Yabancı yazılımlara dikkat! Büyük risk kapıda

Yabancı yazılımlara dikkat! Büyük risk kapıda

Gizlilik ve güvenlik noktasında kritik ortamlarda yabancı yazılımın büyük riskleri olduğunu söyleyen Netsparker CEO’su Ferruh Mavituna, “Yerleştirilmiş bir arka kapı, üçüncü şahıslar ile istenmeyen veri paylaşımı, teknik desteği sırasındaki kişisel bilgi paylaşımları bunlardan ilk akla gelenler. Bunlar ve benzeri birçok olayın sadece teorik olmadığını ve birçok ülkede uygulandığı gördük. Birçok sızan belge ile de benzer olaylar kanıtlandı” diyor.

Yaklaşık 24 saat gibi kısa sürede güvenlik analizinin yapılabilmesine izin vererek, büyük kurumların ihtiyaçlarına cevap veren Netsparker ürünü; bugün Intel, NASA gibi dev şirketler tarafından kullanılıyor. Netsparker CEO’su Ferruh Mavituna, söz konusu ürünün detayları ile siber güvenlik yazılımlarına dair görüş ve öngörülerini paylaştı.

*Uluslararası alanda da adı sıkça duyulan Netsparker ürününüz hakkında bilgi verir misiniz?
Netsparker otomatik olarak web sitelerinde ve web servislerindeki güvenlik açıklarını bulan bir uygulama. IBM ve HP gibi firmalar muadili ürünleri var fakat Netsparker’ın bu ve diğer tüm ürünlere göre bir avantajı var. Bulduğu güvenlik açıkları için “kanıt” üretebiliyor, dolayısıyla “False Positive” diye isimlendirilen yanlış raporlama yapmıyor. Bunu dünyada ilk ve tek yapan biziz. Ek olarak iki sene önce Netsparker Cloud isimli ürünümüzü piyasaya sürdük, bu da binlerce web sitesinin 24 saat gibi kısa sürelerde güvenlik analizinin yapılabilmesine izin veren, büyük kurumların ihtiyaçlarına yönelik bir ürün.
Şu an Intel, NASA gibi dünyaca büyük kurumlar binlerce web sitesi için Netsparker kullanıyorlar. Türkiye dâhil olmak üzere dünyanın birçok ülkesinde ticari kurumlarda, kamu kurumlarında, özellikle savunma ya da istihbarat gibi kurumlarında da kullanılmakta.

*Yazılımlarda “millilik” seviyesi neye göre belirlenmelidir ve nelere dikkat edilmelidir?
En önemli konu kaynak kodun tam olarak kontrolde olmasıdır. Diğer bir önemli konu da, üçüncü parti kapalı kaynak kod ya da tamamen analizi yapılmamış kütüphane veya ürünlerin üzerine yazılım inşa edilmemesidir. Defalarca gördük ki, birçok kütüphane ve ürünün, güvenlik açıkları bu ürünlerin yazıldığı ülkeler tarafından yerleştirilmiş “arka kapılara“ sahipler. Bu açık kaynak kodlu kütüphane ve ürünlerde de oldu. Çoğu zaman bunların yerleştirilme yapısından dolayı gerçek bir hata mı yoksa bilinçli bir arka kapı mı olduğu sorusu havada kaldı. Gerçek şu ki bu yazılımlardaki güvenlik açıkları bunları kullanan kurumlara, saldırganların -şahıs veya devlet destekli kişiler- girebilmesine imkân sağladı.
Özetle, ürünün her parçasının kontrolü detaylı yapılmalı veya daha da iyisi ürün baştan sona, dışarıdan herhangi bir kütüphane ya da kod kullanılmadan yazılmalı. Bu Ar-Ge’nin gelişmesine de imkân sağlayacaktır. Aksi takdirde milli yazılımın güvenlik açısından en büyük avantajını kaybederiz.

