Siber güvenlik açıkları tüm ülkeler ve şirketler için oldukça kritik sonuçlar doğurabiliyor, bu nedenle siber saldırılardan korunmak için önemli yatırımlar gerçekleştiriliyor. Ancak yapılan yatırımların miktarı ile güvenliğin tam olarak sağlanması arasında bir korelasyon bulunmuyor. Oysa pek çok kurum yaptıkları yatırımın büyüklüğüne dayanarak gerekli önlemleri aldıkları varsayımıyla hareket edebiliyor.

ICWC – 5th International Cyber Warfare and Security Conference’ta yaptığı konuşmasında güncel siber saldırılar, tehdit düzeyleri ve siber güvenlik yatırımlarını efektif kullanmanın önemini detaylarıyla anlatan Picus Security CEO’su ve Kurucu Ortağı H. Alper Memiş, siber güvenliğin tam olarak sağlanması için varsayımların ötesine geçilmesi gerektiğinin altını çizerek şunları söyledi: “Güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerini ve ağları geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Yaklaşımımız sayesinde, güvenlik ürünlerinizin beklendiği gibi çalıştığını varsaymak yerine en güncel siber tehditlere karşı doğrulamaya başlayabilirsiniz.”

Güvenlik zafiyetleri kanıtlara dayalı olarak çok daha iyi anlaşılabilir

Gartner’ın 2021’deki anketine göre, kurumların ve şirketlerin yalnızca yüzde 22’si siber güvenlik kontrollerine güveniyor. Ernst & Young’ın araştırmasına göre ise organizasyonların sadece yüzde 25’i güvenlik kontrollerinin siber riski azaltmadaki etkinliğini ölçerken, kalan yüzde 75 varsayımlara göre hareket ediyor. 2025 yılında siber suçların finans sektörüne olan maliyetinin 25 trilyon doların üzerinde olması beklendiği de göz önüne alındığında durumun vahameti iyice ortaya çıkıyor. Varsayımlara göre hareket edildiğinde yanlış bir güvenlik algısı oluştuğunu ve siber riskleri yönetirken yanlış kararlar verildiğini aktaran Memiş; “Siber saldırganlarla mücadelede daha etkin bir yöntem olarak saldırganlar gibi düşünmek ve daha proaktif olarak tehdit merkezli bir yaklaşıma geçmek gerekiyor. Tehditleri merkeze alarak ve onlara karşı güvenlik duruşumuzu doğrulayarak, zafiyetlerimizi varsayımlardan ziyade kanıtlara dayalı olarak çok daha iyi anlayabiliriz.” dedi.

Günümüz güvenlik teknolojilerinin çoğu gerçekten iyi ve etkileyici olsa da asıl zorluğun, güvenlik araçlarının operasyonel etkinliğinin yeterince bilinmemesi ve etkin şekilde kullanılamamasından kaynaklandığına değinen Memiş, milyonlarca dolar harcanan siber güvenlik araçlarının nasıl çalıştığını bilmeden, güvenlikle ilgili riskleri yönetmede proaktif olunamayacağını vurguladı. Memiş, “Çok fazla bilinmeyeni olan siber dünyada, siber güvenliğe varsayıma dayalı bir uygulama olarak yaklaşılması artık yeterli değil. Varsayımlar yerine tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçmemiz gerektiğine dair açık bir ihtiyaç var.” şeklinde konuştu.

Kurumlar ve şirketler düzenli zafiyet taramaları, sızma testleri ve hatta bazen kırmızı takım çalışmaları yürütseler de bunların yeterli olmadığını ifade eden Alper Memiş, “Dünyadaki en iyi sızma testi ekibine test yaptırıp, tespit edilen tüm bulguları kapatsanız bile, test yapıldıktan sonra sisteminizdeki ufak bir değişiklik sistemlerinizin hack’lenmesine sebep olabilir. Bütün bunlara ek olarak, güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerimizi ve ağlarımızı geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Platformumuzu, hem siber güvenlik yatırımlarının etkinliğine ilişkin kanıtlar sağlamak ve bu yatırımların etkinliğini artırmak hem de otomatik ve sürekli bir şekilde, daha tehdit merkezli olmayı sağlayarak siber savunma yeteneklerini güçlendirebilmek ve ölçeklendirebilmek için geliştirdik.” ifadelerini kullandı.