Kuruluşlar hatalı güncelleme sonuçlarıyla boğuşmaya devam etmektedir. Dünya çapındaki bilgisayar sistemleri, Cuma sabahı (19 Temmuz 2024) hızla yayılan ve hastaneleri, havayollarını, bankaları, acil servisleri ve diğer kuruluşları etkileyen büyük bir çöküşten bu hafta hâlâ toparlanma çabasındaydı. Geçtiğimiz birkaç on yıldaki diğer büyük kesintilerin aksine, Cuma günkü kaos dışarıdan gelen bir siber saldırıdan kaynaklanmamıştır. Bunun yerine, ses evin tam da içinden gelmiştir: siber güvenlik sağlayıcısı CrowdStrike tarafından gönderilen hatalı bir Windows yazılım güncellemesi.
Microsoft, kesinti nedeniyle yaklaşık 9 milyon Windows bilgisayarın devre dışı kaldığını tahmin etmiş; bu durum Mac veya Linux işletim sistemleri kullanan CrowdStrike müşterilerini etkilememiştir. Bazı tahminlere göre, CrowdStrike olayı şimdiye kadarki en büyük bilişim teknolojisi sistemleri kesintisi olmuştur.
Pazartesi günü (22 Temmuz 2024), bazı CrowdStrike müşterileri hizmeti geri yüklemiş olsa da şirket, başarısız yazılım güncellemesini kötüye kullanarak düzeltme kisvesi altında kötü amaçlı bir indirme (malicious download[1]) dağıtmaya çalışan bilgisayar korsanları konusunda uyarmıştır. Bu arada, havaalanları uzun kuyruklar nedeniyle zorlanmış ve sağlık hizmetleri bozulan kayıt sistemlerini çözmek için çalışmıştır. Wall Street Journal, İngiltere’de birçok doktor muayenehanesinin ve eczanenin randevu planlama ve reçete doldurma konusunda eski usul yöntemlere, yani kalem ve kâğıda geri döndüğünü bildirmiştir[2].
Peki, bu kesintiye [outage] sebep olan nedir?
CrowdStrike, ana hizmetlerinden biri olan Falcon adlı bir siber güvenlik platformuna gönderdiği bir yazılım güncellemesinin, Microsoft’un Windows işletim sistemini kullanan müşterilerde kesintiye neden olduğunu kabul etmiştir. Güncellemedeki bir kusur, birçok Windows PC’nin korkunç “mavi ölüm ekranı”nı (blue screen of death) görüntülemesine ve sürekli bir döngüde yeniden başlatılmasına neden olmuştur.
Bu kusurun nedeni olarak şirketin güncellemesini yeterince test etmemesi gibi birkaç faktör suçlanmıştır. CrowdStrike da güncellemeyi kademeli olarak yayınlamamış ve bunun yerine güncellemeyi tüm Windows müşterilerine göndermiş olup; bu da büyük ölçüde eleştirilen bir diğer faktördür. Güncellemenin Cuma günü gelmesi de eleştiriye yol açmış, çünkü birçok kuruluşta hafta sonu sorunların fark edilmeden kalma riskini artırmıştır.
Yazılım şirketi Pvotal Technologies’in CEO’su Yashin Manraj, Falcon’un kurulu olduğu bilgisayarlar hiyerarşisinde nerede yer aldığının, güncellemenin ne kadar yıkıcı olduğunda etkili olduğunu ve bilişim teknolojisi iş gücünün dağıtılmış yapısının da önemli bir etken olduğunu söyledi.
Manraj, “[Sorunu çözmek] mümkünse bilişim teknolojisi operatörlerinin büfelere (kiosks) veya iş istasyonlarına (workstations) fiziksel olarak bağlanmasını, diskleri sökmesini, şifre çözme anahtarları hâlâ varsa sürücülerin şifresini çözmesini, hatalı ‘sys’ dosyasını silmesini ve yeniden başlatmasını gerektirmektedir.” dedi ve ekledi: “Çözümün kendisi karmaşık veya teknik olarak zorlayıcı olmasa da, cihazlara fiziksel olarak erişmek için çok sayıda yüz yüze iş gücü gerektirmektedir ki; bu da birçok yeni kuruluşun son zamanlarda teşvik ettiği evden çalışma felsefesi ve uzaktan kültüre aykırı bir şeydir. Müşterilerimizin bazıları havaalanlarında, görev kontrol merkezlerinde veya hatta uzaktan çalışabilen kendi destek veya yardımcı personel cihazlarında etkilenen cihazları tamir edecek müsait bilişim teknolojisi personeli bulamamıştır.”
Dayanıklılık testi [test of resilience]
Bazı gözlemciler, CrowdStrike kesintisinin büyük ve küçük tüm kuruluşların tek bir tedarikçiye olan bağımlılıklarını yeniden gözden geçirmelerine yol açacağını öngörürken, diğerleri şirketlerin böyle bir tehdide maruz kalmamak için risk yönetim prosedürlerini iki katına çıkarmaları gerektiğini öne sürmektedir.
Melbourne Üniversitesi’nde muhasebe ve işletme bilgi sistemleri profesörü olan Michael J. Davern de, The Conversation için şunları yazmıştır[3]: “(…) Cuma günkü gibi bir kesintinin riski, etkilenen kuruluşların risk kayıtlarında olmalıydı. Risk iştahımızı seçebilir ve buna göre belirlenen riskleri içinde tutmak için risk tedavilerine yatırım yapabiliriz.”
Diğerleri ise kapsamlı eğitim ve testler içeren iş sürekliliği planlamasına dikkat çekmiştir. Skillsoft’un baş ürün ve teknoloji sorumlusu Apratim “AP” Purakayastha, “[İş sürekliliği planları] ekip üyeleri için eğitim ve öğretim programları içermelidir ve üst düzey yönetim, bir sonraki kesintinin meydana gelmesi durumunda herkesin etkili bir şekilde yanıt vermeye hazır olduğundan emin olmalıdır.” dedi ve ekledi: “Bu olay, şirketlere siber ve bilişim teknolojisi planlamalarında benzer iç kesintiler olasılığını göz ardı etmemeleri için sert bir uyarı görevi görmektedir. Riskleri azaltmak ve operasyonel dayanıklılığı sağlamak için proaktif ve kapsamlı planlama elzemdir.”
[1] <https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/>
[2] <https://www.wsj.com/business/crowdstrike-outage-travel-snarl-hacking-threat-cybersecurity-16647177>
[3] <https://theconversation.com/the-crowdstrike-outage-showed-that-risk-management-is-essential-why-are-so-many-businesses-reluctant-to-do-it-235177>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.