Vietnam'ın yeni döneminde veri güvenliğinin sağlanması hangi yönde olacak?

25 Eylül'de Nhan Dan Gazetesi'nde düzenlenen "Ulusal Kalkınma Çağında Veri Güvenliği ve Ağ Güvenliği" konulu seminerde uzmanlar, Vietnam'da veri koruma ve ağ güvenliğindeki riskleri ve önerileri dile getirdi.

Veri güvenliği, toprak egemenliğini korumak kadar önemlidir.

Seminerde, Parti Merkez Komitesi Üyesi ve Merkez Politika ve Strateji Komitesi Başkan Yardımcısı Sayın Pham Dai Duong, dijital dönüşümün günümüzde her yerde mevcut olduğunu ve çağın kaçınılmaz bir trendi haline geldiğini söyledi. Dijital dönüşümün, dijital hükümet, dijital ekonomi vb. gibi birçok alanla yakından bağlantılı olduğunu ve bu alanlarda verinin ulusal bir varlık olarak kabul edilen çok önemli bir faktör olduğunu belirtti.

Bay Pham Dai Duong, veri güvenliğinin denizde ve karada toprak egemenliğini korumakla aynı anlama geldiğini vurguladı. Merkezi Hükümet, siber uzayda egemenliği korumaya her zaman önem vermekte ve bunu ulusal güvenliğin sağlanmasında sürekli ve ayrılmaz bir görev olarak görmektedir.

"Veri ulusal stratejik bir varlık olarak kabul edildiğinden, veri güvenliğini ve ağ güvenliğini sağlamak için stratejilere ihtiyacımız var. Parti ve Devlet'in ağ güvenliğini ve veri güvenliğini sağlama konusundaki bakış açısı, politika yapımında pasif savunmacı düşünceden, risklerin erken ve aktif bir şekilde belirlenmesi ve proaktif önlemlerin alınmasına geçiş yapılması gerektiğidir."

Bay Duong, bunun veri güvenliğinin korunmasında çok önemli bir faktör olduğunu ve yalnızca devlet kurumlarının değil, aynı zamanda verileri doğrudan kullanan ve istismar eden işletmelerin ve kişilerin de sorumluluğunda olduğunu söyledi. "Geçmişte yasa yalnızca önleme düzeyinde kalmışken, günümüzde teknolojinin hızla gelişmesiyle birlikte liderliğin ve proaktif yönelimin rolünü vurgulamak gerekiyor."

Ulusal Veri Birliği ( Kamu Güvenliği Bakanlığı ) Veri Güvenliği Departmanı Başkanı Sayın Ngo Tuan Anh, veri paylaşımının sistemdeki en önemli bileşen olduğunu belirtti. Sızıntıların çoğu, çoğunlukla yapılandırma, depolama ve yedeklemeyle ilgili güvenlik açıklarından kaynaklanan çok temel güvenlik açıklarından kaynaklanıyor.

"Her şeyden önce, bu bir yapılandırma sorunu. Verilerin bir "evde" olduğunu ancak dikkatlice kilitlenmediğini düşünüyoruz. Çok önemli bilgiler içeren ancak zayıf parolalar, varsayılan yapılandırmalar kullanan veya doğrudan internete maruz kalan sistemler var. İnternete bir hizmet verildiğinde, birkaç dakika içinde dünya çapında otomatik tarama ve istismar araçları devreye giriyor. Bu nedenle, küçük bir açık olan birçok sisteme yasadışı yollarla erişilebiliyor," dedi Bay Tuan Anh.

Bay Ngo Tuan Anh'a göre bir diğer risk de yaygın depolama durumu. Birçok birim çok fazla form ve gereksiz veri depoluyor, bu da depolama maliyetlerinin artmasına ve risk alanının genişlemesine yol açıyor. Depolama sistemi tehlikeye girdiğinde, tüm veri bloğu açığa çıkabilir. Yeni yürürlüğe giren Kişisel Verilerin Korunması Kanunu kapsamında, riskler ortaya çıktığında depolama birimi yasal olarak sorumlu olacak.

Aslında, Bay Tuan Anh'a göre hiçbir sistem %100 güvenliği garanti edemez. Anketler, kötü niyetli birinin saldırmak için bir nedeni varsa, sistemde zayıflıklar varsa başarı oranının çok yüksek olduğunu gösteriyor. Bu nedenle, yedeklemenin hayati faktörlerden biri olarak kabul edildiği çok katmanlı savunma önlemlerine ihtiyaç duyuluyor.

