Keepnet Labs’in düzenlediği “Lojistik alanında siber güvenlik” konulu webinarda, lojistik sektörünü ilgilendiren temel siber tehditler ve geliştirilmesi gereken güvenlik stratejileri tartışıldı.
Lojiyol.com Haber Sitesi Kurucu ve Yayın Yönetmeni Ercan Tosunoğlu’nun moderatörlüğünde gerçekleşen webinara Ekol Lojistik Bilgi Güvenliği Yöneticisi Okan Şengül, Kolay Gelsin Bilgi Güvenliği Mühendisi Ersin Erol ve Keepnet Labs Avrupa, Orta Doğu ve Afrika Bölge Müdürü Erdinç Balcı katıldı.
Tosunoğlu açılış konuşmasında lojistik sektörünün son yıllarda son derece büyük bir ivme katettiğini belirterek, “Sektörde bilişim teknolojileri kullanılmaya başlandı. Özellikle Covid-19 pandemisi döneminde e-ticaret hacmi arttı. Sonuç olarak bilgi güvenliği konusu da gündeme geldi. Sektörün bu alanda gelişmesiyle güvenlik endişelerini de beraberinde getirdi ve siber saldırılar arttı.” dedi.
"Siber güvenlikte tek bir halka koparsa, tedbirler boşa çıkıyor"
Siber saldırılar konusunda sektörün durumuna ilişkin değerlendirmelerde bulunan Kolay Gelsin Bilgi Güvenliği Mühendisi Ersin Erol, sahada iki tehdit söz konusu olduğuna işaret ederek;
“Birincisi zaman kavramı, ikincisi siber tehditler. Zaman kavramını çok iyi yönetiyoruz. 3-5 gün değil artık dakikalarla yarışır hale geldik. İkinci kısım da yazılım tarafı. En çok tehdidi farklı birçok sektörde olduğu gibi fidye yazılım tarafından görüyoruz. Burada da 3 farklı faz görüyorum. İlki bu zararlı yazılımı müşterime hiç gelmesin. İkinci faz ise bir çalışanıma ya da müşterime bu zararlı e-mail geldiğinde farkındalık olayını nasıl aşacağım? Üçüncü faz ise bir linke tıklandığında ne yapabileceğim? Bundan sonrası çok zor olabiliyor. Yapmak istediğimiz birinci ve ikinci fazda bu işi önlemek. Siber güvenlikte zincirin tek bir halkasının kopması alınan tüm tedbirlerin boşa çıkmasına neden oluyor.” diye konuştu.
Birçok firmanın söz konusu siber tehditlerin farkına varamadığını vurgulayan Erol, e-mail güvenliği tarafının tedbir alınması gereken önemli nokta olduğunu ifade etti.
Ekol Lojistik Bilgi Güvenliği Yöneticisi Okan Şengül ise sektörün durumuna ilişkin şöyle konuştu: “İlaç sektöründen, e-ticaret müşterilerine ve tekstil alanında faaliyet gösteren birçok firmaya kadar hizmet veriyoruz. Bu hizmeti sağlarken en önemli unsurlardan biri bilgi güvenliğinin önemli yönlerinden biri olan bilginin gizliliği, bütünlüğü ve erişilebilirliği konusu bizim için çok hassas. Öncelikle bir atak olmadan bunun engellenmesi için risk çalışmaları yapılıyor. İzlemeler ve ürünlerden ortaya çıkan çeşitli analiz ve raporlar dahilinde elektronik anlamda yatırımlar yapıyoruz. Birçok siber güvenlik ürününe sahibiz.”
"Başımızı en çok fidye yazılım saldırıları ağrıtıyor"
Siber saldırılara karşı hazır olmak için farkındalık geliştirmeye dikkat etmek gerektiğinin altını çizen Şengül, “Bu konuda ne kadar yatırım yapıp kendinizi güçlü hissederseniz edin burada süreçler ve insan faktörü devreye giriyor. Siber güvenlik ürünleri dışında yapmaya çalıştığımız şeylerin başında çalışanların farkındalığını artırmaya çalışıyoruz. Bir siber saldırı başımıza geldiği zaman iş sürekliliğimizi nasıl devam ettirebileceğimiz konusunda onlarla fikir alışverişi yapıyoruz. En çok başımızı ağrıtan fidye yazılım saldırıları. Bunları engellemek için birçok önlemimiz var ama günde bin tane belki daha fazla e-posta geliyor. Burada bir tanesini bile kaçırsanız bile başınıza çok büyük dertler gelebilir.” dedi.
