Hazar World - Sayı: 26 - Ocak 2015

More documents

Recommendations

Info

SİBER GÜVENLİK / CYBER SECURITY • Bütüncül Güvenlik Anlayışı: Siber güvenlik anlayışı ve politikaları, bütüncül bir güvenlik sistemi içinde görülmeli ve şirket güvenlik politikalarına dâhil edilmeli. Çoğu zaman ayrı başlıklar altında incelenen SCADA sistemi güvenliği ve IT güvenliği bütüncül olarak değerlendirilmeli. • Siber Güvenlik Kültürü: Siber saldırılara karşı kurumsal ölçüde farkındalık yaratılmalı. Şirket içi belirli standartlar yaratılıp, çalışanlar için ‘doğru davranış kodları’ oluşturulabilmeli. Çalışanlar arası bilinçsiz şifre paylaşımları, kötü amaçlı e-postalar gibi ufak riskler dahi bertaraf edilmeli. • Siber Güvenlik Risk Yönetimi: Öncelikler belirlenmeli, şirket profili gözden geçirilmeli, riskler ve zafiyetler değerlendirilmeli, bir eylem planı ortaya koyulmalı. • İzolasyon: SCADA sistemleri ve kritik veri tabanları diğer ağ bağlantılarından mümkün olduğunca izole edilmeli. • Eğitim: Siber güvenlik sağlanmalı, insan kaynakları yetiştirilmeli ve şirket kendi kaynaklarını geliştirmeli. • Senaryolar ve Tatbikat: Şirketlerin karşı karşıya kalabilecekleri siber saldırılar senaryolaştırılarak acil durum eylem planları oluşturmalı ve sonuç yönetimi süreçleri geliştirilmeli. Bu çerçevede bir şirket yöneticisinin, ‘SCADA sisteminin bir gün devre dışı kalması’, ‘kritik verilerin çalınması’ ve ‘düzenli olarak alınan hizmetin bir gün alınamaması’ gibi senaryolara karşı eylem planı olmalı. • Bilgi Paylaşımı: Enerji sektörü dâhil olmak üzere kritik altyapıların ‘karşılıklı bağımlılık’ ilişkisi içinde olduğu düşünüldüğünde hem sektör içi hem de sektörler arası düzenli bilgi ve deneyim paylaşımı riskleri önemli ölçüde azaltacaktır. ULUSAL SİBER OLAYLARA MÜDAHALE MERKEZİ’NE EYLÜL 2014’E KADAR GELEN SİBER SALDIRI İHBAR SAYISI 23,475’İ BULDU. THE NUMBER OF CYBER ATTACKS REPORTED TO THE NATIONAL CYBER INCIDENT RESPONSE CENTER WAS AS HIGH AS 23.475 UNTIL SEPTEMBER 2014. system and IT security, which are mostly considered separately, should be handled together. • Cyber Security Culture: Awareness should be raised against cyber attacks at the institutional level. Certain in-house standards and ‘acceptable code of conduct’ should be created for the personnel. Even minor risks such as password sharing and malicious e-mails should be eliminated. • Cyber Security Risk Management: Priorities should be set, the company profile should be reviewed, risks and weaknesses should be evaluated, and an action plan should be constituted. • Isolation: SCADA systems and critical databases should be isolated from other networks as far as possible. • Training: Cyber security should be maintained, human resources should be developed and the company should develop its own resources. • Scenarios and Drills: Emergency action plans should be constituted through developing scenarios regarding the cyber attacks that companies might face, and result management processes should be developed. In this framework, executives should have action plans against scenarios such as “SCADA system is disabled for one day”, “critical information gets stolen”, “regularly received services become unavailable for one day”. • Information Sharing: When it is considered that the critical infrastructures are interdependent including the energy sector, regular intra-sectoral and inter-sectoral information and experience sharing would substantially decrease the risks. 30 OCAK 2015 SAYI 26 - JANUARY 2015 ISSUE 26
www.hazarworld.com • Kamu-Özel Sektör İşbirliği: Kritik altyapıların ulusal güvenlikten ayrı düşünülmemesi siber güvenlik anlamında da kamu-özel sektör işbirliğini gerekli kılmaktadır. • Yerli Teknolojiden Faydalanmak: Siber saldırılara karşı risklerin asgari seviyelere çekilebilmesi için yerli yazılımları kullanmaya çalışmak ya da yerli yazılımları SCADA sistemlerine dâhil etmek önemli bir stratejik politikadır. Yukarıdaki öneriler siber saldırılardan alınan dersler ve dünyadaki en iyi uygulamalar örnek alınarak derlendi. Ancak bunların hayata geçirilmesi için kurumlarda karar alıcıların siber tehditler konusunda doğru bilgilendirilmesi, yeterli bütçenin ayrılması ve en önemlisi yöneticilerin ikna edilmesi ön koşul olarak düşünülmeli. • Public-Private Sector Collaboration: Integration of critical infrastructures with the national security necessitates public-private sector collaboration also in terms of security. • Using National Technologies: Trying to use national software or integrating national software into SCADA systems in order to level down the risks of cyber attacks is a strategically important policy. The suggestions above have been compiled through the lessons taken from cyber attacks and the best practices in the world. However, informing the decision makers on cyber threats correctly, allocating necessary budgets, and most importantly, persuading the executives should