Tartışmada, Verichains Güvenlik Şirketi'nin Kurucusu ve İcra Kurulu Başkanı Sayın Nguyen Le Thanh, sistemlerin genellikle zayıf noktalardan etkilendiğini, bunun da sistemin çok eski veya yapılandırmada dikkatsiz olmasından ya da koruma hatalarından kaynaklanabileceğini belirtti. Bazen bu zayıflıklar yanlış yetkilendirme, kullanıcı hataları veya sistem yönetimi hatalarından kaynaklanabilir.

Saldırganlar, öncelikle bir veritabanı yönetim sistemindeki bu kusurları ve zayıflıkları arayacaktır. Sistem unsurları iyi yapılandırılmış ve kontrol ediliyorsa, korunması daha zor olan zayıflıkları aramaya devam edeceklerdir.

Bu noktada, kullanıcılar ve yöneticiler saldırganların hedefi haline gelecektir. Kişisel güvenlik konusundaki kapasitelerine ve farkındalıklarına bağlı olarak, her kişi kendi bilgilerini yönetme, koruma ve güvence altına alma becerisine sahiptir.

Bir diğer sorun da dolandırıcı kişilerin ve şirketlerin yarı zamanlı çalışan veya işbirlikçi istihdam etmesinden kaynaklanıyor. Bu kişiler, sisteme bir süre katıldıktan sonra kullanıcının bilgi sistemine sızıyor ve kullanıcı farkında olmadan kötü amaçlı yazılımlarla enfekte oluyor. Bay Thanh, "Birçok kişinin bir kuruluşa iş başvurusunda bulunduğu ve bir süre çalıştıktan sonra kişisel verilerinin saldırıya uğradığı durumlar oldu," diye açıkladı.

Son olarak, Bay Thanh'a göre, veri sistemine sızan kişiler ve kuruluşlar, üçüncü taraflardan saldırı gerçekleştirebilir. Bunlar, genellikle sistemle ilgili ürün, hizmet ve çözümler sağlayan ortaklardır. Bir bilgi sistemi kurmak için birçok tarafın sağladığı teknolojiyi kullanmamız gerekir ve bazen her şeye hakim olup kontrol edemeyiz. Herhangi bir üçüncü taraf ihmalkâr olabilir ve bu, yukarıda adı geçen kişilerin saldırması için bir fırsattır.

Hatta bu uzmana göre, üçüncü taraf saldırıları, kullanıcı saldırılarından ve sistem açıklarına yönelik doğrudan saldırılardan çok daha fazla sayıda ve etkili.

Bu, üçüncü taraflara bağımlılığı azaltmak için teknolojik özerkliğin son derece önemli olduğunu gösteriyor. Ancak bunu yapmak kolay değil. Çünkü bir sistem kurmak birçok adımın yanı sıra birçok farklı bileşenin katılımını gerektiriyor ve her şeyi kendi başımıza inşa etmemiz oldukça zor.

Bay Thanh, hiçbir sistemin tamamen güvenli olmadığının belirlenmesinin gerekli olduğuna inanıyor. "Şu anda çoğu modern siber güvenlik saldırı birimi oldukça sistematik bir şekilde organize olmuş ve faaliyet gösteriyor. Motivasyonları, hedefleri ve bol miktarda finansal kaynakları var. Bu nedenle, tüm bilgi sisteminde hangi "varlıkların" en önemli ve gerekli olduğunu belirlemek için farklı düşünmemiz gerekiyor. Buradan, bir olay durumunda veri kaybının çok fazla olmaması, kaybedilen bilgi miktarının çok değerli olmaması ve ciddi hasara yol açmaması için koruma amaçlı başka önlemler de kullanmalıyız," dedi Bay Thanh.

