Veri Sızıntıları Can Yakıyor!
Geçtiğimiz yıl internet devlerinden Yahoo’nun 1,5 milyar adet müşterisini etkileyen ve tarihin en büyük veri sızıntısı olarak kayda geçen siber saldırının ardından geçen ay Equifax’ın başına gelen ihlal olayı dikkatleri bir kez daha veri güvenliği konusunun önemine çekti.
Geçtiğimiz yıl internet devlerinden Yahoo’nun 1,5 milyar adet müşterisini etkileyen ve tarihin en büyük veri sızıntısı olarak kayda geçen siber saldırının ardından geçen ay Equifax’ın başına gelen ihlal olayı dikkatleri bir kez daha veri güvenliği konusunun önemine çekti. Equifax ABD’nin en büyük üç kredi notu üreten bürosundan biri ve 820 milyon kişinin ve 91 milyon adet de şirketin sır kapsamındaki özel verilerini saklıyor, işliyor ve not üretiyor. Bu açıdan sızdırılan verilerin önemi çok büyüktür.
Şirketin açıklamasına göre 145,5 milyon adet kişinin verisi yaklaşık üç aylık bir süre boyunca sızdırıldı. Bu nokta çok önemli çünkü bu denli büyük bir finansal teknoloji firması üç ay boyunca bu ihlali tespit edemedi. Daha doğrusu Equifax sistemindeki güvenlik açığını kapatmamıştı. Oysaki ihlale yol açan güvenlik açığı Oracle tarafından birkaç ay önce kapatılmıştı. Hackerlar Equifax’ın sistemlerindeki bu güvenlik açığından faydalanıp dosyalara erişim sağladı ve kişilerin ABD’deki TC Kimlik numarasının karşılığı diyebileceğimiz sosyal güvenlik numaralarını, doğum tarihlerini, adreslerini, ehliyet bilgilerini, bazı müşterilerin kredi kartı bilgisi dahil olmak üzere çok sayıda kişisel veriyi ele geçirdi.
Bu verilerle neler yapılabileceğini hayal etmek zor değil! Yapılabilecek dolandırıcılık, usulsüzlük ve sahtecilikleri bir yana koyarsak verilerin tek başına satış değerinin bile milyonlarca dolar düzeyinde olduğu değerlendiriliyor. Açıklamanın ardından Equifax’ın borsa değeri bir anda %20’nin üzerinde düştü. Yapılan değerlendirmelere göre bu ihlalin şirkete açtığı zarar miktarı 4 milyar $ düzeyinde.
Son yıllarda artık “işlenebilir veri” için, yeni dönemin en önemli madeni tanımlaması yapılmaktadır. Ülkelerin petrol, doğalgaz ve kıymetli maden rezervleri olması giderek önemini yitiriyor. Artık kişilerin ya da şirketlerin verilerini güvenle saklayan, doğru sınıflandıran, işleyen ve bu verilerden anlamlı bilgiler üretebilen ülkeler rezerv zengini olacak demek hiç de abartılı bir yaklaşım olmayacaktır.
Zaten son dönemde sıkça telaffuz edilen Yapay Zekâ konusunun önemi de buradan kaynaklanıyor. Kişisel verilerimizi her gün sosyal medya hesaplarımızda fotoğraf, yorum, beğeni, favori vb. olarak açıkça ortaya koyuyoruz. Yapay zekâ uygulamaları bu verileri topluyor, anlamlı bir bütün haline getirip tekrar bize karşı kullanıyor. Kişiye özel reklamlar, ürün ve marka önerilerinin internete her bağlanıldığında çıkarak insana “benim bu ürünü isteyebileceğimi nasıl da bildiler” dedirten de kişisel veri işleyen bu yapay zeka uygulamaları.
Peki durum gerçekten de buysa tamamen savunmasız mıyız? Kimlik bilgilerimizden tutun da banka hesaplarımıza ve hatta kafamızın içindeki düşünce biçimimize, beğenilerimize ve politik yaklaşımlarımıza kadar her şeyi bilgisayar korsanları ele geçirebilir mi?
