Güven ya da güvenlik; dünyanın oluşumuyla birlikte var olan ve hayatın her alanında büyük önem taşıyan iki kavram. İlk zamanlar can güvenliği olarak ortaya çıkan bu kavramlar, daha sonra mal güvenliğinin de dahil olmasıyla farklılaştı. Son zamanlarda en çok duyduğumuz güvenlik kavramı ise; bilgi ya da bilgi teknolojileri güvenliği.

Hepimizi yakından ilgilendiren bu güvenlik ya da güvensizlik sorununu işin uzmanına sorduk. CA Türkiye çözüm ortakları yöneticisi Taylan Dedeoğlu'na gittik ve son zamanlarda bu alanda yaşanan gelişmeleri, insanların bu konudaki duyarlılığını ve en iyi güvenlik yöntemlerini konuştuk. Ve işte öğrendiklerimiz...

Türkiye'de bilgi teknolojileri (BT) güvenliği konusu nasıl bir gelişme gösterdi?

Türkiye'de BT güvenliği konusunda gelişme aslında büyük ve ana şirketlerin çabalarıyla gelişti diyebiliriz. Son kullanıcı tarafına baktığımızda ise, bu konudaki bilincin yavaş yavaş oluştuğunu ve hala da gelişmeye devam ettiğini görüyoruz. Yani aslında henüz tam bir bilinçlenmişlikten söz edilemiyor. Tabii ki burada ekonomik koşulların da göz önüne alınması gerek; fakat birçok konuda olduğu gibi güvenlik konusunda da maalesef gelişmeler öngörülebilir olarak değil, yine sorunlarla karşılaştıkça bir ilerleme söz konusu. Yani şirketler önce virüs felaketleri yaşadılar, sistemlerine girildi ve yaşanan bu ve benzeri tatsız deneyimlerden sonra önlem almak aklımıza geldi. Dolayısıyla da yapılacak yatırımların kesinlikle ileriye dönük ve tüm hususları içerecek şekilde planlanması en doğrusu.

Türkiye'de BT güvenliği konusuna şu anda kullanıcıların yaklaşımını değerlendirebilir misiniz? Sizce bu gösterilen hassasiyet yeterli midir?

Türkiye'de kullanıcıların yaklaşımı biraz önce de belirttiğim gibi belli konularda oturmuş değerlere sahip, belli konularda ise vurdumduymaz bir tutum içerisinde. Önce virüsler çıktı birçok felaket yaşandı; sonra antivirüsler alındı. Ardından korsan saldırısı örneklerini yaşadık; bu kez de kullanıcılar güvenlik duvarı edinmeye başladılar. Şimdi sırada casus yazılımlar var. Umuyoruz, bu kez bu tehlikeli yazılımlar kullanıcıların canını yakmadan gerekli önlemler alınır.

Kullanıcılar özellikle karşı casus yazılımlar konusunda hala aktif koruma sağlamayan, çalışanlar tarafından işlerine ara verilerek manuel olarak güncellenmesi ve taratma yapılması gereken ücretsiz yazılımlar ümit bağlamış durumdalar. Esas amaçları bilgi çalmaktan, işi kesintiye uğratmaya kadar çok geniş bir yelpazede şekillenen bu yazılımlar; dolaylı da olsa, aslında amaçlarına ulaşmış oluyorlar. Zira, bu tip ücretsiz yazılımlarda güvenliğin belli aralıklarla kullanıcı tarafından sağlanması gerekmekte. Ayrıca şirketinizin BT-Bilgi Teknolojileri güvenliğini, BT departmanınız yerine esas görevi bambaşka işler olan çalışanlarınıza bırakmak da ne kadar sağlıklı onu da tekrardan düşünmek gerek.

BT Güvenliği açısından varolan ve potansiyel tehlikeler hakkında neler söylemek istersiniz?

Günümüzün BT güvensizliği en çok İnternet bankacılığında yaşanıyor. Ya da başka bir deyişle en kolay ve hedef odaklı çıkar oradan sağlandığı için, İnternet Bankacılığı öncelikli hedefi oluşturuyor. Tabii ki bütün bir MP3 arşivini çalmak da cazip gibi görünebilir ama İnternet Bankacılığı suçlarında hedefe direkt ulaşmak mümkün. Dolayısıyla da kafalar hep bu yönde yenilikler geliştirmek, akla en gelmedik metotları keşfetmek üzerine çalışıyor.

Potansiyel tehlikeleri anında mesajlaşma programlarında kimliğinizin ya da kişiliğinizin çalınarak normalde yapmayacağınız şeylerin siz yapıyormuşçasına gösterilmesinden (mesela arkadaşlarınızdan borç alınmasından, şirket ağınıza girilip firma bilgilerinizin farklı amaçlar için kullanılmasından), banka hesaplarının sıfırlanmasına kadar geniş bir aralıkta çeşitlendirebiliriz.

Dünyada bu konuda yapılan çalışmalar ne durumdadır?

Dünyada bu konuda birçok çalışma yapılıyor. Belli tehditler belli ortamlara oturtulmuş ve önlemleri de üretilir durumda. Bu konuda özellike CA Advisory Team'in oynadığı rol çok

büyük. CA Advisory Team 5 farklı ülkede (ABD, İngiltere, Almanya, Avustralya, İsrail) yer alan büyük bir ekip. Bu ekibin tek görevi de İnternet üzerinde var olan ve yeni çıkan tüm tehditleri anında tespit etmek ve karşı önlem geliştirerek güncelleme dosyalarını oluşturmak. Dolayısıyla CA ürünleri kullanılan yapılarda, özellikle son çıkan yeni sürümlerdeki yeni teknolojilerle en son güncellemeyi çok kısa bir sürede yapmak ve güvenliği en üst seviyede sağlamak mümkün.