Veri yönetimi ve siber güvenlik için genel bir mühendis aranıyor

Parti Merkez Komitesi Üyesi ve Merkez Politika ve Strateji Komitesi Başkan Yardımcısı Bay Pham Dai Duong, verileri korumak için iki unsurun bir araya getirilmesi gerektiğini söyledi: Birincisi, teknoloji, altyapı ve süreçlerle koruma - yani teknik çözümler; ikincisi ise yasal sistemle koruma. Siber Güvenlik Yasası, Kişisel Verilerin Korunması Yasası gibi birçok yasamız zaten mevcut ve önümüzdeki dönemde Ulusal Meclis ilgili yasaları gözden geçirmeye ve mükemmelleştirmeye devam edecek.

Ayrıca, 57/NQ-TW sayılı Karar, özerkliği artırmak ve verileri güvence altına almak için temel teknolojilere hakim olmak amacıyla stratejik teknolojilere ilişkin 01 No'lu Plan da dahil olmak üzere bir uygulama planı ortaya koymaktadır. Tutarlı bakış açısı, pasif savunmadan proaktif erken risk tespiti, proaktif önleme ve müdahaleye geçiştir.

Nhan Dan Gazetesi Genel Yayın Yönetmeni Yardımcısı Dr. Phan Van Hung'a göre, uyumlu ve senkronize bir kombinasyon için veri yönetimi ve ağ güvenliğinde "genel mühendislerden" yoksun kalıyoruz.

Sınırsız kopyalama imkânıyla, veri dijital ekonomide son derece önemli bir üretim aracı haline geliyor. Yönetim açısından, hukukun öncülüğünü yapan, adaleti tesis eden, savunmasız grupları koruyan ve devletin hedefleri doğrultusunda düzenleyen senkronize bir hukuk sisteminin kurulması ve kurumsallaştırılması gerekiyor.

Dr. Phan Van Hung'a göre, kanunun bireylerin mülkiyet haklarını ve devletin haklarını belirlemesi, koşullu veri paylaşımı için bir çerçeve oluşturması ve kamusal ve özel verileri birleştirmesi gerekiyor. Kanunun düzenleyemeyeceği anlaşmazlıklar olacağından, savcılık ve yargı kurumlarının hukuk sistemi ve yönetimini etkili bir şekilde senkronize etmek için emsal oluşturması gerekiyor.

Siber güvenlik uzmanı Ngo Tuan Anh, "Uygulama derslerinden yola çıkarak, üç çözüm grubuna odaklanmak gerekiyor: İnternete hizmet sunmadan önce güvenlik yapılandırmasını sıkılaştırmak; gereksiz veri depolamasını yönetmek, sınıflandırmak ve sınırlamak; olaylar meydana geldiğinde erken tespit, izolasyon, kurtarma ve yasal koordinasyon için bir süreç oluşturmak. Bunlar, kuruluşun en önemli varlığı olan verileri korumak için atılması gereken temel adımlardır." dedi.

Bay Tuan Anh ayrıca, Ulusal Veri Derneği'nin veri güvenliğiyle ilgili bir dizi temel standart geliştirmekte olduğunu söyledi. Yakın gelecekte, standartlar dizisinin, başta üyeler olmak üzere, destek birimlerinin görüşleri alınarak, departman ve şubelerden gelen yorumlara sunulması ve uygulanmasının beklendiğini, böylece uyumluluğun iyileştirileceğini belirtti.

Bir diğer önemli konu ise siber güvenlik çözümlerinin proaktif olarak geliştirilmesidir. Yerli birimler ve işletmeler, Ulusal Siber Güvenlik Derneği ile birlikte, yerli bir siber güvenlik ürünü ekosistemi geliştirmek için koordineli bir şekilde çalışmaktadır. Nitekim, yabancı teknoloji ürünlerinin risk oluşturduğuna dair çok sayıda kanıt bulunmaktadır; çünkü ister kasıtlı ister kasıtsız olsun, verilerin çıkarılıp iletilmesine olanak tanıyan güvenlik açıkları bulunabilir.

"Vietnam'da konuşlandırılan bazı güvenlik sistemlerinin, verilerin depolanmadan önce yanlışlıkla yabancı altyapıdan geçmesine izin verdiği durumlar var. Bu durum, veri sızıntısı riskini artırıyor. Bu nedenle, veri güvenliğini sağlamak için standardizasyona, uyumluluk uygulamalarına ve Vietnam'a ait güvenlik ve emniyet çözümlerinin geliştirilmesinin teşvik edilmesine odaklanmamız gerekiyor," diye vurguladı Ulusal Veri Derneği temsilcisi.

Kaynak: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp