Varsayımlar: En Büyük Yanılgı

posted in Güvenlik & Teknoloji Raporları on by

Hayatta en çok sahip olduğumuz şeylerden biri… (tabii ki de para değil, eğer öyle ise yanlış blog yazısındasınız) varsayımlar…

Sabah evden çıkarken herkesin trafik kurallarına uyacağını varsayarız. Yeşil ışık yandığında, karşıdan gelenin de duracağını düşünürüz. İş yerinde çok çalışanların mutlaka fark edileceğine, hak edenin eninde sonunda kazanacağına inanırız. Tanımadığımız birine gülerken, onun da iyi niyetli olduğunu varsayarız.

Çünkü aksiyle yaşamak zordur.

Hayat, görünmeyen bu küçük kabuller üzerine akar. Hepimiz aynı oyunun kurallarına uyulduğunu varsayarak hareket ederiz. Dünyanın öngörülebilir, insanların makul, sistemlerin çalışır olduğunu düşünürüz.

Ama gerçek hayat, bizim kurduğumuz kurallara göre işlemez.

Nitekim bunu sadece günlük hayatta değil, en kritik mesleklerde bile görürüz. Kabuller: Bir Beyin Cerrahının Sınır Tanımayan Hikayesi kitabında bir beyin cerrahı, hayatla ölüm arasındaki kararları verirken bile ne kadar çok şeyi varsaymak zorunda kaldığını ve bu varsayımların bazen ne kadar ağır sonuçlar doğurduğunu anlatır (anlık karar vermenin ne kadar hayati olduğunu bariz örneklerle gösteren bu kitabı özellikle öneririm). Çünkü en yüksek uzmanlık seviyesinde bile gerçeklik, varsayımlara göre hareket etmez.

Ve bu sadece gerçek hayatla sınırlı değildir. Benzer kırılmalar, en bildik hikâyelerde, masallarda bile karşımıza çıkar.

Peri masallarında kahramanlar çoğu zaman kötüyle savaşırken değil, yanlış şeye güvendiklerinde kaybederler. Güvenli sandıkları yerler aslında bir tuzaktır; en cazip görünen yollar, onları en büyük riske götürür. Çünkü dünyayı olduğu gibi değil, olmasını istedikleri gibi görürler.

Ve belki de en kritik nokta şu: Bu varsayımlar sadece masallarda ya da gündelik hayatta karşımıza çıkmaz. Aynı zihinsel kısayollar, aynı “görünmeyen kabuller” siber güvenlik dünyasında da kendini tekrar eder. Kurumlar, sistemler ve güvenlik ekipleri; çoğu zaman farkında olmadan benzer varsayımlarla hareket eder. Riskin bir yerde yönetildiğini, bir teknolojinin koruma sağladığını ya da tehditlerin belirli bir seviyenin altında kaldığını düşünür.

Her şey ölçülüyordur, kontroller tanımlıdır, sorumluluklar dağıtılmıştır. Bu yüzden sistemin çalıştığına inanmak kolaydır.

Ama tam da bu noktada bir şey gözden kaçar: Tehditler sizden daha hızlı evrilirken, varsayımlarınız aynı kalır.

Ve zamanla şu durum ortaya çıkar: Dışarıdan bakıldığında olgun, kontrollü ve hatta “lider” görünen bir yapı… aslında tehditlerin gerisinde kalmıştır.

Yani kısaca: “tebrikler, zirvedesiniz… ama geride kalıyorsunuz.”

Çünkü doğrulanmayan varsayımlar, zamanla en büyük zafiyete dönüşür. En sık gözlemlediğim varsayımları ele almaya çalışacağım. Çünkü bu liste sabit değil—aksine, sistem karmaşıklaştıkça sürekli genişliyor.

Varsayım #1 Riskin Sahibi Kim?

Kurumlarda risk çoğu zaman açıkça tanımlanmış bir sahipten çok, varsayımlar üzerinden yönetiliyormuş gibi kabul edilir. Herkes kendi alanını net bir şekilde sahiplenir; teknik ekipler kontrollerin devrede olduğunu varsayar, iş birimleri kullandıkları sistemlerin zaten güvenli olduğunu düşünür, vendor tarafında ise sunulan çözümün ilgili riski kapsadığı kabul edilir.