Dışarıdan hizmet alınan üçüncü parti firmalardan gelebilecek risklere ilişkin bir soruya ise Şengül, “Tedarikçi yönetim portalımız var. Öncelik tedarikçi değerlendirme sürecimiz bulunuyor. Satınalma bölümü bu konuda bizim dışımızda hukuk departmanından da destek alıyor. Onaylı tedarikçi olmak için uyulması gereken kriterler var. Bu konuda bilgi güvenliğini ön sıralara aldık. Herhangi bir regülasyona tabi mi, bir sertifikası var mı? Yoksa bunla ilgili çalışmaları nelerdir? Bu konudaki puanlama başka şeylerin üzerinde tutuluyor. Tedarikçi ile bir elektronik bağlantı ve veri transferi olacak mı? Bu konuda prosedürlerimiz var ve uyulmasını sağlıyoruz.” diye konuştu.
Şengül, ayrıca müşterilerden gelen denetimler sonucunda da stratejiler geliştirdiklerini ve ortaya çıkan zafiyetlerler ilgili son derece şeffaf davrandıklarını sözlerine ekledi.
Geçmişteki saldırılarda tedarikçi ve müşteri tarafında ciddi zafiyetler oluştuğuna dikkat çeken Erol, “Ben tedarikçileri her boyutuyla değerlendiremezsem ciddi problemler yaşayabilirim. Saldırı gerçekleşmeden önlemeye odaklanmak gerekiyor çünkü zararlı linke tıklandığında işler çok daha zor hale gelebiliyor.” ifadelerini kullandı.
Olası bir fidye yazılım saldırısında yaşanacak en kötü senaryonun ne olduğuna ilişkin bir soruyu ise Erol, “Son dönemde karşımızda gerçekten bir üst akıl var. İçeriye sızma olduktan sonra haftalarca içeride kalınıyor. 3-5 ay kalıp SAP sisteminde ne kadar geliri ve gideri var hepsi raporlanıyor. Nerede ne tedbir uygulanmış bu 3-5 ay sonra karşımıza çıkabiliyor. Karşımızda böyle bir akıl ve yapı olduğunun farkında olarak hareket etmemiz gerekiyor.” şeklinde yanıtladı.
"Milyonlarca dolarlık sistemde, farkındalık eksikliği nedeniyle ciddi sorunlar yaşanabilir"
Farkındalık eğitimlerinin çoğu zaman yeterli olmadığını söyleyen Kolay Gelsin Bilgi Güvenliği Mühendisi Ersin Erol, “Ben bir eğitim verdim ama bu yetmiyor. Standart penetration testi yine yetmiyor. Benim bunun etkinliğini de ölçmem lazım. Bunun bir tatbikata da girmesi lazım. Milyon dolar yatırılmış çok güzel bir sistem kurulmuş ama içerideki bir farkındalık eksikliği nedeniyle çok ciddi problemlere neden olabiliyor.” diye konuştu.
Şengül ise fidye yazılım tehdidine ilişkin bütün senaryoların hazır olması gerektiğine işaret ederek, “Öncelikli buna hazırlıklı olmak lazım. Beni hedef almazlar ya da IT ekibim çok güçlü dememek gerekiyor. Tatbikatları düzgün yapmak lazım.
Saldırı anında durumu toparlamak sadece birilerinin üzerine kalmamalı ve müşterilere yapılacak açıklamaya kadar hepsi önceden belirlenmeli. Birçok sektörde birçok firmanın başına gelebilir. Bundan 3-5 sene önce bu konulardan bahsettiğimizde efsane gibi algılanırdı. Eskiden saldırı yapanların motivasyonu çok farklıydı. Şimdiki saldırganlar bu saldırılardan para kazanmayı hedefliyor. Hedefledikleri paralar da sizin cironuzla ilgili.” ifadelerini kullandı.