Diğer ayrıcalıklı bir durumda, eTrust Pest Patrol ürününde söz konusu. Burada amaç gerçek casus yazılımı tanımlayıp saptayarak önlemini almak. Bunu yapabilmek için casus yazılımlar konusunda ciddi anlamda bir birikim ve çalışma gerekiyor. CA Advisory Team bu konuda da önemli bir birikime sahip olduğu için, eTrust Pest Patrol gerçek anlamda nokta atışı yapma yeteneğine sahip bir ürün. Bu ve kurumsal ortamlarda yönetilebilme özelliği sayesinde de uç noktadaki kullanıcı ve makineye hiçbir yük getirmeyip yanlış alarmlar vererek; işi de kesintiye uğratmıyor.

Kurum ve kullanıcılar açısından baktığımızda şu anda güvenliğini en çok tehdit eden veya güvenliğe en çok zarar veren unsurlar nelerdir? Bunlara karşı ne gibi önlemler alınabilir?

Bugün şirketlerin en büyük iki değeri tehdit altında. Bunlar aynı zamanda şirketlerin varoluş amacı da. Bu iki önemli değer bilgi ve nakit. Bu değerler sahibi olan şirketler kadar, rakipleri vb. için de önemli değer taşıyor. Bilgi sayesinde nakit yaratılıyor, nakit bilgiye dönüşüyor. Bunlardan bir tanesinin kaybolup gitmesi; ya da yanlış ellere geçmesi şirketlere ciddi anlamda zararlar verebiliyor. Her ikisinin de gittiği durumlarda ise, çok büyük ihtimalle yapılacak tek şey kapıya kilidi vurmak.

Her iki değer için de çözüm mevcut. Bir tanesi gerçek anlamda yönetilebilir yedekleme ve güvenlik ürünleri. Bu değerler için en büyük tehdidi casus yazılımlar oluşturuyor. Zira casus yazılımların esas hedefleri bilgi ve bilgi üzerinden nakit. Önlemin bunlar dışarıya sızmadan önce alınması gerekmekte. Sonradan alınacak bir önlemin maliyeti ölçülebilecek ya da katlanılabilecek boyutlarda değil.

CA olarak sizin bu konuya yaklaşımınız ve güvenlik grubuna ait çözümleriniz nelerdir?

CA bu konularda dünyada ciddi anlamda çözümler üreten ve endüstri standartlarını oluşturan bir şirkettir. CA olarak yedekleme ve güvenlik çözümlerimiz iki ana marka altında toplanıyor. Yurdumuzda önemli ölçüde yaygınlığa ulaşmış BrightStor Yedekleme Ürünleri ile eTrust Güvenlik Ailesi Ürünleri.

Özellike BrightStor ARCserve Backup yedekleme çözümümüz Türkiye'de ciddi anlamda yaygınlığa sahip bir ürün. Bunun en önemli nedeni; kullanım kolaylığına sahip gerçek anlamda yönetilebilir ve bu özellikleri çok uygun fiyatlara veren bir yedekleme yazılımı olması. ARCserve'ün ayrıca taşınabilir ve masaüstü bilgisayarlara yönelik ve istemcilerde sunucuya doğru oluşturulan politikalar çerçevesinde yedekleme yapan ürünü de mevcut.

eTrust tarafında ise, Integrated Threat Management (Bütünleşik Tehdit Yönetimi) kavramı adı altında eTrust Antivirüs ve eTrust Pest Patrol ürünlerini tamamen birbirine bütünleşik şekilde bulmak mümkün. Bu yeni ürünün önemli bir özelliği ise, ürüne bu sürüm ile eklenen Web tabanlı yönetim konsolu. Bu özellikle olası bir kriz durumunda BT yöneticileri duruma nerede olurlarsa olsunlar, müdahale etme imkanına sahip hale geliyorlar. Ayrıca bu ürünlerin haberleşme ağı ortamına uygun ve gerçek anlamda yönetilebilir olmaları; kuruldukları makinenin performansını minimumda etkilemeleri, gerçek zamanlı aktif koruma ve otomatik güncelleme özellikleri eTrust güvenlik ailesi ürünlerini farklı ve oldukça iddialı kılıyor. İddiasız olan fiyatı ise diğer önemli bir özelliği.

Türkiye'deki kurum ve kullanıcılara güvenlik konusunda özellikle vurgulamak istediğiniz noktalar varsa aktarabilir misiniz?

Yukarıda da belirttiğim gibi güvenlik ve özellikle de casus yazılım tehlikesi üzerinde çok ciddi anlamda düşünülmesi ve önlem alınması gereken bir konu. Yine özellikle İnternet Bankacılığı ve İnternet üzerinden yapılan ticaretten örnek vermek gerekirse; ticaret yaptığınız kurumun ve/veya bankanızın sitesi ne kadar güvenli olursa olsun, sizin bu sitelere ulaştığınız sisteminiz güvenli değilse, bu kurumların yapabileceği çok fazla birşey kalmamış oluyor.