YORUM
Düşük kodlu/kodsuz (LCNC) ve robotik süreç otomasyonu (RPA) gibi teknolojiler şirketlerin dijital dönüşümünde temel haline geldi. Farklı kuruluşlar için yeni olanaklar sağlayarak yazılım geliştirmeyi geliştirmeye ve yeniden tanımlamaya devam ediyorlar. Bu, genellikle vatandaş geliştiriciler olarak adlandırılan, programlama deneyimi olmayan kullanıcıların uygulamalar oluşturmasına ve süreçleri otomatikleştirmesine, karmaşık görevleri basitleştirmesine ve iş operasyonlarını optimize etmesine olanak tanır.
Bu teknolojilere yönelik uygulama platformları sezgisel görsel arayüzler sunar. Bu, iş profesyonelinden BT çalışanına kadar herkesin özelleştirilmiş uygulamalar geliştirmesine ve tekrarlanan süreçleri hızlı ve verimli bir şekilde otomatikleştirmesine olanak tanır.
Avantajlarına rağmen bu teknolojilerin kullanımının özellikle bilgi güvenliği açısından zorlukları vardır. Gelişimi basitleştirmeyi ve hızlandırmayı amaçlayan bu platformlar, kurumsal verilerin kontrolü ve korunmasıyla ilgili riskleri de beraberinde getirebilir. Bu araçların sağladığı çeviklik, geleneksel modellerle karşılaştırıldığında geliştirme süresini ve maliyetlerini önemli ölçüde azaltma eğilimindedir. Ancak, özellikle teknik olmayan ekiplerin uygulama oluşturmakta özgür olduğu ortamlarda merkezi kontrolün olmaması, güvenlik açıkları oluşturabilir ve sonuçta daha yüksek maliyetlere yol açabilir.
Birkaç işlem yaptıktan sonra penetrasyon testleri LCNC, RPA veya diğer otomasyon türlerini kullanan ortamlardaki risk değerlendirmeleri ve risk değerlendirmeleri nedeniyle, bu teknolojiler için daha ayrıntılı güvenlik hususları sunmanın önemli olduğunu düşündüm. Şirketler, bu çözümleri benimsemenin getirebileceği potansiyel riskleri ve etkileri anlamalı, otomasyonun faydalarının güvenlik ve mevzuat uyumluluğundan ödün vermemesini sağlamalıdır.
Kazıma Yoluyla Veri Toplama
LCNC ve RPA’nın yaygın bir kullanımı, kazıma olarak bilinen bir teknik olan veri alma işlemlerinin otomatikleştirilmesiyle ilgilidir. Çoğu durumda, bu araçların hem dahili ortamlardan (kurumsal veritabanları gibi) hem de harici ortamlardan (API siteleri vb.) veri topladığını gözlemledim. Bu verilere dayanarak otomatik “robot”, yeni aramalar yapmak, bilgileri dosyalara veya veritabanlarına kaydetmek, e-posta göndermek, uyarılar oluşturmak vb. gibi yapılandırılmış iş akışını takip ederek kararlar alır. Kazıma yaygın olarak kullanılan bir veri toplama uygulaması olmasına rağmen, bunun hukuki sonuçları olabilir, bu nedenle şirketlerin hukuk veya risk yönetimi departmanlarına danışmalarını öneriyorum.
Tahmin edebileceğiniz gibi, özellikle kuruluşun bu hizmetler üzerinde doğrudan kontrolü olmadığında, bu dışa bağımlılık tam bir kabusa dönüşebilir. Verilerin kullanıma sunulma şekli beklenmedik bir şekilde değişirse, veri ana bilgisayarı adreslemeyi, veri formatını veya sunumu değiştirse veya verileri tamamen kaldırsa, otomasyon kritik arızalara karşı savunmasız hale gelebilir. Bu dışa bağımlılık, otomasyon süreci bu verilere dayanıyorsa sorunu daha da kötüleştirir; kullanılamama, hatalara neden olabilir ve “robotun” daha kritik bir senaryoda süreci yanlış verilerle yürütmeye devam etmesine izin verebilir. Bu, hassas finansal veya operasyonel süreçlerde yanlış kararlar verilmesi gibi zarar verici eylemlere yol açabilir ve kuruluşu ciddi şekilde etkileyebilir. Otomasyonda yanlış yönetilen hatalar, organizasyonel kararların güncel olmayan verilerle alınmasına veya iyi kayıtların üzerine kötü kayıtların yazılması nedeniyle veri kaybına da yol açabilir.