"Farkındalık eğitiminde anlayış değişikliğine ihtiyaç var"
Siber güvenlik sektöründeki istihdam açığına ilişkin bir soruya cevap veren Şengül, “Yetişmiş elemanın da dışında bu işi öğrenmek isteyen hevesli arkadaşları da bulmakta zorluk çekiyoruz. İnsan kaynağı olarak bizim arkadaşlarımız çok değerli. Hem kendi ekibim hem de sektörde emek harcayan arkadaşlarım benim için çok değerli. Çok büyük bir özveri sabır, bilgi gerektiren bir işle uğraşıyoruz. Bu işin bir mesaisi yok. Belli bir kalıbı yok. Stresli ve sorumluluğu fazla.”
Personel anlamında ciddi bir sirkülasyon olduğuna değinen Şengül, “Hiç olmazsa gittikleri firmalar yetişmiş bir insan kazanmış oluyorlar. Diğer firmaların da son zamanlarda yetiştirmeye daha fazla ağırlık verdiklerini düşünüyorum. Yetişmiş elemanlarını böyle bir ortamda tutmakta zorlanıyoruz. O yüzden dışarıdan hizmet alıyoruz. Çok daha iyi yapıyoruz. Çünkü oradaki kaynak çok daha fazla elimizdekinden. Oradan her konuda yetişmiş insan bulabiliyoruz. Malware analizinden incelenecek loglara kadar her konuda farklı uzmanlıkta arkadaşlar olduğu için işi o tarafta çözdük. Hem izleme bakımında kullandığımız ürünlerin bazılarının takibini onlara verdik. 7/24 izliyorlar.”
Erol ise nitelikli istihdam sorununa ilişkin, “Yetişmiş insan açığı var. Konuyla ilgili pozisyon bulmak, konumlandırmak, adaptasyon gibi konular gerçekten ciddi maliyet ve zaman isteyen kavramlar.” değerlendirmesinde bulundu.
Dışarıdan hizmet alımına da değinen Erol, “Farklı firmalarla da çalışıyoruz. Fidye yazılım saldırısını yapanlar firmaların nereye back-up aldığını ve back-up periyotlarını biliyorlar. Sektörden hizmet alırken bunu da göz önünde bulundurarak etkinliğimizi artırmamız gerekiyor. SOC tarafı olsun, alarm konuları olsun olabildiğince günceli takip ederek tedbir alıyoruz.” ifadelerini kullandı.
"Katmanlı güvenlik ürünleriyle siber riskleri minimize ediyoruz"Keepnet Labs Avrupa, Orta Doğu ve Afrika Bölge Müdürü Erdinç Balcı ise “Bir e-posta ile herhangi bir lojistik şirketi zarara uğratılabilir mi?” şeklindeki bir soruya lojistik sektörünün son dönemde önemli bir noktaya geldiğini vurgulayarak, “Covid-19 sürecinin fotoğrafını çektiğimizde, lojistik sektörünün hayatımızda ne kadar önemli bir yer edindiğini görüyoruz. Bu durumu saldırganlar da gözden kaçırıyor değil. Buradaki gelir artışı inanılmaz büyüdüğü için saldırganlar daha fazla atak yapmaya başladı. Bir e-posta bir şirketi bulunduğu konumdan kesinlikle aşağı çekebilir, itibarsızlaştırır. Çünkü yüzde yüz güvenlik diye bir şey yok. Hep katmanlı güvenlik ürünleri kullanarak bu riskleri minimize etmeye çalışırız. Hep atladığımız temel unsur da şudur: İnsan faktörü.” ifadelerini kullandı. Güvenliğin sadece güvenlikçilere bırakılabilecek bir iş olmadığına işaret eden Balcı, “Tüm şirketin bu güvenlik anlayışını benimsemesi gerekiyor. Birçok sektörde anlık işlemleri görmezden gelebileceğiniz yerler var ama lojistik sektörü öyle değil. Operasyonel maliyeti çok yüksek.” diye konuştu. Çok yakın dönemde çok büyük bir uluslararası lojistik şirketinin başına fidye yazılım vakası geldiğini hatırlatan Balcı, “Ciddi bir itibar kaybı. İşin sadece maliyet kısmı yok. Tedarik zinciri de bozuluyor. Sizin ileteceğiniz şeyle işlerini yürütecek olan bütün o şirketler ve insanlar da sıkıntıya giriyor.” dedi."Farkındalık için kültürel olarak eğitimle barışık olmalıyız"
