Siber Saldırıların Uzun Gölgesi

Giriş

Siber güvenlik olayının ardından medya, düzenleyici otoriteler ve kolluk kuvvetleri, Wall Street, üçüncü taraflar, müşteriler, çalışanlar ve hukuk ekipleri dâhil olmak üzere paydaşlar, etkilenen kuruluşu yakından izler, neyin yanlış gittiğini, düzeltmenin nasıl yapıldığını ve kuruluşun gelecekteki siber riski azaltmak için neler uyguladığını inceler.

Bu artan ilgiye kamu güvensizliği ve finansal kayıplar, düzenleyici yaptırım eylemleri ve maliyetli davalar (da) eşlik edebilir. Bu ciddi etkilere karşı korunmaya yardımcı olmak için, kuruluşların siber olayları ele alma planlarını prova etmeleri ve kurumsal dayanıklılıklarını yeniden inşa etmek, güvence altına almak ve iyileştirmek için olay müdahalesinin kurtarma aşamasına öncelik vermeleri kritik öneme sahiptir.

Siber güvenlik artık yalnızca teknik ekiplerin sorumluluğunda değildir; üst düzey liderler riskleri azaltmak ve en üstten en alta işbirlikçi bir siber güvenlik kültürü oluşturmak için hazırlık ve planlamaya aktif olarak dâhil olmalıdır. Etkili bir program, yönetim kurulu, üst düzey yönetim (C-suite[1]) ve tüm ilgili iş birimlerinin rehberliği ve desteğiyle siber güvenlik ve siber risk yönetimi programlarının yeniden oluşturulmasını ve geliştirilmesini içermelidir.

  1. Role Göre Üst Düzey Liderlik Perspektifleri

Bir siber güvenlik olayının ardından, üst düzey liderlik ekibinin her bir üyesi ve diğer kurumsal paydaşların benzersiz sorumlulukları vardır. Ne yazık ki, üst düzey liderler siber güvenlikteki rollerinin önemini genellikle ancak bir olay meydana geldikten sonra öğrenirler.

Liderler bir olaydan önce rollerini anladıklarında, bir olayın olumsuz etkilerini en aza indirmek ve siber güvenlik dayanıklılığını ileriye taşımak için sorunsuz ve verimli bir şekilde birlikte çalışabilirler. Çeşitli liderlik rollerinin beklentilerini ve bunların nasıl uyum içinde çalıştığını açıkça belirlemek, güven oluşturma ve güvenli bir işletme kurma yolunda anlamlı bir adımdır. Kapsamlı bir liste olmasa da, aşağıda siber güvenlik dayanıklılığını yeniden inşa etmeye katkıda bulunmada önemli liderlik pozisyonlarının ve ilgili sorumluluklarının bir örneği verilmiştir.

1.1. Bilgi güvenliği sorumlusu (chief information security officer)

Bilgi güvenliği sorumlusu genellikle genel siber güvenlik stratejisini geliştirmekten sorumludur. Bu, kuruluşu tehditlerden korumak için savunmacı bir duruş yönetmek, üçüncü taraf satıcılar tarafından getirilen siber güvenlik risklerinin nasıl azaltılacağını belirlemek ve sektör, eyalet ve federal siber güvenlik düzenlemeleri ve politikalarına uyum sağlamak için gereken tüm kontrolleri uygulamak anlamına gelir. Bilgi güvenliği sorumlusu ayrıca yönetici liderliğe, yönetim kuruluna ve kuruluşun geri kalanına tehdit istihbaratı ve kuruluşu etkileyebilecek diğer ortaya çıkan riskler hakkında güncellemeler sağlar.

1.2. Genel danışman (general counsel)

Genel danışmanlar bir organizasyonun risk iştahını belirlemede rol oynar ve organizasyonlarının risk yönetimi yaklaşımını anlamaları ve uyum ve denetim işlevlerini denetlemeleri gerekir. Genel danışman, zayıf siber güvenliğin sonuçlarına dair kritik bir bakış açısı sağlar ve siber güvenliğe yatırım yapmanın gerekçelerinin çoğunu destekleyebilir. Bu, düzenleyici yaptırımların olasılığını ve etkilerini, ayrıca finansal kaybı, itibar kaybını, yöneticiler ve memurlar için kişisel sorumluluğu ve bir organizasyona yönelik diğer önemli etkileri azaltmayı içerir.

