‘Consumerisation’ son dönemde sıkça duyduğumuz kelimelerin başında geliyor. Kelimeyi bilgisayarımda yazdığımda bu kelimenin henüz yolun başında olduğunu görüyorum. Zira kelime işlemcim bile kelimeyi algılayamadı. Peki bu fenomen nasıl hayatımıza girdi?

‘Consumerisation’ kurumların bünyesinde çalışanların kendi cihazlarını şirket ağına dahil etmesinden çok daha fazlası aslında. İşin özünde şu yatıyor; consumerisation yenilikçi bilgi teknolojilerinin evde nasıl kullanılabileceğini ve iş yaşamına nasıl adapte edilebileceğini tarif ediyor. Bu değişimi net olarak dört kelimede tarif etmek mümkün; beklenti, görünürlük, fayda ve esneklik.

Büyük Beklentiler
İnternet elbette günlük hayatımızın bir parçası haline geldi. Yediden yetmişe hemen herkes hayatının önemli bir kısmını internette geçiriyor. Excite, Hotmail ve Yahoo gibi geniş ölçekli, bedava web e-posta servisleri yaklaşık 20 yaşında; aynı şeyler anında mesajlaşma servisleri için de söylenebilir. Sosyal ağlar AOL’un 1989’da açılmasından bu yana bir şekilde hayatımızın içinde yer alıyor. Uygulama Servis Sağlayıcı (USS) nokta com dönemine kadar uzanıyor ve bilgisayar donanımı gün geçtikçe daha küçük hale geliyor.

Bugünün mezunları birbiriyle tamamen bağlı bir dünyada büyüdü ve hayatlarının tüm alanlarını bu dünya ile doldurdu. Artık web 2.0 kullanmadan yeni bir iş bulmayı beklemenin, telefon ve e-posta alıp vermek gibi basit iletişim araçlarını kullanamadan iş bulmayı beklemekten farkı yok.

Peki, neden şimdi?
Tamamen görünürlük, fayda ve esneklikle ilgili. Teklifin kapasitesi, çekicilikleri ve ölçeklenebilirlikleri geçmişten beri maliyetle sınırlandırıldı. Bir cep telefonunun, tabletin ya da bant genişliğinin maliyetini her zaman bir bariyer oldu. Bunun anlamı şuydu; satın alma gücü, bu teknolojilerin kullanımını ve daha da önemlisini kullanımın kontrolünü kurumlara taşıma anlamını geliyordu.

Son teknolojik gelişmeler oyun alanını değiştirmekle kalmadı; oyunun kendisi değişti. Veri taşıma maliyetleri hem geniş bantta hem de 3G bağlantısında düştü ve sınırsız kullanım paketleri, hayatımızın normlarından biri haline geldi. iPhone’un yarattığı etki cihaz tercihlerini son kullanıcı yönüne çevirdi ve Android’in başarısı bu yönelimi genişletti. iPad’in başarısı da dizüstü bilgisayarları masaüstü bilgisayarların durumuna düşürdü. Twitter, Facebook, Google Apps, Amazon Web Servisleri, Apple’ın yeni iCloud’u gibi bulut servisleri işbirliği ve iletişim platformlarını kurum sınırlarından çıkartıp kullanıcının eline kadar getirdi.

Bizler artık nerede olursak olalım, hangi donanıma sahip olursak olalım işimizin istediğimiz anda görünür olmasını istiyoruz ki bu saydığımız özellikler Bulut’un karakteristik özelliklerinden bir kaçını oluşturuyor. Dosya paylaşım servisleri, sanal sunucuların kullanılabilirliği, sosyal ağlar, bloglar, vikiler, anında mesajlaşma, kamusal internet bağlantı noktaları, düşük maliyetli mobil internet, yüksek performanslı donanım ve tüm bunların işbirliği aslında eski çevrenin yeni içyapımızı oluşturduğu anlamına geliyor. Bu müşteri servislerinin bir araya gelmesiyle sizin merkez ofiste oturup, hiç şirket ağına bağlantı kurmadan ve tüm ihtiyaçlarınızı karşılayabilmeniz ve işinizi etkin şekilde yürütebilmeniz tamamen mümkün hale geldi.

Şirket kördür!
İş e-postalarıma 3G tabletimden bir web arayüzü kullanarak ulaştığımda ve dosyalarımı senkronize etmesi için halka açık bir dosya paylaşım servisi kullandığımda, dizüstü bilgisayarım masamda zincirli halde kaldığında ve benim iş hayatım mobil olduğunda, ben sosyal ağları profesyonel iletişim aracı olarak kullandığımda ve VPN’e bağlanmadığımda, şirket kör mü olur?

