Ana içeriğe atla

Siber güvenlikte şeffaflık neden güvenin temelidir?

7 dakikalık okuma
etiketler:
Şeffaflık, siber güvenlikte güvenin temelidir

Bir zamanlar bilge biri şöyle demişti: "Evinize ne kadar çok insan davet ederseniz, eviniz o kadar düzenli olur". Aynı açıklık ilkesi iş dünyasına da kolaylıkla uygulanabilir. Bir kuruluş süreç ve kültür bakımından ne kadar şeffaf olursa, faaliyetlerinde o kadar disiplinli olacaktır.  Şeffaflık, tedarikçiler, müşteriler ve iş ortakları arasında güven oluşturmanın temelidir ve bu durum siber güvenlikle ilgili olarak daha da geçerlidir. Burada, bu şeffaflığı ve dolayısıyla güveni sağlayan temel faktörleri inceliyoruz.

Siber güvenlikte şeffaf bir yaklaşımın zorunluluğu

Siber saldırıların ve veri ihlallerinin riskleri ve potansiyel sonuçları haklı olarak her kurumun gündeminde üst sıralarda yer almaktadır. Tüm sektörlerdeki işletmeler ve kamu kurumları, artık tedarikçilerin ürünleri ve çözümlerinin güvenliğiyle ilgili iddialarını yüzeysel bir şekilde kabul etmiyor. Gerçekten de birçok ülke ve bölgede mevzuat, organizasyonlarında kullanılan ürün ve hizmetlerin güvenliği konusunda daha fazla bilgi sahibi olmalarını talep etmektedir.

Genellikle "belirsizlik yoluyla güvenlik" olarak adlandırılan, bir sistemin ayrıntılarını ve işleyişini gizlemenin güvenliği artırmanın en iyi yolu olduğu fikri büyük ölçüde gözden düşmüştür. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) "sistem güvenliğinin uygulamanın veya bileşenlerinin gizliliğine bağlı olmaması gerektiğini" belirtmektedir.

Bir teknoloji tedarikçisinin güvenlik uygulamalarına ilişkin bilgiler, tedarikçi risk değerlendirmelerinin yürütülmesinin temel bir yönüdür. Bunlar, bir tedarikçinin ürünlerinin müşterinin ağı ve bağlı sistemleri üzerindeki potansiyel etkisini inceler ve tedarikçinin riskleri azaltmak için gerekli önlemleri alıp almadığını belirler. 

Bu nedenle müşteriler, bir tedarikçinin en uygun ürün güvenliğini destekleme ve bunu ürün yaşam döngüsü boyunca sürdürme yaklaşımının her yönüyle tam görünürlük talep ediyor. Bir tedarikçinin ürünlerinin müşterinin kendi güvenlik duruşunu destekleyip desteklemediğini belirlemek ve tedarikçiler, iş ortakları ve müşteriler arasında güven oluşturmak için temel teşkil ettiğinden, bu şeffaflık talebi benimsenmelidir. 

Şeffaflığın çok yönlü faydaları 

Bir teknoloji üreticisi güvenlik uygulamaları konusunda şeffaf olduğunda, temelde ürün güvenliğini sağlama taahhüdünü göstermiş olur. Bu, müşterilerin kendi sistemlerini ve verilerini korumak için ürünleri mümkün olan en güvenli şekilde kullanmalarını sağlayan güvenlik özelliklerini ve ayarlarını sağlamayı içerir.  

Şeffaflık ayrıca müşteriler ve iş ortaklarıyla daha etkili işbirliği ve bilgi paylaşımına olanak tanıyarak yeni keşfedilen yazılım açıklarını hızla ele almalarını sağlar. 

Ayrıca şeffaflık, hem üreticilerin hem de müşterilerin geçmiş güvenlik olaylarından ders çıkarmalarına ve genel güvenlik duruşlarını iyileştirmelerine yardımcı olur. Bilgiye dayalı kararlar, gelecekteki olayların önlenmesine yardımcı olabilir ve müşteri verilerinin ve bilgilerinin sürekli korunmasını sağlayabilir.

Siber güvenlik sertifikalarının gerekliliklerinin ötesine geçme

Bu bağlamda, endüstri standartları ve sertifikalar bir şirketin temel siber güvenlik taahhüdüne ilişkin faydalı bir güvence sağlayabilir. Bu sertifikaların kanunen gerekli olduğu durumlarda, tedarikçilerin bunlara uyum sağladıklarını göstermeleri gerektiği açıktır. Ayrıca, şirketlerin müşterilerine hizmet sunmak için birbirleriyle iş yaptıklarında, sözleşmeye dayalı olarak bağlayıcı olabilecek bir temel oluşturulmasında da değerlidirler. Müşteriler, üreticilerin asgari gereklilikleri karşıladığından emin olmak için tedarik sürecinde sertifika kanıtlarını da kullanabilir. 

Ancak, siber güvenliğe kapsamlı bir yaklaşım sergilemek için sertifikaları "sihirli bir değnek" olarak kullanmaktan kaçınılmalıdır. Sertifikalar, ister kurumsal bilgi güvenliği (ISO 27001, çeşitli siber güvenlik ihracat düzenlemeleri vb.) ister ürün odaklı güvenlik sertifikaları (FIPS 140, ETSI EN 303 645 ve diğer ülkeye özgü standartlar) ile ilgili olsun, bir şirketin belirli bir zamanda bağlı kaldığı minimum temel güvenliği gösterir.

Buna ek olarak, standartlar ve sertifikalar doğası gereği genellikle belirli endüstrileri ve kullanım durumlarını kapsayacak şekilde geniş olabilir ve bu nedenle her zaman uzman kullanım durumlarıyla ilgili olmayabilir. Örneğin, IEC 62443 özellikle fiziksel güvenlikle daha az ilgili olan endüstriyel otomasyon ve kontrol sistemlerine odaklanmaktadır.

Ticari bir perspektiften bakıldığında, sertifikalar ve standartlara bağlılık, bir onay kutusu özelliği ve tedarik süreçlerinde rekabet avantajı elde etmeye yönelik bir strateji olarak kullanılma riski taşır; amaç, "iyi" bir siber güvenlik pozisyonuna sahip olma görünümünü güçlendirmek için mümkün olduğunca çok sayıda sertifika toplamaktır. Bu durum, özellikle standart ve teknik gerekliliklerin "satın alma" yoluyla erişilebilir olması ve ücretsiz olarak kamuya açık bulunmaması halinde geçerlidir. 

Son olarak, teknoloji, süreçler ve ürünlerdeki gelişmeler genellikle standardizasyon sürecinden çok daha hızlı ilerlemektedir; bu da yalnızca sertifikasyona güvenen üreticilerin teknolojideki yeniliklerin gerisinde kalacağı anlamına gelmektedir. Örneğin, ürünlerde IEEE 802,1AE MACsec ağ şifrelemesinin bulunması ağ iletişimini önemli ölçüde güçlendirir, ancak ağların güvenliğini sağlamak için MACsec kullanma teknolojisi veya en iyi uygulama mevcut standartlarda belirtilmemiştir.

Kısacası, sertifikalar ve standartlar bir değere sahip olmakla birlikte, bir hedef değil bir temel olarak görülmeli ve bir tedarikçinin siber güvenlikle ilgili daha geniş faaliyetlerini tamamlayıcı nitelikte olmalıdır. 

Şeffaflık için kanıt aranıyor

Tedarikçileri değerlendirirken, ürün ve yazılım geliştirme ile siber güvenlik açısından tüm ürün yaşam döngüsü boyunca şeffaflık taahhüdünü gösteren bazı belirgin kanıt noktaları vardır. Bunlar şunlardır:

  • Bir ürün yaşam döngüsü boyunca, geliştirme, üretim ve dağıtım aşamalarından, uygulama, hizmette olma ve devre dışı bırakma süreçlerine kadar müşterilere gerçekleştirilen güvenlik faaliyetleri ve alınan önlemler hakkında bilgi sağlamak. Bu bilgiler, tedarikçinin tüm tedarik zincirinin nasıl güvence altına alındığını da içermelidir.   
  • Hem ürün geliştirme hem de tedarikçinin şirket içi güvenliğe yaklaşımı için güvenlik politikaları ve uygulamalarının yayınlanması. Kullanıcı veri ve bilgilerinin korunmasına yönelik açık, kamuya açık bir dizi politika ve prosedüre sahip olmak, şirketin güvenlik ve hesap verebilirlik konusundaki kararlılığını gösterir.  
  • Potansiyel güvenlik zayıflıklarının belirlenmesine ve ele alınmasına yardımcı olmak ve müşterilere şirketin güvenliği ciddiye aldığına dair güvence sağlamak için düzenli olarak bağımsız güvenlik değerlendirmeleri ve denetimleri yapmak. Bunlar, ISO/IEC 27001 standardı değerlendirmeleri gibi kurumsal düzeyde veya üçüncü taraf sızma testleri gibi belirli bir ürün düzeyinde değerlendirmelerle ilgili olabilir.
  • Üçüncü taraf kişi, kuruluş ve yetkililerin ürünlerin güvenlik duruşunu teknik olarak kolayca değerlendirmesini sağlayan ürünler sunmak. Bu, cihaz yazılımının şifrelenmemesi veya "gizlilik yoluyla güvenlik" anlayışını destekleyen diğer faaliyetleri içerir. Her bir yazılım parçasını oluşturan "bileşenleri" listeleyen bir yazılım malzeme listesinin (SBOM) sağlanması da çok önemlidir. SBOM, bir yazılım parçasında bulunan tüm açık kaynak ve üçüncü taraf bileşenlerini, bu bileşenleri yöneten lisansları, yazılımda kullanılan bileşenlerin sürümlerini ve güvenliği korumak için gereken yamaların durumunu ayrıntılarıyla açıklar.
  • Güvenlik olayları meydana geldiğinde, hem tedarikçi'nin organizasyonu hem de ürünleri ile ilgili olarak bu olayların raporlanmasında şeffaflık. Tedarikçilerin açık bir güvenlik açığı yönetimi politikası olmalıdır. Bu, olayın niteliği, ilk olarak nasıl keşfedildiği, güvenlik açığını gidermek için atılan adımlar (müşterilerin yapması gerekenler dahil) ve gelecekteki olayları önlemek için alınan önlemler hakkında iletişim kurulmasını sağlayacaktır.
  • Müşterilere ve ortaklara şirketin güvenlik duruşu hakkında düzenli güncellemeler sağlamak. Güvenlik politikalarında veya uygulamalarında yapılan değişiklikler hakkında bilgi sahibi olmaları yalnızca haberdar olmalarına yardımcı olmakla kalmaz, daha da önemlisi kendi ürünlerini, hizmetlerini ve süreçlerini güvence altına almak için hızla harekete geçmelerini sağlar. Buna ek olarak, müşterilerin ve iş ortaklarının bir güvenlik bildirim hizmetine abone olmalarına izin vermek, onlara güvenlik sorunlarına zamanında yanıt verme fırsatı verir.
  • Müşterileri ve araştırmacıları keşfettikleri potansiyel güvenlik açıklarını bildirmeleri için aktif olarak teşvik etmek, şirketin potansiyel sorunları istismar edilmeden önce tespit etmesine ve ele almasına yardımcı olacaktır. CVE kimliklerini açıklamak içinCVE programının bir parçası olmak ve ayrıca bir hata ödül programı oluşturmak, tedarikçinin siber güvenlik olgunluğunu ve şeffaflığını ve güvenli geliştirme süreçlerine olan güveni gösterir. 
  • Müşterileri proaktif bir ürün yaşam döngüsü yönetimi sürecinde destekleyerek, ürünün hizmet dışı bırakılması ve değiştirilmesi için planlama yapmalarını sağlar. Bunun merkezinde, cihaz yazılımı için destek sonu tarihinin mümkün olduğunca erken, ideal olarak ürün lansmanından hemen sonra detaylandırılması yer almaktadır.  

Her tedarikçi, müşterinin siber güvenlik gereksinimlerini destekleyen ürünler sunmak için elinden gelen her şeyi yapmaya kararlı olmalıdır. Sertifikalar ve standartlar bir yere kadar geçerlidir. Şeffaflık esastır. Yayınlanmış uygulamalar ve politikalar, düzenli bağımsız güvenlik değerlendirmeleri ve denetimleri ile güvenlik olaylarına ilişkin açık beyanlar, bir tedarikçinin verileri koruma ve güçlü siber güvenliğe sahip ürünler sağlama taahhüdüne güven oluşturmanın daha güvenilir yollarıdır.

Siber güvenlik yaklaşımımız hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Andre Bastert

Andre Bastert, Axis Communications'da Global Product Manager olarak görev yapmaktadır. Axis ağ cihazlarını güçlendiren AXIS OS yazılım platformundan sorumludur. Andre, siber güvenlik, BT-altyapı/güvenlik entegrasyonu ve ürünlerimizin yazılım yaşam döngüsü yönetimi yönüyle ilgili her şeye odaklanıyor. Andre, Axis'teki kariyerine 2014 yılında teknik hizmetler alanında başlamıştır. Mevcut görevine başlamadan önce PTZ kameralar ve AXIS OS için ürün uzmanı olarak çalıştı. Andre, çalışmadığı zamanlarda ailesiyle vakit geçiriyor ve gerçek bir "kendin yap" ruhuyla evini yenilemekten büyük keyif alıyor.

Andre Bastert
To top