Bu noktada kimse “bu risk gerçekten kimde?” diye sormaz—çünkü cevap çoğu zaman zaten varsayılmıştır.

“Shared responsibility” gibi yaklaşımlar da bu durumu daha da pekiştirir. Kağıt üzerinde sorumluluklar paylaşılmıştır, ama pratikte bu paylaşım çoğu zaman netlik değil, belirsizlik üretir. Çoğu zaman; bir riskin farklı ekipler tarafından yönetildiği varsayılır. IT, gerekli kontrollerin aktif olduğunu kabul eder. İş birimleri, sürecin güvenli çalıştığını düşünür. Vendor tarafında ise ürünün bu riski zaten kapsadığına inanılır.

Bu varsayımlar zinciri içinde herkes bir şeylerin “bir yerde” yönetildiğinden emindir. Ama kimse bütün resmi sahiplenmez.

Sonuç olarak risk yönetilmez—sadece dağıtılır. Ve dağıtılan risk, eninde sonunda kimsenin gerçekten kontrol etmediği bir boşluğa dönüşür.

Varsayım #2 Her Şeyi İzlemek, Hiçbir Şeyi Anlamamak

Kurumlarda güvenlik çoğu zaman görünürlük üzerinden değerlendirilir. Loglar toplanıyordur, SIEM sistemleri besleniyordur, dashboard’lar doludur. Ve bu durum, farkında olmadan güçlü bir varsayım yaratır: “Her şeyi izliyorsak, kontrol bizdedir.”

Ama bu kabul, güvenliğin en yaygın yanılgılarından biridir. Çünkü izlemek, anlamak değildir. Görmek, fark etmek değildir.

Veri arttıkça güvenliğin arttığı düşünülür—oysa anlam kaybolur. Her sistem log üretir, her araç alarm verir, her ekip kendi metriğini takip eder. Ama kimse bütünü görmez ve bağlam zamanla kopar. Pratikte tek başına anlamlı görünmeyen küçük bir anomali, aslında bir saldırının ilk adımı olabilir. Ama bu sinyal, binlerce “önemsiz” olayın içinde kaybolur.

Daha da kritik olanı şudur: Kurumlar genellikle neyi gördüklerini ölçer, ama neyi kaçırdıklarını ölçmez. Dashboard’lar doludur, ama “görmediğimiz ne var?” sorusu çoğu zaman sorulmaz. Çünkü görünürlük, sahte bir güven hissi yaratır.

Bir noktadan sonra tablo değişir: Her şey kaydediliyordur, sistemler veri üretmeye devam ediyordur, alarmlar akıyordur… ve bu, güvenliğin sağlandığı anlamına geldiği varsayılır.

Her şeyi izlemek, hiçbir şeyi anlamıyor olmak anlamına gelebilir.

Ve çoğu zaman bu fark, ancak bir olay yaşandığında—geriye dönüp loglara bakıldığında—anlaşılır.

Varsayım #3 Güvenlik Ürünleri Tek Başına Sizi Korumaz

Kurumlarda güvenlik yatırımları çoğu zaman ürünler üzerinden ilerler. Yeni bir çözüm alınır, bir risk daha “kapatılmış” hissedilir. Ve zamanla sessiz bir kabul yerleşir: “Bu ürünü aldıysak, bu risk artık yönetiliyordur.”

Ama bu yaklaşım, odağı yanlış yere koyar. Çünkü mesele ürün değil, çözümdür. Ve çözüm de her zaman belirli bir amaca hizmet eder.

Her organizasyonun risk profili, iş modeli ve tehdit yüzeyi farklıdır. Bu nedenle bir kurum için kritik olan bir çözüm, başka bir kurum için gereksiz olabilir. Örneğin; bir organizasyon için kimlik ve erişim yönetimi en kritik zafiyet alanıyken, başka bir organizasyon için veri sızıntısı önleme öncelikli olabilir. Aynı ürün, farklı ortamlarda tamamen farklı sonuçlar doğurur. Çünkü ürün sabittir, ihtiyaç değişkendir.

Yapılan en yaygın hata, ürünü çözüm yerine koymaktır. Oysa ürün sadece bir araçtır—doğru problem tanımlanmadığı sürece doğru sonucu üretmez.

