Mart 2020’nin son haftasında Türkiye’deki onlarca şirketin BT yöneticisi aynı anda aynı soruyla boğuştu: Ofiste otururken gayet iyi çalışan kurumsal altyapı, çalışanlar evden bağlanmaya başlayınca neden bu kadar kırılgan görünüyor? İstanbul’daki bir lojistik firmasında 200 kişilik kadronun yalnızca 20 eş zamanlı bağlantıya göre yapılandırılmış VPN altyapısı, tek günde 150 bağlantı talebini karşılamak zorunda kaldı. Sistem çökmedi ama performans yerle bir oldu. Bu senaryo istisna değil, kuraldı. Uzaktan çalışmaya geçiş, güvenlik mimarisindeki on yıllık varsayımları birkaç günde geçersiz kıldı.
VPN (Sanal Özel Ağ), kurumsal ağ trafiğini şifrelenmiş bir tünel üzerinden taşıyan köklü bir teknolojidir. Çalışan dizüstü bilgisayarından şirket sunucusuna uzanan bu tünel, veriyi dışarıdan okunamaz hale getirir. Ancak VPN’in güvenlik değeri yalnızca şifreleme kapasitesiyle ölçülmez; eş zamanlı bağlantı sayısı, bant genişliği tahsisi ve lisans yapısı da en az şifreleme algoritması kadar belirleyicidir. Türkiye’deki KOBİ’lerin büyük çoğunluğu VPN altyapısını ofiste çalışan 5-10 kişilik seyahat kadrosu için boyutlandırmıştı. Tüm şirketin evden çalışacağı senaryosu hiçbir kapasite planlamasında yer almıyordu. Pandemi bu boşluğu acımasızca görünür kıldı.
Kapasite sorununu çözmek gereklidir ama yeterli değildir. Asıl mesele şudur: VPN tüneli güvenli olsa bile tünelin diğer ucunda kimin oturduğunu nasıl doğrularsınız? Geleneksel kullanıcı adı ve parola kombinasyonu bu soruyu yanıtlamaz; çünkü parola ele geçirilebilir, tahmin edilebilir veya paylaşılabilir. Kimlik ve Erişim Yönetimi (IAM — Identity and Access Management) bu zafiyeti kapatmak için tasarlanmış bir disiplindir. IAM’in özü şudur: sisteme erişim hakkı yalnızca kişinin kim olduğuna değil, o kişinin doğrulanmış kimliğine ve o an için tanımlanmış yetkisine göre verilir. Türkiye’de kurumsal yazılım projelerinde bu ayrımı net çizmek, pandemi öncesinde çoğunlukla ertelenen bir tartışmaydı. Artık erteleme lüksü kalmadı.
Çok Faktörlü Doğrulama (MFA — Multi-Factor Authentication), IAM’in en somut ve en acil uygulama adımıdır. MFA mantığı basittir: sisteme giriş için yalnızca ‘bildiğin bir şey’ (parola) yetmez; ‘sahip olduğun bir şey’ (telefona gelen SMS kodu veya doğrulayıcı uygulama) de gerekir. Bu iki katmanın aynı anda aşılması, tek katmanlı sisteme kıyasla saldırı maliyetini dramatik biçimde artırır. Türkiye’deki büyük bankaların ve e-ticaret platformlarının yıllardır uyguladığı bu yöntem, kurumsal iç sistemlerde hâlâ yaygınlaşmamış durumdadır. Üretim, lojistik veya perakende sektöründe faaliyet gösteren orta ölçekli bir Türk şirketinde ERP sistemine erişimin tek faktörle korunduğu senaryolar hâlâ çok yaygındır. Pandemi sürecinde evden bağlanan çalışanların bu sistemlere erişimi, bu zafiyeti gerçek bir operasyonel riske dönüştürdü.
MFA’nın acil yaygınlaştırılmasında pratik engeller de göz ardı edilmemelidir. Birinci engel maliyettir: Türkiye’de kur baskısı ve enflasyon koşullarında dolar bazlı bulut kimlik hizmeti lisansları ciddi bütçe kalemi oluşturuyor. Ancak Google Authenticator veya Microsoft Authenticator gibi ücretsiz doğrulayıcı uygulamalar, SMS tabanlı doğrulamaya kıyasla hem daha güvenli hem de maliyetsizdir; bu seçenek KOBİ’ler için gerçekçi bir başlangıç noktasıdır. İkinci engel kullanıcı alışkanlığıdır: çalışanlar ek adımı yük olarak algılayabilir ve BT departmanına baskı uygulayabilir. Bu direnci yönetmek teknik değil, organizasyonel bir sorundur ve üst yönetimin net tutumu olmadan çözülmez. Üçüncü engel ise kapsam belirsizliğidir: hangi sistemlere MFA uygulanacak, hangi kullanıcı grupları önceliklendirilecek? ERP, muhasebe ve insan kaynakları sistemleri ilk halkayı oluşturmalıdır; iç wiki veya kurumsal sosyal platformlar ikincil önceliktedir.
Uzaktan erişim güvenliğinde VPN ve MFA’nın ötesinde gündeme giren bir kavram daha var: Sıfır Güven (Zero Trust) mimarisi. Bu yaklaşımın özü şudur: ağın içinde olmak güvenilirlik anlamına gelmez; her erişim talebi, nereden gelirse gelsin, ayrıca doğrulanmalıdır. Pandemi koşullarında bu yaklaşım teorik olmaktan çıktı. Evden bağlanan bir çalışanın dizüstü bilgisayarı, şirket ağı içindeymiş gibi sınırsız erişim hakkı taşımamalıdır. Erişim, kişinin rolüne, cihazının güvenlik durumuna ve o an ihtiyaç duyduğu kaynağa göre sınırlandırılmalıdır. Türkiye’de bu mimariyi tam anlamıyla uygulamak, özellikle BT kaynağı kısıtlı KOBİ’ler için kısa vadede gerçekçi değildir. Ancak temel ilkeleri — en az ayrıcalık prensibi, erişim segmentasyonu, cihaz sağlık kontrolü — mevcut altyapıya kademeli olarak entegre etmek mümkündür ve bu adımlar ertelenmemelidir.
Uzaktan erişim güvenliği bir kez kurulup unutulan bir sistem değildir. VPN kapasitesini artırmak, MFA’yı devreye almak ve erişim politikalarını güncellemek ilk adımlardır; ama bu adımların ardından düzenli gözden geçirme, kullanıcı eğitimi ve olay müdahale planlaması gelmek zorundadır. Türkiye’deki KOBİ yöneticilerine somut bir karar çerçevesi önermek gerekirse: bu hafta VPN kapasitenizi ölçün ve darboğazı tespit edin; bu ay kritik sistemler için MFA’yı devreye alın; bu çeyrek içinde hangi kullanıcının hangi sisteme erişebildiğini gösteren bir erişim haritası çıkarın. Pandemi, güvenlik yatırımını ‘ileride yapalım’ listesinden çıkarıp ‘şimdi zorunlu’ listesine taşıdı. Bu geçişi fırsata dönüştürmek, sonraki krize daha sağlam bir altyapıyla girmek anlamına gelir.