Ülkemizde Neden Siber Güvenliğe Önem Verilmiyor?

04-09-2024, 13:15:24

Üniversitede siber güvenlik bölümünü bitirdikten sonra, aslında 5 yıldır dijital pazarlama alanında çalışmama rağmen, sektörü bırakıp siber güvenlik alanına yönelmeye karar verdim. Şu anda web penetrasyon testleri yapıyorum ve bazen de yasal sınırlar çerçevesinde güvenlik açığı araştırmaları yapıp firmalara bildiriyorum.

Son 6 ay içinde, onlarca firmada kritik seviyede güvenlik açıkları buldum ve bu açıkları firma yetkililerine raporladım. Ancak, firmalar çoğu zaman teşekkür etmenin ötesine geçmiyor ve güvenlik açıklarını kapatmakta isteksiz davranıyorlar. Örneğin, spor salonumun web sitesinde kritik bir zafiyet buldum. Müdürle görüşüp izin aldıktan sonra bir test gerçekleştirdim ve panellerine erişim sağladım. Durumu bildirdim, teşekkür ettiler ve 1 yıllık üyelik hediye ettiler. Fakat aradan 6 ay geçti ve aynı zafiyet hâlâ duruyor.

Benzer bir şekilde, son alışverişimi yaptığım ünlü bir teknoloji mağazasının web sitesinde tüm üyelerin bilgilerini görüntüleyebileceğim bir IDOR zafiyeti keşfettim. Firmaya gittim, durumu anlattım ve teşekkür ettiler. Numaramı aldılar, dönüş yapacaklarını söylediler. Herhangi bir beklentim olmadığını, sadece referanslarıma eklemek istediğimi belirttim. Ancak üzerinden 1 ay geçti, ne zafiyeti kapattılar ne de bir geri dönüş sağladılar.

KVKK kapsamında bile firmalara ceza uygulanabilecek durumlar varken, birçok firmanın bu durum umurlarında bile değil gibi görünüyor. Bunca yazılımcı çalıştırıp maaş veriyorlar ama bir açığı kapattıramıyorlar.

Sizce ülkemizde neden siber güvenliğe önem verilmiyor?

04-09-2024, 13:17:49

#2

kcglsmm

Üniversiteye bu sene geçtim , kendimi yazılım alanına değil de siber güvenliğe yönlendirmeyi düşünüyordum hocam.
Bu açıklamanızdan sonra tekrar bi düşünmem gerek sanırım .

04-09-2024, 13:19:09

#3

Haz

Belki düşüncem basit kaçacak ama muhtemelen;

"Sen tesadüfen bize denk gelmişsin. Senden başka kim yapıp bizi hekleyecek? Binlerce firma var. Şimdi millete dolar bayılmaya gerek yok." diye düşünüyorlar.

04-09-2024, 13:19:11

#4

Misafir

Vatandaşların kimlik bilgilerinin etrafta dolaştığı bir yerde, şirketler mi siber güvenliği önemseyecek?

UCDigital bunu beğendi.

1 kişi bunu beğendi.

04-09-2024, 13:21:27

#5

LETRX

Türklere bulaşma kaydol hemen Hackerone'a ama oranın da eski tadı yok.

04-09-2024, 13:23:17

#6

UCDigital

kcglsmm adlı üyeden alıntı: mesajı görüntüle

Üniversiteye bu sene geçtim , kendimi yazılım alanına değil de siber güvenliğe yönlendirmeyi düşünüyordum hocam.
Bu açıklamanızdan sonra tekrar bi düşünmem gerek sanırım .

Yurtdışı için çok avantajlı bir bölüm ama ülkemizde pek değeri bilinmiyor maalesef.

Haz adlı üyeden alıntı: mesajı görüntüle

Belki düşüncem basit kaçacak ama muhtemelen;

"Sen tesadüfen bize denk gelmişsin. Senden başka kim yapıp bizi hekleyecek? Binlerce firma var. Şimdi millete dolar bayılmaya gerek yok." diye düşünüyorlar.

