Siber riskler konusunda panel düzenlendi

Dünyanın ve Türkiye’nin sigorta ve reasürans brokerliği ve risk yönetimi danışmanlığı konularında faaliyet gösteren önemli kuruluşlarından Aon Türkiye, Aon Turkey Risk Summit 2017 zirvesi ile Türkiye’nin önde gelen iş insanlarına ve yöneticilerine siber riskler konusunda özel bir panel düzenledi.

AonTurkey Risk Summit 2017, Global Risk Yönetimi Anketi Raporunda yer alan ilk 10 risk üzerine temellendirdiği zirvenin bir panelini Global Risk Yönetimi Anketinde 5’inci sırada bulunan ’Siber Riskler’ konusu üzerine kurdu. ‘2020’ye 3 Kala Siber Risklerin Önemi’ panelinde Türkiye’nin önde gelen siber güvenlik konusundaki risk ustaları konuştu. Türk Telekom Siber Güvenlik Direktörü Ahmet Fethi Aydın, Kredi Kayıt Bürosu Risklerden Sorumlu Genel Müdür Serdar Çolak ve Siber Güvenlik Uzmanı Kani Hacıpaşaoğlu panele konuşmacı olarak katıldı.

2020’ye 3 Kala Siber Risklerin Önemi panelinin moderatörlüğü yürüten Ahmet Eryaman yaptığı açılış konuşmasında; “Aon alanında lider danışmanlık firması StrozFriedberg’i de bünyesine kattı. Teknolojinin her geçen gün hayatımıza daha çok girmesiyle, siber riskler de hayatımıza girmiş oldu. Müşterilerine rakiplerinden daha farklı bir deneyim oluşturma peşinde olan firmalar, ’dijital’ kanallara yatırım yapmanın yararlarını gördüler. Bankacılık başta olmak üzere teknoloji odaklı hizmet sektörleri iç süreçlerini iyileştirmek için ’dijital şirket’ kavramını başucu kitabı haline getirdiler. Sanayi 4.0 çağında şirketlerdeki yöneticilerin hepsi teknolojilerin harika yeniliklerin heyecanıyla, daha rekabetçi iş girişimleri oluşturmaya başladılar. Aon markası olan Stroz Friedberg’ün Siber Riskler danışmanlığı alanındaki başarısını duyurmak isterim. Forrester Research’ün ’The Forrester Wave: Digital Forensics AndIncident Response Service Providers’ (Adli Bilişim ve Olay Müdahale Hizmeti Sağlayıcıları) raporunda dünyanın lider firmaları arasında gösterildi. Forrester’ın raporundan altını çizmek istediğim nokta ise şu; “Stroz Friedberg’ü öne çıkaran en güçlü yönü, ihlalleri teknik bir sorundan daha ziyade bütüncül bir yaklaşım gerektiren kurumsal bir risk sorunu olarak görmesi" dedi.

"Siber saldırıları önlemek için milli koruma sistemi şart"

Savunma sanayiinde öngörülen ve tecrübe edilen siber risklerin incelenmesi, bu risklerin yönetilmesi konusunda belirlenen strateji ve aksiyonlar hakkında konuşma yapan Siber Güvenlik Uzmanı Kani Hacıpaşaoğlu; "Siber risklerin nasıl giderileceği konusunda belirsizlikler var. Kamu ve özel sektörde nasıl giderileceği belli değil. Bu konu hakkında çözümü üreten çok az firma var. Risk danışmanlığı yapan kurumların bu çözüm ortaklığını başarıyla yaptığına inanıyorum. Her gün yaşadığımız şey şu, biz siber risk danışmanlarına şunu söylüyorlar; Bize sızma testi yapın. Sızma testi, önlem almada olayın küçük bir bölümüdür. Bu aslında kamu ve özel sektör çalışanın bilmesi gereken bir şeydir. Kamu hastanelerimiz özel sektöre devredildi. Bu konudaki anlayış şu şekilde olmalıdır; bu konu ile ilgili uzman bir teknik ekip ve bu konuda hizmet veren danışmanlık firması olmalıdır. Ayrıca, uluslararası standartlar koşul olmalı ve gereken testler yapılmalıdır. Şunu söylüyorum; tehlikenin çapı büyük diyorum. Çünkü tehlike bir tık ötede. Bugün siber güvenlik yazılımları yabancı menşeili. İçinde yaşadığımız zaman içinde kullandığımız programları bilmiyoruz. Milli Güvenlik içerisinde milli kaynaklar ile korumu sistemi olmalıdır" diyerek siber güvenlik ile ilgili önemli noktaların altını çizdi.

