Teknoloji ve bilişim çağında yaşıyor olmak, sağladığı kolaylıkların yanı sıra hiç şüphesiz birçok sorunu da beraberinde getirmektedir. Teknolojinin kullanım oranı her geçen gün artmaktadır. Ama teknolojik gelişim ve değişimde yaşanan hız bundan çok daha fazladır. Buna bağlı olarak da tehdit ortamı (threat landscape) sürekli ve artan bir ivme ile değişmektedir. Bütün bu yaşanan hızlı gelişim ve dönüşüm ise hem kurumları hem de bireyleri ciddi bir biçimde etkilemektedir. Bu yazıda, kurumsal siber güvenliğin gelecekteki yönleri (future directions of enterprise cybersecurity) ile ilgili bir değerlendirme yapılacaktır. Ancak şunu unutmamak gerekir ki; kurumsal değişim ve beklentiler hiç şüphesiz bireyleri de etkilemektedir. Bu nedenle yazıda ele alınacak olan kurumsal projeksiyonun bireysel yansımalarının da kısa sürede kendisini göstereceği gözden uzak tutulmamalıdır.
Kurumlar ve organizasyonlar kendilerini ve sistemlerini, siber tehditlere karşı koruyabilmek için ciddi bir mücadele vermekte ve büyük yatırımlar yapmaktadır. Ancak geleneksel güvenlik önlemleri (traditional cybersecurity measures) ve bunlara yapılan yatırımlar güncel ve mevcut tehditlere karşı etkin olamamaktadır. Oysa kurumlar da siber güvenlik sistemlerini mevcut teknolojik şart ve koşullara adapte edebilmeli ve teknolojik gelişmelere paralel gelişimlerini devam ettirebilmelilerdir. Bu nedenle kurumsal karar alıcılar, geleceğe dönük olarak bir projeksiyon oluşturabilmeli ve teknolojik ivmeyi yakalayabilmelidir. Konu kapsamında odak noktası olarak bulut teknolojileri (cloud computing), Web 3.0 ve yapay zeka (arificial intelligence) ifade edilebilir.
- Bulut Teknolojileri (Cloud Computing)
Kurumların yaklaşık %92’si çoklu bulut teknolojisini (multi-cloud computing), %83’ü de hibrit bulut teknolojisini (hybrid cloud computing) kullanmaktadır. Çoklu bulut teknolojisi birden fazla bulut hizmeti sunan firmanın (cloud service provider) kullanılması, hibrit bulut teknolojisi ise özel ve genel bulut teknolojisi (private and public cloud) kullanılması anlamına gelmektedir.
Bu tarz bir kullanım şeklinin en büyük dezavantajı, ilgili hizmetler arasında uyum ve koordinasyonun sağlanmasında yaşanan problem ve zorluklardır. Burada odaklanılması gereken nokta, bütüncül bir güvenlik yönetimidir (holistic security management). Bu yöntem, kurumlara geleneksel kurumsal çözümlerin ötesinde avantajlar sağlamaktadır.
Kurumların bilişim altyapılarını güçlendirerek, kullanıcı, uygulama ve güvenlik çevresindeki izlenebilme kabiliyetini artırması oldukça önemlidir. Bunun yanı sıra; bulut güvenliği, bulut hizmetini bünyesine entegre eden kurumun sorumluğunda bulunmaktadır. Bu durum şirketlerin bulut teknolojisine emanet etmiş olduğu bazı işlevlerinin güvenlik riskini de etkilemektedir. Bu nedenle bulut teknolojilerindeki güvenlik altyapılarının yakın gelecekte büyük önem kazanması ve ilgili şirketler tarafından bu alana ciddi yatırımlar yapılması beklenmektedir. Aynı zamanda bulut teknolojilerinin kullanımında da yakın zamanda ciddi bir artış olacağı değerlendirilmektedir.
- Web 3.0
Bu internet ağına semantik ağ da denilmektedir. Web 1.0‘daki aracılar, sunuculardı. Biriyle etkileşime geçmek için sunuculara ihtiyaç duyulmaktaydı. Web 2.0‘da bu sunucuların yerini platformlar aldı ve sadece kayıt olarak iletişim kurar hale gelinmiş olundu. Web 3.0, herhangi bir aracı olmadan, merkeziyetsiz bir bağlantı kurmaya olanak sağlamayı hedefliyor. Ayrıca Web 2.0’daki “app” ismini alan uygulamalar, Web 3.0’da ”dapp” (Decentralized app – merkeziyetsiz uygulama) adını alacak.
Diğer bir ifade ile; WEB 3.0 denilen kavram, internetin “decentralized” yani merkeziyetsiz ve “peer to peer” (eşten eşe) olacak şekilde kullanılabilen, tamamen blok zincir destekli ve kişiselleşmiş halini ifade etmektedir.
Bunun doğal bir sonucu olarak WEB 3.0 teknolojisindeki siber güvenlik, eski sistemden farklı olarak farklı teknolojilere bağımlı olacaktır. Bu bağlamda siber güvenlik sadece verilerin güvenliği değil, aynı zamanda özel yaşam (privacy), gizlilik (confidentiality), kimlik doğrulama (identity verification) ve yetkilendirme (authorization) ile ilgili olacaktır. WEB 3.0 teknolojisi beraberinde güvenlik modellerinin yeniden dizayn edilmesini ve yeniden düşünülmesini de getirecektir. Risklerin minimize (minimize risks) edilmesi ve veri toplamadaki etkinliğin artırılması (increase the efficiency of data collection) için bu vazgeçilemez bir gereksinim halini alacaktır. Bilişim altyapısının (imfrastructure), kullanıcı/kimlik (identity) ve davranışlarının (behavior) bütüncül bir şekilde ele alınması gerekmektedir. Buradaki odak noktanın veriden ziyade kişilerin ve kişisel verilerin (people and their information) korunması olacağı değerlendirilmektedir.
- Yapay Zekâ (Artificial Intelligence)
Yapay zekâ siber güvenlik alanında adeta çift taraflı bıçak gibidir. Hackerlar yapay zekâ yardımı ile daha komplike ve önlenmesi zor saldırılar gerçekleştirebilmektedirler. Diğer yandan kurumlar bu tarz saldırılarla ancak yapay zekâ yardımı ile başa çıkabilmekteler. Bu nedenle yakın zamanda siber güvenlikte, yapay zekanın önemi ve yeri artacak olup bu alanda ciddi yatırımlar yapılması beklenmektedir.
Yapay zekâ yardımı ile tehditlerin tanımlanması ve tespiti (identifying threats), gerekli hazırlıkların yapılabilmesi (preparing for attacks) ve mevcut çözümlerin etkinliğinin artırılması (increasing the effectiveness of current solutions) sağlanabilmektedir. Yapay zekânın en önemli katkısı verilerin hızlı ve yüksek doğrulukla işlenebilmesidir (speed and accuracy of data processing). Bunların yanı sıra; biyometrik kimlik doğrulamada (biometric authentication) da yapay zekânın katkı ve önemi her geçen gün artmaktadır.
Sonuç olarak; söz konusu üç alanda da siber güvenliğe dair önemli yenilikler ve gelişmeler beklenmektedir. Bunun doğal bir sonucu olarak kurumlar siber güvenlik alt yapılarını bu değişimlere adapte etmek zorundadır. Geleceğin dünyası günümüze oranla daha değişken bir yapıya bürünebilir. Bu nedenle kurumların stratejik planlamalarında ilgili alanları ve bu alanlardaki yenilikleri hesaba katmalarının büyük önem arz etmektedir.