Genel danışmanlar, kuruluşlarının siber güvenlik yetenekleri hakkında güçlü bir kavrayışa sahip olmalı ve bilgi güvenliği sorumlusunun yerinde olan planı eleştirel bir şekilde düşünmesine ve iyileştirmesine yardımcı olmak için siber güvenlik stratejisine meydan okumalı, kuruluşun stratejik çıkarlarını korumak için taktiksel iyileştirmeleri desteklemelidir. Bu, bir kuruluş içindeki siber güvenlik yatırımı ve bakımına ilişkin 360 derecelik bir görünüm sağlar.

Genel olarak, genel danışman bir organizasyon genelinde siber güvenlik kültürünü yönlendirmede önemli bir rol oynar. Dâhili sorunlar sıklıkla departmanlar arasında kesişir ve örtüşür ve nihayetinde siber ve yasal risklere bağlanır. Genel danışmanlar, siber riskleri ve zorlukları tartışmak ve siber güvenliğin önemini teşvik etmek için bilgi güvenliği ekibi ve her iş birimiyle atölyeler düzenlemek amacıyla kuruluş genelindeki ilişkilerini kullanabilirler.

1.3. Baş güvenlik sorumlusu (chief trust officer)

Baş güvenlik sorumlusu, kurumsal operasyonlar genelinde siber güvenliği ele alan güvenlik çerçeveleri ve politikaları geliştirir ve uygular. Bir siber güvenlik olayından önce baş güvenlik sorumlusu, siber güvenlik stratejisi ile kurumsal değerler, politika ve yanıtlar arasında uyumu sağlamalıdır. Baş güvenlik sorumlusu, müşteri bilgilerinin korunması ve bilgilerin nasıl güvence altına alındığının kolay anlaşılır bir şekilde paylaşılması konusunda kilit paydaşlarla iletişim kurmak için olmazsa olmazdır.

‘FTI Consulting’de siber güvenlik ve veri gizliliği iletişimleri kıdemli direktörü olan Madelyn Hawkins, “Siber güvenlik olayı boyunca paydaşlarla güveni sürdürmek, kamuoyundaki olumsuz etkileri ve uzun vadeli itibar ve kurumsal zararı en aza indirmek için kritik öneme sahiptir. Günümüzde paydaşlar, kuruluşların en kötüsüne hazırlanmasını bekliyor ve en kötüsü olursa, müdahalenin her aşamasında onları bilgilendirmelerini bekliyor. Kuruluşlar, hazırlanmak, güvence altına almak ve yeniden inşa etmek için atılan adımları ileterek güveni güçlendirebilir.” diyor.

1.4. Mali işler sorumlusu (chief financial officer)

Mali işler sorumlusu, kaynakları tahsis etmekten ve siber güvenlik ihtiyaçları ve önceliklerine özgü bir bütçe oluşturmaktan sorumludur. Mali işler sorumlusu, siber güvenlik stratejisinin geliştirilmesinde aktif bir katılımcı olmalı ve bunun kuruluş için genel finansal risk yönetimi stratejisiyle uyumlu olmasını sağlamalıdır. Mali işler sorumlusu ayrıca, ABD Menkul Kıymetler ve Borsa Komisyonu’na (United States Securities and Exchange Commission-SEC) önemli olayların zorunlu olarak açıklanması ve siber güvenlik stratejileri için planların paylaşılması gibi siber güvenlik olaylarıyla ilgili gerekli açıklamalara yardımcı olmak için diğer kıdemli liderlerle birlikte çalışacaktır. Mali işler sorumlusu, siber güvenlik araçları ve personeli için sermaye harcamalarını ve operasyonel maliyetleri anlamak amacıyla önemli bir ortak olmalıdır.

