CIO Update Röportajı "2021’de en büyük problem marka odaklı siber güvenlik yatırımları oldu!"

Firmaların özellikle pandemi döneminde siber güvenlik tarafındaki yatırımlarını artırdığını; ancak buradaki en büyük problemin marka odaklı yatırımlar olduğunu söyleyen Gais Siber Güvenlik Teknolojileri CEO’su Osman Doğan, “Günün sonunda Gartner’da sağ üst köşedeki ürünü aldınız ve hala sistemde güvenlik açığı olabilir. Burada önemli olan sistemlerinizi 7/24 dışarıdan izleyecek yapıları ve mekanizmaları kurmanız gerekiyor. Bu mekanizmaların kurulması konusunda firmalarımız hızlı aksiyon almalıdır.” dedi.

Yerel kaynakları etkin kullanarak yeni ve alternatif siber güvenlik çözümleriyle sektörde yıldızı parlayan firmalardan biri olan Gais Siber Güvenlik Teknolojileri, hedeflerini yurtdışına taşımayı planlıyor. Etkin bir kadroya sahip şirket, ürünleri ve servisleri ile güvenlik gereksinimlerini bir bütün olarak sunuyor.

Gais Siber Güvenlik Teknolojileri CEO’su Osman Doğan ile pandemi dönemini, çözüm ve hizmetlerinin yanı sıra 2022 yılı hedeflerini konuştuk…

Pandemiyle birlikte güvenlik risklerinde de bir dönüşüm yaşadık değil mi?

Tabii. Pandemiyle birlikte siber güvenlik risklerinde şöyle bir değişiklik oldu. Önceden personel şirket içinde çalışıyordu. Şirketlerin almış olduğu güvenlik önlemleri kapsamında faaliyetlerini yürütüyordu. Bir anda herkes evlere dönünce, evlerdeki mevcut bilgisayardan işlerini yapmaya başladı. Bu da tehdidi artırdı. Bu durum yaşanan hack vakalarının sayısını artırdı.

Peki, Gais Security bu anlamda neler yapıyor? Kurumsal güvenlik tarafında tam olarak hangi boşlukları dolduruyor?

Kısaca özetlemek gerekirse, firmalara ‘Pentest’ hizmeti veriyoruz. Güvenlik açıklarının tespiti, bunların kapatılması veya bu süreçteki danışmanlık hizmetlerini içeriyor. Bunun yanında ‘Red Team’ hizmeti veriyoruz. Nedir bu? Firmanın dijital altyapısını dışarı açık veya açık olmayan sunucularına ve bu uygulamalarına 7/24 aslında bir hacker’ın örtüsüne bürünüp o şirketi hedef alan birisi hangi teknik ve taktiklerle saldırıyorsa, ne gibi zararlar verebilirse bunları simüle ettiğimiz bir hizmet. Belirli senaryolar veya belirlenen kritik bilgi ve belgelerin ele geçirildiği hizmet bütünüdür. Güvenlik açıklarını bulup raporluyor ve çözüm süreçlerine dahil oluyoruz. Bunun yanında adli bilişim hizmeti veriyoruz. Vakanın nasıl olduğuyla ilgili kanıt dökümanlarının toplanması, raporlanması savcılık tarafına kanalize olan veya yansıyan bir durum varsa buradaki raporların hazırlanması, iz kayıtlarının toplanması ve bunun yanında da şirketin bir daha böyle bir şey yaşamaması için ne gerekiyorsa danışmanlık sağlıyoruz. Ayrıca, siber istihbarat hizmeti veriyoruz. Kısaca anlatmam gerekirse, firmanın sızmış bir verisi var mı? Bir kullanıcı adı olabilir, parola olabilir. Veya müşterilerine ait bir kredi kartı bilgisi olabilir. Firmayı finansal veya PR açısından zarara uğratacak bir veri, bunların takibini yapıp, raporluyoruz.

Bütün bunların yanında da 2020 yılında sahadaki tecrübemizi aktarabildiğimiz Malwation ve Peyk adında iki ürün çıkardık. İlki, zararlı yazılım ürünü, diğeri de web sitelerindeki değişiklikleri 7/24 takip eden bir ürün. Yazılım siber güvenlik alanında hizmet ve danışmanlık verirken bir yandan da burada edindiğimiz tecrübeyi ürünlere yazarak orada yolumuza devam ediyoruz.

Anlattıklarınızın hepsi aslında birbirinden ilginç konular. Peki, bir yandan da 2021 yılı ciddi anlamda dijitalleşmenin arttığı bir yıl oldu. Güvenlik açıkları da aynı oranda artış gösterdi. Sizin açınızdan bakıldığında geçen yıl nasıl geçti? En fazla şikayeti nerelerden aldınız?

En çok Red Team hizmeti verdik. Bunun sebebi de; bir e-ticaret firması olabilir, telekomünikasyon ya da finans sektörü olabilir, bir bitcoin borsası da olabilir. Bu tarz platformların sayısının artmasıyla birlikte riskler zaten hep vardı. Ama burada farklı bir gelir modeli oluştu. Firmaların yaşadığı hack haberleri ve bu haberlerde hackerlar tarafından talep edilen milyon dolar fidye bilgisi, kolay para kazanma yöntemi olarak daha fazla kişinin dikkatini bu noktaya çekti. Verileri sızdırarak ve bunu KVKK’ya ihbar etme şeklinde şantajla veya verilerini sosyal medyada paylaşılacağı belirtilerek, bir şantaj unsuru olarak kullanılması ve akabinde de para talep edilmesi durumu iştahları kabarttı. Firmalar özellikle pandemi döneminde siber güvenlik tarafındaki yatırımlarını artırdı ama bizim gördüğümüz en büyük sıkıntı marka odaklı yatırımlar. Günün sonunda güvenli miyim? Bunu tartışmak gerekir. Neticede Gartner’da sağ üst köşedeki ürünü aldım ben ve hala sistemde güvenlik açığı olabilir. Hiçbir zaman, hangi ürün veya servisi alırsanız alın biz güvenliyiz diyemezsiniz. Burada önemli olan sistemlerinizi 7/24 dışarıdan izleyecek yapıları ve mekanizmaları kurmanız gerekiyor. O mekanizmaların kurulması konusunda firmalarımız biraz yavaş hareket etti.

