Siber güvenlik sektöründe yaygın bir söz vardır: en güçlü güvenlik duvarı bile, yanlış bağlantıya tıklayan bir çalışanın karşısında çaresizdir. Teknik altyapı ne kadar gelişirse gelişsin, insan faktörü hâlâ en zayıf halkadır ve saldırganlar bunu biliyor.

Son yıllarda büyük veri sızıntılarının büyük çoğunluğu karmaşık siber saldırılardan değil, basit insan hatalarından kaynaklandı. Bir çalışanın oltalama e-postasına kanması, bir yöneticinin hassas dosyaları yanlış alıcıya göndermesi, bir BT uzmanının test ortamını şifresiz internete açması. Teknoloji değil, dikkatsizlik.

İnsan faktörünün bu zayıflığı birkaç temel nedene dayanır. İlki, çoğu kullanıcının güvenliği bir öncelik olarak görmemesidir. İş tamamlama baskısı altında kısa yollar tercih edilir. Şifreleri post-it kağıtlarına yazmak, aynı şifreyi her yerde kullanmak, şüpheli bağlantılara “acele tıklamak” bu kısa yolların tipik örnekleridir.

İkinci neden bilgi eksikliğidir. Çalışanlar oltalama e-postasının nasıl göründüğünü, fidye yazılımının nasıl yayıldığını veya iki faktörlü kimlik doğrulamanın ne işe yaradığını çoğu zaman bilmez. Eğitim verilmediğinde, sezgi yerini eylemle dolduramaz.

Üçüncü neden sosyal mühendisliğin etkinliğidir. Saldırganlar teknik zayıflıkları bulmaya çalışmak yerine doğrudan insanları hedef alır. Bir muhasebe çalışanına “patron”dan gelmiş gibi görünen bir para transferi talebi, bir BT destek personeli gibi görünüp şifre soran bir telefon araması. Bu yöntemler teknik savunmaları atlatır.

Peki bu zayıf halkayı nasıl güçlendirebiliriz?

İlk çözüm düzenli eğitimdir. Yıllık bir zorunlu eğitim yeterli değildir. İnsan faktörü sürekli güncellenen bir risktir, eğitim de sürekli olmalıdır. Aylık kısa oturumlar, gerçek saldırı senaryolarından örnekler ve interaktif simülasyonlar çok daha etkilidir.

İkinci çözüm oltalama simülasyonlarıdır. KnowBe4, Gophish gibi platformlar aracılığıyla şirket içi oltalama testleri düzenlemek, çalışanların gerçek saldırılara karşı hazırlıklı olmasını sağlar. Testte kanan çalışanlara cezalandırma değil ek eğitim uygulanmalı.

Üçüncü çözüm güçlü şifre politikalarıdır. Uzun, karmaşık ve her hesap için farklı şifreler şart. Ama insanlardan bunu akılda tutmasını beklemek gerçekçi değil. Bu yüzden şifre yöneticileri (1Password, Bitwarden, LastPass) tüm çalışanlara sağlanmalı ve kullanımı zorunlu tutulmalı.

Dördüncü çözüm iki faktörlü kimlik doğrulama (2FA) uygulamaktır. Şifre çalınsa bile 2FA olmadan hesaba girilemez. Microsoft Authenticator, Google Authenticator veya Authy gibi uygulamalar hem ücretsizdir hem de kurulumu basittir. Tüm kurumsal hesaplar için zorunlu hale getirilmeli.

Beşinci çözüm en az ayrıcalık prensibidir. Her çalışana sadece işini yapmak için gereken erişim sağlanmalı. Muhasebe çalışanının sunuculara SSH erişimi yoktur, geliştirici müşteri veritabanına doğrudan erişmemelidir. Bu yaklaşım bir hesabın ele geçirilmesi durumunda verilebilecek zararı sınırlar.

Altıncı çözüm olay yanıt planı hazırlamaktır. Bir güvenlik ihlali gerçekleştiğinde kim neyi yapacak? Kime haber verilecek? Hangi sistemler izole edilecek? Bu plan önceden hazırlanmalı ve tatbikat yapılmalı. Panik anında doğru kararlar verilemez.

Teknolojinin kendisi de insan faktörünü destekleyecek şekilde seçilmelidir. Güvenli e-posta filtreleri oltalama saldırılarının çoğunu zaten engeller. Kapsamlı antivirüs çözümleri (Kaspersky, ESET gibi) yanlışlıkla indirilen zararlıları yakalar. VPN bağlantıları (NordVPN gibi) halka açık Wi-Fi üzerindeki verileri korur.

İnsan faktörü asla sıfırlanamayacak bir risk, ama doğru eğitim, doğru politika ve doğru teknoloji ile minimize edilebilir. Bu yatırımı yapan işletmeler, siber saldırılardan belirgin şekilde daha az etkilenir.

Siber güvenlik denince akla genellikle antivirüs programları, güvenlik duvarları ve VPN’ler gelir. Oysa siber güvenliğin en temel katmanı çoğu zaman göz ardı edilir: kullanılan yazılımların kendisi. Korsan veya lisanssız yazılım kullanmak, en gelişmiş güvenlik önlemlerini bile etkisiz kılar.

Bu durumun teknik arka planını anlamak önemli. Yazılım üreticileri (Microsoft, Adobe, Autodesk vb.) ürünlerini piyasaya sürdükten sonra da geliştirmeye devam eder. Keşfedilen güvenlik açıkları düzenli olarak yamalarla kapatılır. Windows 11 için ayda bir, Office için ayda bir, Adobe ürünleri için daha sık güvenlik güncellemeleri yayınlanır.

Orijinal lisans kullanıcıları bu güncellemeleri otomatik alır. Korsan sürümlerde ise güncellemeler ya engellenir ya da kullanıcı tarafından manuel devre dışı bırakılır, çünkü güncelleme aktivasyon kontrolüne yol açıp yazılımı kilitleyebilir. Sonuç: bilinen güvenlik açıkları ile çalışan bir yazılım.

Bu açıkların nasıl istismar edildiğini anlamak için birkaç gerçek örnek verelim. 2017’de ortaya çıkan WannaCry fidye yazılımı, Windows’un bir SMB protokolü açığını kullanıyordu. Microsoft bu açığı aylar önce kapatmıştı, ama güncel olmayan sistemler saldırıya uğradı. Dünya çapında 200.000’den fazla bilgisayar etkilendi ve milyarlarca dolarlık zarar oluştu. Etkilenenlerin büyük kısmı ya korsan Windows ya da güncellenmeyen eski sürümler kullanıyordu.

2020’de keşfedilen Zerologon açığı, Windows Server’da kritik bir güvenlik sorunuydu. Microsoft yamasını hızla yayınladı, ama güncellenmeyen sunucular aylarca savunmasız kaldı. Korsan Windows Server kullanıcıları, bu yamayı hiçbir zaman alamadı.

Benzer hikayeler Adobe ürünleri için de geçerli. Adobe Reader ve Acrobat’ta zaman zaman keşfedilen zafiyetler, kötücül PDF dosyaları aracılığıyla bilgisayara erişim sağlamaya olanak tanır. Orijinal lisanslı Adobe kullanıcıları güncellemeleri anında alırken, korsan versiyonlar aylarca açık halde kalabilir.

İkinci bir güvenlik sorunu, korsan yazılımın indirildiği kaynakların kendisidir. Torrent siteleri, warez forumları veya “crack” sunan platformlar, istatistiksel olarak çok yüksek oranda zararlı yazılım dağıtır. Keygen programları neredeyse her zaman trojan veya keylogger içerir.

Sonuç olarak, bedava Photoshop indirdiğini düşünen kullanıcı aslında bilgisayarına hem Photoshop hem de banka bilgilerini çalan bir arka kapı yüklemiş olur. Bu keylogger’lar aylarca fark edilmeden çalışabilir, tüm klavye girişlerini ve ekran görüntülerini uzak sunuculara gönderir.

Üçüncü bir risk, korsan yazılımların güvenilir olmayan güvenlik açıkları yaratmasıdır. Bazı crack’ler, lisans kontrolünü devre dışı bırakmak için Windows’un güvenlik ayarlarını değiştirir, Defender’ı kapatır veya güvenlik duvarı istisnaları ekler. Bu değişiklikler sadece o yazılımı değil, tüm sistemi savunmasız bırakır.

Orijinal lisanslı yazılım kullanmak siber güvenlik stratejisinin ilk adımıdır. Bunun üzerine eklenen her güvenlik katmanı (antivirüs, VPN, yedekleme, şifre yöneticisi) etkili olabilir. Ama temel bozuksa, diğer katmanlar bir noktaya kadar işe yarar.

Orijinal lisans maliyeti kimi zaman caydırıcı görünebilir. Oysa dijital lisans satan platformlar sayesinde Windows 11 Pro, Microsoft 365, Adobe Creative Cloud ve benzeri ürünleri çok daha uygun fiyatlarla edinmek mümkün. Bu platformlar OEM, retail ve volume license seçenekleriyle her bütçeye uygun çözümler sunar.

Siber güvenlik tasarruf edilmemesi gereken bir alandır. Bir saldırı sonrası kaybedilen veri, zaman ve itibar, yıllarca süren orijinal yazılım yatırımının çok üstünde maliyet yaratır.

Yazılım bütçesi çoğu işletmede ihmal edilen kalemlerden biridir. Kira, maaş, malzeme gibi geleneksel bütçe kalemleri dikkatle hesaplanırken yazılım harcamaları “gerektiğinde alırız” mantığıyla yönetilir. Bu yaklaşım hem maliyet hem de verimlilik açısından pahalıya mal olur.

Doğru bir yazılım bütçesi oluşturmak için önce mevcut durumu netleştirmek gerekir. Hangi yazılımlar şu anda kullanılıyor, kim kullanıyor, ne sıklıkla kullanılıyor? Pek çok işletme bu soruyu yanıtlayamaz çünkü yazılım envanteri tutmaz. Bu eksiklik aylık aboneliklerin sessizce birikmesine, kullanılmayan lisanslara ödeme yapılmasına ve gereksiz çoklu satın almalara yol açar.

İlk adım envanter çıkarmaktır. Tüm yazılım lisanslarını, abonelik ücretlerini, yenileme tarihlerini ve kullanıcı sayılarını bir tabloya dökmek. Bu işlem genellikle ilk defa yapıldığında %20-30 oranında optimizasyon fırsatı ortaya çıkarır.

İkinci adım zorunlu ve isteğe bağlı yazılımları ayırmaktır. İşletim sistemi, ofis paketi, güvenlik yazılımı ve muhasebe programı gibi kategoriler olmazsa olmazdır. Proje yönetim araçları, iletişim platformları, tasarım yazılımları ise isteğe bağlı kategoriye girer. Bu ayrım bütçe kesintisi gerektiğinde nereden başlanacağını net gösterir.

Üçüncü adım lisans modellerini doğru karıştırmaktır. Her yazılım için abonelik ideal değildir. Çok sık kullanılan araçlar için abonelik (Microsoft 365 gibi) mantıklıdır, ama yılda birkaç kez kullanılan yazılımlar için kalıcı (perpetual) lisans daha ekonomiktir. Adobe Creative Cloud gibi sürekli güncellenen paketler için abonelik şart, ama Office için kalıcı lisans (Office 2024 gibi) uzun vadede daha tasarruflu olabilir.

Dördüncü adım hacim indirimlerini değerlendirmektir. 5 veya daha fazla lisans ihtiyacı olan işletmeler Volume License avantajından yararlanabilir. Microsoft, Adobe, Autodesk gibi üreticiler kurumsal müşterilere önemli indirimler sunar. Dijital lisans satan yetkili platformlar da kurumsal paketlerde ek indirim fırsatları yaratır.

Beşinci adım bütçede güvenlik için ayrı bir kalem açmaktır. Antivirüs, VPN, yedekleme ve şifre yöneticisi gibi güvenlik araçları toplam BT bütçesinin en az %15-20’sini oluşturmalıdır. Bu kalem kısılmamalı, çünkü bir veri sızıntısı veya fidye yazılımı saldırısının maliyeti yıllık güvenlik bütçesinin onlarca katına ulaşır.

Altıncı adım eğitim ve destek bütçesini unutmamaktır. En pahalı yazılım bile yanlış kullanıldığında parayı sokağa atmak olur. Yeni bir yazılıma geçildiğinde ekibe eğitim vermek, online kurslara abonelik sağlamak ve dahili dokümantasyon oluşturmak bütçenin %5-10’unu almalı.

Yedinci adım yedekleme planı yapmaktır. Ana yazılım çalışmadığında kullanılacak alternatifler hazır olmalı. Microsoft 365 düştüğünde Google Workspace yedeği, Adobe Creative Cloud kesildiğinde CorelDRAW alternatifi gibi. Bu yedekler aktif aboneliğe dönüşmese bile bilinmeli.

