Zecurion CEO’su Alexey Raevsky, Enterprise Next röportajlarında konuğumuz oldu.
Zecurion, Moskova ve New York merkezleriyle dünya çapında siber güvenlik projelerine imza atan kurumsal ve güçlü bir yapı. Şirketin kurucu CEO’su Alexey Raevsky, sorularımızı yanıtladı.
Fatih Sarı (FS): Bugün bize katıldığınız için teşekkür ederiz. Öncelikle bize kendinizi tanıtıp siber güvenlik alanındaki geçmişiniz hakkında kısa bir bilgi verebilir misiniz?
Alexey Raevsky (AR): Adım Alexey Raevsky, Zecurion’un kurucu ortağı ve CEO’suyum. Zecurion 2001 yılında kuruldu. Başlangıcında sadece 3 çalışanı ile 60.000 dolar finansmanı olan bir girişimden, dünya çapında 20 milyon dolardan fazla yıllık gelir elde eden bir işletmeye dönüştü. Bugün Zecurion’un Moskova ve New York’ta merkezleri ve 150’den fazla çalışanı bulunuyor. Küresel bilgi güvenliği pazarında dikkat çeken bir oyuncu olarak teknoloji araştırma hizmetlerinin “İlk 3” (Gartner, Forrester, IDC) şirketi tarafından da saygınlığıyla tanınıyor.
FS: Zecurion Türkiye pazarı için hangi hizmetleri sunuyor? Türkiye’deki faaliyetleriniz hakkında bilgi alabilir miyiz?
AR: Türkiye’deki Katma Değerli Distribütörümüz Secude Cyber Security ile olan işbirliğimiz devam ederken Türkiye Bilişim Derneği (TBD) ile de aktif olarak ortaklık yapıyoruz. TBD’yi ve Türkiye’deki siber güvenlik topluluğunu desteklemeyi sürdürüyoruz. Zecurion, gelişmiş yazılımını KOBİ’lere ve kurumsal düzeydeki kuruluşlara sunarak olgunlaşmış içeriden tehdit koruma pazarında en yüksek standartları ve gereksinimleri belirleme konusunda güçlü bir motivasyona sahiptir.
FS: Siber güvenliğin kurumlar için neden bu kadar önemli olduğunu özellikle Türkiye’nin bilgi toplumuna geçişi bağlamında açıklayabilir misiniz?
AR: Bu konuda sadece genel olarak siber güvenlik değil, sorun giderme yaklaşımı da çok büyük önem taşıyor. Kuruluşlar için siber güvenlik genellikle yalnızca uyumluluk çözümleri olarak algılanır. Ancak gerçek çok daha karmaşıktır. Önemli verilerin ihlal edildiğine dair bildirim almak yeterli değildir, düzenleyiciler için bir rapora sahip olmak da yeterli değildir. Türkiye’deki kuruluşların, veriler kaybolmadan veya çalınmadan önce tehditleri önleyebilecek olgun risk tabanlı çözümlere ihtiyacı var. Biz Zecurion olarak içeriden gelen tehditleri karmaşık bir sorun olarak görüyor ve hem insan merkezli hem de veri merkezli yaklaşımlarla çözümler sunuyoruz.
FS: Özellikle yapay zekanın gelişmesiyle birlikte artan siber tehditler tarafında son dönemde küresel anlamda ve Türkiye özelinde en popüler konuları neler oldu?
AR: Özellikle deepfake saldırılar şu anda çok popüler, çok tartışılıyor. E-postalar, videolar ve belgeler gibi yapay zeka tarafından üretilen sahte içerikler kullanıcıları kandırabilir ve güvenliği tehlikeye atabilir. Bu yeni teknolojiler kimlik avı planlarını daha sofistike hale getirmiş ve çalışanların daha da dikkatli olmasını gerektirmiş olsa da, siber suçların çoğunun insan hatalarından veya kazalardan kaynaklanmadığını unutmamalıyız. İçeriden gelen tehditler, fail zaten kurumsal ağınızın içindeyse, çok daha tehlikeli ve ne yazık ki yaygındır. Uluslararası Suistimal İnceleme Uzmanları Birliği ACFE’nin son raporuna göre, içeriden yapılan dolandırıcılıkların yüzde 48’i yolsuzluk içermektedir. 5’i mali tablo sahtekarlığı ile ilişkilendirilmiştir, ancak en az yaygın olanı vaka başına 766.000 dolar kayba ulaşarak önemli ölçüde maliyetli olmuştur.
