TEKNOLOJİ
03 Aralık 2019 16:43

Korsanlar takipte; kişisel veriler koruma altında

Dijital çağda bireylerin, şirketlerin, ülkelerin en önemli konusu güvenlik. Dolayısıyla dijital hayat siber güvenlik olmadan inşa edilemez. Siber güvenlik tehdidi söz konusu olduğunda aslında hayatımızın da tehdit altında olduğu ortada. Bağlantılı hayat aynı zamanda siber saldırganlara veri hırsızlığı ve endüstriyel casusluk için yeni yollar açıyor.

Korsanlar takipte; kişisel veriler koruma altında

 Akıllı üretim sistemlerini, veri paylaşımını, geniş veri ağlarını bozabilecek zararlı yazılımlar, şirketlerin üretim faaliyetleri üzerinde çok kötü etkiler yaratabilecek, para, zaman, müşteri ve itibar kaybettirecek sonuçlar doğurabiliyor. 
Siber suçlar artık devlet destekli casusluk veya şan-söhret peşindeki bilgisayar korsanının yaptıkları ile de sınırlı değil. Bugün iyi organize olmuş siber suçlular karmaşık saldırılar yoluyla ve özellikle de son kullanıcıyı hedef alarak bilgi ve para hırsızlığı yapıyor. 

Bu nedenle şirketler, bugün siber güvenliğe yönelik uyarlanmış bir risk yönetim sistemi ve güvenlik stratejisine ihtiyaç duyuyor; aynı zamanda saldırı ve tehditleri daha gerçekleşmeden önce analiz edebilen ve uyarı verebilen sistemlerle operasyonel güvenlik ve koruma geliştirme sistemlerine yatırım yapmayı önceliklendiriyor. 
Şirketler her yeni güvenlik tehdidi ve sorununda farklı farklı güvenlik çözümlerine yatırım yapma eğiliminde. Bu durum güvenlik açısından entegrasyon sorunlarını da beraberinde getirebiliyor. Yeni bir iş modeli oluşturulurken tüm çözümlerin birbiri ile entegrasyonunu da sağlamak, gelebilecek atakların ana nedenini tespit ve takip etmeyi de son derece kolaylaştıracaktır. 

Dijital dünyada yalnızca şirketlerin kendi içinde güvenli olması yetmiyor; iş ekosistemlerinin, ülkenin kamu kuruluşlarının güvenli olması hatta ülke genelinde bir ulusal güvenlik ağının oluşturulması zorunluluğu ortaya çıkmış durumda. Sonuç olarak dijital ağlarla birbirine bağlanan yeni ekonomilerde güvenlik de topyekun ele alınması gereken bir kavram olarak karşımıza çıkıyor. 

Maksimum güvenlik için maksimum entegrasyon

Dijital dönüşüm güvenlik gereksinimlerini de maksimum düzeye çıkarmış durumda. Diğer yandan dijital dünyada karşınızda ciddi, zeki, sabırlı, donanımlı hacker grupları var. Son dönemde de fidye yazılımlar, hayalet yazılımlar, İki yüzlü yazılımlar (twoface malware) vb. adını verdiğimiz kötü amaçlı programlarda (malware) artış yaşanıyor. Bu tür tehditlere karşı da korelasyon, sistemlerin entegrasyonu, paylaşılan tehditlerin ve olası saldırıların nerelerden hangi koşullarda gelebileceğini önceden kestirebilmek, her yerden ve her cihazdan akan her türlü bilgiyi ve giriş noktasını denetleme, aynı bilgiyi her yerde kullanma gibi kavramlar giderek önem kazanıyor. 

Dijital teknoloji kullanımı, güvenlik yaklaşımının daha çok önleyici olmasını gerektiriyor. Bu nedenle içeriden ve dışarıdan gelebilecek olası tüm tehdit ve saldırıları önceden kestirebilmek, tahmin edebilmek, tehdit ya da saldırı öncesinde gerekli tüm tedbirleri alabilmek için güvenlik istihbaratı sistemi diyebileceğimiz bir tehdit verisi havuzu oluşturmak ve sonrasında toplanan verileri analiz etmek kritik önem taşıyor. 

