Deniz TÜRSEN - dtursen@hurriyet.com.tr
Oluşturulma Tarihi: Nisan 24, 2015 18:32
Tüm dünyada, hem kamu hem de özel sektörde gerçekleştirilen siber saldırılara karşı hükümetler, bazı önlemler almaya çalışıyor. Türkiye’de de kritik sektörlerdeki kurumların Siber Saldırılara Karşı Müdahele Ekibi kurması zorunlu hale getirildi. Bu ekiplere girebilmek için IT’de deneyimli olmak ve özel eğitimler almak gerekiyor.
Teknoloji geliştikçe insanların hayatı değişiyor. Bu değişim, hayatı bir yandan kolaylaştırırken bir yandan da daha önce var olmayan sorunlar ortaya çıkıyor. Bu durumu en iyi anlatan örneklerden biri internet kullanımının iş hayatında yaygınlaşmaya başlamasıyla geliştirilen pratik çözümler ve beraberinde getirdiği sorunlar.
Artık çalışanlar, ihtiyaç duydukları bilgilere saniyeler içinde ulaşabiliyor.
Siber güvenliğinin yeterince iyi sağlanamadığı durumlarda ise verilerin çalınması ve üçüncü şahısların eline geçmesi kaçınılmaz oluyor. Şirketler bu nedenle çok büyük zararlara uğrayabiliyor. Henüz hafızalarımızda taze olan, Sony’e yapılan
siber saldırı buna iyi bir örnek. 2014 Kasım ayında Sony Pictures hacklenmiş ve henüz vizyona bile girmeyen birkaç
film internette yayınlanmıştı. Sony’den yapılan açıklamada hackerların şirketi en az 15 milyon dolar zarara uğrattığı açıklanmıştı.
Bu örnekteki gibi, değerli verileri online ortamda saklayan şirketlerin, siber saldırılar nedeniyle büyük zararlara uğrama ihtimali bulunuyor. Artık kurumlar, ya siber güvenlik konusunda uzmanlaşmış kişilerden hizmet alıyor ya da bu kişileri istihdam etmek zorunda.
Saldırılara karşı SOMETürkiye’de 11 Kasım 2013 tarihli resmi gazetede yayınlanan tebliğ ile bazı kurumların, ‘Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” kapsamında Siber Olaylara Müdahale Ekiplerini (SOME) kurmaları gerekiyor. SOME’ler ile birlikte Türkiye’nin siber olaylara karşı müdahale yeteneğinin artırılması planlanıyor.
Bazı kurumlarda zorunluTüm kamu kurumlarının ve kritik altyapı olarak adlandırılan sektörlerde yer alan özel şirketlerin SOME kurma zorunluluğu bulunuyor. Kritik sektörlerin listesi Siber Güvenlik Kurulu tarafından belirleniyor. Kurul, enerji, elektronik haberleşme, finans, ulaşım, su yönetimi ve kritik kamu hizmetlerini kritik sektör olarak belirlemiş durumda. Örneğin, bütün bankalarda, BDDK’ya bağlı sektörel SOME ile entegre çalışacak kurumsal SOME’lerin kurulması bekleniyor.
Dolayısıyla, SOME’lerin kurulması için, bu ekipte yer alabilecek kişilerin eğitimleri ön plana çıkıyor. ADEO Bilişim ve Danışmanlık Hizmetleri’nin Ankara Ofisi Genel Müdürü Halil Öztürkci bunu “Şu an SOME tarafında kurumlarda ciddi bir hazırlık var. Kurumlar ciddi eğitim alma ihtiyacı ve eğitim alma arayışı içerisinde” sözleriyle aktarıyor.
Yasal düzenlemede, kurumların SOME’leri kendi bünyelerinde kurmaları bekleniyor. Ancak, güvenlik açıklarının tespit edilebilmesi için gerekli olan bazı testlerin yapılması gibi ekstra fonksiyonların gerektiği durumlarda dışarıdan başka firmalarla da çalışılabiliyor.
Minimum 5 kişiTebliğde, SOME’lere ait birden fazla görev tanımı var. Bunlar arasında sızma testi yapılması, olay müdahalesinin gerçekleştirilmesi, regulasyon ve uyumluluk yönetimi bulunuyor. Öztürkci, bunların her biri için ayrı personel görevlendirildiği öngörüldüğünde her bir SOME için minimum 5 kişiye ihtiyaç duyulabileceğini belirtiyor. Tebliğde ise ekiplerin kaç kişiden oluşması gerektiğine dair bir madde bulunmuyor.
SOME’ye girecek kişiler, IT içindeki kişilerden seçiliyor. SOME eğitimleri de, kurumların hali hazırda IT alt yapılarında çalışankişilere veriliyor.
SOME’lerde hem siber olay öncesinde yapılması gereken çalışmalarla ilgili uzmanlıklara, hem de siber olay anında ve sonrasında yapılması gerekenlerle ilgili uzmanlıklara ihtiyaç var.
1.500 SOME kuruldu
Enerji, finans, ulaşımda hizmet veren firmaların ve kurumların siber saldırıya uğraması riskli. Öztürkci, bugüne kadar Türkiye’de yaklaşık 1.500 SOME kurulduğunu belirtiyor.