CrowdStrike ve Microsoft'un işbirliği yaptığı bir güvenlik güncellemesinin bu denli büyük bir kesintiye sebep olması, başta test süreçlerinin iyileştirilmesi gerektiğini gösteriyor.

Blockchain & Yapay Zeka Akademi Kurucusu Devrim Danyal, global çapta yaşanan Microsoft Azure ve CrowdStrike güncelleme sorununu ve çözüm önerilerini kaleme aldı.

19 Temmuz 2024 tarihinde, global çapta Microsoft Azure kullanıcılarını etkileyen ciddi bir sorun yaşandı. Bu sorun, CrowdStrike güncellemesi ile ilişkiliydi ve dünya genelinde birçok şirketin bulut hizmetlerine erişimini etkiledi. Yaşanan sıkıntı bireysel kullanıcıları direkt olarak etkilememiş gibi görünse de uygulama ve hizmet bazlı yaşanan aksaklıklarda ciddi anlamda mağduriyetlere sebep olurken bu süreçte en önemli aksaklığı büyük çaplı kurumsal firmalar yaşadı. Bu analizde, etkilenen sektörler ve yaşadıkları sorunlar, yaşanan sıkıntının ana nedeni, olası bir siber saldırı ihtimali, bu tür olaylardan çıkarılması gereken dersler, gelecekte benzer sorunların önlenmesi için alınacak önlemler, yerli yazılım kullanımının önemi ve merkeziyetsiz sistemlerin alternatif çözümlerine değineceğiz.

SORUNUN ÇIKIŞ NEDENİ?

Sorunun ana çıkış noktası olarak Azure bulut sistemindeki bir yapılandırma değişikliğinden dolayı depolama ve bilgi işlem kaynakları arasında yaşanan kesintiye işaret edildi. Siber güvenlik alanında önde gelen bir şirket olan CrowdStrike, Microsoft Azure ile entegrasyon halinde çalışan birçok güvenlik çözümü sunuyor. Şirketin 19 Temmuz’da yayımladığı bir güncelleme, Azure altyapısında beklenmeyen sorunlara yol açtı. Windows sunucu bilgisayarlarını etkileyen bu sorundan Mac ve Linux sunucu bilgisayarları etkilenmedi. Sorunun temelinde, güncelleme sırasında ortaya çıkan bir uyumsuzluk veya hata bulunuyordu. Güncellemenin ardından bazı hizmetlerin durması veya yavaşlaması, kullanıcıların Azure platformuna erişimlerini kısıtladı.

SEKTÖREL BAZDA YAŞANAN SIKINTILAR

Özellikle hava yolları başta olmak üzere, finans, sağlık, e-ticaret, televizyon ve telekomünikasyon sektörleri bu kesintiden etkilendi. Birçok hava yolu şirketi, rezervasyon sistemleri, biletleme, müşteri hizmetleri ve uçuş takibi gibi kritik operasyonları için Azure altyapısını kullanıyor. Bu kesinti, rezervasyon ve biletleme sistemlerinin geçici olarak çökmesine neden oldu, bu da yolcuların bilet satın almasını ve değiştirmesini zorlaştırdı. Havalimanlarında check-in süreçleri aksadı ve uçuş bilgileri güncellenemedi, bu da uçuş gecikmelerine ve iptallere yol açtı. Müşteri hizmetleri sistemleri de etkilendiği için yolcular, uçuş durumları ve diğer hizmetlerle ilgili bilgi almakta zorlandı. Bu kesintiler, hava yolu şirketlerinin operasyonel verimliliğini azalttı ve yolcu memnuniyetsizliğine neden oldu, dolayısıyla hava yolu şirketlerinin marka itibarına zarar verdi.

Bankalar ve finansal kuruluşlar, bulut tabanlı hizmetlerde yaşanan aksaklıklar nedeniyle işlemlerinde gecikmeler yaşadı ve bazı hizmetleri geçici olarak durdurmak zorunda kaldı. Sağlık sektöründe hastane bilgi sistemleri ve hasta kayıtları erişilemez hale geldi, bu da hasta bakımında aksamalara neden oldu. E-ticaret platformları, sipariş işleme ve müşteri hizmetlerinde kesintiler yaşadı, bu da satışların düşmesine yol açtı. Televizyon altyapılarında yaşanan sıkıntılar, yayınlarda kesintiler ve yayın durmalarına varan olumsuz süreçlerin yaşanmasına neden oldu. Telekomünikasyon şirketleri, kullanıcılarına sundukları bulut tabanlı hizmetlerde aksaklıklar yaşadı, bu da müşteri memnuniyetsizliğine neden oldu.

ÇÖZÜM SÜRECİ

Microsoft, Microsoft 365 uygulama ve hizmetlerine erişimde aksaklık yaşandığını ancak sorunu hafifletici önlemler alınmaya devam edilirken hizmetlere erişimde iyileşme görüldüğünü bildirirken, CrowdStrike tarafından yapılan açıklamada da sorunun tanımlandığı, izole edildiği ve bir düzeltme ile sorunun giderilmesine ait çözümlerin uygulandığı belirtilmiştir.

İHMAL NEREDE?

Bu tür teknik sorunlar, genellikle yazılım geliştirme ve dağıtım süreçlerinde yeterli testlerin yapılmamasından kaynaklanıyor. Güncelleme öncesi ve sonrası testlerin yeterince kapsamlı olmamasının bu tür büyük çaplı problemlere yol açabildiği gözlemlenmiştir. CrowdStrike ve Microsoft’un işbirliği yaptığı bir güvenlik güncellemesinin bu denli büyük bir kesintiye sebep olması, başta test süreçlerinin iyileştirilmesi gerektiğini gösteriyor.

SİBER SALDIRI İHTİMALİ

Global bazda yaşanan bu kadar kapsamlı etkileri olabilecek bir güncellemenin ardından böyle geniş çaplı bir kesinti yaşanması, akıllara siber saldırı ihtimalini de getiriyor. Ancak mevcut veriler ışığında, bu olayın bir siber saldırı sonucu değil, teknik bir hata sonucu gerçekleştiği değerlendiriliyor. Microsoft ve CrowdStrike, olayın ardından yaptıkları açıklamalarda, herhangi bir dış saldırı veya kötü niyetli bir müdahale tespit edilmediğini belirttiler. Ancak bu tür olaylar siber güvenlik açısından alarm zillerinin çalmasına neden olur ve şirketlerin güvenlik protokollerini gözden geçirmelerine vesile olabilir.

ÇIKARILMASI GEREKEN DERSLER

Bu süreçten çıkarılması gereken birçok önemli ders bulunuyor. Güncellemeler öncesi ve sonrası kapsamlı test süreçlerinin uygulanması, benzer sorunların önlenmesi açısından kritik öneme sahiptir. Uluslararası altyapı sağlayıcıların tüm bu süreçleri gözden geçirmesinin ve daha sıkı test protokolleri uygulamalarının önemi yeniden gözler önüne serilmiştir.

Yaşanan sorun ne kadar büyük olursa olsun, etkilenen tüm paydaşlarla ve kullanıcılarla hızlı iletişim kurmanın ve şeffaf olmanın önemi bir kez daha ortaya çıkmıştır. Büyük kesintiler sırasında, kullanıcılarla etkili iletişim, olayın nedenleri ve çözüm süreçleri hakkında şeffaf bilgi paylaşımı, kullanıcı güvenini artıran ve panik havasını dağıtan en önemli unsurlardandır.

