Güven ve Güvenlik
İngilizce’de “trust” ve “security” diye ayrılan kelimeler birbirine çok yakın ama bazen Türkçe’deki “güven” bir güvenlik açığı olabilmekte. Yakın bir zamanda şöyle bir olay yaşadım.
Türkiye’de marka tescil ve diğer süreçleri tamamlanmış olan “Bekchy” ürünümüzün yurt dışında satışının yapılan bir ülkede marka tescili için, bu işi yapan bir marka patent vekiline e-posta göndererek gerekli belgeleri ve ücretlendirmelerinin bilgisini istedim.
Ertesi gün bir başka marka tescil işi yapan firmadan bana yurt dışında marka tescil süreçleri, gerekli belgeler ve ücretlendirmeler ayrıca devlet desteklerini anlatan dokümanlar olan bir teklif e-postası geldi. Görünce çok şaşırdım. Çünkü bu e-postayı gönderdiğim bilgisayarda re-targeting veya farklı hedeflemelere yönelik birşey olması mümkün değil, web tabanlı mail kullanmadım, hatta browserda oturum açık değil ve browser kullanmadım. Çünkü PC yeni formatlanmış ve Outlook yeni kurulmuştu. Herhangi bir keylogger veya buna benzer birşey yüklü değil, lisanslı işletim sistemi kurulup update edildi, Outlook için lisanslı Office kuruldu. PC’de mikrofon yada webcamde yok. Kablosuz ağ yok, çıkış direk modemden, ağı dinleyen başka birşey yok. Rahatsız olunca tüm her şeyi kontrol ettim.
Kendi tarafımı da bunların haricinde başka birkaç unsuru da kontrol ettikten sonra karşı tarafı kontrol etme sırası geldi. Birkaç soru sorduğumda teknik bir kontrol yapmama gerek kalmadı. Karşı tarafın mail şifrelerinin çok zayıf olduğunu gördüm, ayrıca mail hesaplarının şifrelerini ise hosting hizmeti aldığı yer yada tasarım işini yapan kişi atamış.
Yani “güvenilmiş”! Yani “güvenilen” kişi basit bir şifre koyarak müşterisinin gizliliğini ve güvenliğini önemsememiş ! Yada “güvenilen” potansiyel müşterilerden gelen iş fırsatları datasını başka bir firmaya satmış. İşin üzerine gitmesi gerektiği ve müşteri kaybedebileceği konusunda kendisini uyardım. Umarım gereğini yapar.
Netice olarak şirketinizin gizliliği ve güvenliği konusunda “güvendiğiniz” kişilere bile güvenmeyin. Bilgi Teknolojileri alanında içten ve dıştan oluşabilecek tehditlerin ve zafiyetlerin tespit edilmesi, güvenlik seviyesinin artırılması, çalışanların ve sizin sosyal mühendislik ataklarına karşı bilgilendirilmeniz konusunda dışarıdan bir hizmet almanızı tavsiye ederim. Danışmanlık yaptığım çok önemli sayılan birçok büyük markada bile facia sayılacak güvenlik zafiyetleri ile karşılaştım. Güvendiğiniz kişilerin yeterliliği ve doğru bilgilendirme yaptığından emin değilseniz dediğim gibi riske girmeden outsource destek muhakkak alın.