"7/24 güvenliğe ihtiyaç var"

Telekomünikasyon sektöründe tecrübe edilen ve öngörülen siber risklerin incelenmesi konusunda dikkat çeken bilgiler veren Türk Telekom Siber Güvenlik Direktörü Ahmet Fethi Aydın, "Jeopolitik konum, siyasal gelişmeler ile siber saldırıların ortasında kalınılabiliyor. Siber saldırılar askeri ortamda konuşuluyor. Siber ataklara neden olay üç temel etken; insan, süreç ve teknoloji. Ayrıca önemli olan şey iyi yetişmiş insan kaynağı. Bulduğunuz elemanı bile sirküle etmek çok önemlidir. Ayrıca, risk algısı kısmı çok önemli. Riski görünür kılıyorsanız paydaş haline getiriyorsunuz. Aslında siber saldırılardan risk altında olanları üç kısıma ayırabiliriz. Atak olmadığı için kendini güvende hissedenler, atak alan ama farkında olmadığını hissedenler, kendini güçlü hisseden şirketler. Didos saldırılarında yüzde 95 artış gözlemliyoruz. Bu saldırıların boyutu 1 TB idi. Bu saldırıları önlemek için teknolojik partnere ihtiyaç bulunmaktadır. Bir hacker bir şirketin içinde 3 yıl bir süre kadar bekliyorsa bir şeyi bekliyor demektir. Saldırı yapacağı boşluğu bekliyor. Üst yönetim farkındalığı olması lazım. Siber güvenlik yadsınamaz durumda bir öneme sahip. Siber risklere bizim açımızdan baktığınız zaman işlediğimiz verilen çalınması itibar kaybına yol açacaktır. Bu aşamada risk yönetim danışmanlığı ve bilgi güvenliği bölümü çok önemlidir. Ama bu IT’nın dışında iç birimlerine kayma gibi trendler mevcuttur. Hackerler son 10 senede 90 gün boyunca içeride duruyorlar. Bilgi güvenliği anlamında 7 gün 24 saat güvenliğe ihtiyaç vardır. Gelen siber saldırılar 30 dakikadan fazla sürmüyor. Yüzde 85’i bu süre zarfı içinde geliyor. Siber istihbarat paylaşımı bu süre içerisinde kritik bir noktada duruyor” diye ifade etti.

Finansal riskler, siber riskler ile birleşmiş durumda

Panelin son konuşmasını gerçekleştiren Kredi Kayıt Bürosu Risklerden Sorumlu Genel Müdürü Serdar Çolak, Türk finans sisteminin güvenliği konusunda merak ile beklenen sorulara cevap verdi. Çolak, “Siber güvenlik noktasında diğer sektörlere göre ağırlığımız daha fazla. KKB kişisel anlamda finansal risk dünyası içerisinde banka bilgilerini tutuyor. Daha etkin risk yönetimi için bankalar bizdeki sorgulamalarımızı alıyorlar. Bilgi güvenliğinin korunması adına geriye dair çok yatırımlarımız var. Aslında equifax’ı bekliyorduk. Zaten bunun önlemini almıştık.Otorite anlamında şanslıyız. Kontrollü ve güvenirliği yüksek bir yapımız bulunuyor. Kontrolleri yükseltiyoruz. 1.5 sene önce BTK’ya iletilen güvenlik zafiyetinden bahsediliyordu. Ondan dolayı bu riske karşı önlemimizi aldık. Karşımızda zaman ve teknoloji kaynağında bir kitle var, size savaş açıyorlar. Karşı tarafta bilgi savaşı var. Bizde büyük bir bilgi paylaşımı olmuyor. Bizler için en kötü şey mevcut bilgilerin çalınması. Hacker 3 ay boyunca bilgi dolabının içerisinde duruyorlar. Bu anlamda bilgi güvenliği çok önemlidir. 7 gün 24 saat güvenliğe ihtiyaç var. Yaşanan bu sorunlar itibar kaybına yol açacak şeyler. Bu aşamada platformları genişletmek çok önemlidir. Finans sektörü için bu çalışmalar olacaktır. Özellikle bilgi güvenlik tarafında istihbarat paylaşımında bulunmuyoruz. Finansal risklerin içerisine siber tehditlerde girmiş durumda. Finansal riskler, siber risklerle birleşmiş durumda. Bu açıdan bu riskleri ciddi anlamda yönetmek gerekiyor" dedi.