Bundan 25 yıl önce ofislerdeki bilgisayarlar üzerinden dışarıyla bağlantı kurmak mümkün değildi. En fazla şirketteki bilgisayarlar şebeke haline getirilebiliyordu. Günümüzde ise internet bağlantısı olmayan bilgisayar kalmadı. Bilgisayar bağlantıları bir ağ gibi bütün dünyayı sarmaya başlayınca enformasyon güvenliği, virüs tarayıcıları, kullanma hakları ve şifreler bilgisayarla çalışmanın standartlarını belirler oldu.
Dördüncü sanayi devrimi (Endüstri 4.0) adı verilen enformasyon teknolojileri alanındaki son yenilik bu gelişmenin henüz emekleme çağında bulunuyor. Makineler birbiriyle iletişim kuracak, siparişe göre takım değiştirecek ve bir sonraki bakım ve servis tarihini bildirecek.
Bütün bu işlemler küreselleşince, yani internet üzerinden yapılınca bilgisayar güvenliğiyle ilgili konular yeniden karşımıza çıkıyor. Hindistan enformasyon teknolojileri şirketi Infosys'in Almanya şubesi müdürü ve Endüstri 4.0 yetkilisi Gordon Mühl, "imalatta kullanılan makinelerin virüs tarayıcısı olmadığını ve böyle bir şeyin düşünülemeyeceğini" söylüyor.
Birkaç yılda bir yenisiyle değiştirilen bilgisayarların aksine makineler, sanayi testsileri ve üretimde kullanılan robotlar çok daha uzun kullanılıyor. Makinenin veri çıkışında kullanılan konnektör sistemleri oldukça eski. En az 20 yıl öncesinin teknolojisiyle üretilmiş veri çıkış sistemi hazırlanırken, ilerde internete bağlanacağı ve bu nedenle veri güvenliği sağlayacak önlemlere ihtiyaç duyulacağı düşünülmemiş.
Çoğu sanayi tesisinin 10 yıldır Microsoft tarafından yenilenmeyen Windows 2000 yazılımıyla çalıştığına işaret eden Intel Security şirketi uzmanlarından Peter Bauer internete bağlı makinelerin virüsten korunabilmesi için özel yazılıma ihtiyaç olacağını belirtiyor.
Güvenlik boşluğu
Şirketlerin ikilemi de bu noktada başlıyor. Bir yandan üretim tesislerinin küresel çapta birbirine bağlanmasının yaratacağı verimlilik artışı, diğer yanda ise güvenlik açığının sanayi casusluğuna ve sabotaja adeta davetiye çıkaracak olması. Bu açığın kapatılmasının maliyetini uzmanlar bile kestiremiyorlar.
Almanya'daki sanayi şirketlerinin üçte ikisi 2015 yılında siber saldırıya hedef oldu. Enformasyon teknolojileri çatı kuruluşu Bitkom'un araştırmasına göre veri hırsızlığı, sanayi casusluğu ve sabotaj girişimleri şirketleri zor durumda bırakıyor. Veri hırsızlığının yüzde 16'sını rakip şirketler, yüzde 14'ünü şirket sırlarını çalıp satan şebekeler, yüzde 6'sını ise gizli servisler yapmış. En büyük tehlike ise şirketin çalışanlarından kaynaklanıyor. Veri hırsızlığının yüzde 65'inden şirketin faal ya da eski elemanlarının sorumlu olduğu ortaya çıkarılmış.
Şirkete ait gizli bilgilerin dışarıya sızmasında her zaman kasıt aramak gerekmiyor. Örneğin, takside unutulmuş bir cep telefonundaki şirkete ait şifreler kolayca el değiştirebiliyor. Ya da şirketin kontrol merkezinde porno filmleri seyretmek, dışarıdan şirketin bilgisayar şebekesine sızılmasını kolaylaştırabiliyor. Kapersky Lab adlı Rus bilgisayar güvenliği şirketinin uzmanlarından Aleksey Polyakov, "zararlı bilgisayar programlarının en çok porno siteleri üzerinden yayıldığını" söylüyor.
Zayıf halka
Polyakov, “Güvenlik açısından en büyük tehlike insandan kaynaklanıyor. Şirketler güvenlikle ilgili konularda insan faktörünü gözden kaçırmamalı, kendi elemanları kadar, dışarıdan gelen kişileri, pazarlama görevlilerini, taşeron şirketleri ve tamircileri de kontrol altında tutmalıdır”, diyor.
Infosys şirketinin Almanya temsilcisi Gordon Mühl de şirket sırlarının çalınması ya da sabotaj amaçlı doğrudan siber saldırılarda da zincirin en zayıf halkasının teknik değil insan olduğunu söylüyor. Mühl, “Dolayısıyla şirkette çalışanlar sürekli eğitilmeli ve hangi bilgiyi kime aktarabilecekleri konusunda aydınlatılmalıdır” diyor.
Özellikle bu noktada eksiği telafi etme ihtiyacı bulunduğunu belirten çatı kuruluşu Bitkom'un uzmanları şirketlerin sadece dörtte birinin elemanlarını eğittiğini belirtiyor ve şirketlerin veri hırsızlığından büyük zarar gördüğünü ifade ediyorlar. Intel Security şirketinden Hans-Peter-Bauer, "Alman otomotiv şirketlerinin yüzlerce mühendisin bir yıllık çalışmasına eşdeğerdeki araştırma ve geliştirme çalışmalarında elde edilen bilgilerin Çinliler tarafından çalındığını" hatırlatarak veri güvenliğinin sağlanamamış olması yüzünden Alman sanayi şirketlerinin yılda 22 milyar euro zarara uğratıldığını söyledi.
Acımasız rekabet
Riski azaltmak önümüzdeki yılların en zor görevi olacak. Bilgisayar uygulama ve verilerinin bulut hafızaya aktarılması kadar elemanların cep telefonu ya da tabletle çalışabilmesi için mobil uygulamalara geçilmesi de tehlikeyi arttırıyor.
İşletim sistemlerinin, bilgisayarların ve elektronik platformların son derece farklı olması nedeniyle enformasyon teknolojilerinde ‘entegre çözüm' yolları aranmaya başlandı. Güvenlik programının cep telefonundan bilgisayar ve makinelere kadar bütün gereçlerde standartlaştırılması durumunda hem tehlikenin azalacağı, hem de maliyetin düşeceği belirtiliyor.
Ancak bunun yapılabilmesi için enformasyon teknolojilerinden yararlanan şirketlerin belli bir büyüklüğe ulaşması gerekiyor. Bu nedenle internet güvenliği branşındaki rekabetin kızışacağı tahmin ediliyor. Intel Security uzmanı Klaus-Peter-Bauer, veri güvenliği için çözüm hazırlayan şirketlerin çok azının ayakta kalmasını beklediğini ifade etti. Bauer'in çalıştığı şirket de Amerikan çip imalatçısı Intel'in 2010 yılında anti virüs programları üzerinde uzmanlaşan McAfee'yi 8 milyar dolara satın almasıyla kurulmuştu.
Bauer bu trendin devam edeceği görüşünde. Enformasyon güvenliği branşının da şirket yazılımları hazırlayan şirketler arasındakine benzer bir rekabet ortamında bulunduklarını belirten Bauer, “O branşta da sayısız şirket faaliyet gösteriyordu. Sonunda Oracle ve SAP dışındaki şirketler kaybolup gitti” diyor.
