Çetin Ünsalan Gazeteci – [email protected]
Teknolojinin ekonominin temel girdilerinden biri haline geldiği, dijitalleşmenin her firmanın ölçeğine ve ihtiyaçlarına göre iş yapış modellerine dahil olduğu ya da olacağı bu süreçte, en kritik başlıkların başında siber güvenlik geliyor.
Regülasyonlar son derece açık ve uyarıcı nitelikte olmasına rağmen hem yurt içinde hem yurt dışında KVKK ya da GDPR ile ilgili düzenlemeleri göz ardı eden firmaların öncelikle pazarla ilgili sorun yaşayacağı çok açık.
Bunun ötesinde, olası bir ihmalin ortaya çıkacağı tazminat ve zararların, dünya ölçeğinde firmanın cirosu üzerinden kesilecek cezalarla yorumlanıyor olması, firmaların meseleyi artık bir bina alarmı ötesinde görmesi gerektiğini de bize anlatıyor.
Hepsi bir yana, cezalardan yükümlülüklere kadar, her firmanın, işletmenin esasen bu meseleyi kendi güvenliği açısından bilinçli bir şekilde ele alması gerekiyor. Meselenin bir harcama değil, olmazsa olmaz bir altyapı başlığı olduğunu unutmamak gerekiyor.
Son dönemde farklı sektörlerde, özellikle küçük ve orta ölçekli işletmelerin siber güvenlik sıkıntıları yaşadığını biliyoruz. Bunun fidye yazılımlarla ya veri ya da sistemi kilitleme noktasında ortaya çıkarttığı kayıplar ise genellikle bilinç ve yaklaşım sıkıntısından kaynaklanıyor.
Son 8-9 yıldır, BTK’ta siber güvenlik, KVKK’da da kişisel verileri koruma zirvelerini sunan, takip eden, kurumların yaklaşımlarından bu alanda yaşananlara kadar birçok meseleye vakıf olan bir dostunuz olarak uyarıyorum ki, konu gözden çıkarılmayacak ya da başınıza bir şey geldiğinde kanunen yasak olmasına rağmen, kredibilite ve benzeri dinamiklerle üzeri örtülemeyecek kadar ciddidir.
Genellikle bireyden başlayan zafiyetlerin, firmalarımızın ve yetkililerinin ‘bizi kim ne yapsın’ diye başlayan bir yaklaşım sürecinde mağduriyetlere zemin hazırladığının altını çizmek isterim.
Çünkü aslında ana hedef olmanız gerekmiyor. Genellikle oltalama yöntemi olarak nitelendirilen fishing ile, kimi zaman mailinize, kimi zaman şirkettekilerden birinin sosyal medyasına gelen bir linki tıklaması yeterli.
Çoğu zaman da bu linkler, uzantılarına dikkat etmediğinizde, belki müşterinizden, belki bankanızdan geliyormuşçasına gerçeğe yakın bir izlenim veriyor. Üstelik hacklendiğinizi hemen anlamanız da gerekmiyor.
Genellikle bu eylem, içeriye sızma ve yatma olarak cereyan buluyor. Ardından tüm süreci takip eden, kimsenin de anlamadığı bir yapının içinizde olduğunu düşünün. Bütün detayları da öğrendikten sonra düğmeye basılıyor ve hangi amaçla hacklenme yapılıyorsa, sonuca gidiliyor.
İşte o sürece kadar şayet belli bir bilinç oluşmamışsa, bazen fidye, bazen kişisel verilerin çalınması ile sonuçlanabilen farklı senaryolar önünüze geliyor. Bu bir taraftan maddi kayıplara, diğer taraftan da marka değerinin zedelenmesine kadar geniş bir yelpazede sonuçlar doğuruyor.
Düşünsenize bir hacker, içeri yerleşip, sonra makinelerinizde kullandığınız bir yazılım üzerinden tüm müşterilerinize gitmeyi başarsın. Bu işin içinden çıkmak mümkün mü? Ya da başka bir senaryo yazalım.
Almanya’ya makine üretiyorsunuz ve dijitalleşen bir firmasınız. Teslimattan önce, üretim sırasında sistemlerinizi durduruyorlar ve siparişi zamanında yetiştiremiyorsunuz. Ardından yurt dışından bir rakibiniz devreye giriyor ve müşteriyi kaçırıyorsunuz.
Peki buna önlem olarak sadece ürünleriniz ya da üretimlerinizde değil, iş yapış biçimlerinizde de dijitalleşmenin dışında kalmayı seçebilir misiniz? Bunun rekabet ve sürekliliği sağlamak adına olanağı kalmayan bir ekonomideyiz.
O nedenle siber güvenlik, sadece satın alınan bir hizmet değildir. Siber güvenlik stratejiniz olmalı, bu konuda partner seçmeli ve temele bunu koyduktan sonra, tüm faaliyetlerinizi ona göre yapmalı ve dinamik bir yapı kurmalısınız. Yoksa kısa süre sonra bugün sıkıntı olarak yaşananlar, firmanın hayatiyetini tehdit eden bir yapıya bürünür.

