Bir üretim firmasının IT yöneticisiyle geçen ay İstanbul’da uzun bir toplantı yaptık. Şirket, son iki yılda üç ayrı siber saldırı girişimiyle karşılaşmış; bunlardan biri iç ağa sızmayı başarmış. Güvenlik duvarları çalışıyor, antivirüs lisansları güncel, VPN bağlantıları aktif. Peki ne eksik? Yönetici soruyu kendisi yanıtladı: ‘İç ağa giren birinin artık neredeyse her şeye ulaşabildiğini fark ettik.’ Bu gözlem, siber güvenlik dünyasında son birkaç yıldır giderek güçlenen bir fikrin tam özüdür: Geleneksel çevre savunması, bugünün tehdit ortamında tek başına yeterli değil.
Geleneksel güvenlik mimarisi şu varsayım üzerine kuruluydu: Ağın dışı tehlikelidir, içi güvenlidir. Güvenlik duvarı, DMZ, VPN — bunların hepsi bu mantığa hizmet eder. Dışarıdan içeriye geçişi zorlaştır; içerideki trafiğe güven. Bu yaklaşım, çalışanların sabit bir ofiste, şirket bilgisayarlarıyla çalıştığı ve tüm uygulamaların veri merkezinde koştuğu bir dünyada makul bir çerçeveydi. Ancak bu dünya artık yok. Bulut uygulamaları, uzaktan erişim, kişisel cihazlar ve üçüncü taraf tedarikçi bağlantıları, ‘iç ağ’ kavramını fiilen anlamsız kıldı. Saldırganlar bunu çok iyi biliyor; savunma tarafı ise hâlâ eski haritayla yol bulmaya çalışıyor.
Zero Trust — Türkçeye ‘sıfır güven’ olarak çevrilebilir, ancak iş dünyasında İngilizce terimi yerleşiyor — bu varsayımı tersine çeviriyor. Model, tek bir cümleyle özetlenebilir: Hiçbir kullanıcıya, cihaza veya ağ konumuna varsayılan güven verilmez; her erişim talebi ayrı ayrı doğrulanır. ‘İç ağdasın, o halde güvenilirsin’ mantığının yerini ‘kim olduğunu, hangi cihazdan bağlandığını ve bu kaynağa erişimin gerçekten gerekmekte olduğunu kanıtla’ mantığı alıyor. Bu bir ürün değil, bir mimari yaklaşım. Dolayısıyla ‘Zero Trust yazılımı satın aldık, tamam’ diye bir şey yok; bu modeli hayata geçirmek, güvenlik altyapısının ve süreçlerin köklü biçimde yeniden düzenlenmesini gerektiriyor.
Kimlik, bu mimarinin merkezine oturuyor. Kullanıcı kimlik doğrulaması artık kullanıcı adı ve parolayla sınırlı değil; çok faktörlü kimlik doğrulama (MFA) temel gereklilik haline geliyor. Bunun yanı sıra cihaz sağlık durumu da erişim kararına dahil ediliyor: Bağlanan cihazın işletim sistemi güncel mi, uç nokta koruma yazılımı aktif mi, kurumsal politikalarla uyumlu mu? Türkiye’deki kurumsal şirketlerde bu soruların yanıtlarını sistematik biçimde takip eden bir altyapının henüz istisnai olduğunu söylemek yanlış olmaz. Büyük bankalarda ve telekom şirketlerinde kimlik yönetimi olgunlaşıyor; ancak orta ölçekli sanayi ve hizmet şirketlerinde kullanıcı erişim yönetimi çoğunlukla Active Directory ve elle yönetilen gruplardan ibaret. Zero Trust’a geçiş bu boşluğu kapatmakla başlıyor.
En az ayrıcalık ilkesi (least privilege) Zero Trust’ın operasyonel omurgasını oluşturuyor. Kullanıcı yalnızca görevini yerine getirmek için ihtiyaç duyduğu kaynaklara erişebilmeli; bunun ötesinde hiçbir şeye. Kulağa basit geliyor, ama pratikte uygulamak ciddi bir iş analizi gerektiriyor. Hangi kullanıcı hangi sisteme neden erişiyor? Bu erişimin gerçekten iş gereksinimi var mı? Türkiye’de birçok kurumda ‘kolaylık’ adına verilen geniş erişim yetkilerinin zamanla kimsenin dokunmadığı kümülatif bir risk yığınına dönüştüğünü saha deneyimlerimde sık görüyorum. Bir çalışan işten ayrıldığında hesabı hemen kapatılmıyor, eski projelere erişim yetkileri temizlenmiyor, servis hesapları yıllarca aktif kalıyor. Zero Trust bu dağınıklığa sistematik bir çerçeve getiriyor; ancak önce mevcut erişim haritasını çıkarmak gerekiyor ki bu da başlı başına zorlu bir süreç.
Zero Trust’ın Türkiye’deki en gerçekçi engeli teknik değil, organizasyonel. Modeli hayata geçirmek için BT, güvenlik, İK ve iş birimleri arasında sıkı bir koordinasyon şart. Kimin neye erişmesi gerektiğini BT tek başına belirleyemez; bu kararlar iş süreçleriyle iç içe. Öte yandan 2019’da Türkiye’nin kurumsal BT bütçeleri kur baskısı ve enflasyonun etkisiyle ciddi daralma altında. Dolar bazlı güvenlik ürünleri ve lisansları, TL’nin değer kaybettiği bir ortamda yöneticilerin önüne zor bir maliyet hesabı çıkarıyor. Bu koşulda ‘her şeyi birden değiştir’ yaklaşımı gerçekçi değil. Daha uygulanabilir yol, öncelikli riskleri belirlemek ve kritik sistemlere erişim kontrolünü adım adım sıkılaştırmak. MFA’yı önce ayrıcalıklı hesaplara uygulamak, servis hesaplarını denetlemek ve ağ segmentasyonunu güçlendirmek — bunlar büyük bütçe gerektirmeden alınabilecek somut ilk adımlar.
Zero Trust bir varış noktası değil, sürekli bir çalışma biçimi. Tehdit ortamı değişiyor, kullanıcı rolleri değişiyor, sistemler değişiyor; erişim politikaları da buna ayak uydurmak zorunda. Türkiye’deki kurumlar için bu modelin değeri, mükemmel bir güvenlik kalkanı sağlamasından değil, saldırı yüzeyini daraltmasından ve ihlal sonrası hasarı sınırlamasından geliyor. İç ağa giren bir saldırgan, her şeye değil yalnızca sızdığı hesabın erişebildiği kaynaklara ulaşabiliyor. Bu farkı yaratan mimari tercihler bugünden yapılmaya başlanabilir; büyük bütçeler ve yıllar süren projeler beklenmeksizin. Başlangıç noktası her zaman aynı: mevcut erişim yetkilerini gözden geçirmek ve ‘bu kişi gerçekten buna erişmeli mi?’ sorusunu sormak.