Keepnet olarak bir siber atağın başlangıcının yüzde 95 oranında insan faktörüyle başladığına hep vurgu yaptıklarını söyleyen Balcı, geliştirdikleri 6 tane modülden birinin “Awareness” olduğunu ve tamamen bu farkındalığı artırma üzerine kurulduğunun altını çizdi. Balcı çalıştıkları lojistik firmalarında siber güvenlik farkındalığı anlamındaki eksiklere ilişkin bir soruya ise, “Aslında sektörün temsilcileri bu konunun çok farkında. Burada o kurumun politikası, yöneticiler hepsi bu işin içine giriyor. Kültürel olarak eğitimle alakalı konularla barışmaya ihtiyacımız var toplum olarak. Çünkü biz bu farkındalığı eğitim olarak sağladığımızda bize geri dönüşü fazla olur.” diye konuştu. Farkındalık anlamında bankacılık sektörünü örnek gösteren Balcı, “Bazı sektörler bu konuda çok ileri gidiyor. Çünkü regülasyonlar var. Örneğin bankacılık sektörü. BDDK regülatif olarak dedi ki: ‘Farkındalık uygulamaları yapmalısın. Tatbikatlar yapmalısın. Son kullanıcının bu uygun olarak farkındalığını artırmalısın. Ben de bunu ölçeceğim.’ Hemen o sektörde bu konuyla ilgili hızlıca çalışmalar yapılmaya başlandı. Daha birçok sektörde musibet gelmesi bekleniyor. Ondan sonra bu tür çalışmalar yapılıyor. Bu işin otomasyon süreçleri var.” dedi. "Sadece farkındalık değil tehdit istihbaratı ve otomasyon da gerekli" Keepnet olarak sorunun sadece farkındalık olarak çözülemeyeceğini düşündüklerini belirten Balcı, “Şirketlere diyoruz ki gelin size e-posta saldırılarıyla ilgili siber tehdit istihbaratı sağlayalım. Arkasından bir e-mail attığımızda bunu dışarıdan içeriye nasıl geçtiğini geçiyorsa hangi yollardan geçtiğini size söyleyelim. Gelin kullanıcılarınızı tatbikatlarla eğitelim diyoruz. Tek tıkla bu e-mail zararlı mı değil mi ona karar verelim. Zararlı e-mailler başka bir yere gitse de bunu otomatik olarak silen bir yapıya götürelim.” diye konuştu. Lojistik sektöründe kullanacakları bir modülleri olduğuna işaret eden Balcı, “Mesela Ekol lojistikte bir zararlı tespit edildiğinde Kolay Gelsin’e gidip Ekol’e şöyle bir saldırı oldu sen de bunu otomatik olarak sil veya manuel olarak firewall’ünde bunları engelle diyebileceğiz. Burada tek aşamalı bir çözüm mümkün değil. Süreç yönetimi, insan ve teknoloji olması lazım.” değerlendirmesinde bulundu. Fidye yazılım saldırılarını yapanların işi bir organizasyona çevirdiklerine dikkat çeken Balcı, “İçlerinde business analistler var. Pazarlığı yapacak kişiler var. Hatta karşı şirketten birini de içlerine almaya çalışıyorlar. Şu anda çok inanılmaz meblağlardan söz ediliyor. Saldırganlar NSO ya da başka bir yere tasarlanan Pegasus gibi bir yazılımı gidip milyonlarca doları verip satın alıyorlar başka yerde kullanabiliyorlar. Beklenmedik durumlar için beklenmedik durumları içeren senaryolarınızın hazır olması gerekiyor. Biz güvenlikçiler olarak bu konuda zaten bilinçliyiz ama gerek third party hizmetleri olsun, her durumda kimin ne söyleyeceğine kadar her şeyin hazır olması, back-up senaryoları dahil buna. Bu konularda sadece teknolojiyi değil insanı yönetmek. Otomasyonu daha fazla hayatımıza sokarak bu işi geliştirecek adımlar atmamız gerekiyor.” diye konuştu.