Daha da önemlisi, hiçbir ürün kendi kendine çalışmaz. Her ürün, arkasında onu anlayan, yöneten ve sürekli iyileştiren bir insan aklına ihtiyaç duyar. Örneğin; bir güvenlik çözümü alarm üretir ama bu alarmın gerçekten kritik olup olmadığını değerlendirecek olan bir analisttir. Ya da bir sistem yanlış yapılandırıldığında, bunu fark edecek ve düzeltecek olan yine insandır.

Ürünler otomasyon sağlar, hız kazandırır, görünürlük sunar. Ama bağlamı oluşturmaz. Kararı vermez. Sorumluluğu almaz.

Ve zamanla şu durum ortaya çıkar: Organizasyonda birçok güvenlik ürünü vardır, ama bu ürünlerin yarattığı gerçek koruma seviyesi net değildir. Çünkü ürünler vardır… ama onları anlamlandıran, doğru amaca yönlendiren ve sürekli adapte eden bir yaklaşım yoktur.

Sonuç olarak güvenlik sağlanmaz—sadece sağlanıyormuş gibi hissedilir. Ürünler korumaz, doğru tanımlanmış problemler için doğru kurgulanmış çözümler ve onları yöneten insanlar korur.

Varsayım #4 Kontrol Bizde… Ama Ne Kadar Yaygın?

Kurumlarda belirli bir noktaya kadar kontrol gerçekten vardır. Süreçler tanımlıdır, ekipler yetkindir, araçlar yerindedir. Ve bu durum doğal bir varsayım yaratır: “Kontrol bizde.”

Ama bu düşüncenin gözden kaçırdığı kritik bir soru vardır: Bu kontrol ne kadar yaygın? Ve daha da önemlisi—bu kontrol için gerçekten güvence var mı?

Son dönemde “güvence” kavramı giderek daha fazla öne çıkıyor. Yani kontrollerin sadece var olması değil, gerçekten çalıştığının, sürdürülebilir olduğunun ve tüm organizasyona yayıldığının doğrulanması. Ancak pratikte çoğu zaman kontrolün varlığı, kontrolün etkin olduğu anlamına gelir diye varsayılır. Oysa güvence yoksa, kontrol sadece bir kabulden ibarettir.

Örneğin; belirli sistemlerde güçlü güvenlik politikaları uygulanıyor olabilir. Ama bu politikaların tüm ortama ne kadar yayıldığı, ne sıklıkla test edildiği ve gerçekten aynı etkiyi üretip üretmediği çoğu zaman bilinmez. Kontrol vardır—ama yaygınlığı ve etkinliği doğrulanmamıştır. 

Organizasyon büyüdükçe, sistemler çeşitlendikçe ve entegrasyonlar arttıkça bu fark daha da belirgin hale gelir. Kontroller bazı alanlarda güçlü kalırken, diğer alanlarda zayıflar. Ve bu dengesizlik, saldırganlar için en cazip noktayı oluşturur. Çünkü saldırganlar en güçlü kontrolü değil, en zayıf halkayı hedefler.

Daha da tehlikelisi, bu durum çoğu zaman fark edilmez. Çünkü “kontrol bizde” hissi hâlâ güçlüdür. Güvence olmayan kontrol, kontrol değildir.

Ve güvenlikte en büyük risk, kontrolün olmadığı yerler değil… kontrol olduğunu sandığımız ama ne yaygın ne de gerçekten güvence altına alınmış olan alanlardır.

Varsayım #5 Saldırganların Sofistike Olması Gerekir

Uzun yıllar boyunca siber saldırılar, “ileri seviye”, “yüksek yetenekli” ve “sofistike” aktörlerle ilişkilendirildi. Bu durum doğal bir kabule dönüşür: “Bize saldırmak için ciddi bir kapasite gerekir.”

Bu bakış açısı, saldırganı nadir ve özel bir profil olarak konumlandırır. Ve bu yüzden birçok organizasyon, kendisini hedef olmaktan ziyade istisna olarak görür.

Bugün saldırı gerçekleştirmek için derin teknik uzmanlık şart değil. Hazır araçlar, otomasyon platformları ve özellikle yapay zekâ destekli yöntemler; saldırı kapasitesini dramatik şekilde yaygınlaştırdı. Örneğin; daha önce ileri seviye bilgi gerektiren phishing kampanyaları artık birkaç komutla üretilebiliyor. Zafiyet tarama, exploit geliştirme ya da sosyal mühendislik senaryoları giderek daha erişilebilir hale geliyor.