*Türkiye’deki enerji sektöründe kullanılan yabancı menşeli yazılımların risk oluşturduğunu düşünüyor musunuz, neden?
Tüm güvenlik ve gizlilik açısından kritik ortamlarda yabancı yazılımın büyük riski var. Sizin menfaatinizi düşünmeyen, kanunlarınızdan etkilenmeyen, kendi devletlerindeki kanunlara uymak zorunda olan firmaların ürünlerini kullanmak ve güvenmek, birçok risk doğuruyor.
Bariz olarak yerleştirilmiş bir arka kapı, üçüncü şahıslar ile istenmeyen veri paylaşımı, teknik desteği sırasındaki kişisel bilgi paylaşımları bunlardan ilk akla gelenler. Bunlar ve benzeri birçok olayın sadece teorik olmadığını ve birçok ülkede uygulandığı gördük. Birçok sızan belge ile de benzer olaylar kanıtlandı.

*Kamu kurum ve kuruluşlarında yapılan penetrasyon testlerinde risk oluştuğunu düşünüyor musunuz? Düşünüyorsanız, bu risklerin azaltılması hususunda, hizmet alınan firmalarda ne tür özellikler aranmalıdır?
Çok ciddi riskler var. Her şeyden önce bu kurumlar testler sırasında bir çalışan gibi ya da içeride belli bilgilere sahip kişiler gibi bu testleri yapıyorlar. Yani gerçek bir saldırgana kıyasla daha fazla hakları, erişimleri olabiliyor.

Bunun yanında eriştikleri sistemlerde neler yaptıkları, arka kapı bırakıp bırakmadıkları, eriştikleri önemli dokümanları nasıl sakladıkları, saklama koşulları gibi birçok şeyi bilmek mümkün değil.
Maalesef buradaki riski egale etmek çok zor ama tabii ki riski düşürmek için çalışmalar yapılabilir. Türk Standartları Enstitüsü (TSE) bu konuda bazı çalışmalar yaptı, bunu sertifikasyona bağlamak gibi. Bu sayede testleri yapılacak kişilerin sabıka kaydından daha geniş kontrollerden geçirilmesi, firmaların genel analizi, bilgiyi saklama pratikleri gibi birçok ekstra kontrol getirilebilir.

*Türkiye’nin siber güvenlik noktasındaki konumunu nasıl değerlendiriyorsunuz?
Maalesef bu konuda çok zayıfız. Bunun nedeni bu olaya bakış ciddiyetimizin çok geç gelişmiş olması. Ben 2009’da Bilgi Üniversitesi’nde düzenlenen “Bilişim Suçları Konferansı’nda “Bireysel ve Kamuya İlişkin Olarak Alınması Gereken Tedbirler ve İnternet Suçlularının Takibi” başlıklı bir konuşma yapmıştım. Bu konuşmamda rakamlar ve deliller ile 2009 itibariyle Türkiye’de devletin ve kamu kurumlarının genel olarak ne kadar güvensiz olduğunu, bu sorunun ciddiyetini, birçok yabancı ülkenin hali hazırda buralara sızmış olmama olasılığının düşüklüğünü, bunların düzelmesi için yapılması gerekenleri detaylı bir şekilde anlattım. Maalesef aradan 6-7 sene geçtikten sonra devlet seviyesinde bu konular ciddiye alınmaya başladı.

Aslında 2004-2007 senelerinde Türkiye’de Emniyet ve Askeri bazı konumlar bu konuya aktif ilgi gösteriyordu, hatta bu dönemlerde ben kendilerine kapsamlı eğitimler verdim ve sunumlar yaptım. Maalesef bunların birçoğu yerel çalışmalar olarak kaldı ve organize yapılanmaya gidilmedi. Buna rağmen güzel birkaç gelişme oldu, mesela oradaki eğitimlerdeki ekip İstanbul Emniyet altında o zamanki adı ile “Bilişim Sistemleri ve Suçları Şube Müdürlüğünü” kurdu. Bu Türkiye’nin ilk Bilişim Suçları ile Mücadele Şube Müdürlüğüdür. Bu temel yapının bile genele yayılması 2012 yılında oldu. Genel olarak durumu analiz etmeye çalışırsam, maalesef Türkiye’nin dünyadaki benzerlerine göre bu konuda 10 sene geride olduğunu gözlemliyorum.

Categories: FİRMA RÖPORTAJLARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*