Muhtemelen öyle düşünüyorlar ama ben bir üyesi olarak o sitenin şuan adresimin siparişlerimin vs. diğer insanlar tarafından görülebilme ihtimali beni rahatsız ediyor.

Misafir adlı üyeden alıntı: mesajı görüntüle

Vatandaşların kimlik bilgilerinin etrafta dolaştığı bir yerde, şirketler mi siber güvenliği önemseyecek?

Doğru bir yaklaşım

04-09-2024, 13:25:15

#7

SNDizayn

Tahminim!

Çoğu firma önemsemiyor diğerleride hazır yazılım kullandığı için açığı nasıl kapatacaklarını bilmiyorlar siteyi yapan kişiye ya ulaşamıyorlar yada çok yüksek ücret istiyor güncelleme adı altında.

04-09-2024, 13:28:50

#8

blass06

UCDigital adlı üyeden alıntı: mesajı görüntüle

Üniversitede siber güvenlik bölümünü bitirdikten sonra, aslında 5 yıldır dijital pazarlama alanında çalışmama rağmen, sektörü bırakıp siber güvenlik alanına yönelmeye karar verdim. Şu anda web penetrasyon testleri yapıyorum ve bazen de yasal sınırlar çerçevesinde güvenlik açığı araştırmaları yapıp firmalara bildiriyorum.

Son 6 ay içinde, onlarca firmada kritik seviyede güvenlik açıkları buldum ve bu açıkları firma yetkililerine raporladım. Ancak, firmalar çoğu zaman teşekkür etmenin ötesine geçmiyor ve güvenlik açıklarını kapatmakta isteksiz davranıyorlar. Örneğin, spor salonumun web sitesinde kritik bir zafiyet buldum. Müdürle görüşüp izin aldıktan sonra bir test gerçekleştirdim ve panellerine erişim sağladım. Durumu bildirdim, teşekkür ettiler ve 1 yıllık üyelik hediye ettiler. Fakat aradan 6 ay geçti ve aynı zafiyet hâlâ duruyor.

Benzer bir şekilde, son alışverişimi yaptığım ünlü bir teknoloji mağazasının web sitesinde tüm üyelerin bilgilerini görüntüleyebileceğim bir IDOR zafiyeti keşfettim. Firmaya gittim, durumu anlattım ve teşekkür ettiler. Numaramı aldılar, dönüş yapacaklarını söylediler. Herhangi bir beklentim olmadığını, sadece referanslarıma eklemek istediğimi belirttim. Ancak üzerinden 1 ay geçti, ne zafiyeti kapattılar ne de bir geri dönüş sağladılar.

KVKK kapsamında bile firmalara ceza uygulanabilecek durumlar varken, birçok firmanın bu durum umurlarında bile değil gibi görünüyor. Bunca yazılımcı çalıştırıp maaş veriyorlar ama bir açığı kapattıramıyorlar.

Sizce ülkemizde neden siber güvenliğe önem verilmiyor?

Maalesef önem verilmiyor fakat bu işten para kazanmak istiyorsanız bug bounty yapmak zorundasınız onun harici diğer sistemler size teşekkür etmeleriyle bile iyi davranmışlar bazı kurumlar dava bile açabiliyor bizden habersiz nasıl güvenlik açığı zaafiyeti arasınız diye ayriyetten resmi bir kurumda kritik güvenlik açığı bulduysanız o kurumun bu durumu Bilişim teknolojileri kurumuna bildirmeside zorunlu bildirip kapatmadılarsa siz bildirebilirsiniz

04-09-2024, 13:31:53

#9

EvrenOnur

bana göre bilgisizlikten ve sorumluluklarını bilmediklerinden kaynaklanıyor. Ağır yaptırımları olan ve üzerine önem verilmesi gereken bir konu