Yazılım bütçesi esnek olmalı. Yıl ortasında yeni bir ihtiyaç çıktığında harcama yapmak için küçük bir tampon bütçe tutmak, beklenmedik fırsatları (örneğin bir yazılımın kampanya dönemi) değerlendirmeyi mümkün kılar.

Sistemli bir yazılım bütçesi, işletmenin finansal disiplini kadar operasyonel verimliliğini de yansıtır. İlk yıl biraz çaba gerektirir, ama sonraki yıllarda sadece minimum revizyon ile sürdürülebilir hale gelir.

On yıl öncesinin teknoloji mağazalarını hatırla. Raflar dolusu yazılım kutuları, içinde CD, DVD veya USB bellek, bir ürün anahtarı kağıdı ve kalın bir kullanım kılavuzu. Şimdi aynı mağazalarda o reyon ya çok küçülmüş ya da tamamen kaybolmuş. Yerini dijital lisans aldı.

Dijital lisans, yazılımın fiziksel bir medya (CD, DVD, USB) olmadan, yalnızca bir ürün anahtarı veya hesap bilgileriyle edinilmesidir. Satın alma işleminden sonra yazılım internet üzerinden indirilir ve ürün anahtarı veya hesap bilgileriyle aktive edilir. Tüm süreç dakikalar içinde tamamlanır.

Bu dönüşüm birkaç güçlü nedenden kaynaklandı. İlk olarak internet altyapısı ve bant genişliği ciddi şekilde gelişti. 2005’te 5 GB’lık bir yazılımı indirmek günler alırken, şimdi dakikalar meselesi. Fiziksel medyaya ihtiyaç mantıksal olarak ortadan kalktı.

İkinci neden çevresel ve lojistik. Plastik CD kutuları, karton ambalajlar, kargo maliyetleri, depolama alanları. Tüm bunlar hem yazılım şirketleri hem de son kullanıcılar için maliyet kalemlerdi. Dijital lisans bu maliyetleri sıfıra indirdi ve ürün fiyatlarının düşmesine de katkı sağladı.

Üçüncü neden kullanım kolaylığı. Eski sistemde yazılımı kaybettiğinde veya CD çizildiğinde, üreticiyle uğraşarak yeniden medya istemek gerekirdi. Dijital lisansta yazılım üretici sunucularında her zaman hazırdır. Bilgisayarına format attığında, yeni cihaz aldığında veya sistemi yenilediğinde ürün anahtarını girerek yeniden indirip kurabilirsin.

Dördüncü neden güvenlik. Fiziksel medyada dağıtılan yazılımlara sahte ürün sokmak nispeten kolaydı. Dijital lisanslar üretici sunucularından aktive edildiği için orijinallik doğrulaması çok daha güvenilir. Özellikle Microsoft, Adobe ve Autodesk gibi büyük üreticilerin sunucuları, lisansın gerçekten o anahtara ait olup olmadığını anlık olarak doğrular.

Dijital lisans modelinin Türkiye pazarındaki yaygınlaşmasında bir diğer etken de fiyat esnekliği oldu. OEM lisanslar, volume license indirimli sürümleri veya abonelik modelleri dijital ortamda çok daha rekabetçi fiyatlarla sunulabildi. Yetkili dijital lisans satıcılarından alınan Windows veya Office lisansları, yıllar öncesinin fiziksel kutulu fiyatının ciddi oranda altında.

Peki dijital lisansın dezavantajları var mı? Birkaç küçük nokta var. Sürekli internet bağlantısı gerektiren aktivasyon süreçleri, ürün anahtarını kaybetme riski (e-postayı silme gibi) ve ikinci el satış zorluğu. Fiziksel kutulu ürünü başkasına satabilirsin, dijital lisansın devri genellikle kısıtlıdır.

Ama bu dezavantajlar, sunulan esneklik ve fiyat avantajlarının yanında küçük kalır. Özellikle güvenilir dijital lisans satıcılarından alınan ürünler, satış sonrası destek ve garanti seçenekleriyle bu riskleri de minimize eder.