Yani mesele artık saldırganın ne kadar sofistike olduğu değil… saldırının ne kadar kolay erişilebilir olduğu.

Bu değişim, tehdit modelini kökten dönüştürür. Çünkü artık risk, az sayıda güçlü aktörden değil; çok sayıda ortalama seviyedeki aktörden gelir. Saldırganların yetkinliği değil, sayısı ve erişimi artmıştır.

Asıl sorun şu: “Bize saldıracak kadar gelişmiş değiller.” Gelişmiş olmak gerekmiyor— erişebilmek yeterli. Ve bu yüzden artık soru “kim saldırabilir?” değil… “kim saldırmaz?” haline gelir.

Varsayım #6 Siber Güvenlik Bir Teknoloji Problemidir

Kurumlarda güvenlik çoğu zaman teknoloji üzerinden tanımlanır. Yeni ürünler alınır, yeni sistemler kurulur, yeni araçlar devreye alınır. Bu düşünce yapısı kök salar: “Doğru teknolojiyi kurarsak, güvenliği sağlamış oluruz.”

Bu yaklaşım, problemi yanlış yerde çözmeye çalışır. Çünkü güvenlik sadece teknolojiyle ilgili değildir.

Evet, teknoloji kritik bir bileşendir. Ama tek başına yeterli değildir. Güvenlik; insan, süreç ve karar mekanizmalarının birlikte çalıştığı bir yapıdır. Örneğin; en gelişmiş güvenlik çözümü bile yanlış yapılandırıldığında bir risk haline gelebilir. Ya da kritik bir alarm doğru kişiye ulaşmadığında, teknoloji hiçbir şey ifade etmez.

Daha da önemlisi, birçok güvenlik zafiyeti teknolojik eksikliklerden değil, organizasyonel kopukluklardan kaynaklanır. Ekipler arasında iletişim eksikliği, belirsiz sorumluluklar, yetersiz önceliklendirme ya da yanlış risk algısı… Bunların hiçbiri teknoloji ile doğrudan çözülemez.

Ama teknolojiye odaklanmak kolaydır. Ölçülebilir, satın alınabilir ve hızlı sonuç veriyormuş gibi görünür. Bu yüzden birçok organizasyon, güvenliği bir “araç problemi” olarak görmeyi tercih eder.

Güvenlik bir teknoloji problemi değildir—bir yönetim, koordinasyon ve karar problemidir.

Ve bu nedenle en güçlü teknolojilere sahip olmak, en güvenli olmak anlamına gelmez.

Çünkü güvenliği belirleyen şey, sahip olduğunuz araçlar değil… onları nasıl kullandığınız, nasıl yönettiğiniz ve nasıl anlamlandırdığınızdır.

Ve belki de en önemli soru şu: Bu varsayımların hangileri hâlâ bizimle?

Çünkü bu yazı, hatalı kurumları değil… düşünmeden kabul edilen doğruları anlatıyor.

Hepimiz bir noktada bu varsayımları yapıyoruz. Çünkü sistemler karmaşıklaştıkça, belirsizlik arttıkça, zihnimiz boşlukları varsayımlarla dolduruyor. Siber güvenlikte boşluklar, tahminle değil doğrulamayla yönetilir. Görünmeyeni sorgulamak gerekir. “Varsaydığımız” her şeyin gerçekten geçerli olup olmadığını test etmek gerekir.

Çünkü güvenlik, sahip olduklarımızdan değil…emin olduklarımızdan doğar.

Ve belki de bu yüzden, siber güvenlik bir teknoloji yarışı değil…bir farkındalık disiplinidir.

Varsayımlar her zaman olacak. Ama onları sorgulamayanlar için sonuç hep aynı:

Tebrikler, zirvedesiniz… ama geride kalıyorsunuz.

Yazar Hakkında

Related posts:

  1. Blockchain Güvenliği: Cüzdan Saldırıları, Protokol Açıkları ve Denetim Eksiklikleri
  2. ​​Siber Alanın Stratejik Enstrüman Rolü
  3. Siber Güvenlikte Beceri Açığı: Sorun İnsan Değil, Yetenek
  4. Sertifikalar Artıyor, Yetenek Yerinde Sayıyor

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir