SIEM Örnekleriyle Türkiye’deki Siber Güvenlik ve Bilişim Anlayışımızın Küresel Ölçekteki Farkı
Türkiye’deki siber güvenlik ve bilişim anlayışımızın dünya ile olan farkını SIEM örnekleri üzerinden anlatmaya çalışacağım. Takipçilerim bilirler ki, en az 10 yıldır SIEM konusunda canlı logların ne kadar önemli, kritik ve vazgeçilmez olduğunu vurguluyorum. İlk makale ve paylaşımlarımın üzerinden 10 yıl geçmesine rağmen hala bu konuda öncü ve tek kişi olarak yol almaya devam ediyorum. Ne yazık ki, bu süre zarfında bu konuda destekçi bulamadım. Hatta bazı SIEM uzmanlarıyla ilgili olarak, canlı logların bu kadar süre bankalar tarafından bile tutulmadığını söylediklerini, analizler için arşivin yeterli olacağını söylediklerini duydum. Hatta arkamdan canlı loglarla ilgili benim söylediklerimin tam tersini iddia eden kişilerin bile olduğunu duydum. Bu durum oldukça hayal kırıcı.
Her konuda ABD’nin takipçisi olan ülkemizde, siber güvenlik konusunda dünyanın takip ettiği, örnek aldığı ABD’yi neden takip etmediğimizi matematiksel veya reel olarak çözümleyemedim. ABD’nin en yetkili makamı olan ABD Başkanlık Ofisi’nin canlı loglarla ilgili emrine ait bir ekran görüntüsünü aşağıda paylaşıyorum.
Yukarıda paylaştığım emre sebep olan olayların başında meşhur Solarwinds hack vakası gelmekte. Aşağıdaki makalede konunun detaylarını bulabilirsiniz.
Yukarıdaki makalede değinildiği gibi Solarwinds hack olayından sonra canlı logların önemi ile ilgili dünyada ciddi bir hareketlenme oldu ama bizde hiçbir şey değişmedi.
Bu konuda dünyadan Kanada, MITRE, SANS, GOOGLE gibi hükümet, otorite veya uzman kuruluşların ne dediklerine de aşağıdan ulaşabilirsiniz.
Bu noktada şu soruyu sormak istiyorum: Neden Türkiye, her konuda ABD ve dünyayı örnek alırken, taklit ederken SIEM konusunda bu konuya teknik veya ticari nedenlerle bulaşmış kişiler bunu yıllardır görmezden geliyor? Dahası, daha vahim olanı ise Dünya ve ABD’nin önerdikleri, hükümetlerin emrettiği şeylerin tam tersini yaşıyor, öneriyor, pazarlıyor, parlatıyor ve satıyoruz?
Eğer SIEM konusunda durum böyleyse, Siber güvenlikle ilgili diğer konularda durumumuz ne olabilir? Belki bir TESLA’mız yok veya AR-GE verilerini çalmaya değer şirketimiz yok, bu yüzden Türkiye’de gerçekleşen saldırılar sansasyon yaratmıyor. Belki Solarwinds gibi büyük bir saldırının ardından dünyanın en büyük 18.000 şirketini etkilemediği için Türkiye’ye yönelik saldırılar da sansasyon olmuyor. Ancak, 3.000 dolar, 5.000 dolar gibi başlayıp birkaç milyona kadar çıkan cezaların veya hackerlara ödenen fidyelerin etrafta yaygın olduğunu görüyoruz.
Bugün (22 Haziran 2023) duyduğum bir olayı anlatmak istiyorum: Pendik çarşısındaki bir kuyumcu hackleniyor ve saldırganlar 1 bitcoin talep ediyorlar. Pazarlıkla 3.000 USD ödüyorlar ve ardından kuyumcu siber güvenliğin farkına varıyor ama ne kadar farkına vardığı yine soru işareti.
Tüm bu örnekler bize, Türkiye’nin siber güvenlik konusunda neden eksikliklerinin olduğunu ve SIEM gibi önemli konuların göz ardı edildiğini düşündürüyor.
Türkiye, dünyada en fazla siber saldırı yapılan beşinci ülke konumunda.
Accenture’nin siber suç araştırmasına göre, siber saldırıların yaklaşık yüzde 43'ü KOBİ’leri hedef alıyor ve başka bir araştırmaya göre siber saldırıya uğrayan KOBİ’lerin yüzde 60’ı 6 ay içerisinde iflas ediyor.
Tekrar edeyim, Türkiye’deki saldırılar dünyadaki gibi yüz milyonlarca veya hatta milyarlarca dolarlık zararlar vermiyor. Bunun sebebi, ülkemizin büyüklük açısından dünya çapında ses getirecek bir ekonomiye sahip olmamasıdır. Ancak, kuyumcu örneğinde olduğu gibi siber saldırılar oldukça yaygın hale gelmiştir.
KVKK veri ihlal bildirim sitesinden elde edilebilen verilere göre, Türkiye’de meydana gelen veri ihlalleri oldukça fazladır. Bu durum, siber güvenlik konusunda hala önemli sorunların olduğunu göstermektedir. İlgili verilere https://www.kvkk.gov.tr/veri-ihlali-bildirimi adresinden erişebilirsiniz.
Dünyadaki ilk 500 şirketin yarısına yakınını barındıran bir ülkede, başkanlık ofisi tarafından vurgulanan bir konuda Türkiye’nin siber güvenlik camiasının tam tersi bir tavır takınması veya en azından görmezden gelmesi mantıklı bir durum değildir. Bu durumun tek mantıklı sebebi, SIEM kullanıcılarının ürünleri göstermelik olarak kullanmaları ve satıcıların bunu istismar etmeleridir.
Türkiye’de şirketler ve insanlar genellikle ABD ve dünya örneklerini takip etmekle övünürken, maalesef SIEM konusunda canlı loglara hak ettiği, gereken önemi göstermeme eğilimindeyiz. Siber güvenlik alanında neleri göz ardı ediyoruz acaba? Bilişim ve diğer konularda neleri göz ardı ediyoruz? Neden göz ardı ediyoruz? Bildiğimiz halde mi göz ardı ediyoruz, bilmediğimiz için mi göz ardı ediyoruz yoksa çıkarlarımıza öyle geldiği için mi göz ardı ediyoruz?
Son olarak SIEM çözümlerinde korelasyon ve senaryolar konusuna girmeden SIEM’i bitirmek istemediğim için eklemek istediğim SIEM in saldırı ve şüpheli olayları tespit yeteneğinin ise ülkemizde neredeyse en basit seviyede algılandığıdır.
