Serdar Yalçın Fortinet Türkiye Ülke Müdürü
Şu meşhur sözü duymayanımız kalmamış olmalı: Sadece iki tip kurum vardır: Verilerinin ihlal edildiğini bilenler ve henüz bilmeyenler…
Hızla dijitalleşerek karmaşık bir ağ içindeki bileşenlerin birbiriyle bağlantılarının daha da arttığı sanal evrende, hem kurumlar hem de bireyler diledikleri noktalara ulaşıp, gruplara katılırken ve bilgilendirirken veya bilgilenirken, daha önce eşi görülmemiş fırsatlara kapılar açılıyor. Fakat bu bize başka bir gerçeği daha işaret ediyor: Sizin başkalarıyla bağ kurma olasılığınız ne kadar artıyorsa, başkalarının sizinle bağ kurma olasılığı da o kadar artıyor. Tehdit ve tehlikeleriyle gelen sanal suçlular her geçen gün daha da deneyimli ve marifetli bir hale geldikçe, dijital dünyanın olası acı gerçeklerinin her açıdan değerlendirilmemesi, hiper bağlanabilirlik dediğimiz fırsatların, muazzam bir yüke dönüşmesine neden olabilir. Kişisel verilerin korunması ve dijital güvenlik çözümlerinin, tıpkı ülkemizi koruyan savunma sistemleri kadar elzem olduğunu söylemek çok da abartı olmayacaktır.
Kişisel veri ihlali, kazara ya da yasadışı müdahalelerle kayba uğramak, kişisel bilgilere erişilmesi, değiştirilmesi, farklı bir yerde saklanarak işlenmesi ve/veya yetki verilmediği halde ifşa edilmesidir. Her yıl 28 Ocak’ta tüm dünyada kutlanan ve Avrupa takvimi için önemli dönüm noktalarından biri olan Veri Koruma Gününün de amacı veri konusundaki bu hassas dengelerin gözetilmesini sağlamaktır.
Süregiden dijitalleşme ve ekonomimizin küreselleşmesi, kişisel verilerin kontrol ve işlenmesinin giderek daha da önem kazanması anlamına geliyor. Yukarıda sözünü ettiğim gibi, bu gelişmeler müthiş fırsatlar yarattığı gibi, kişisel verileri korumanın önemi konusunda giderek artan bir kamuoyu farkındalığı ve ilgisini de beraberinde getiriyor. Avrupa Birliği’nin buna verdiği karşılık GDPR yani Genel Veri Koruma Regülasyonu.
Türkiye’de ise 2016 yılında, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” üzere yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile önemli adımlar atıldı.
KVKK, yani Kişisel Verileri Koruma Kanunu ile hayatımıza yeni kavramlar girdi. “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanan “Açık Rıza”, “Anonim Hale Getirme”, “Veri Sorumlusu”, “Veri İşleyen” gibi kavramlar üzerinden kişisel verilerimizin işlenmesine dair temel ilkeler, hak ve yükümlülükler belirlendi. Veri güvenliğine ilişkin unsurlar arasında kişisel verilerin hukuka aykırı olarak işlenmesinin ve hukuka aykırı olarak erişilmesinin önlenmesi yükümlülükleri tanımlandı. Bu yükümlülüklerin yerine getirilmemesi durumunda uygulanacak idari para cezaları belirlendi.
Avrupa veya Türkiye’de pek çok kurum için bu düzenlemelere uyum sağlamak, uzun ve zorlu süreç anlamına gelebilir. Ama iş bununla da bitmiyor. Dijital devrim büyüdükçe, siber güvenlik silahlanma yarışında her iki taraf da teknolojik ilerlemelerden nasibini alacaktır. Bu yüzden bu kanun ve düzenlemeler sürekli yeni risk değerlendirmelerine tabi tutulacak, düzenli olarak yeniden incelenecektir.
2016’da, kurumların tipik bir saldırıdan veya ihlalden haberleri olması için geçen süre ortalama olarak beş aydı. Elbette, bir saldırının finansal etkisi, korsanın erişim sağladığı sürenin uzunluğuyla doğru orantılı olduğu için tehdidin saptama zamanının kısaltılması şart. KVKK ile belirlenen İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi yükümlülüğü bu konunun önemini bir kez daha vurgulamış oldu.