1.5. Yönetim kurulu (board of directors)

Yönetim kurulu, güçlü siber güvenlik ve dayanıklılık politikalarının uygulanmasını ve etkili olmasını ve tüm yönetim kurulu üyelerinin kuruluşun siber güvenlik olgunluğunun farkında olmasını sağlamaktan sorumludur. Yönetim kurulu, kuruluştaki temel siber güvenlik paydaşlarını (hukuk, uyum, gizlilik, güvenlik ve bilgi teknolojisi ekiplerinden) belirlemeli ve bunları yönetim kurulu düzeyindeki hazırlık ve yanıt tartışmalarına dâhil etmelidir.

Bu, bir olaydan sonra oluşan finansal ve itibar kayıplarının kapsamını, güçlendirilmiş siber güvenlik hazırlık önlemlerinin maliyetiyle karşılaştıran kapsamlı bir maliyet ve risk analizini içerebilir. Tüm yönetim kurulu üyeleri, siber güvenlik riski ve veri saklama ile ilgili kurumsal kültür ve uygulamalar hakkında genel bir farkındalığa sahip olmalıdır.

Yönetim kurulu üyeleri, tüm kritik ekiplerin bir olay durumunda müdahale etmeye hazır olduğundan emin olmak için düzenli siber güvenlik olayı müdahale simülasyonu tatbikatlarına katılmalıdır. Kuruluşlar, giderek artan siber güvenlik ve kurumsal yönetişim konularına yanıt vermek ve tüm yönetim kurulu üyelerine düzenli siber güvenlik eğitimi sağlamak için yönetim kurullarına deneyimli bir bilgi güvenliği uzmanı eklemeyi düşünmelidir. Bu; özellikle Avrupa Birliği’ndeki NIS2 direktifi (Network & Information Security Directive-Ağ ve Bilgi Güvenliği Yönergesi[2]) ve Amerika Birleşik Devletleri’ndeki (ABD) SEC siber güvenlik kuralları[3] da dâhil olmak üzere dünya çapındaki mevzuatın, kuruluşların düzenlemelere uymaması durumunda yönetim kurulu üyelerini siber güvenlik olaylarından kişisel olarak sorumlu tutma potansiyeline sahip olması nedeniyle zorunludur.

  1. Yapılması Gerekenler

Bir olaydan önce ve sonra, kuruluşlar mevcut ve ortaya çıkan tehditler için siber güvenlik risklerine karşı korunmak amacıyla düzeltici ve önleyici eylemlerde bulunmalıdır. Temel siber güvenlik araçları, eğitim ve izleme temelinin sürdürülmesi, bir olayın etkisini en aza indirecek ve daha hızlı bir kurtarma sağlayacaktır. Bir kuruluşun bir olaydan sonra siber güvenlik dayanıklılığını yeniden oluşturmak için uygulayabileceği bazı adımlar şunlardır:

2.1. Düzenli siber güvenlik değerlendirmeleri yapılması (conduct regular cybersecurity assessments)

Bir organizasyonun sistemleri, varlıkları, verileri ve yetenekleri için siber güvenlik riskini yöneten ve azaltan güvenlik çözümlerinin olgunluğunu bildiren değerlendirmeler yapılmalıdır. Buna program değerlendirmeleri, boşluk analizi, penetrasyon testi, kırmızı takım operasyonları ve düzenleyici uyum ve raporlama değerlendirmeleri dâhildir.

2.2. Kritik bağımlılıkların tanımlanması (identify critical dependencies)

Üçüncü taraf risk yönetimi (third-party risk management), üçüncü taraf tedarikçilerle kritik sistemleri ve bağımlılıkları belirlemeyi içerir. Üçüncü taraf risk yönetimi denetimleri, üçüncü tarafların kurumsal siber güvenlik riskini nasıl etkilediğini belirlemeye yardımcı olur. Kuruluşlar, önleme, tespit ve sorumluluklardaki belirlenen boşlukları azaltmak için etkili derinlemesine savunma çözümleri tasarlamalıdır.

2.3. Verileri anlama ve haritalama (understand and map your data)

Veriler çalındığında, neyin ve nereden çalındığını bilmek zorunludur. Sızdırılmadan önce kuruluşun en hassas bilgilerini belirlemek için veri eşlemesi analiz edilmelidir. Tehdit aktörleri için en değerli ve en çok hedef alınanlar olacakları için “en değerli” verileri çevreleyen artırılmış siber güvenlik koruması için bir plan geliştirilmelidir. Ağ segmentasyonunun uygulanması, güvenlik ekiplerinin değerli veriler için uygulanan belirli korumalar üzerinde daha fazla kontrole sahip olmasını sağlayarak, bir tehdit aktörünün kuruluşun ağı boyunca kolayca yatay hareket etme yeteneğini kısıtlar.

2.4. Varlıkları bilme (know your assets)

Donanım, yazılım, personel, tesisler ve konumlar dâhil olmak üzere varlıkları tanımlamak, kategorize etmek, kontrol etmek ve izlemek, bir organizasyonun siber güvenlik stratejisini geliştirmeye yardımcı olmak için sürekli bir süreçtir. Bu, verileri bilmekle uyumludur ve daha kapsamlı ve işbirlikçi bir siber güvenlik stratejisine yol açacaktır.

2.5. Siber güvenlik stratejisini ve bütçesini yeniden değerlendirme (reevaluate cybersecurity strategy and budget)

Güvenlik açıkları ve değerli veriler belirlendikten sonra, yönetici ekipleri güvenlik açıklarını gidermek ve dayanıklılığı artırmak için kuruluşun siber güvenlik stratejisini yeniden değerlendirmelidir. Bu, bütçeyi güncellemeyi ve siber güvenlik çabalarına özel kaynaklar tahsis etmeyi içerir.

2.6. Yanıt testleri ve eğitim planları (test response and training plans)

Kuruluşlar, bir olay sırasında neyin etkili olduğunu ve neyin iyileştirilebileceğini değerlendirmek için olay yanıt planlarını ve belgelerini düzenli olarak test etmelidir. Plan sektör için en iyi uygulamalara göre düzenli olarak güncellenmeli ve gelecekteki olayların azaltılmasına yardımcı olmak için siber risk azaltma taktiklerini öğretmek üzere kapsamlı bir çalışan siber güvenlik eğitim planının mevcut olduğundan emin olunmalıdır.

Sonuç

Bir olaydan sonra etkili bir siber güvenlik dayanıklılık planı, yönetim kurulu, üst düzey yönetim (C-suite) ve tüm ilgili iş birimlerindeki kilit paydaşların rehberliği ve desteğiyle siber güvenlik ve siber risk yönetimi programlarının yeniden oluşturulmasını veya geliştirilmesini içermelidir. Bu plan yalnızca tehdit aktörü tarafından kullanılan saldırı vektörünü düzeltmeye odaklanmamalıdır; olaya neyin sebep olduğunu düzeltmek, gelecekteki tüm siber güvenlik risklerini azaltmak için bütünsel bir planın yalnızca küçük bir parçası olmalıdır.

Bu iyileştirmeleri kapsamlı, çerçeve odaklı bir stratejiye yerleştirmek, kuruluşların yalnızca siber olaylardan kurtulmasını değil, aynı zamanda ileride dayanıklı bir siber güvenlik duruşu oluşturmasını da sağlar. Siber güvenlik bir takım sporudur.

[1] Çevirenin Notu: “C-suite”, bir şirketin üst düzey yöneticilerini ve müdürlerini tanımlayan yaygın olarak kullanılan bir kavramdır. “C-level” olarak da bilinir. Genellikle “şef” anlamına gelen “C” harfiyle başlayan üst düzey yöneticilerin unvanlarından türemiştir. C-suite, bir şirketin en önemli ve etkili birey grubu olarak kabul edilir. (…)

[2] <https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333>

[3] <https://www.sec.gov/newsroom/press-releases/2023-139>

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.