altına alıyor. Nesnelerin interneti altyapısına sahip müşterilerimize, güvenilir ve işlevsel sistemler oluşturmak için KasperskyOS tabanlı bir dizi Siber Bağışıklık destekli ağ geçidi (Kaspersky IoT Secure Gateway) sunuyoruz. Bu ağ geçitleri, kurumsal dijital dönüşüm için uçtan uca hizmetler oluşturmada önemli bir rol oynuyor.
CHIP Online: Bağlı cihazların (ev, ofis ortamı, arabalar) güvenliğini sağlamak için en iyi uygulamalar neler ve kullanıcılar olası güvenlik tehditlerini tespit edebilmek için neler yapabilir?
Evgeniya Ponomareva: IoT güvenliği için genel öneriler arasında şifreleme ve parola politikaları, ağ segmentasyonu ve güvenlik duvarlarının kullanılması ve IoT cihazlarının bağlandığı bulut altyapıları için özel korumalar yer alıyor. Bu uygulamalar tüm kritik teknoloji sistemleri için tavsiye ediliyor.
Kaspersky, nesnelerin interneti güvenliği konusunda daha önce de bahsettiğimiz benzersiz bir yaklaşım olan Siber Bağışıklık öneriyor. Potansiyel güvenlik açıklarını ortadan kaldırmaya değil, bunlardan yararlanmanın ve bir sistemin nasıl çalıştığını etkilemenin imkânsız olduğu koşullar yaratmaya odaklanıyor. Bu nedenle, bir uygulama saldırıya uğrasa bile, platformun güvenilir çalışması üzerinde hiçbir etkisi olmuyor. Halihazırda farklı sektörlerde Siber Bağışıklık uygulamaları gerçekleştiriyoruz. Bunlara örnek olarak öncelikle Rus Demiryolları için bağlı demiryolu anahtarı ısıtma sistemi için oluşturduğumuz siber güvenlik sistemini verebiliriz. Kaspersky IoT Secure Gateway, saha sensörlerinden buluta giden verileri korumak, ısıtma sistemini DDOS saldırılarından ve harici saldırılardan korumak için entegre edildi. Bir başka örnek, kentsel ekonominin dijitalleşmesi için akıllı şehir koruma projesi. Kaspersky, oluşturulan tehdit modelini temel alarak bulut koruması, veri aktarımı ve uç nokta koruması dahil olmak üzere kentsel IoT altyapısının farklı seviyelerinde koruma için çeşitli çözümlerden yararlanan bir yaklaşım geliştirdi. Giderek popülerliği artan elektrikli araçlar için de bağlantılı araçların korunmasını hedefleyen Kaspersky Automotive Secure Gateway örnek olarak verilebilir. Bu sistem araçları uzaktan gelen saldırılardan koruyor, araçların elektronik kontrol merkezlerinin güncellemeleri güvenli bir şekilde almalarını sağlıyor, dahili ağdaki güvenlik etkinliklerini toplayıp aracın güvenlik operasyon merkezine aktarıyor.
Evgeniya Ponomareva kimdir?
KasperskyOS İş Biriminde Global İttifak Yöneticisi olarak görev yapan Evgeniya Ponomareva 14 yıldır BT sektöründe çalışıyor. Bu sürenin 10 yıldan fazla bir bölümünü taşımacılık sektöründeki BT sistemlerinin tasarımında çıkan problemleri çözmek için geçirdi. Katıldığı en büyük projelerden biri, ERA-GLONASS olarak biliniyor.
Ponomareva Bugün Kaspersky'de, Kaspersky Automotive Secure Gateway ve Kaspersky Automotive Adaptive Platform gibi araçlar için KasperskyOS tabanlı çözümlerin tanıtımından sorumlu. Buna ek olarak, akıllı ulaşım sistemleri, navigasyon teknolojileri, Akıllı Araba, Dijital Demiryolu ve Nesnelerin İnterneti (IoT) çözümleri, ulaşım güvenliği ve Güvenli Şehir donanım ve yazılım kompleksi dahil olmak üzere ulaşım ve kamu sektörü için yenilikçi gelişmeler üzerinde çalışmalar yürütüyor.