Teknoloji, kimlik ve erişim yönetimi (IAM) teknolojisi tedarikçisi Okta aracılığıyla başlayan bir dizi yüksek profilli veri ihlalinin ardından, 2024’ün başlarında bir Güvenli Kimlik Taahhüdü başlattı ve altyapısını güçlendirmek, dahili güvenliği tasarıma göre benimsemek ve müşteriler için en iyi uygulamaları desteklemek gibi önlemleri ikiye katladı.
Bu çabanın bir parçası olarak Okta, iklim değişikliği veya sosyal adalet gibi alanlarda çalışan kâr amacı gütmeyen kuruluşlara ve sivil toplum kuruluşlarına (STK) güvenlik yardımı sağlamak amacıyla halihazırda mevcut olan kurumsal sosyal sorumluluk (CSR) programı Okta for Good’a milyonlarca dolar yatırdı.
Okta for Good’un yararlanıcıları arasında, kökleri İkinci Dünya Savaşı’ndan sonra milyonlarca yerinden edilmiş insanın Avrupa’ya göç ettiği 1945 yılına dayanan, Avrupa’nın en köklü mülteci yardım kuruluşlarından biri olan Norveç Mülteci Konseyi (NRC) de yer alıyor.
NRC’nin çalışmalarının özünde, kriz dönemlerinde veya yerlerinde yerinden edilmiş ve savunmasız kişilerin haklarını koruma ilkesi yer alır. Bunu, ev sahibi ülkelerindeki mültecilere yardım eden aktif yardım programları, Birleşmiş Milletler (BM) ve diğer STK’ların çalışmalarını destekleme ve ihtiyaç sahipleri adına haklarını savunma ve küresel mülteci krizine uzun vadeli, kalıcı çözümler geliştirme adına savunuculuk yaparak yapar.
Afganistan’dan Orta Amerika’ya, Gazze’ye, Myanmar’a, Sahel ve Sahra Altı Afrika’ya ve Ukrayna’ya kadar dünyanın her yerinde faaliyet gösteriyor ve her yıl 15.000 çalışanı ile 10 milyon kişiye ulaşıyor ve yıllık 750 milyon dolarlık bir bütçeyle destekleniyor. Merkezi Oslo’da olmasına rağmen teknoloji ekibi Berlin’de de çalışıyor ve BT personeli sık sık çatışma bölgelerine gönderiliyor ve CIO Pietro Galli’ye göre bu hem bir zorluk hem de gerçek sorunlara daha yakın olmak için bir fırsat.
Uzun yıllardır NRC’de görev yapan Galli, yaklaşık on yıl önce BT işlevini devralmadan önce sahada on yıldan fazla zaman geçirdi; Afrika’da Orta Afrika Cumhuriyeti, Demokratik Kongo Cumhuriyeti, Güney Sudan ve Uganda, Avrupa’da Kosova ve Orta Doğu’da Ürdün ve Lübnan’da görev yaptı.
“2015’te BT’ye geldiğimde, benden istenen şey NRC’nin misyonunu tamamlayıcı olmak ve bunu teknoloji aracılığıyla daha da ileriye götürmekti,” diyor. “Teknolojiyi teknoloji uğruna uygulamıyoruz, daha fazla insana ulaşmamızı, daha etkili ve verimli olmamızı sağlamak için teknolojiyi uyguluyoruz ve Okta bu konuda çok iyi bir iş çıkarıyor.”
STK’lar için siber zorluklar
Yardım kuruluşları toplu olarak siber suçlular ve diğer tehdit aktörlerinden kaynaklanan büyük risklerle karşı karşıyadır. STK’lar BT mülklerini genellikle kısıtlı bir bütçeyle yönetir ve gönüllü çalışanları her zaman iyi siber hijyene olan ihtiyacı anlamaz, bu da onları finansal olarak motive olmuş siber suçlulara açık hale getirir.