Bu nedenle otomasyonla geliştirilen çözümlerin, veri kullanılamazlığıyla güçlü bir şekilde başa çıkacak şekilde tasarlanması gerekir. Otomasyonun, istisna ve hata işlemenin uygun kullanımı da dahil olmak üzere bu senaryoları tespit edebilmesi ve yönetebilmesi gerekir. Bu, veri kaynakları arızalandığında bile sistemin güvenli ve öngörülebilir şekilde hareket etmesini sağlayarak daha fazla hasarı önleyecektir.
İç Politikalara İlişkin En İyi Uygulamalar
Özellikle LCNC çözümleri geliştiricilerinin genellikle resmi programlama deneyimine sahip olmadığı kuruluşlarda bir diğer önemli nokta, otomatik süreçlerin denetimini ve izlenebilirliğini garanti eden iç politikaların oluşturulması ihtiyacıdır. En iyi uygulama, tüm otomasyon adımlarının ayrıntılı günlüklerini uygulamaktır. Bu bilgilerin kaydedilmesi, yalnızca BT ekibinin veya güvenlikten sorumlu kişilerin herhangi bir hatayı araştırıp düzeltmesine olanak sağlamakla kalmayacak, aynı zamanda gelecekteki sorunların çözümünde de önemli olacak ve otomatikleştirilmiş süreçler üzerinde daha fazla şeffaflık ve kontrol sağlanmasını garanti edecektir.
Otomasyon işlemleri varsayılan olarak belirli bir kullanıcı hesabı tarafından çalıştırılır; bu da söz konusu hesapla ilişkili izin ve ayrıcalıklara doğrudan bağlı oldukları anlamına gelir. Bu kritik bir noktadır ve risklerin önlenmesi için sürekli takip edilmesi gerekmektedir. Bu bağlamda ilkenin benimsenmesi önerisi en az ayrıcalık Temel olan: kullanıcıya yalnızca görevini yerine getirmesi için gereken minimum düzeyde izin vermek. Bu, erişim ayrıcalıklarını sınırlandırır ve hesabın güvenliği ihlal edildiğinde etkinin azaltılmasına yardımcı olur.
CMD, Python, VBScript veya PowerShell gibi komut dosyaları ve komut yürütmeyi içeren otomasyon süreçlerinin bazı durumlarda kuruluşlar için vazgeçilmez olabileceğinin farkındayım, ancak genel riski önemli ölçüde artırdıkları için bu teknolojilerin mümkün olduğunca kullanılmasının yeniden değerlendirilmesi tavsiye edilir. Kötü niyetli bir kullanıcı, zararlı komut dosyaları oluşturmak ve kötü amaçlı etkinlikleri verimli bir şekilde hızlı bir şekilde gerçekleştirmek için bu yetenekten yararlanabilir. Altyapıda sıkı erişim kontrolleri uygulamak, bu işlevlere erişimi sınırlamak ve kullanımlarını sürekli izlemek iyi bir uygulamadır.
Her zaman olduğu gibi, LCNC platformlarının ve RPA gibi diğer otomasyon süreçlerinin kullanıcıları ve geliştiricileri için güvenlik eğitiminin önemini yeterince vurgulayamıyorum. Temel bilgi güvenliği eğitimlerine ek olarak şirketlerin şunları da içermesi gerekir: güvenli kodlama uygulamaları ve genel güvenlik en iyi uygulamalarına bağlılığı vurgular. Bu, otomatik çözümlerin geliştirilmesinde ve işletilmesinde yer alan herkesin riskleri ve güvenlik açıklarının nasıl azaltılacağını anlamasını sağlar.
LCNC platformlarını ağınızda potansiyel bir içeriden tehdit vektörü olarak düşünün. Tarihsel deneyimler, birçok siber saldırının, kötü niyetli ajanların kurumsal ağlara girmesiyle başladığını göstermektedir. Bu saldırı vektörleri, iç sistemlerdeki güvenlik açıklarından faydalanabilir; bu durum, hassas verileri işleyen herhangi bir sistemin tasarımında ve uygulanmasında gereken özeni göstermenizi gerektirecek kadar sık gerçekleşir. Bu nedenle, herhangi bir iç otomasyonun, özellikle de gizli bilgileri işleyenlerin, her zaman iç tehditlere uygulanan aynı güvenlik uyarısıyla değerlendirilmesi gerektiğini varsaymak akıllıca olacaktır.
Belirtildiği gibi LCNC ve RPA teknolojileri birçok firmanın geliştirme süreçlerini hızlandırmasına ve maliyetleri düşürmesine olanak tanısa da şunu unutmamak gerekiyor. güvenlik genellikle göz ardı edilir. Bu gerçekleştiğinde riskler faydalardan daha ağır basabilir. Kuruluşların bu çözümleri korumak, güvenlik maliyetlerinin katlanarak artmasını ve risklerin telafi edilemez hale gelmesini önlemek için sağlam ve sürekli güvenlik önlemleri alması gerekiyor.