Geriye dönüş planları sayesinde, yapılan hatadan hızlıca geri dönülebilir olması zararı minimuma indirgeyecektir. Sistem güncellemeleri sırasında yaşanabilecek olası aksaklıklar için geri dönüş planlarının (rollback) hazırlanması, kesinti süresini minimize edecektir. Bulut hizmeti sağlayıcılarının, kesintilere karşı yedekleme ve felaket kurtarma planlarını sürekli güncellemesi ve test etmesi de bu tip sorunların hızlıca çözümünde son derece önemlidir.

ALINABİLECEK ÖNLEMLER

Bu tür olayların tekrar yaşanmaması için yazılım entegrasyonu ve test süreçlerinin iyileştirilmesinde olası tüm senaryolar dikkate alınarak değerlendirilmelidir. Güncelleme süreçlerinde siber güvenlik önlemleri gözden geçirilmeli ve mümkün olduğunca bağımsız güvenlik denetimleri artırılmalıdır. Gelişmiş izleme sistemleri aracılığıyla sistemlerdeki anormallikleri hızlıca tespit edebilecek izleme sistemleri kurulmalı ve bu sistemlerin etkinliği düzenli olarak test edilmelidir. Olası kesintiler için kriz yönetim protokolleri oluşturulmalı ve bu protokoller periyodik olarak simülasyonlarla test edilmelidir.

YERLİ YAZILIM KULLANIMININ ÖNEMİ

Bu olay, yerli yazılım kullanımının önemini bir kez daha gündeme getiriyor. Yerli yazılımlar, ulusal güvenliğin sağlanması ve dışa bağımlılığın azaltılması açısından kritik öneme sahiptir. Ayrıca, yerli yazılım şirketleri, yerel ihtiyaçlara daha hızlı ve etkili çözümler sunabilir. Türkiye gibi teknoloji alanında hızla büyüyen ülkelerde, yerli yazılım geliştirme süreçlerine daha fazla yatırım yapılmalı ve bu alandaki yetkinlik artırılmalıdır.

Yerli yazılımlar güvenlik amacıyla ulusal güvenlik standartlarına daha uygun şekilde geliştirilebilir ve dış tehditlere karşı daha korunaklı olabilir. Esneklik ve özelleştirme sayesinde yerli yazılım geliştiricileri, yerel kullanıcıların ihtiyaçlarına göre özelleştirilmiş çözümler sunabilir. Ekonomiye katkı boyutunda yerli yazılım şirketlerine yapılan yatırımlar, ekonomimize katkı sağlar ve yeni istihdam alanları oluşturur.

MERKEZİYETSİZ SİSTEMLERİN AVANTAJLARI

Merkeziyetsiz yapılar, merkezi yapılarda yaşanan bu gibi global sorunlara karşı çeşitli avantajlar sunarak daha güvenli ve dayanıklı çözümler sağlayabilir ve verilerin ve işlemlerin tek bir noktada toplanmasını engeller. Bu sayede, bir noktadaki kesinti veya saldırı tüm sistemi etkileyemez. Veriler ve hizmetler, dünya genelinde dağıtılmış düğümler aracılığıyla sağlanır, bu da genel sistem güvenilirliğini artırır.

Merkezi sistemler, tek bir hata noktasına sahip oldukları için siber saldırılara karşı daha savunmasızdır. Merkeziyetsiz yapılar ise verilerin şifrelenmesi ve doğrulanması için blockchain gibi güvenli protokoller kullanarak saldırılara karşı daha dirençli hale gelir. Her bir düğüm, sistemin güvenliğini ve bütünlüğünü korur. Merkeziyetsiz yapılar sayesinde herhangi bir düğümde yaşanan bir arıza veya kesinti sistemin tamamını etkilemez. Bu sayede hizmetler kesintisiz olarak devam edebilir ve kullanıcılar aksaklık yaşamaz. Örneğin, bir düğüm çalışmaz hale gelse bile diğer düğümler hizmet vermeye devam eder.