Doğru bir consumerisation stratejisi, 3G gibi halka açık ağlar üzerinden kurumsal varlıklara bağlanabilen herhangi bir cihazın yönetimini oluşturmaya ihtiyaç duyar. Kurumsal ve kişisel içeriğin kullanıcının sahip olduğu cihazda sınırlar aşılmayacak şekilde ayrılması gerekir. Ayrıca consumerisation’ın sadece çalışanların kullanmayı seçtiğini cihazlar olmadığını unutmamak gerekiyor. İçeri ve dışarıdaki bilgi ve servislere erişimin, ortaya çıkacak yeni belirleyiciler ışığında yeniden incelenmesi gerekir. İlk sıralarda yer alan, öncü şirketler gerçeğin onları bulduğunu ve bu doğrultuda politikalarını, pratiklerini ve belki de en önemlisi çalışmalarını gözden geçirmeleri gerektiğinin farkına varmalıdır. Trend Micro tarafından 2009 yılında sponsor olunun ve Economist Intelligence Unit tarafından hazırlanan çalışmada belirtildiği gibi, “Birçok eğitim, çalışma ve organizasyonel deneyimleme, daha iyi teknolojilerin üretkenliğini baltalamadığını ya da şirkete zarar vermediğini ortaya koymaktadır. Yakında şirket bunun üstesinden gelmeye başlar, daha da yakında teknoloji eşitliğinin faydaları gelmeye başlar.”

Geçtiğimiz elli gün boyunca tüm dünyayı sarmalayan Lulz Security’nin hack gösterisi ve grubun kendi isteğiyle dağılmasıyla dünya çapındaki şirketlerin güvenlik mimarilerini, planlamalarını ve politikalarını yeniden gözden geçirmeleri gerektiği ortaya çıktı. Sony, Nintendo, Fox ve daha birçok üst düzey şirkete sızılması ürkütücü ve şaşırtıcıydı. Bunların yanında hükümet, güvenlik ve yasa koyucu kurumlara yapılan saldırıların da başarılı olması beklenmedik ve fazlasıyla endişe vericiydi.

Bu saldırıların bazılarında hackerlar sadece ağlar ve sunuculardaki savunma açıklarını bildirdi ancak birçok olayda açıkların bildirilmesinden çok hassas, kişisel ve kurumsal bilgilerin yayınlandığı, indirilebildiği ve dağıtıldığı görüldü. Arizona Eyalet Polisi’ne yapılan saldırılarda ortaya çıkarılan bilgiler polis memurlarının hayatını riske attı.

Olayların ardından geride bazı sorular kaldı. Hackerlar bugüne kadar bizim için ne yaptı? Umuyorum, bu kez bizlere acı da olsa bazı dersler vermişlerdir.

Lulz Security ve diğer hacker grupları tarafından gerçekleştirilen saldırıların detaylarının nasıl gerçekleştiği, kullanılan araçlar ve teknikleri çoğunlukla detaylandırılabiliyor. Bir botnetin etrafında toplanan hackerlar tarafından gerçekleştirilen Distributed Denial of Servise (DDoS) saldırıları üst düzey sitelerin çökertilmesi için kullanıldı. SQL enjeksiyon saldırıları da bilgilerin çalınmasında başrolü oynadı. Ayrıca birçok olayda önemli bir şüphe üzerinde de duruldu: İçeriden doğrudan bilgiyi paylaşan biri ya da birilerinin varlığı.

Var olan araçlarla ve yöntemlerle şirketlerin bu düşük düzeydeki risklerden korunması mümkün olabilir. Utanç verici olan durumsa bu araçlar bahsettiğimiz saldırılar esnasında şirketleri koruyamaması oldu. Şirket veritabanından bilgilerin çalınması olaylarına karşılık kesinlikle bir strateji ve uygulama yürürlüğe sokulmalıdır. Asla hassas bilgilerinizi düz metin olarak saklamayın. Yapılacak şifreleme zararı büyük ölçüde azaltacaktır. Düzenli olarak veritabanınızı, sunucularınızı ve uygulama platformlarınızı içeriden ve dışarıdan gelebilecek tehlikelere benzer şekilde deneyin. Eğer bulundurduğunuz veri kısmen hassas ya da kısıtlı sayıda kullanıcıya verilecekse güçlü bir kimlik doğrulama sistemi kullanın. Çerezlerden kaçının, zira çerezler bilgi hırsızlığının ilk aşamasını oluşturabilir. Sınırların kontrol edilmesi aşırı yüklenmeler ve SQL saldırılarının önüne geçer. Bilgi erişimini “bilgiye ihtiyacım var” standardına oturtun ve mümkün olduğunca en az düzeyde imtiyaz tanıyın. Tarayıcılara detaylı hata bilgisini taşımayın, sonuçta müşterilerinizin bu hatayı çözemeyeceğini biliyorsunuz. Tabii hata mesajını da tamamen kaldırmayın.

Kurumlar, artık güvenlik duvarı, IPS, sunucu, barındırma katmanları gibi geleneksel teknolojilerin ötesine geçebilmek için yatırımlara başlamalı. Güvende kalmasını istediğiniz değerli şeyin –veri ya da her hangi bir şeyin- güvenliği farklı durumlarda da koruma altında olmalıdır. Şirket ağında gerçekleşen faaliyetlerin dikkatle izlenmesi gerekir. Özellikle çok büyük miktarda veri akışı ya da gizliliği ihlal edilerek sistemin kullanılmasına dikkat edilerek anormal davranışlar tespit edilmelidir. Görevini tamamlamış bir hacker için son işlem geride bıraktığı kayıt ve izleri ortadan kaldırmaktır. Eğer güvenlik yazılımı farklı kayıtlar tutabilirse bu işlem çok daha zor olacaktır.

Son olarak, güvenlik sistemlerinin mimarisini, daha hassas olan ağımızın kalbinden ayrılarak damdan düşer gibi kurmamamız gerekiyor. Her sunucu, her gizli bilginin kendine ait güvenlik parametreleri olması gerekir. Katmanlı bir güvenlik modeli mutlaka içeriden dışarı doğru inşa edilmelidir.

Özel hayatınızda, her günü sanki sonmuş gibi yaşayın, ağınızdaysa değerli bilgilerinizi sanki sahip olduğunuz tek şey gibi koruyun.

Ağ yöneticilerinin yıllardır düzeltmeyi, telafi etmeyi ya da yeniden düzenlemeyi öğrendiği TCP/IP’nin sayısız “özelliklerinden” Ping of Death (Ping’in Ölümü), kaynak yönlendirme, bulunduğu yer belli olmayan güvenlik duvarı ve IP kandırmacası gibi sorunları hatırlayın.

Ticari yaygın internetin şafağında, 1994 yılında TCP/IP ile çalışmaya başladım. TCP/IP ile çalıştığım yıllarda, şu anda TCP/IP’nin en yaygın sürümü olan IPv4 tarafından içerik olarak kısıtlı adres alanının korunmasını amaçlayan Sınıfsız Alanlar Arası Yönlendirme (Classless Inter-Domain Routing –CIDR) tanıtıldı.

Aslında IPv4 1980’de RFC 760 içinde resmiyet kazandı ve daha sonra 1981 yılında RFC 791 ile yeniden şekillendirilerek şu anda kullandığımız halini aldı. IPv4 birçok konuda sıkıntılar getirse de esas olarak gözümüze batan iki önemli konudan muzdarip oldu.

TCP/IP çoğu çekirdek internet protokolü gibi “dost canlısı” bir çevrede kullanılmak için tasarlanmıştı.

Protokolün tasarım aşamasında internetin gelişimi öngörülemedi.

Son 15 yıldır ve bugün karşılaştığımız konuların başında güvenlik çalışmalarının hep sonradan, ya işlem sırasında ya da internet tam anlamıyla çalışırken düşünülmüş olması geliyor. Ayrıca tüm adres alanlarını kullandık bile. Son IPv4 alanları da 2011 yılının 3 Şubat’ında tahsis edildi.

IPv6’ya, internet çağı için tasarlanmış bir protokole girin… Fikir aşamasında güvenlik hesaba katılarak tasarlanmış bir protokol. Alınabilecek adres alanı elbette artıyor. IPv4’e göre hem de tam 4 milyar kat daha fazla adres bizleri bekliyor. Ayrıca IPv6 IPSec, şifreleme ve çoktan beri ihtiyaç duyulan TCP/IP ile bütünlüğü içeriyor. Bunların hepsi elbette iyi, değil mi?

Pek değil aslında. Bundan dört yıl kadar öncesinde Philippe Biondi ve Arnaud Ebalard IPv6’nın canlandırmasını yaptıklarında IPv6 “yönlendirme başlığının” esrarengiz şekilde IPv4’teki “kaynak yönlendirme” ile benzerlik gösterdiğini ortaya koydu. Bir özellik, IP yığınlarında önce yöneticiler sonra da sağlayıcılar tarafından evrensel olarak yok sayılmış birçok güvenlik sancısına sebep oldu. Görünen o ki, standartların belirlenmesine rağmen geçmişten hiçbir ders alınmamış.

Şimdi IPv6 uyumlu yazılmış sayısız uygulamalar ve içlerine uyumlu yazılım yüklenmiş binlerde çeşit donanımı düşünün. Binlerce açığa gebe milyonlarca satır kod. 1994 yılında doğru olduğunu ve takip etmemiz gerektiğini öğrendiğim IPv4 standartlarında sadece bir sağlayıcıda gördüğüm TCP/IP yığın yenilemelerini sayamıyorum bile.

Kurumlar için mesaj oldukça açık aslında. Şimdiden yapacaklarınızı planlayın, sağlayıcılarınıza doğru soruları yönlendirin ve BT ile güvenlik ekiplerinizin IPv6 geçiş planlarının olduğuna emin olun. Ölçümlenebilir güvenlik duvarları, VPN’ler, IPS ve kalem testleri gibi kavramların oturması için v4 ve v6 bir süre aynı paralelde çalışırken suçlular zirvede yer alacaktır.