Dijital geleceğin risklerini azaltmak
Tamamen bağlantılı ve dijitalleştirilmiş bir dünya vizyonu (yani iş, yönetişim ve eğlenceyi kapsayan, her şeyin birbirine bağlı olduğu bir übernet) sayısız toplumsal fayda vaadiyle dolu. Kim olduğumuzdan bağımsız olarak hepimize vadedilen şey bizi daha hızlı, daha üretken ve daha tatmin edici bir yaşam tarzının bekliyor olduğu.
Umutlarımız gerçekten de öyle olması yönünde. Siz de Abdul Latif Jameel’de yaptığımız gibi bir işletme yönetiyorsanız, müşterileri benzeri görülmemiş bir hassasiyetle hedeflemek için ürün ve hizmetleri kişiselleştirebilirsiniz. Bir kamu hizmeti yönetiyorsanız, canlı kullanıcı verilerine yanıt verebilir ve işleri sorunsuz bir şekilde yürütmek için kaynakları buna göre yönlendirebilirsiniz. Sağlık hizmeti alan bir hastaysanız, bu Abdul Latif Jameel Health makalesinde ele alınan bazı sağlık teknolojisi yeniliklerinde olduğu gibi, sağlık durumunuzun uzaktan izlenmesini sağlayarak tedavi ve reçetelerinizi anında alabilirsiniz. Son olarak da her kim olursanız olun, alışverişinizi çevrimiçi olarak yönetebilir ve ürünlerin akıl almaz bir dakiklikle kapınıza gelmesini sağlayabilirsiniz. Adeta mağaza sizin zihninizi okuyormuş gibi…
Aslında belki de mağaza zihninizi zaten okumuştur. Yani tam olarak “zihninizi” değil ama… Belki de tüketim alışkanlıklarınız için tüm interneti taramış, veri ayak izinizin döktüğü sırları takip etmiş ve hakkınızda, daha sizin bile çıkaramadığınız sonuçlar çıkarmıştır.
Öyleyse senaryoyu daha ileri taşıyalım.
Söz konusu mağaza bir gün veri ihlaline maruz kalsa ve sizinle ilgili olarak sahip olduğu bilgiler pek de dürüst ve dikkatli olmayan tarafların eline geçse ne olur?
Senaryoyu biraz daha ileri götürelim.
Böyle bir durumda bankaların, yasama yetkililerinin, hukuk ve adalet departmanlarının, yani “sistemin” yardımınıza koşmasını bekleyebilirsiniz. Peki ya bu sistemler de siber saldırılar nedeniyle rutin olarak zayıflatılmış ve etkisiz hale getirilmişse ne olacak?
Bazıları için dijitale geçiş hayali birden biraz ürkütücü gelmeye başlamış olabilir. Bu ürkütücü his belki de milyonlarca insanın aynı anda yaşadığı farkındalıktan kaynaklı olabilir: Dijital topluma dönüşüm sürecimiz tamamen tehlikesiz değil. Araştırmalar iş, ev ve yönetişim süreçlerimizde dijitale geçişin riskler ve olası ihlaller ile dolu olduğunu gösteriyor.
Bununla birlikte, bu tür endişeler nedeniyle geçişin durması pek olası görünmüyor. Kuzey Amerika, APAC ve EMEA bölgelerinden yaklaşık 1.000 BT yöneticisinin katıldığı 2023 Digital Business Study (Dijital İş Dünyası Araştırması), karar mercilerinin %93’ünün günümüzde dijital öncelikli bir iş stratejisini izlediğini gösteriyor.[1] Hatta bu karar mercileri buluta özel platformlar, siber güvenlik ağı, karar zekası ve üretken yapay zeka (generative AI) gibi teknolojilerin etkinleştirilmesine aktif olarak yatırım yapıyor.
Çıktığımız bu dijital yolculuğun olağanüstü ödüllerini toplamak istiyorsak tuzakları önceden tespit etmeli ve mümkün olan her noktada, riski bertaraf edecek bir zemin oluşturmalıyız. Çünkü tehdit son derece gerçek. Organizasyonların yaklaşık %85’i, 2021 yılında en az bir başarılı siber saldırıya maruz kaldığını bildiriyor. Veri ihlalinin ortalama maliyeti ise 4,24 milyon ABD doları.[2]
Öngörüye dayalı hareket etmek; yaklaşan dijital geçişin hem demokratik hem de güvenli olmasına ve belli bir grup insan yerine çoğunluğun bundan yarar sağlamasına yardımcı olabilir. Yalnızca bu koşullar sağlandığında yeni, bağlantılı ve ortak dijital gerçekliğimizin verimliliğinden faydalanabiliriz.
Risk matrisinin nicel dökümü
Riskleri tam olarak anlamadan ve bu risklerin etkilerini en aza indirgeme stratejileri belirlemeden hiçbir şekilde dijitalleşme yolculuğuna çıkılmamalı.
Küresel iş danışmanlık firması Deloitte, organizasyonların dijital dönüşüm sürecinde mutlaka karşılaşacakları bir dizi önemli risk alanı belirledi.[3]
- Teknoloji: Doğası gereği arızalara ve hızla güncelliğini kaybetmeye yatkın olan teknoloji, geleceğe nasıl hazırlanabilir? Riskler arasında uyumluluk, ölçeklenebilirlik ve doğruluk sorunları yer alıyor.
- Siber koruma: Entegre bir sistemde dijital varlıkların yetkisiz erişime karşı güçlendirilmesi ve gizliliğin korunması.
- Veri sızıntısı: Verilerin kullanıldığı, aktarıldığı veya saklandığı tüm ekosistem genelinde veri bütünlüğünü sağlamanın karmaşıklığı.
- Üçüncü taraflar: Üçüncü taraf ortaklarla çalışan tüm organizasyonlar veri paylaşımı ve teknoloji entegrasyonu ile ilgili harici risklere maruz kalıyor.
- Gizlilik: Çalışan ve müşterilerle ilgili hassas kişisel veriler azami özen gösterilerek ele alınmalı, tercih ve onay gibi temel kontrollere tabi olmalı.
- Adli bilişim: Sistemler ve veriler, dolandırıcılık veya güvenlik ihlalleri durumunda incelemeye açık olmalı ve toplanan kanıtlar mahkemede kullanılacak kadar sağlam olmalı.
- Mevzuata uyum: Şirket bünyesindeki uzmanlık, operasyonların ulusal yasalar ve sektöre özel düzenlemeler dahilinde kalmasını sağlamak için yeterli olmalı.
- Dayanıklılık: İç içe geçmiş teknolojiler birçok modern işletmenin temelini oluşturuyor ancak burada, sistemin bir kısmındaki arıza hızla yayılarak tüm hizmetleri kullanılamaz hale getirebiliyor.
Bu bariz tehlikelere rağmen, bir ankete göre katılımcıların yalnızca %29’u organizasyonlarının “eksiksiz” bir veri güvenliği stratejisine sahip olduğunu düşünürken %41’i “geliştirme”, %23’ü ise yalnızca “planlama” aşamasında olduklarını ifade ediyor.[4]
Risk alanlarından bazıları, özellikle de dijital bağımlılıkları ve siber güvenlik açıklarını ilgilendirenler, daha sürdürülebilir dayanıklılığa giden potansiyel yolları işaret ediyor ve bu nedenle daha detaylı olarak keşfedilmeye değer.
Geleceği “hack”lemek: kötü amaçlı yazılımdan fidye yazılımına
Birden fazla teknoloji platformunun, merkezi olmayan bir “Web 3.0” (blok zinciri teknolojisi ve belirteç tabanlı ekonomi gibi kavramları içeren yeni bir internet çeşidi) içinde birleşmesi “daha karmaşık bir siber tehdit çeşitliliği ve daha fazla kritik arıza noktası” tehdidi oluşturuyor.[5]
Tehlikeler sadece finansal değil. Hayati altyapı ve toplumsal uyum gibi temel kaideler için de zorluklar teşkil ediyor. Bunun için basit bir çözüm yok. Dünya Ekonomik Forumu (World Economic Forum – WEF) “toplumların siber tehditleri etkili bir şekilde önleme ve yönetme becerisinin, siber tehditlerin artış hızını yakalayamadığı” konusunda uyarıda bulunuyor.
WEF bu konuda bir örneğin üzerinde duruyor: 2021 yılının sonlarında Log4j yazılım kitaplığı, kritik bir güvenlik kusurunun açığa çıkmasından sonra günler boyunca dakikada 100’den fazla bilgisayar korsanlığı girişimi yaşamıştı. Bu saldırılar, serbest erişim kodlamasının bulaşıcı nitelikteki zafiyetini göstermişti. Bundan bir önceki yıl yaşanan SolarWinds Orion saldırısında ise bu BT izleme ve yönetim yazılımı hedef alınmış, küresel siber güvenlik tedarik zincirlerinin ve yüz binlerce işletmenin savunma duvarları yıkılmıştı[6].
Çevrimiçi ortamda kötü amaçlı faaliyetler giderek artıyor, suçlular pek az engelle ve düşük yaptırım olasılığıyla karşı karşıya kalıyor. 2020 yılında bildirilen kötü amaçlı yazılım sayısı %358 artarken fidye yazılımı vakaları %435 arttı.[7] Aynı dönem, fidye yazılımı ile çalınan toplam kripto para miktarında dört kat artış görüldü.
Bilgisayar korsanları ayrıca, bir organizasyonun çevrimiçi operasyonlarına saldırmak için birden fazla uzak konumdan kaynak kullanarak veri sızıntıları ve dağıtılmış hizmet reddi saldırıları (distributed denial-of-service, DDoS) yoluyla hedeflere şantaj yapabiliyor.
Bugüne kadarki dijital suistimal kurbanları arasında kamu hizmetleri, sağlık hizmet sistemleri ve veri açısından zengin şirketler (yani günümüzde her ölçekten çoğu şirket) yer alıyor.
Bu sorun kendi kendine çözülmeyecek. Yapay zekayla desteklenen kötü amaçlı yazılımlar yakında hayatımızın bir parçası olacak. Bu yazılımlar, dolandırıcılık yoluyla elde edilen kârın katlanarak artmasına ve böylelikle hem itibari hem de finansal tehditlerin çoğalmasına neden olabilir. Önceki Abdul Latif Jameel Perspectives makalemizde de ele alındığı üzere, Küresel Risk Algı Anketi’nde (Global Risks Perception Survey – GRPS) “siber güvenlik başarısızlığının” gittikçe artan en büyük 10 risk arasında yer alması ya da WEF Siber Güvenlik Liderlik Topluluğu’nun %85’inin bu başarısızlığı kamu güvenliği açısından büyük bir endişe kaynağı olarak görmesi pek de şaşırtıcı değil.[8] Bölgesel ölçekte bakacak olursak “siber güvenlik başarısızlığı” Doğu Asya, Pasifik ve Avrupa’da ilk beş risk arasında yer alırken dört ülkede (Birleşik Krallık, İrlanda, Avustralya ve Yeni Zelanda) bir numaralı risk olarak beyan ediliyor.
Gelecek teknolojik gelişmelere ilişkin öngörüler endişeye neden oluyor. Kuantum bilişim yakında şifreleme anahtarlarını kıracak kadar güçlü hale gelerek uzun zamandır finansal ve kişisel verileri koruyan bu güvenlik duvarını yıkabilir. Bu esnada metaverse, bilgisayar korsanlığı ve veri ihlalleri için daha fazla erişim noktası sağlıyor olacak. Metaverse tabanlı dijital ticaretin 2024 yılına kadar 800 milyar ABD dolarını aşacağı yönündeki tahminler de bu saldırıların kaçınılmaz olarak daha agresif hale geleceğini gösteriyor.[9]
Korumanın bedeli
Dijital dönüşüm riskini azaltmanın bir maliyeti var ve bu maliyet, kamu veya özel sektör fark etmeksizin, düşük bütçeli işletmeler tarafından orantısız bir şekilde hissedilecek. Küçük ve orta ölçekli işletmeler bütçelerinin %4’ünden fazlasını siber güvenlik için harcamak zorunda kalırken, yatırımları için ölçek planından yararlanan büyük rakipleri için bu oran yaklaşık %1-2’ye düşüyor. Fidye yazılımlarının manşetlerde bu kadar yer alması nedeniyle siber sigortanın, bazıları için inanılmaz pahalı olması ve hatta tamamen ulaşılamaz hale gelmesi tehlikesi mevcut. 2021’in 3. çeyreğinde siber sigorta maliyetleri ABD’de %96, Birleşik Krallık’ta %73 arttı.[10]
Peki işletmeler ve hükümetler, dijital dönüşümün sunduğu sayısız fırsattan maksimum değer elde ederken dönüşüm risklerini yumuşatmak için hangi stratejileri uygulamaya koyabilir?
Dijital ikileme karşı savunmaları güçlendirme
Sistemlerinizin bütünlüğünü korumak önemli. Başka bir deyişle orada olmaması gerekenleri dışarıda tutmalı ve kötü niyetli tarafların istenmeyen müdahalelerini önlemelisiniz.
Burada, güvenilir savunma yöntemleri olarak birçok strateji ortaya çıkıyor. Bunlar arasında en önemlisi, sunucular ve bilgisayarlar genelinde güvenlik açıklarını azaltmaya yönelik çeşitli teknikleri kapsayan “platform sağlamlaştırma” süreci:
- Ağı sağlamlaştırma: Yetkisiz girişi önlemeyi ve uyarı kontrollerini içeren donanım ve yazılım tabanlı güvenlik duvarları ile dijital altyapının korunması.
- İşletim sistemini sağlamlaştırma: Güvenlik ayarlarının endüstri standartlarını karşılamasını sağlarken eski hizmetlerin ve gereksiz hesapların silinmesi.
- Uzak sistemleri sağlamlaştırma: Uzak sistemlerin ve cihazların, kurum içi eş değerleri kadar sağlam erişim protokollerine sahip olmasının ve ortaya çıkan tehditlere karşı sık sık incelenmesinin sağlanması.
- Veritabanını sağlamlaştırma: Kritik veritabanlarını kötü amaçlı sızıntılara daha az eğilimli hale getirmek için erişim kontrolleri, şifreleme ve gelişmiş güvenlik ayarlarının kullanılması.
- Uygulamaları sağlamlaştırma: Makrolar gibi komut dizisi saldırılarına karşı koruma sağlamak için üçüncü taraf uygulama ayarlarının düzenlenmesi.
Tüm bu protokoller, dijital risklere karşı sürekli koruma sağlamak için sık sık güvenlik açığı testi gerektiriyor. Faydaları ise çok fazla: daha güçlü güvenlik, daha iyi performans gösteren sistemler, hatta daha kolay uyumluluk ve denetim.