FS: Son yıllarda siber tehditler nasıl gelişti ve bugün Türkiye’deki kuruluşların karşılaştığı en yaygın tehdit türleri nelerdir?
AR: Bunları beş başlık altında toplayabiliriz.
1. Çalışan sabotajı: Hoşnutsuz veya kötü niyetli çalışanlar gizli verileri çalmak, operasyonları aksatmak veya kurumun itibarına zarar vermek için erişimlerini kasıtlı olarak kötüye kullanabilir. Bu durum özellikle Finans, Savunma ve Kritik Altyapı gibi sektörlerde zarar verici olabilir.
2. Veri Hırsızlığı ve Casusluk: Hassas bilgilere erişimi olan çalışanlar, yabancı istihbarat servisleri de dahil olmak üzere dış kuruluşlar tarafından hedef alınabilir veya etkilenebilir, bu da fikri mülkiyetin, gizli verilerin veya ticari sırların çalınmasına yol açabilir.
3. Kasıtsız Hatalar: İyi niyetli çalışanlar bile kimlik avı dolandırıcılığına kurban gitmek, hassas verileri yanlış kullanmak veya güvenlik ayarlarını yanlış yapılandırmak gibi kasıtsız eylemlerle tehdit oluşturabilir.
4. Düzenleyici Uyumluluk: İçeriden gelen tehditleri azaltırken Türkiye’nin Kişisel Verilerin Korunması Kanunu gibi veri koruma ve gizlilik düzenlemelerine uyum sağlamak, kapsamlı gözetim ve kontrollere duyulan ihtiyaç nedeniyle kuruluşlar için karmaşık bir zorluk olabilir.
5. Teknolojik Manzara: Türkiye’de dijital altyapıya ve bulut tabanlı hizmetlere artan bağımlılık, içeriden öğrenenler tarafından yetkisiz erişim, veri sızıntısı veya hizmetlerin kesintiye uğratılması için kullanılabilecek güvenlik açıklarını beraberinde getirmektedir.
FS: Zecurion bu tehditlere karşı ne gibi çözümler sunuyor? (Kuruluşlar siber güvenlik duruşlarını geliştirmek ve bu tehditlere karşı korunmak için ne gibi önlemler almalıdır?)
AR: Türkiye’de içeriden kaynaklanan tehditlerin ve buna bağlı zorlukların ele alınması çok yönlü bir yaklaşım gerektirmektedir. Bu, yetkisiz faaliyetleri tespit etmek ve önlemek için sağlam erişim kontrolleri ve izleme mekanizmalarının uygulanmasını; hassas verilerin erişimini, kullanımını ve korunmasını yönetmek için açık politika ve prosedürlerin yanı sıra sapmaları ele almak için olay müdahale planlarının geliştirilmesini; içeriden gelen tehditleri belirlemek ve azaltmak için Kullanıcı Davranışı Analitiği, Risk Tabanlı Değerlendirme, Veri Sınıflandırma ve Olay Müdahale Modülü gibi gelişmiş teknolojilerden yararlanmayı içerir.
Zecurion, yukarıdaki liste dahil ancak bunlarla sınırlı olmamak üzere içeriden gelen tehditlere karşı kapsamlı koruma sunar. Siber güvenliğe farklı yaklaşımlar olsa da, Zecurion yalnızca birini seçmemenizi önerir. Zecurion Yeni Nesil Veri Kaybı Önleme ve Veri Merkezli Denetim ve Koruma kombinasyonu, hem veri merkezli hem de insan merkezli yaklaşımları bir arada sunarak güçlü bir koruma sağlar. Bu ürünler bir ekosistem olarak sorunsuz bir şekilde çalışır, ancak kuruluşun ihtiyaçlarına bağlı olarak ayrı ayrı da kullanılabilir.
Zecurion Yeni Nesil DLP, çalışanlarla ilişkili tüm süreçlerin 360° görünümünü sağlar. Zecurion DCAP ise herhangi bir dosyanın yaşam döngüsünün tam görünürlüğünü sağlar (ne zaman oluşturuldu, kopyalandı, kimin erişimi var, gerçek sahibi kim, nereye gönderildi, harici bir cihaza mı kaydedildi, isim değişikliği ile mi kopyalandı vb.).