Veri güvenliği tedbirinizi alın, kafanız rahat olsun!
Bu sorunun cevabı hem evet hem hayır! Fütüristler önümüzdeki 10 yıl içinde kişisel veri güvenliğinin ancak çok zengin kişilerin sahip olabileceği bir lüks olacağını savunuyor. Bu kadar kötümser olmaya gerek var mı bilinmez ama çaresiz olduğumuz da söylenemez. Hastalıklardan korunmak için nasıl tedbirler alıyorsak sanal olarak da hastalanmamak için gereken önlemleri aldığımız takdirde üzerimize düşeni yapıyoruz demektir.
Peki nedir bu tedbirler? En basitinden başlayacak olursak kullandığımız dizüstü bilgisayar, cep telefonu ve tabletlerin en güncel sürümlerini ve virüs yazılım güncellemelerini yaptığınızdan emin olmalısınız. Çok zor değil, zaten bu aletler bizi sürekli uyarıyor. Yazılımları üreten firmalar tarafından kullandığımız ürünler yeni tür virüslere ve sistem açıklarına karşı geliştiriliyor. İş ki biz güncellememizi yapmış olalım.
İnternete her bağlandığınızda gönderdiğiniz ya da size gönderilen tüm verilerin şifrelenmesini sağlayan VPN kullanımı da bir diğer önemli tedbirdir. Bilgisayar korsanları, farklı kurum ve kuruluşlar çeşitli amaçlarla kişilerin veri alışverişlerine erişmek isteyebilirler. Bütün bu sakıncalardan korunmak ve internet ortamında güvenle işlem yapmanın en kolay ve en güvenilir yöntemi de VPN kullanmaktadır. Burada atlanmaması gereken bir konu da ücretsiz sağlanan VPN servislerinin güvenliği sorunudur. Bu tarz programlar kullanıcı bilgilerini daha sonra kullanmak üzere depolayabilir. Ücretsiz olduğu için de sunucularının güvenliği, internet bağlantı hızının düşüklüğü, bilgisayarınıza ya da cep telefonunuza zararlı yazılım yükleme riskleri olduğunu belirtmek gerekir. Bu sebeple VPN servisi aldığınız programların kaliteli ve güvenli olduğundan emin olunmalıdır.
Bir diğer basit tedbir de özellikle önem verdiğiniz verilerin yedeklenmesi ya da internet bağlantısı olmayan belleklerde saklanmasıdır. Önem verdiğiniz bilgileri kolay erişilebilir ve gündelik kullanımda olan ortamlarda tutmak pek çok açıdan sakıncalıdır.
Sürekli tekrarlanan ama kulak asmayıp önemsenmeyen tedbirlerden biri de e-posta avlamalarıdır. Kaynağını bilmediğiniz ya da ismi tanısanız da başlığı veya içeriği tuhaf e-postalardan, hele ki eklerinden uzak durulmalıdır. Bu e-postalarda yer alan eklere giriş yapmanız halinde bilgisayarınıza erişim sağlanabileceğini unutmayın.
Aynı durum kişiler kadar şirketler için de geçerli. Şirketler daha kurumsal ve geneli kapsayan önlemler almalıdır. Örneğin artık küçük veya büyük her şirketin siber saldırı anında alınması gereken önlemleri ve sırasıyla atılacak adımları belirlemiş olduğu bir strateji dokümanı olmalıdır. Üçüncü parti servis sağlayan tedarikçilerin de bilgi güvenliğine ilişkin önlemleri aldığından emin olmak bir diğer önem arz eden konu. Bilgi işlem ekibinin sürekli ve düzenli olarak sızma testlerini yaptırması, açıklara karşı saldırı girişimlerini tespit edip engelleyecek güncel bir güvenlik çözümü edinilmesi de alınabilecek tedbirlerin ilk sıralarında gelmektedir.