Peki, adli bilişimi soracağım. Türkiye gerçekten de saldırıların arttığı bir ülke oldu. Özellikle KOBİ’lere de ciddi anlamda saldırı var. Uluslararası rakamları da telaffuz ediyoruz. Mesela bir saldırıyı tespit ettiğinizde en az 15 aydır sisteminizde demektir, deniyor. Ama günün sonunda saldırı olup bittikten sonra yani asıl süreç belki de çoğu zaman o zaman başlıyor, öyle değil mi? Yani adli ilişki süreci öncesinde başlıyor ama firmalar tabii bu tarz vakalar başına geldiği andan itibaren önlem almaya gidiyor.

Alınması gereken önlemler çok fazla, bunların adım adım yapılması gerekir. Güvenlik dediğimiz konu bir beyaz bir kağıt. Beyaz kağıda, beyaz kalemle çizilmiş bir çember düşünün. Hiçbir zaman içinde misiniz, dışında mısınız bilmiyorsunuz. Dolayısıyla yapmanız gereken şey mümkün olduğu kadar merkeze doğru adım atmak. Güvenlik tarafında alacağınız önlemler de bu şekilde. İnsan kaynağına yatırım ürün ve hizmetin  yanında firmanın güvenlik seviyesini çok daha üst sıralara çıkarmasını sağlayan bir unsurdur. Bir şekilde yine de bir güvenlik zaafiyeti yaşadınız, bundan sonraki sürecin iyi yönetilmesi gerekiyor. En ucuz teklifi verene işin teslim edilmesi, maalesef bir sonraki aşamada bu hizmetleri aldık ama hacklendik konusunun ortaya çıkmasına neden oluyor. Bu süreçler olduktan sonraki adli bilişim süreci de aynı şey. Adli bilişim süreci, herhangi bir vaka sonrası, ilgili sistemlerdeki bulguların toplanması, analiz edilmesi, kanun dökümanlarının hazırlanması ve adli kolluk kuvvetlerine bunun belirli formatlarla, rapor olarak sunulması ve delillerin de değişmezlik kanıtıyla birlikte bu raporun içerisinde yer alması gibi tamamını kapsayan bir süreç. Güvenlik konusunun sadece ürünle, hizmetle, danışmanlıkla ilgili değil, firmalarda kültür olarak oturması lazım. Bunun bir kültür olması lazım. Bu kültürü oturttuğun sürece dışarıda açık alanda konuşulurken nelere dikkat edilir? Ortak Wi-Fi kullanımında nelere dikkat edilir? Bunun tüm personele bir kültür olarak yansıması gerekiyor ki o güvenlik seviyesi üst noktalara taşınsın.

Web sitesi tarafındaki ürününüze de değinmek isterim. Bir yandan da 2022’yi soralım. Nerelerde büyüme olacak bu yıl? Siz neler planlıyorsunuz?

Gais Security bünyesinde spin-off yaptığımız iki firmamız bulunuyor. Malwation AIMA zararlı yazılım analiz ve Malwation MSP zararlı yazılım simülasyon ürünü. Kısaca bahsetmem gerekirse, firma bir güvenlik yatırımı yapacak ve zararlı yazılım tespit ürünü alacak. Ama hangi ürünü alması konusunda darboğazlar yaşıyor. İnternetten bir zararlı yazılım indirip alacağı ürünü bununla test ediyor. Yapılan test bilinen zararlı yazılım dosyalarıyla yapıldığı için istenen verim alınamıyor. Malwation MSP ile firma platform üzerinden kendisine özel zararlı yazılım geliştirebiliyor. Örneğin Windows işletim sisteminde çalışsın, MITRE atak vektörleri kullansın gibi seçenekler ile özelleştirilmiş zararlı yazılım sunuyoruz. Bu zararlı yazılım aktivite sonuçlarını da uygulama üzerinden raporlayabiliyor. Peyk ürünümüz, web sitelerinde meydana gelen değişikliklerin tespit edilmesini sağlıyor. Web sayfasınında meydana gelen görünüm, kaynak kod, çerez bilgileri, erişilemeyen sayfalar, kara liste takibi ve erişim gibi 15 modül ile monitör yapabildiğiniz SAAS ve OnPrem olarak kullanabildiğiniz bir ürün.

2022’de hedefimiz bu ürünlerimizi globale taşımak. ABD, Hollanda, Belçika gibi ülkeleri hedeflerimiz arasında. Türkiye’de ürün ve hizmetlerimizi belli bir noktaya getirdik ve müşterilerimizden gelen taleplerle daha da ileriye taşımaya çalışıyoruz. Ürün ve hizmetlerimizi bulunduğumuz coğrafya ve daha da ötesine taşımak için gece gündüz çalışıyoruz.

‍