be considered as preconditions to implement these suggestions. Kamu sektörü ulusal siber güvenliğin sağlanmasının peşinde, özel sektör ise daha fazla kâr arayışında. Siber güvenlikte kamu-özel sektör ortaklığı önemli. Ancak sorumluluk, yetki ve hesap verebilirliğin net çizgilerle belirlenmiş olması gerekir. Siber güvenlikte kamu-özel sektör ortaklığının uygulanmasında yaşanan temel zorluklardan biri ‘bilgi paylaşımı’. Özel sektör, siber saldırılar konusundaki bilgi paylaşımında isteksiz olabilir. Eğer müşteriler kendi kişisel verilerinin güvende olmadığını hissederlerse verilen hizmete, platforma ya da ürüne olan güvenlerini yitirebilirler. İlginç olarak, bilgi paylaşımında kişisel ilişkilerin önemi özel sektör ile yaptığım görüşmelerde tekrar tekrar karşıma çıkan bir konu. İnsanlar, sektör dışı ya da içinden iyi kişisel ilişkiler kurdukları meslektaşları ile daha fazla bilgi paylaşma eğilimindeler. DR. MADELINE CARR ULUSLARARASI İLİŞKİLER VE SİBER ÇALIŞMALAR UZMANI, ABERYSTWYTH ÜNİVERSİTESİ SENIOR LECTURER IN INTERNATIONAL POLITICS AND THE CYBER DIMENSION, ABERYSTWYTH UNIVERSITY The public sector is trying to ensure national cyber security while the private sector is aiming for higher profits. Public-private partnership is important for cyber security. However, liabilities, authorities and accountability must be clearly determined. One of the fundamental difficulties in public-private partnership is ‘information sharing’. Private sector may not be willing to share information about cyber attacks. If customers feel unsecure about their personal information, they may lose their trust in that service, platform or product. In my interviews with private sector representatives, it was quite interesting to observe that personal relations are an important factor in information sharing. People tend to share more information with colleagues who are closer within or outside the sector. Siber güvenlik politikalarının uygulanmasında en önemli zorluklardan biri tehditler konusundaki bilinçsizlik. Kritik altyapıların siber güvenliğinin sağlanmasında, Bilgi Teknolojileri (IT) egemen düşünce konumunda. Bir kişinin masasındaki IT teknolojisi ile doğal gaz boru hatları, elektrik hatları, ulaştırma ve üretim sistemlerindeki kritik, gerçek zamanlı endüstriyel süreci takip ve kontrol etmekte kullanılan IT teknolojisinin aynı olduğuna yönelik bir varsayım var. Fakat bunlar farklı güvenlik ve mühendislik kriterlerine göre dizayn edilirler. MS-Windows, CISCO ve LINUX diplomalı, otoriter IT siber güvenlik uzmanları ile mühendislik diplomaları bulunan Endüstriyel Kontrol Sistemi (ICS) uzmanları arasında bir köprü kurmak bu çerçevede zorlu bir görevdir. VYTAUTAS BUTRIMAS LİTVANYA CUMHURİYETİ MİLLİ SAVUNMA BAKANLIĞI SİBER GÜVENLİK BAŞDANIŞMANI CHIEF ADVISOR FOR CYBER SECURITY MINISTRY OF NATIONAL DEFENSE, REPUBLIC OF LITHUANIA Unawareness about threats is one of the most important difficulties in the implementation of cyber security policies. Information Technologies (IT) is the dominant concept for ensuring the security of critical infrastructure. It is assumed that IT technology used on an employee’s desk is the same as the IT technology used for monitoring and controlling the critical real-time industrial processes in natural gas pipelines, electricity lines, transportation and production systems. However, they are designed according to different security and engineering criteria. Therefore, it is a hard task to build a bridge between authoritarian IT cyber security experts certified for MS-Windows, CISCO and LINUX and the Industrial Control System experts graduated from engineering departments. HAZAR WORLD 31
Page 1: HAZAR STRATEJİ ENSTİTÜSÜ YAYINI
Page 4 and 5: IÇINDEKILER CONTENTS 04 HAZAR’A
Page 6 and 7: HAZAR’A DAİR / CASPIAN OVERVIEW
Page 8 and 9: HAZAR’A DAİR / CASPIAN OVERVIEW
Page 10 and 11: HABER / NEWS KAZAKİSTAN BAĞIMSIZL
Page 12 and 13: HABER / NEWS TPAO 60 YILI GERİDE B
Page 14 and 15: HABER / NEWS ÖZBEKİSTAN / UZBEKIS
Page 16 and 17: ÖZBEKİSTAN / UZBEKISTAN tamamlana
Page 18 and 19: GÖRÜŞ / OPINION KAYA GAZI / SHAL
Page 20 and 21: KAYA GAZI / SHALE GAS Dünyada zeng
Page 22 and 23: KAYA GAZI / SHALE GAS gazı devrimi
Page 24 and 25: KAPAK / COVER SİBER GÜVENLİK / C
Page 26 and 27: SİBER GÜVENLİK / CYBER SECURITY
Page 34 and 35: HABER RÖPORTAJ HABER ANALİZ ANAL
Page 36 and 37: TÜRKİYE - RUSYA / TURKEY - RUSSIA
Page 42 and 43: BLOG / BLOG KAZAKİSTAN / KAZAKHSTA
Page 44 and 45: KAZAKİSTAN / KAZAKHSTAN Dünya Fua
Page 46 and 47: LIFESTYLE / LIFESTYLE ZÜLEYHA BAYH
Page 48 and 49: ZÜLEYHA BAYHANOVA- ABDUHOSHIM İSM
Page 50 and 51: ZÜLEYHA BAYHANOVA- ABDUHOSHIM İSM
Page 52 and 53: KÜLTÜR&SANAT / CULTURE&ART FİLM
Page 54 and 55: ROTA / ROUTE STABESI PUBLIS IS NOS
Page 56 and 57: КРАТКОЕ ИЗЛОЖЕНИЕ
Page 66: КРАТКОЕ ИЗЛОЖЕНИЕ

Hazar World - Sayı: 26 - Ocak 2015

Create successful ePaper yourself

Delete template?

Save as template?