Dijital lisans artık standart hale geldi. Microsoft, Adobe, Autodesk gibi büyük üreticiler yeni ürünlerini neredeyse sadece dijital olarak sunuyor. Fiziksel kutulu yazılım, tıpkı müzik CD’leri gibi, koleksiyoncu nesnesi kategorisine kayıyor. Ve bu değişim, kullanıcılar için hem daha ekonomik hem de daha pratik bir dünya yarattı.

Korsan yazılımın bedava olduğu iddiası hâlâ çok yaygın. Oysa gerçekte korsan yazılım bedava değil, sadece faturası farklı biçimde ödeniyor. O faturanın kalemlerini çoğu kullanıcı fark ettiğinde geç olmuş oluyor.

Korsan yazılımla ilgili ilk yanılgı, “büyük şirketler zaten zengin, birinin kullanması kimseye zarar vermez” düşüncesidir. Bu bakış açısı, zararın asıl kullanıcıda oluştuğunu göz ardı eder. Korsan yazılım indirme kaynakları neredeyse her zaman zararlı kod içerir. Keygen, crack veya patch dosyaları istatistiksel olarak yüzde 80 civarında bir oranda trojan, keylogger veya arka kapı barındırır.

Bunun pratik anlamı şudur: bedava diye indirdiğin Photoshop, aynı anda senin banka hesabına erişim sağlayan bir veri hırsızı olabilir. Son yıllarda Türkiye’de fidye yazılımı saldırılarının büyük kısmı, korsan yazılım indirilen sitelerden bulaşmıştır.

İkinci maliyet güvenlik açıklarıdır. Orijinal yazılımlar düzenli güvenlik güncellemesi alır. Korsan sürümlerde bu güncellemeler ya engellenir ya da manuel devre dışı bırakılır, çünkü aksi takdirde lisans kontrolü devreye girip yazılım çalışmayı durdurur. Güncellemeden yoksun bir yazılım, bilinen güvenlik açıklarıyla aylarca hatta yıllarca çalışmaya devam eder.

Üçüncü maliyet iş sürekliliği riskidir. Korsan yazılım aktivasyon sunucuları değiştiğinde, güncelleme geldiğinde veya sistem yeniden kurulduğunda çalışmayı durdurabilir. Müşteriye teslim edilecek iş tam bitmek üzereyken yazılımın kapanması, sadece zaman kaybı değil itibar kaybıdır.

Dördüncü maliyet yasal risktir. Türkiye’de Fikir ve Sanat Eserleri Kanunu kapsamında korsan yazılım kullanımı cezai yaptırıma tabidir. Bireysel kullanıcılar genellikle hedef alınmaz, ama ticari kullanımda denetim ihtimali gerçektir. Microsoft, Adobe ve Autodesk gibi şirketler Türkiye’de düzenli olarak ihlal tespit davaları açar ve cezalar yazılım fiyatının katbekat üzerindedir.

Beşinci ve çoğu kullanıcının hiç hesaba katmadığı maliyet, teknik destek yoksunluğudur. Bir sorun çıktığında kime soracaksın? Forum araştırmak, Reddit’te yardım istemek, YouTube video izlemek saatler alır. Orijinal yazılımlarda Microsoft, Adobe veya Autodesk gibi şirketlerin doğrudan destek kanalları vardır. Kritik bir projede kaybedilen bir gün, yıllık lisans maliyetinden çok daha pahalıya gelebilir.

Altıncı maliyet ise güncel özelliklerden mahrum kalmaktır. Korsan sürümler genellikle birkaç versiyon gerideki yazılımlardır. Adobe’nin Generative Fill gibi yapay zeka özelliklerinden, Microsoft Copilot entegrasyonundan veya Autodesk’in bulut iş birliği araçlarından korsan kullanıcılar yararlanamaz.

Peki alternatif ne? Orijinal lisansları tam fiyatına satın almak her zaman gerekmez. Dijital lisans satan yetkili platformlardan, OEM veya volume license olarak çok daha uygun fiyatlarla orijinal lisans edinmek mümkün. Öğrenci indirimleri, piyasa fiyatının yarısında OEM sürümler veya aylık abonelik modelleri bütçe seçenekleri yaratır.

Korsan yazılımın gerçek maliyeti paraya değil zamana, güvenliğe ve itibara ödenir. Bu maliyetleri hesaba kattığında, orijinal lisans genellikle daha ekonomik seçenek haline gelir.