30 bin şirket kaydolmadı süre 3. kez uzatıldı

Siber suçlar pandemi ile hızla artarken Türkiye’de kişisel verilerin korunmasına üçüncü kez erteleme geldi. Kanuna göre Türkiye’deki 55 bin şirketin VERBİS’e kayıt olması zorunlu. Ancak halen 30 bin şirket kayıt olmamış durumda.

Tüm dünyada korona virüsü nedeniyle ticaret ve iletişim online'a kayarken, siber suçlarda çok büyük bir artış gözleniyor. Bunun nedeni verinin değerinin giderek artması. Türkiye'de veri güvenliği için 7 Nisan 2016'da yürürlüğe giren ‘6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun' korona virüsü pandemisi nedeniyle çok daha önemli hale geldi.

Kanuna uyum için işletmelere 2 yıl süre tanınmıştı. 50 ve üzeri çalışanı olan veya son yıllık bilançosu 25 milyon TL ve üzeri olan şirketlerin Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kaydı zorunlu hale getirildi. VERBİS'e kayıt için son gün 30 Haziran iken dün bu tarih 30 Eylül 2020'ye uzatıldı.

HAPİS DAHİ VAR

Şirketlerin pandemi süreci nedeniyle enerjilerini ayakta kalabilmeye harcadığını belirten Jurcom GRC Services CEO'su Ali Osman Özdilek, birçok firmanın kişisel verilerin korunması hakkında bilgisi dahi olmadığını söyledi. Özdilek, şöyle devam etti:

"Mevcut durumda 55 bin firmanın VERBİS'e kayıt yaptırması gerekiyor ama sadece 25 bini kayıtlı. Kayıtlı olmayan şirketlerin bu zorunluluktan haberi dahi yok."

"Ancak bunun cezası da büyük. Para cezası 100 bin liradan başlayıp 1.5 milyon liranın üzerine çıkıyor. Kişisel Verilerin Korunması Kanunu'nun Türk Ceza Kanunu'na yaptığı atıf nedeniyle ayrıca hapis cezası da doğabiliyor."

Kanuna uyum sürecini gerçek anlamda sağlayabilmenin ve devam ettirebilmenin ciddi sayılabilecek bir maliyeti olduğunu belirten Ali Osman Özdilek şu bilgileri verdi:

"Türkiye'deki şirketlerin çoğunluğunun KOBİ niteliğinde olması ve bu şirketlerin  korona virüsü nedeniyle ciddi şekilde sıkıntıya girmeleri nedeniyle şu an bu tür uyum çalışmalarına ayırabilecekleri bütçeleri bulunmuyor."

"Ancak maddi sıkıntısı olmayan daha büyük şirketlerde bile halen konunun tam anlaşılamadığı görülüyor. Birkaç doküman düzenlenerek bu işin yapılacağı yönünde algı devam ediyor."

ONLİNE PANELLERDEN, CANLI YAYIN İZLERKEN TEHLİKEDEYİZ

Pandemi ile e-ticaretten, canlı yayın izlemeye ve online toplantılara katılmaya kadar pek çok alanda kişisel verilerin tehlikeye girdiği süreçlere daha fazla dahil oluyoruz. Bu noktada KVKK'nın önemi de artıyor. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi. Bu sistemle, veri sorumlularının kimler olduğunun açıklanması ve kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedefleniyor. VERBİS kayıt süreci daha önce iki kez uzatıldı. “Normalde artık bir uzatma beklenmiyordu ancak korona virüsü nedeniyle böyle bir zorunlu uzatma gündeme geldi” diyen Özdilek, “Kanun dört yıldır yürürlükte. Kişisel veri bilinci arttıkça şirketlerde de Kanun'a uyum yönünde farkındalık ve uyum çalışmaları artacak” diye konuştu.

Dünyanın sanal siber güvenlik konferansı VShield düzenlendi

Innovera’nın bu yıl 6.’sını düzenlediği ve korona virüs sebebiyle VShield adıyla sanal ortama taşınan siber güvenlik konferansı, “Yeni Bir Dünyaya Uyanmak” temasıyla 2 günde 7500’e yakın katılımcıyı ağırladı

Korona virüs salgını ile dünyanın dört bir yanında milyarlarca kişinin evinde kalmaya ve çalışmaya başlaması, siber güvenlik düzleminde saldırı sıklığını artırırken, yeni saldırı yöntemlerinin de ortaya çıkmasına sebep oldu.

2020’nin en kapsamlı ve ilk sanal siber güvenlik konferansı

Uzmanların yeni bir dünyaya adım attığımızı vurguladığı bu dönemde, Innovera da 2020’nin en kapsamlı siber güvenlik konferansı VShield ile salgın döneminin etkilerinin değerlendirildiği, iş dünyasının geleceğe güvenli adım atabilmeleri için gerekenlerin konuşulduğu bir platform oldu. Konferansta dünyaca ünlü siber güvenlik uzmanlarının yanı sıra, Türkiye’nin kamu, havacılık, finans, telekomünikasyon gibi sektörlerinden önde gelen üst düzey ve bilgi güvenliği yöneticilerinin oturumları yer aldı.

Innovera CEO’su Gökhan Say, VShield hakkında şöyle konuştu: ‘’VShield, bizim açımızdan tam tabiriyle Korona virüs’e karşı bir başkaldırıydı. Yıllardır yaptığımız Shield Güvenlik Konferansını pandemi yüzünden yapamayacağımızı anladığımızda dünyanın en büyük güvenlik üreticilerinin de desteğiyle toplam 150 kişilik bir ekiple VShield üzerine çalışmaya başladık. Neticede VShield, 2 günde, toplam 7500 misafirin ağırlandığı, 90’nın üzerinde konuşmacının katkılarıyla açılış konuşmaları, Üst Düzey Yönetici panelleri, başarı hikayeleri, teknik eğitimler, hatta siber poligon yarışmaları olmak üzere 70’in üzerinde oturumun gerçekleştirildiği ve 65 saatin üzerin canlı yayının yapıldığı dünyanın en kapsamlı Sanal Siber Güvenlik Konferansına dönüştü. Kısacası her sene yaptığımız Shield Konferansı’ndan bile daha zengin bir içerik sunarak bir kere daha çıtayı yukarı taşıdık ve Sanal Ortamda da bunun yapılabileceğini kanıtladık” dedi.

Dünya korona virüse karşı birleşirken, hacker’lar hastanelere saldırıyor

Say, sözlerine şöyle devam etti: “Hackerlar ne kadar acımasız olduklarını bir kez daha kanıtladılar. Bugüne kadar kritik altyapılara olan saldırılar hep mevcuttu, ancak son dönemde hastanelere bile siber saldırılar düzenleniyor. Akıllı olmayan şehirler bile hackerların hedefi haline gelebiliyor. Bu tip saldırılarda yüzde 30 artış var, oltalama saldırılarında 20 kata kadar artış yaşanıyor. Bütün dünya korona virüse karşı birlik olurken, siber suçlular bizimle değiller.”

Tüm dünyada zararlı kodlar %10, saldırılar %25 arttı

Konferansın açılış konuşmasını yapan Kaspersky CEO’su Eugene Kaspersky, siber suçluların da Kovid-19 döneminde evde kaldığını ve zararlı yazılım geliştirmek ve siber saldırılar yapabilmek için daha fazla vakitleri olduğunu söyledi. Kaspersky verilerine göre küresel olarak zararlı kod oranının bu dönemde yüzde 10, saldırıların ise yüzde 25 arttığını belirten Eugene Kaspersky, korona virüs sonrası için “Büyük kurumların bilgi güvenliği departmanları var, ancak KOBİ’ler, küçük işletmeler çalışan, deneyim ve bilgi gibi kaynaklara büyük işletmeler kadar kolay erişemiyor. Siber güvenlik dünyası olarak küçük işletmelere özel servisleri artırmamız, onlara yardımcı olmamız gerekiyor” değerlendirmesini yaptı.

Siber güvenliğin geleceğinde konsolidasyon ve otomasyon yatıyor

Fortune 100 şirketlerinin %80’den fazlasının güvenlik çözümlerini kullandığı Palo Alto Networks Kurucusu ve CTO’su Nir Zuk, ağ güvenliği konusundaki başarılarını tüm siber güvenlik ekosistemine yaymak için inovatif bir platform yaratmanın ilk iş olduğunu söyledi. Zuk, siber güvenlik operasyon merkezlerinin çok sayıda teknolojik çözüm ve hacker’ları kullandığı otomasyonla mücadelede yorgun düştüğünü gözlemlediklerini belirtti. Zuk’a göre, bunun çaresi bulut, kurum içi sistemler ve uygulamalarla dolu bir dünyada, çok sayıda farklı çözüm yerine konsolide olmuş bir platforma yönelmek ve akıllı otomasyon ile iş yükünü azaltmak.

Kamu politikalarının siber güvenliği kapsaması gerekiyor

En çok satanlar listesine giren siber güvenlik kitaplarının yazarı ve Güvenlik Teknolojisti Bruce Schneier, teknoloji ve kamu politikalarının birbirinden ayrı düştüğünü ve yeniden bir araya gelmesi gerektiğini belirtti. Teknolojideki üstel gelişim ile artık her cihazın temelde bir bilgisayar olduğunu ve bu bilgisayarların artık dünyayı fiziksel olarak etkilediğine değinen Schneier, kişisel cihazların bir nevi casusluk amacıyla kullanılabileceğini, ancak olması gereken şifreleme düzeyinin, verilere şifrelemeyi yapan kurumlarca bile erişilememesi gerektirdiğini söyledi.

Korona virüs temas takibinde gizliliği korumak mümkün mü?

Gizllik Uzmanı Emerald de Leeuw, merkezi olmayan uygulamaların daha başarılı olduğunu belirtti. Korona virüs için geliştirilen merkezi olmayan, gizlilik koruyan, konum yerine yakınlık takibi yapabilen, açık kaynaklı DP-3T protokolünü tavsiye eden de Leeuw, kalıcı bir gözetleme isteyip istemediğimize karar vermemiz gerektiğini ve bu uygulamaların ikincil amaçlarından ve verilerin daha sonra başka verilerle birleştirilip birleştirilmeyeceğinden emin olmanın faydalı olduğunu söyledi.

Bilgi Güvenliği Üst Yöneticilerine (CISO’lara) önemli tavsiyeler

“Siber Güvenliğin ve Dijital Güvenin Geleceğini Şekillendirmek” oturumunda, siber saldırganlığın da bir kariyer haline dönüştüğü ve risksiz görüldüğü için bu yönde bir eğilim olduğu ifade edilirken, Tasarım ile Güvenli (Secure by Design) konseptinin altı çizildi.

Özellikle kriz dönemlerinde güvenliği tasarımsal olarak belirlemek önem taşıyor, çünkü pandemi öncesinde bir ürünü pazara çıkartmak için gereken süre azalmıştı ancak pandemiyle bu süre iyice kısalmış durumda. Bu sebeple geliştirme aşamasında siber güvenliği entegre etmek, sonradan yaşanacak vakit kayıplarının ve yeterince güvenli olmayan bir ürünün yaşatacağı kayıpların önüne geçecektir.

Avustralya'da kurumlar kapsamlı bir siber saldırı altında

Avustralya Başbakanı Scott Morrison, ülkedeki özel kurumlar ve kamu kurumlarının devlet tabanlı bir siber aktörün kapsamlı saldırısı altında olduğunu açıkladı

Avustralya Başbakanı Scott Morrison düzenlediği basın toplantısında, ülkedeki kurumların karmaşık bir siber saldırıya maruz kaldığını söyledi.

Saldırının kaynağına ilişkin "devlet tabanlı" ifadesini kullanan ancak ülke ismi vermeyen Morrison, "Hedeflemenin ölçeği, niteliği ve kullanılan yöntem nedeniyle karmaşık, devlet tabanlı bir siber aktör olduğunu biliyoruz. Avustralya hükümeti siber saldırı tehdidinin farkında ve tetikte." dedi.

Saldırının ardında hangi ülkenin olduğunu açıklamayacağını belirten Morrison, bu devletin Çin olup olmadığı yönündeki soruya şöyle cevap verdi:

"Avustralya hükümeti bu konularla ilgili herhangi bir aleni atıfta bulunmuyor.

Bunun devlet temelli bir aktörün eylemleri olduğuna eminiz. Bundan daha ileri gitmedik. Başkalarının yaptığı spekülasyonlara karışamam."

Morrison, saldırı nedeniyle şu ana kadar büyük ölçekli bir ihlalin yaşanmadığını, Avustralya güvenlik birimlerinin müttefikleri ve ortaklarıyla yakın iş birliği içinde çalıştığını dile getirdi.

Ülke basınında yer alan haberlerde ise siber saldırının arkasındaki devletin Çin olduğu iddia edildi.

Siber suçlarla mücadele için yeni birim kuruldu

İçişleri Bakanı Süleyman Soylu, Emniyet Genel Müdürlüğü Siber Suçlar bünyesinde 'Siberay' isimli yeni bir birimin kurulduğunu açıkladı

İçişleri Bakanı Süleyman Soylu, Kanal D'de yayınlanan 'Neler Oluyor Hayatta' programına konuk oldu.Programda yaptığı açıklamalarda Soylu, siber suçlara ve alınan önlemlere ilişkin yeni adımların atıldığını söyledi.

Emniyet içerisinde 'Siberay' isimli yeni bir birimin kurulduğunu açıklayan Soylu, "Siber devriyelerle, çocuklarımıza ve gençlerimize musallat olanlara gerekli cevapları verecekler" ifadelerini kullandı.

Soylu, Siberay'la ilgili olarak şu açıklamalarda bulundu:

"Şu anda dünyaya örnek ve birçok ülkeye ders verdiğimiz bir merkezimiz var. Ve burada bu konularla ilgili çok profesyonel yüzlerce arkadaşımız var. Ve inanın siber devriyelerle sanal alemde müthiş bir performans sergiliyorlar ve bunu hukuk, savcılarımız, hakimlerimizle eş güdüm içerisinde takip ediyorlar.

Size şimdi bir yenilikten daha bahsedeceğim. Hani bizim Kızılay'ımız var, Yeşilay'ımız var, onların her birinin çok önemli etkinlikleri var, şimdi Emniyet Genel Müdürlüğümüz, Siber Suçlar dairemizin içerisinde Siberay diye, özellikle çocuklarımızı ve gençlerimizi siber suçlardan korumak için yeni bir program başlatıyor. Siber devriyelerle, çocuklarımıza ve gençlerimize musallat olanlara gerekli cevapları verecekler. Milletimiz rahat olsun, hakaretle karşı karşıya kaldıklarında, sanal alemde iftiralarla karşı karşıya kaldıklarında, dolandırıldıklarında 112 155 156'yı aradıklarında, emin olmalarını isteriz, ne olursa olsun eğer yurt içindeyse bulmama ihtimalimiz söz konusu değildir. Yurt dışında ise dahi, bunu takip edip suçluyu cezalandırmak için elimizden gelen her şeyi yaparız. Bizzatihi bu konularla ben ilgileniyorum. Şunu da ifade edeyim, son günlerde dünyanın öteki tarafında bir organize suç üyesini yakalayabilmek için, Gürcistan'dan Ukrayna'ya kadar Kolombiya'ya kadar, Arjantin'e kadar takip ettik ve en son Arjantin'de yakalattık."

Amazon: Tarihin en büyük siber saldırısını püskürttük

Şirket siber saldırıda, Amazon'un bulut hizmetlerini kullanan bir internet sitesinin hizmet veremez hale getirilmesinin hedeflendiğini, saldırıyı hasarsız atlattığını duyurdu

Amazon, tarihin en büyük DDoS (dağıtılmış hizmet reddi) saldırısına maruz kaldığını ve saldırıyı "püskürttüğünü" açıkladı.

Şirket siber saldırıda, Amazon'un bulut hizmetlerini kullanan bir internet sitesinin hizmet veremez hale getirilmesinin hedeflendiğini, saldırıyı hasarsız atlattığını duyurdu.

DDoS saldırıları, bir internet sitesine binlerce veya milyonlarca ayrı kaynaktan aynı anda istek göndererek sitenin sunucularının kapasitesinin yetersiz kalmasını ve kimseye hizmet verememesini hedefliyor.

Amazon, saldırıda saniyede 2,3 terabit veri aktarıldığını duyurdu. Bu, ortalama bir iş gününde Birleşik Krallık'ın tüm internet altyapısında aktarılan verinin yarısına yakın.

Daha önceki en büyük DDoS saldırısı 2018'de saniyede 1,7 terabit ile tarihe geçmişti.

Red Goat adlı siber güvenlik şirketinden Lisa Forte, "Bu endüstrideki herkes için çok büyük bir olay" diyor ve ekliyor:

"Önceki saldırılarla bunu kıyaslamak, bir mobilet ile yarış arabasını karşılaştırmaya benzer.

"Bunlar sıradışı saldırılar. Ama siber saldırganlar ile bir silahlanma yarışı içindeyiz.

"Bu saldırı, göz ardı edilmemesi gereken bir uyarı niteliği taşıyor."

Amazon'un DDoS saldırılarından korunma hizmeti AWS Shield, saldırının zirve noktasının, bugüne kadarki en büyük saldırıdan yüzde 44 daha yüksek olduğunu tespit etti.

Hangi siteyi hedef aldığı açıklanmadı

Hedef alınan internet sitesinin hangisi olduğu açıklanmadı.

DDoS teknik olarak basit saldırılar ve etkilerini büyüklüklerinden alıyor.

Genellikle zararlı yazılımlar tarafından ele geçirilmiş bilgisayarlar üzerinden siber saldırı düzenleniyor.

Hacker grubu Anonymous'un şirketlere ve hükümetlere yönelik saldırılarında da sıklıkla bu yöntem kullanılıyor.

Öte yandan AWS Shield, Cloudflare, Akamai gibi şirketler, DDoS saldırılarının etkisini azaltma hizmeti veriyor. Bunların bir kısmı, kullanıcılardan robot olmadıklarını ispatlamalarını talep ediyor. 

(BBC Türkçe)

Veri sızıntısına yerli "Bariyer"

Yerli siber güvenlik çözümü HAVELSAN Bariyer, ulusal ve uluslararası güvenlik ve uygunluk sertifikasyon süreçlerini tamamladı.

Veri sızıntısı önleme yazılımları alanında Türkiye'de ilk kez Uluslararası Ortak Kriterler kapsamında yüksek güvenlik seviyesi niteliğindeki "EAL 4+ Sertifikası"nı geçen yıl alan siber güvenlik ürünü HAVELSAN Bariyer, alanında TRTEST Ürün Uygunluk Sertifikası'nı kazanan ilk ürün olmayı da başardı.

Türkiye Siber Güvenlik Kümelenmesi Siber Güvenlik Ürünleri Test ve Sertifikasyon Projesi kapsamında HAVELSAN tarafından DLP Bariyer ürünü için yapılan uygunluk başvurusunu değerlendiren TRTEST Test ve Değerlendirme AŞ, ürünün TRTEST-TSKGK-DLP-01 Kriteri kapsamında uygunluğuna karar verdi.

Misyonlarından biri ordunun "en güvenilir ürünler" ile hizmet vermesini sağlamak olan TRTEST'in uygunluk sertifikasıyla, Türk Silahlı Kuvvetlerinin envanterinde yer almak için en önemli aşamayı geçen HAVELSAN Bariyer, kritik verilerin taşınma veya kopyalanmasının engellenmesi ile dışarıya çıkarılan verilerin güvenliğinin sağlanması ve takip edilmesi gibi hassas veri ve politika yönetimi özelliğini içeriyor.

HAVELSAN Bariyer, gönderilen e-posta içeriklerinin takip edilmesi ve engellenmesi ile ziyaret edilen web sitelerinin takip edilmesi ve engellenmesinin yanı sıra, USB veri taşıma cihazları, USB tak çalıştır cihazlar (Plug and Play) ve akıllı telefonlara kurum verilerinin aktarılmasını engelleme ya da aktarılmasına izin verme seçeneklerini de içinde barındırıyor.

- Türkiye'nin alanında ilk yerli ve milli ürünü

HAVELSAN Genel Müdürü Ahmet Hamdi Atalay, siber güvenlik ve yazılım, KBRN, çevresel, balistik gibi birçok alanda test hizmeti veren TRTEST'in HAVELSAN Bariyer ile ilgili uygunluk sertifikasını değerlendirdi.

Ürününün hem uluslararası hem de ulusal güvenlik ve uygunluk sertifikasyon süreçlerini tamamlayan Türkiye'deki ilk veri sızıntısı önleme ürünü olduğunu belirten Atalay, şöyle konuştu:

- "Ülke sınırlarının korunması gibi"

Atalay, son yıllarda bilgi güvenliğinin ülkelerin milli güvenliğiyle doğrudan ilgili hale gelmeye başladığına dikkati çekerek, şunları kaydetti:

"Parmak izi teknolojisini de içinde barındıran HAVELSAN Bariyer, kurumsal verilerin korunması, belirlenen engelleme kurallarına uygun olarak kullanılması, kurum dışına izinsiz çıkmasının veya sızdırılmasının önlenmesi amacıyla geliştirilmiş Türkiye'nin ilk yerli ve milli DLP-veri sızıntısı önleme ürünü. Başta Türk Silahlı Kuvvetlerimiz olmak üzere, kritik kurumlarımızın veri güvenliğinin sağlanması için en ideal ürünü ortaya çıkardık. Süreç içinde ürün geliştirme çalışmalarımız devam edecek."

 "Siber güvenliğimiz, adeta ülke sınırlarımızın Mehmetçiklerimiz ve milli silahlarımızla korunması gibidir. Siber dünyada en önemli silahımız, milli siber güvenlik ürünlerimizdir. Ürünlerinizin milli olmadığı yerde, siber güvenliğimizden söz edemeyiz. Bu açıdan HAVELSAN olarak yerli ve milli siber güvenlik ürünlerini geliştirmeyi milli bir görev, bir misyon olarak görüyoruz. HAVELSAN Bariyer de ulusal ve uluslararası tüm kriterleri karşılayan, ülkemizin en önemli milli siber güvenlik ürünü oldu."

- Yüksek Seçim Kurulu kullanmaya başladı

Veri sızıntısı önleme ürünü HAVELSAN Bariyer'in nisan ayında Yüksek Seçim Kuruluna (YSK) kurulduğu bilgisini veren Atalay, "Ülkemizde seçim işlerinden ve seçimlerin güvenliğinden sorumlu olan en üst düzey kurumumuz YSK'nin HAVELSAN Bariyer'i kullanmaya başlaması, diğer kurumlarımız için de önemli bir referans teşkil edecek. Kamu adına bağımsız ve güvenilir test otoritesi olan TRTEST'in uygunluk sertifikası sonrasında da kurumlarımızdan ürünümüzle ilgili bize ulaşan taleplerinin artacağını düşünüyoruz." değerlendirmesinde bulundu.