Ağ Güvenliği Sorunları
Ülkemiz ve dünya genelinde yeni kanun ve düzenlemelerin içereceği en yeni savunma teknolojilerine rağmen tehditlerin evrilmesine ayak uydurmak hiç de kolay değil. Siber suçlardan sağlanan gelirin muazzam bir hacimde olması yüzünden tek bir şirketin hatta bir devletin bile kolay sağlayamayacağı bir kaynak ve inovasyon seviyesi gerekiyor. Sorunun bir kısmı siber güvenlik yollarının değişiyor olması. Keşfedilen her yeni saldırı, yeni bir güvenlik çözümünün ekleniyor olması demek. Bu ekler, amacını yerine getiriyor olsa da, bunlar ancak münferit olarak yapılabiliyor; güvenlik altyapısının geri kalanıyla etkileşime giremiyor. Bunun yönetimi hem oldukça zor hem de yeni tehditler karşısında açıklar ve istikrarsız noktaların kalma olasılığı büyük.
Her geçen gün daha da çok kullanılan mobilite, bulut teknolojisi ve Nesnelerin İnternetini de buna eklerseniz sorun iyiden iyiye büyüyor. Zira bunların her biri saldırılabilecek yeni alan demek. Yeni açıklar demek. Geleneksel ağ sınırı kavramı artık geçerli değil.
Son teknoloji bir silah: Fortinet Security Fabric
Hiç durmadan ilerleyen bu süreçteki en temel rol, yeni tehditleri erkenden saptayarak saldırıları önleyecek ve ciddi ihlal riskini en aza indirebilecek olan ağ güvenliğine düşüyor. Bu da kapsamlı, güçlü ve otomasyonla işleyecek bir güvenlik yaklaşımı demek. Fortinet burada devreye giriyor.
Fortinet Security Fabric, Fortinet’in bu noktada beklenen faydaları sağlayacak güvenlik çözümleri portföyünün kolektif gücünü ve istihbaratını içeren bir vizyon.
Ölçeklenebilir ve birbirine bağlı olmanın yanı sıra farkındalık gücü yüksek, eyleme hazır tehdit istihbaratı ve açık API standartlarıyla harmanlanan Fortinet’in güvenlik çözümleri en zorlu kurumsal ortamlarda bile kusursuz koruma sağlayarak, güvenlik etkinliği ve performansı konusunda sektörün en bağımsız sertifikalarına sahip olan çözümler olarak tanınıyor. Fortinet Security Fabric vizyonunun gerçekleştirildiği bu çözümler, eski ürünlerin bıraktığı boşlukları kapatarak, günümüz kurumlarının fiziksel, sanal ve bulut ortamlarında ihtiyaç duyduğu kapsamlı, güçlü ve otomatik uçtan-uca koruma sağlıyor.
Kişisel verileri koruma yönündeki GDPR ve KVKK gibi düzenleme ve yasaların adreslediği sorunlar tek başına teknoloji ile çözülecek diyemeyiz ama ‘son teknoloji’ bir ağ güvenliğinin en gerekli adım olduğu açık. Ciddi bir veri ihlalinin yol açacağı ürkütücü sonuçlarla yüz yüze gelmemek için hem ağa karşı yapılan saldırıların sayısını hem de bu tehditleri saptama süresini en aza indirmek hiç olmadığı kadar önemli.
Burada Fortinet Security Fabric çözümünün altını çizdik çünkü adından da anlaşılacağı gibi burada güvenlik altyapısının tüm kilit bileşenleri kusursuz bir doku içine örülerek tasarlanmış. Kapsamlı, güçlü ve otomatik olmak üzere üç ana özelliği ile günümüzün sınır tanımayan, yüksek bant genişlikli ve karmaşık ağlarını, her geçen daha da gelişen siber saldırı belasından koruma sorusuna eşi benzeri olmayan bir karşılık veriyor.
Sözün kısası, gerek KVKK gerekse GDPR gibi kişisel verileri koruma amaçlı düzenlemelerin amacına ulaşabilmesi için güvenlik altyapısının tüm kilit bileşenlerinin kusursuz bir doku içine örülmüş olması gerekli.