Ek olarak, düşman hükümetlerle çatışan çıkarları olan STK’lar, işverenleriyle karşı karşıya kaldıkları ulus-devlet hacker’larının hedefli müdahalesiyle karşı karşıya kalabilir. NRC’nin durumunda, bunlar hem ulus-devlet tehditlerini hem de Galli’nin hem Gazze’de hem de Ukrayna’da gördüğü siber savaştan kaynaklanan çapraz ateşi içerir. Gerçekçi olarak, NRC’nin kendisini bu tür tehditlerden korumak için fazla bir şey yapamayacağını, bu nedenle burada Okta gibi güvenlik sağlayıcılarına geri döndüğünü söylüyor. Aynı zamanda, NRC daha küçük STK’ların ve işletmelerin gördüğü aynı sıradan tehditlerle de karşı karşıyadır.
“Bunlar fırsatçı saldırılar olabilir, örneğin, çalışanlarımız kimlik avı e-postalarına kanabilir… kimlik bilgilerini verebilir veya kötü amaçlı yazılım indirebilir, [so] Galli, “Çalışanlarımızın bir kısmı, ister bireysel ister grup olsun, risk altında olabilir” diyor
“Biz küçük bir oyuncu değiliz ve bu nedenle biz de dolandırıcılık ve sahtekarlık saldırılarının hedefiyiz. Biz de -tüm şirketler gibi- potansiyel olarak iç hataların kurbanıyız.
“Bunlar geniş siber güvenlik zorluklarıdır. Bunu, zayıf veya hiç altyapının olmadığı çatışmalar bağlamında yaptığımızı eklemek isterim; çatışma zamanlarında hükümetlerin interneti kapattığı veya güçlü bir şekilde kontrol ettiği ülkelerde çalışıyoruz. Bu ortamda çalışmak zorundayız; elektrik şebekemiz olmayabilir, bu nedenle jeneratörlere veya güneş enerjisine güveniyoruz, yüksek gecikme süresine ve düşük bant genişliğine sahip uydu bağlantısına güveniyoruz.”
‘Zarar verme’
NRC’nin hükümetlerle yaptığı çalışmalar, hükümet yetkililerine erişmeye çalışan kötü niyetli aktörlerin hedefli müdahalesi riskine de sokuyor. Ve tabii ki, evlerini ve geçim kaynaklarını kaybeden ve son derece savunmasız insanlar olan ve aynı zamanda tatsız rejimler tarafından aranan muhalifler olabilecek mültecilerle yaptığı çalışmalar, veri koruma uygulamalarının kusursuz olması gerektiği anlamına geliyor.
“Okta for Good, personelimiz için veri sorumluluğu konusunda ilkeler ve eğitim materyalleri geliştirmemize yardımcı oldu. Bizim için sorumluluk, veri korumasının ötesine geçiyor,” diye açıklıyor Galli.
“Bu sorumluluk, birkaç kelimeyle, dijital bir şekilde zarar vermemektir. ‘Zarar vermeme’ insani yardım çalışmalarında ortaya atılan bir ilkedir; bu, ne yaparsanız yapın, ihtiyaç sahibi insanların daha önce hissettiği zarara katkıda bulunmamanız gerektiği anlamına gelir.
“Bu, dijitali, insanların dijital olarak yerli olmadığı veya dijital araçların kullanımına ilişkin olgunluklarının veya anlayışlarının olmadığı bağlamlara uyguladığımızda daha da önemli hale geliyor.”
“Okta for Good, personelimiz için veri sorumluluğu konusunda ilkeler ve eğitim materyalleri geliştirmemize yardımcı oldu. Bizim için sorumluluk, veri korumasının ötesine geçer”
Pietro Galli, Norveç Mülteci Konseyi
Galli, 2000’li yıllarda şu anda Güney Sudan olarak bilinen bölgede yaşadığı bir deneyimi anlatıyor: “Elektrik yok [but] Küçük bir kilise arazisi ve küçük bir internet kafe var, sırtında küçük bir bebekle, hatta ayakkabısı bile olmayan bir kadın, bir akrabasıyla konuşmaya davet ediliyor.
“Bunun ne anlama geldiğini bilmiyor ama yine de jeneratörü ve uydu bağlantısı olan bu küçük binaya geliyor. Daha önce hiç görmediği bir bilgisayarın önüne oturuyor ve aniden ABD’ye gitmiş bir akrabanın sesi duyuluyor. Bizim faaliyet gösterdiğimiz bağlam bu – teknolojinin ne olduğu hakkında hiçbir fikri yoktu.”
Elbette, o zamandan bu yana işler hızla ilerledi. NRC’nin çalışmalarının çoğu dijitalleşti ve bu, en düşük seviyedeki insanlara yardım sağlamak istiyorsa daha fazla sorumluluk alması gerektiği anlamına geliyor. Ya da Galli’nin dediği gibi: “Gücümüz var. Bu eşitsiz bir ilişki ve bunu kabul etmeli ve bunun çok bilincinde olmalıyız.
“Ancak biz aynı zamanda oldukça dijital bağlamlarda da faaliyet gösteriyoruz. Örneğin Ukrayna’da, işgalin başlamasından sonra, diğer teknoloji ortaklarımızdan bazılarının sağladığı sohbet robotları ve iki yönlü iletişimler aracılığıyla yarım milyondan fazla mülteciyi kaydetmek için tamamen çevrimiçi, dijital araçlar kullandık. Bunu bu ölçekte ilk kez yaptık ve bu, bankacılık sistemi aracılığıyla nakit parayı hızla dağıtmamızı sağladı.”
İyilik İçin Okta
NRC’nin genel BT yolculuğu, anlaşılabilir bir şekilde özel sektör kuruluşlarının üstlendiği yolculuktan çok farklıdır. Galli’nin de dediği gibi: “Genel gider olduğumuzu söyleyemem, ancak kesinlikle ana yatırım alanı değiliz. Bizi başka herhangi bir işletmeyle karşılaştırırsanız, teknolojiye harcanan para miktarı önemli ölçüde daha düşüktür.”
Okta’nın, kurumun zor koşullar altında sınırlı kaynaklarıyla önemli miktarda yatırım yapmaya gerek kalmadan daha iyisini ve daha hızlısını yapmasını sağladığını, çalışanlarının tekrarlayan BT görevlerinde zamandan tasarruf etmelerini ve dünyanın dört bir yanındaki hayati çabalarına odaklanmalarını sağladığını açıklıyor.
Ancak bundan daha da öteye gidiyor. Galli, “Okta ile konuştuğunuzda, yaptığımız sadece ticari bir konuşma değil. Okta, misyonumuzu ve yapmaya çalıştığımız şeyi anlamaya kararlıdır” diyor. “Oktane’e gittim [Okta’s annual customer conference] ve sahnedeydik; hikayemizi anlatma fırsatı verildi. Bu önemli bir platform.
“Okta bir dizi program yürütüyor. Geçmişte başvurduğumuz bir tanesi teknoloji liderliği programıydı; diğeri ise veri sorumluluğu fikirlerimizi sunduğumuz ve sektöre sunmak üzere Okta ile anlaştığımız bir dizi veri sorumluluğu eğitimi geliştirmek için hibe aldığımız bir hibe fırsatıydı.
“Fikir şu ki, Okta’dan gelen parayı NRC’nin ihtiyaç duyduğu şeyleri yapmak için kullanabiliriz, aynı zamanda sektördeki diğerlerinin de ihtiyaç duyduğu şeyleri de yapabiliriz ve bunları serbestçe kullanıma sunabiliriz.
Galli, “Okta for Good, yapmak istediğiniz ancak işletme maliyetlerinizle asla yapamayacağınız şeyleri yapabilmenize yardımcı olur. Küçük bir toplu yatırımdır ancak gerçekleştirebileceğiniz belirli bir işe yönelik olması gerekir” diyor.
NRC şimdiye kadar, odak ve karmaşıklık açısından çeşitlilik gösteren, bazıları temel, bazıları ise Genel Veri Koruma Yönetmeliği (GDPR) ile çalışma gibi konulara bakan daha gelişmiş 24 eğitim videosu oluşturdu. Bunları, BM’nin üç çalışma dili olan Arapça, Fransızca ve İspanyolca da dahil olmak üzere diğer dillerde kullanılabilir hale getirmek için çalışıyor ve bu sürecin 2025 ortasına kadar tamamlanması gerekiyor.
NRC’nin Okta ile ilişkisini değerlendiren Galli, diğer kâr amacı gütmeyen kuruluşları yalnızca siber güvenlikleri üzerinde çalışmaya değil, aynı zamanda akranlarından yardım ve rehberlik almaya çağırıyor.
“Bu siber yolculuğa yeni başlayan bir kar amacı gütmeyen kuruluşsanız bize ulaşın, açığız ve paylaşmaya hazırız ve bunun için de orada iyi bir topluluk olduğunu düşünüyorum,” diyor. “Göz korkutucu görünebilir, ancak bizim için önemli bir yolculuk oldu.”
Ticari ilişki
İlişki sadece hibe ve siber savunuculuktan ibaret değil; NRC ve Okta, Galli’nin CIO görevini üstlenmesinden kısa bir süre sonra ticari ortaklar da oldular.
2015 yılında NRC çoğunlukla şirket içi bir BT altyapısı işletiyordu, ancak bulut çağı yavaş yavaş başlıyordu ve Okta ile etkileşimi de bu noktada başladı.
NRC, Washington DC bölgesinde kâr amacı gütmeyen kuruluşları teknoloji şirketleriyle buluşturan bir kuruluş olan NetHope ile zaten çalışıyordu ve Galli, bu bağlantı sayesinde meslektaşlarından bazılarının Okta’nın teknolojisini benimsediğini öğrendi.
İki kuruluş bir kavram kanıtına girişti, ilki başarısız oldu ancak sonraki girişimler daha iyi gitti ve böylece NRC, biraz inişli çıkışlı bir başlangıçtan sonra Okta ile uzun vadeli bir ilişkiye başladı, ilk başta dört uygulama genelinde yaklaşık 1.200 kullanıcıyı taşıdı. Bu, 10.000 Okta hesabına ve %100 bulut odaklı bir kuruluş olarak kullanılan yüzlerce uygulamaya ulaştı.
Galli, “Okta’nın bize sağladığı şey, sorunsuz ve hızlı bir şekilde ölçeklenmemizi sağlamasıydı” diyor ve ekliyor: “Geçtiğimiz birkaç yılda başka faydalar da elde ettik.”
Örneğin, Okta 2020 yılında, bir çalışanın işe alımından ve ilk kurulumdan, çalışanlar ayrıldığında işleri sonlandırmaya kadar tüm yaşam döngüsünü denetlemek üzere tasarlanmış küresel bir insan kaynakları sisteminin uygulanmasını destekledi, bu sayede önemli verimlilikler sağlandı ve çalışan yaşam döngüsü boyunca uygun güvenlik önlemleri sağlandı.
Okta özünde bir IAM evi olduğundan, bu, NRC’nin tüm uygulamalarının varsayılan olarak çok faktörlü kimlik doğrulama (MFA) ile korunduğu anlamına gelir, ancak Galli ayrıca farklı durumlarda farklı bağlamlarda MFA politikalarını uygulamak için Okta’yı kullanmıştır. Bu, güvenli ortamlarda masa başı çalışanlar için biyometri veya sınırlı bağlantıya sahip sahadakiler için daha temel ancak eşit derecede dayanıklı bir şey olabilir.
“Çalıştığımız ortamlar ve bağlamların genişliği nedeniyle bu çok yardımcı oldu ve her şey küçük bir ekipten merkezi olarak yönetilebiliyor – bu da önemli,” diyor. “Güvenlik duruşumuzu yükseltmeye katkıda bulunuyor.”
İleriye bakıldığında, NRC’nin yerel ortaklarla daha iyi erişime sahip olabilecek ve erişimini genişletmeye yardımcı olabilecek yerel ortaklarla daha fazla çalışmaya çalıştığını söylüyor. Bu işin daha fazlası doğası gereği dijital olacağından, Galli, Okta’yı hem siber güvenli hem de uygun maliyetli bir şekilde başkalarıyla çalışmaya yardımcı olmak için kullanmayı umuyor.
“Bu, Okta ile birlikte çalışmayı dört gözle beklediğimiz bir zorluk,” diyor ve ekliyor, “onlardan aldığımız güvenliği, zorlu ve ekonomik olarak kısıtlı ortamlardaki ortaklarımıza da yaymak.”