Rakamlar, güvenliği önceliklendirmenin değerini gösteriyor. Bir çalışmaya göre organizasyonların yarısından fazlası, uzaktan erişime sahip harici kaynaklar aracılığıyla veri sızıntısına maruz kalmış ve güvenlik ihlallerinin %61’i, yamanın mevcut olduğu ancak dağıtılmadığı, bilinen bir güvenlik açığından yararlanılarak gerçekleşmiş.[11]
Güvenli bir dijital politika nasıl olmalı? ABD’li yazılım firması Netwrix’te BT güvenlik uzmanı olan Dick Schrader gibi uzmanlara göre güvenli bir dijital rejim şu özelliklere sahip olmalı:
- Eski, az kullanılan teknolojiler düzenli olarak sunuculardan kaldırılmalı.
- Platformlar, ağlar ve uygulamalar yetkisiz erişime karşı ayrı ayrı korunmalı.
- Bulut bilişim, zaman/verimlilik maliyetlerine bakılmaksızın her kullanıcı için çok faktörlü kimlik doğrulama (multi-factor authentication – MFA) ile korunmalı.
- Sınıflandırma, saklama, işleme ve şifrelemeye odaklanarak tüm ekosistem genelinde veriler korunmalı.
- Üçüncü taraf teknoloji entegrasyonu, operasyon bağımlılığı ve satıcı dayanıklılığı, bütüncül bir dijital dönüşüm paketinin parçası olarak kabul edilmeli.
- Gizliliğe fazlasıyla önem gösterilmeli ve kişisel veriler onay, bildirim, tercih ve doğruluk ilkelerine uymalı.
- Düzenleyici kurumların yasal çerçevelerine uyulmalı ve ihlaller adli olarak kanıtlanmalı.
- İş sürekliliği, kriz yönetimi ve BT olağanüstü durum kurtarma konularında yeterli planlama yapılarak dayanıklılık garanti altına alınmalı.
Kapalı ve yalıtımcı bir yaklaşımın, ihtiyaç duyulan kapsamlı değişikliklere ilham vermesi pek olası değil. Özellikle gelecek vadeden blok zinciri ve kuantum bilişim gibi yeni teknolojilerle birlikte şirketler ve uluslar arasındaki iş birliği, hemen hemen her organizasyon için işlevsel olacak çözümler ortaya çıkarabilir.
İş dünyasında liderler, siber güvenlik konularında eğitilmeli ve siber dayanıklılıkla ilgili tartışmalar yönetim kurulu düzeyinde rutin hale gelmeli.
Her şeyden önemlisi, herhangi bir organizasyonun en önemli parçası olan “müşteriler” bu sürece dahil edilmeden hiçbir şekilde dijital dönüşüm yolculuğuna çıkılmamalı. Müşteriler böyle bir geçiş için hazır değilse veya deneyimlerine zarar veren sistem ve hizmetlere boğulmuşsa muhtemelen ihtiyaçlarını karşılayacak başka bir seçenek bulurlar.
Dijital değişimin beklenmedik tehditlerinden biri, dönüşüm sürecinde ufak bir hata yaparak halihazırda memnun olan iş ortaklarını yabancılaştırmak olabilir.
İnsanlığın ciddi ilerleme kaydettiği dinamik bir çağı korumak
Evden çalışmaya hızlı bir şekilde geçilmesi, son 20 yıldır devam eden bir trendi hızlandırdı: dijital sistemlere yönelik artan bağımlılık ve her biri benzersiz risklere ve hassasiyetlere sahip ara etkinleştirme teknolojilerinin (bulut sunucuları, uygulama programı arayüzleri vb.) sayısındaki patlama. Bununla birlikte birbirine bağlı teknolojilere olan talep de büyümeye devam ediyor.
Görünüşte kontrol edilemeyen harici etkenler, potansiyel tehlikeleri daha da kötüleştiriyor. Hükümetler düzeyinde bakacak olursak jeopolitik karmaşaların büyümesi, gelecek için dijital güvenliği sağlayabilecek eş güdümlü uluslararası çabaların zayıflamasına neden oluyor. Sınır ötesi siber saldırılar ve devam eden bilgi kirliliği kampanyaları, yayılmalarına karşı koyacak denetimlerin ve dengeleyici faaliyetlerin yetersizliğinden ötürü büyüyor. Rekabet halindeki ülkelerin birbiriyle tutarsız yasaları ve infaz mekanizmaları, siber suçları engellemede oldukça başarısız oluyor.
Gün geçtikçe daha da değişken, öngörülemez, karmaşık ve belirsiz (volatile, uncertain, complex, ambiguous – VUCA) hale gelen bu dünyada özel işletmeler, uluslararası ittifakların değişimini öngörmek için sıklıkla “yaklaşık” tahminlerde bulunmak zorunda kalıyor. İşletmeler, veri işleme faaliyetlerini, veri gizliliğinin daha iyi anlaşıldığı yasalara tabi olan bölgelere taşıma olasılığına açık olmalı.
Dijital dönüşüm risklerine karşı önlem almamak, bireysel organizasyonların boyunu fazlasıyla aşan sonuçlar doğurabilir. Ya önlemlerden kaçınmak için kendi kendini kopyalayan ve sürekli mutasyona uğrayan yıkıcı bir Truva atı kripto virüsü, devlete veya ticari kuruluşlara ait önemli sunucuları yönetmeye başlayıp son yıllarda kaydedilen dijital ilerlemeyi etkili bir şekilde tersine çevirirse? Ya özel BT altyapısına ve kripto paraya yönelik trend, finansal sistemleri ve özel verileri korumak için gösterilen yasal düzenleme çabalarına engel olursa? Peki ya siber casusluk, nihayetinde Ar-Ge yatırımları için caydırıcı hale gelir ve ticari güven eksikliği nedeniyle toplumun ilerlemesini önlerse?
Dijitale geçiş, sektörden ve ölçekten bağımsız olarak eninde sonunda her kamu kurumunu ve özel işletmeyi ilgilendiriyor olacak. Ancak belirli sektörler, yüklenecekleri ekstra sorumlulukların farkında olmalı. Örneğin perakendecilik veya pazarlama gibi, müşteriler hakkında derinlemesine bilgi sahibi olmanın başarı için önemli olduğu bir iş alanında faaliyet gösteriyorsanız dijital odaklı bir dünyaya giden yol size hem risk hem de ödül sunacaktır. Daha önce paraya çevrilebilir veriler toplamak için hiç bu kadar çok fırsat ve bu kişisel içgörüleri yanlış taraflardan uzak tutmak için hiç bu kadar fazla baskı olmamıştı.
Abdul Latif Jameel Bilişim Dijital Direktörü Mo Chaara, konuyla ilgili görüşlerini şu sözlerle ifade ediyor: “Her zamankinden daha sıkı bir şekilde bağlantılı toplumumuzda dijital güven; uzun vadeli inovasyon ve refah için hayati önem taşıyor. Güvenilir teknolojiler daha adil, daha şeffaf ve daha uyumlu bir toplum inşa edebilmemiz için temel teşkil ediyor. Dijital güveni güçlendirmek ve dijital dönüşümün doğası gereği getirdiği riskleri azaltmak için çalışmaya devam etmediğimiz sürece, insanlık tarihindeki en büyük ilerlemenin kaydedildiği, en heyecan verici ve dinamik dönemlerden birinde vaatler ve potansiyel elden kaçırılabilir.”
[1] https://resources.foundryco.com/download/digital-business-executive-summary
[2] https://blog.netwrix.com/2023/02/22/system-hardening/
[3] https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-managing-risk-digital-transformation-1-noexp.pdf
[4] https://resources.foundryco.com/download/digital-business-executive-summary
[5] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[6] https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
[7] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[8] https://www.weforum.org/reports/global-risks-report-2023/
[9] https://www.bloomberg.com/professional/blog/metaverse-may-be-800-billion-market-next-tech-platform/
[10] https://www.marsh.com/bg/en/services/insurance-market-and-placement/insights/global_insurance_market_index.html