Yeni teknolojiler yeni riskler ve yapay zekanın başarısı

Yeni teknolojiler yeni siber güvenlik tehditlerini de beraberinde getiriyor. Dijital verilerin çığ gibi büyüdüğü, IoT, bulut, blok zinciri, yapay zeka gibi yeni teknolojilerin devreye alındığı bu çağda yalnızca şirket içi siber güvenliği sağlamak yetmiyor. Siber güvenlik stratejisinin kamu ve özel kurumlardan tüketicilere, dijital iş ağlarına uzanan bütünleşik bir yapıda ele alınıp uygulanması gerekiyor. 

Yapay zeka tehdit algılanması noktasında ve hemen tüm güvenlik aşamalarında başarılı sonuçlar doğurabiliyor. Örneğin; makine öğrenimi tabanlı siber güvenlik teknolojileri, önceden bilinmeyen zararlı yazılım tehditlerinin tespit edilmesini mümkün kılıyor. Yapay zeka tabanlı yazılımlar sadece insan davranışlarını izlemekle kalmıyor, aynı zamanda yanlış giden şeyleri algılayarak uyarabiliyor. Büyük verinin endüstriyel kullanımı ile birlikte siber tehditleri azaltmak şirketler için yeni bir kırılma noktası. Bunu ise kaçınılmaz olarak bir makine öğrenme stratejisi izliyor. Sonuç olarak ortaya şirket ağları, internet ve bağlı makineler yoluyla sağlanan geniş veri akışları ve bunları ileri düzeyde analiz ederek yorumlayabilen teknoloji çıkıyor.

KVKK siber güvenliğin neresinde?

Finanstan sağlığa, perakendeden eğitime kamu hizmetlerinden iletişime ve eğlenceye kadar hemen her ihtiyacımızı artık dijital kanallardan karşılıyoruz. Dijital nüfus artarken riskler de o oranda artıyor. Siber korsanlar günümüzde en çok tüketicilerin, bireylerin yoğun olduğu dijital kanallarından saldırı ve tehditlerini gerçekleştiriyor. Dolayısıyla şirketlerin, kişilerin verilerini koruma ve güven altına alma sorumluluğu bulunuyor. Bu noktada şirketler, kurumlar ve devletler siber saldırılara karşı önlem alarak çeşitli ulusal ve uluslararası standartları sunarak, özel kurallar ve kanunlarla güvenliğimizi sağlamak için adım atıyorlar. 

Bilginin değeri ve dijital veriler arttıkça, bilgi güvenliği konusunda yaptırımlar ve standartlar da gelişerek karşımıza çıkıyor. Nitekim bu alanda ülkemizde uygulanmaya başlanan Kişisel Verilerin Korunması Kanunu (KVKK) da veri güvenliğini yasal düzenlemelerle koruma altına alıyor.

Diğer yandan dijital verilerin giderek büyümesi sonucu artan büyük veri analitiği ihtiyacı, kişilerin verilerinin gizlilik, güvenlik ve mahremiyet kurallarına uygun şekilde ele alınması ve işlenmesi gerekliliğini ortaya koyuyor. Büyük veri analitiğinde kullanılan algoritmaların amacı dışında ve kontrolsüzce kullanımına yasal bir boyut kazandırılması ve kişinin kendi verilerini kimin, nasıl, ne şekilde kullanılacağına izin vermesi noktasında Kişisel Verilerin Korunması Kanunu devreye giriyor.
Bir kişinin her türlü kimlik, sağlık, iletişim, finans, sosyal, dini vb. bilgisi o kişinin kişisel verileridir ve bu veriler üzerinde o kişinin bir hakkı mevcuttur. Bu durum da kişilere bu haklarının korunmasını talep etme hakkı tanıyor. 

KVKK temelde kişisel verilerin elde edilmesi ve bunların güvenli saklanmasını düzenliyor. İlk yapılması gereken, veri güvenliğini sağlamak. Yani şirketler BT altyapılarını saldırganlara karşı korumak ve denetlemek zorunda.

Bir de şirketlerin geçmişte topladıkları kişisel verilerin kanuna göre yeniden elden geçirilmesini ve gerekenin yapılmasını istiyor. Dolayısıyla şirketler, KVKK’ya göre bireylerin eskiden toplanmış kişisel verilerini bulmak, bu verilerden temizlik yapmak, bu verileri koruyacak mekanizmayı kurmak durumunda.

EN ÇOK OKUNANLAR