Merkeziyetsiz yapılar, merkezi sistemlere göre daha kolay ölçeklenebilir. Yeni düğümler ekleyerek sistemin kapasitesi artırılabilir ve bu da talep artışlarına hızlıca yanıt verilmesini sağlar. Bu sayede bu yapılar yüksek trafiğe sahip dönemlerde daha iyi performans gösterebilir. Blockchain tabanlı merkeziyetsiz sistemler, işlemleri şeffaf bir şekilde kaydeder ve bu kayıtlar tüm ağ tarafından doğrulanır. Bu şeffaflık, güvenin artmasını sağlar ve herhangi bir manipülasyon girişimini zorlaştırır. Kullanıcılar, sistemdeki verilerin ve işlemlerin doğruluğundan emin olabilir. Merkeziyetsiz yapılar, yerel kontrol ve veri egemenliği sağlar. Veriler belirli bir coğrafi bölgeye bağlı kalmak zorunda kalmaz ve bu da yerel düzenlemelere ve veri koruma yasalarına daha kolay uyum sağlar. Kullanıcılar, verilerinin nerede saklandığını ve kimlerin erişebileceğini kontrol edebilir.

19 Temmuz 2024'te yaşanan Microsoft Azure ve CrowdStrike güncelleme sorunu, teknoloji dünyasında önemli dersler çıkarmamıza vesile olmuştur. Bu olay, yazılım geliştirme süreçlerinde daha dikkatli olunması gerektiğini ve siber güvenlik önlemlerinin artırılması gerektiğini göstermiştir. Ayrıca, yerli yazılım kullanımının önemi bir kez daha vurgulanmıştır. Gelecekte benzer sorunların yaşanmaması için alınacak önlemler, teknoloji dünyasında daha güvenli ve sürdürülebilir bir altyapı sağlanmasına katkı sağlayacaktır.

20 Temmuz 2024 Cumartesi

Uzaktan iletişim araçlarıyla satılan ürün ilanlarında gerekli Türkçe uyarı ve güvenlik bilgi ile işaretlerine yer verilmesi gerekecek.

Ticaret Bakanlığı tarafından hazırlanan "Uzaktan İletişim Araçları Yoluyla Piyasaya Arz Edilen Ürünlerin Piyasa Gözetimi ve Denetimi Yönetmeliği" Resmi Gazete'de yayımlandı.

Yönetmelikle, uzaktan iletişim araçları yoluyla piyasaya arz edilen veya bulundurulan ürünlerle ilgili arz koşullarına, satış ilanlarına, bu ürünleri piyasaya sunan ya da piyasada bulunduran iktisadi işletmecilerle çeşitli hizmet sağlayıcıların yükümlülüklerine, yetkili kuruluşların görev, yetki ve sorumluluklarına ve bu kapsamda yürütülecek piyasa gözetimi ve denetimine ilişkin usul ve esaslar belirlendi.

Bakanlıktan konuya ilişkin yapılan açıklamada, fiziki kanalların yanı sıra başta internet kanalı olmak üzere uzaktan iletişim araçları kullanılarak yapılan satışların günlük hayattaki yeri ve ağırlığının artmaya devam ettiği belirtildi.

Vatandaşlara güvenli ürün ulaştırılması amacıyla bu alanda satılan ürünlerin denetiminin önemine işaret edilen açıklamada, ürünlerin satış ilanlarında, gerekli Türkçe uyarı ve güvenlik bilgi ile işaretlerine yer verilmesinin zorunlu hale getirildiği kaydedildi. Açıklamada, böylece vatandaşların internetten alışveriş yaparken fiziki bir mağazada olduğu gibi ürünü inceleyebilecekleri ve ürünün gerekli işaretleri taşıdığını görebilecekleri bildirildi.

UYGUNSUZ ÜRÜNLERİN SATIŞ İLANLARI 24 SAAT İÇERİSİNDE KALDIRILACAK

Herhangi bir internet sitesinde, uygunsuz ürün satışının tespit edilmesi durumunda, 24 saat içerisinde satış ilanının kaldırılacağı vurgulanan açıklamada, şu ifadeler kullanıldı: "Bu süre zarfında talep yerine getirilmezse ilgili ilana erişim engellenecektir. Öte yandan başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına imkan sağlayan platformlar, 'ürün güvenliği temas noktası' belirleyecek. Vatandaşlarımız, bu temas noktalarından ürünlerin güvenliği ve uygunluğu ile ilgili şikayet ve bildirim yapabilecek. Uygunsuzluk tespiti durumunda hızlıca aksiyon alınabilmesi için bazı ürünlerin piyasaya arzında Türkiye'de yerleşik bir iktisadi işletmeci bulunması şartı aranacak. Bu şartı sağlamayanlar Türkiye'ye satış gerçekleştiremeyecek. Bu ürün grupları, Bakanlığın internet sitesinde yayımlanmaktadır."

Yönetmelik, 1 Nisan 2025'te yürürlüğe girecek.

30 Ekim 2024 Çarşamba

Türkiye'de yüksek veri hızı, yüksek sistem kapasitesi ve düşük gecikme süresiyle dikkati çeken 5G'de iletişim hızını kuvvetlendiren ve yılsonunda 600 bin kilometreye ulaşması planlanan fiber kablolar, 40 bin 75 kilometre olan dünyanın çevresini yaklaşık 15 kez dolaşacak uzunluğa erişecek.

2025 Yılı Merkezi Yönetim Bütçe Kanunu Teklifi'ne göre, halen 93,3 milyon olan mobil abone sayısının, bu yıl sonunda 95 milyona ulaşması bekleniyor.

Söz konusu sayının gelecek yıl 96 milyon 500 bine, 2026'da 98 milyon 100 bine, 2027'de de 99 milyon 700 bine ulaşması öngörülüyor.

Böylece 2027'de ulaşılması beklenen mobil abone sayısı, 179 ülkenin nüfusunu geçecek.

Bu yıl sonunda yüzde 90 olması planlanan mobil geniş bant abone yaygınlığının da 2025'te yüzde 92,2, 2026'da yüzde 94,8, 2027'de yüzde 97,4 olacağı tahmin ediliyor.

Makineler arası iletişim abone sayısının ise yıl sonunda 9 milyon 100 bine, gelecek yıl 9 milyon 500 bine, 2026'da 10 milyon 100 bine, 2027'de 10 milyon 800 bine ulaşması bekleniyor.

FİBER KABLOLAR DÜNYA ÇEVRESİNİ 15 KEZ DOLAŞACAK UZUNLUĞA ULAŞACAK

Yüksek veri hızı, yüksek sistem kapasitesi ve düşük gecikme süresiyle dikkati çeken 5G'de iletişim hızını kuvvetlendiren ve yılsonunda 600 bin kilometreye ulaşması planlanan fiber kablolar, 40 bin 75 kilometre olan dünyanın çevresini yaklaşık 15 kez dolaşacak uzunluğa erişecek.

Gelecek yıl 650 bin kilometre olması hedeflenen fiber altyapı uzunluğunun 2026'da 750 bin kilometreye, 2027'de ise 850 bin kilometreye ulaşması hedefler arasında yer alıyor.

Hızlı ve kesintisiz internetin yanı sıra güvenli bağlantı da sağlayan fiber internet abone sayısının yıl sonunda 9 milyon, gelecek yıl 10 milyon 500 bin, 2026'da 12 milyon, 2027'de ise 12 milyon 500 bin olması bekleniyor.

Ayrıca, kayıtlı elektronik posta (KEP) hesabı sayısının da yıl sonunda 3 milyona, gelecek yıl 3 milyon 50 bine, 2026'da 3 milyon 100 bine, 2027'de ise 3 milyon 150 bine çıkması öngörülüyor.

30 Ekim 2024 Çarşamba