Güvenlik Dedektiflerinden Aviva Zacks masaya oturdu HX Technologies'in CIO'su Andrew Buldyzhov ve ona şirketinin uygulama güvenliği ve pen-test hizmetleri hakkında sorular sordu.
Güvenlik Dedektifi: HX Technologies'e siber güvenlik yolculuğunuz neydi ve bu yolculuğun neyi sevdiniz?
Andrew Buldyzhov: Endüstriyel otomasyon geçmişinden geliyorum. HX'in sevdiğim yanı, burada iki dünyayı, endüstriyel otomasyonu ve BT'yi birleştirebilmemdir. Bu iki alan, IoT ve Endüstri 4.0'ın başladığı yakın zamana kadar tamamen farklı yaklaşımlara ve çözümlere sahipti.
Endüstriyel dünya artık tüm süreçleri çok daha verimli ve sağlam kılan güncel BT çözümlerini kullanmaya başlıyor. Ancak maalesef dezavantajları da var; en büyüklerinden biri güvenlik. İnternet bağlantısının ve BT, yazılım ve donanım alanındaki tüm bu güzel şeylerin devreye girmesiyle birlikte, aynı zamanda büyük riskleri de beraberinde getiriyoruz. Tüm bu bağlantılara ve bilgi işlem gücüne sahip olduğumuzda, aynı zamanda görünürlüğe de sahip oluruz. Endüstriyel BT sistemlerine bilgisayar korsanları erişebilir ve erişecektir. Kritik altyapılara bu tür izinsiz girişlerin örneklerini zaten görüyoruz.
Kişisel olarak benim için bu, kariyerim açısından oldukça umut verici bir gelişme ve HX Technologies için yeni bir iş kolu.
SD: Şirketiniz hangi hizmetleri sunuyor?
AB: Sızma testi, güvenlik değerlendirmesi ve denetimlerinden başlayarak oldukça geniş bir hizmet yelpazesi sunduğumuz gibi, yönetilen güvenlik, uyumluluk ve Güvenlik Operasyon Merkezi (SOC) de sağlıyoruz. Güçlü yönlerimizden biri uygulama güvenliğidir. Hizmet olarak yazılım (SaaS) ve diğer BT şirketlerine hizmet vererek, yazılımları güvenli bir şekilde geliştirmelerine ve yazılım geliştiricilere, mimarlara ve test uzmanlarına eğitim vermelerine yardımcı oluyoruz.
SD: Şirketiniz rekabette nasıl önde duruyor?
AB: Bence asıl satış noktamız, çok iyi bir fiyata yüksek kalite sunmamızdır. En iyi kalite-fiyat oranına sahibiz ve ayrıca penetrasyon testi, kırmızı ekip oluşturma ve uyumluluk konularında da güçlü yetkinliklere sahibiz. Mesela otomotiv sektörünün liderleri arasındayız. TISAX sertifikasyonunu Doğu Avrupa'da ilk uygulayan biz olduk.
Bir diğer güçlü noktamız çok yönlülüğümüz ve esnekliğimizdir. Çok küçük bütçelerle başlayabiliriz ve en küçük şirketlere bile çözümlerimiz mevcuttur. Ancak elbette büyük kurumsal müşterilerimiz için de zorlu projelerin üstesinden gelmeye hazırız.
SD: Bugünün en kötü siber tehditler nelerdir?
AB: Yakın zamanda SolarWinds'e yönelik bir saldırı gerçekleşti: Gelişmiş Kalıcı Tehdit ve tedarik zinciri saldırısı, çok ciddiydi. Tedarik zinciri saldırısı, sisteminiz mükemmel olsa ve onu her şeyden korumuş olsanız ve personeliniz mükemmel davransa bile, tedarikçilerinizden birinin saldırıya uğraması ve kötü amaçlı yazılımı onlardan almanız nedeniyle hala savunmasız olduğunuz anlamına gelir.
Ulus devletlerin ve büyük şirketlerin artık kendi hacker ekipleri var. Bu tür tehditlere direnmek çok zordur çünkü bu adamlar gerçekten akıllıdır ve sürekli büyürler. Oldukça kararlıdırlar ve saldırılarını adım adım geliştirirler. Bir sisteme sızmaları bazen yıllar alabiliyor, sonra da yıllarca orada kalabiliyorlar. Dolayısıyla şu an için en büyük tehdidin bu olduğunu düşünüyorum.
SD: Bu salgını yaşadığımıza göre siber güvenliğin nasıl değişeceğini düşünüyorsunuz?
AB: Pandemi ve karantina başladığından beri siber güvenlik teknik, psikolojik ve sosyal nedenlerden dolayı giderek daha önemli hale geliyor. Bunun teknik nedeni elbette hepimizin uzaktan çalışıyor olması ve bu nedenle şirket çevresinin korunmasından yoksun olmamız ve BT departmanlarından sınırlı destek almamızdır.
Psikolojik olarak insanlar daha tedirgin oluyor ve saldırılara karşı daha duyarlı oluyorlar. Bilgisayar korsanlarının COVID tedavileri veya sorunlarına yönelik diğer çözümlerle bağlantılı bağlantılarını takip edebilirler.
Ve sosyal olarak, klavyenizin kilidini açık bırakırsanız çocuklarınız ve hatta evcil hayvanlarınız klavyenizde oynayabilir. Bu da olağan olmasa da bir siber güvenlik riskidir.
Kaynak: https://www.safetydetectives.com/blog/interview-andrew-buldyzhov-hx-technologies/
