Önceki bir sütunda, Ulusal Eyalet Baş Bilişim Sorumluları Birliği’nin (NASCIO) 2023 baskısının nasıl olacağını tartışmıştım. ilk 10 öncelik karmaşık ortamlarda uygulamaların ve API’lerin güvenliğinin sağlanmasının öneminin altını çizdi. Artık NASCIO “Eyalet CIO’su 2024 Yılının İlk On Politika ve Teknoloji Önceliği,” ve bazı şeyler devam etse de bazı dikkate değer değişiklikler var.
-
Kimlik ve Erişim Yönetimi ve Bulut Hizmetlerinin öncelik sıralaması sırasıyla beş ve altı numaralardan sekiz ve dokuz numaraya düştü (gerçi belki de düşündüğünüz nedenlerden dolayı değil)
-
Siber Güvenlik ve Risk Yönetimi birinci öncelik olmaya devam ediyor ancak Dijital Devlet/Dijital Hizmetler ilk kez berabere kaldı
-
Yapay Zeka (AI), geçen yıl ilk 10’daartık üç numaralı önceliktir
-
Eski Modernizasyon dördüncü öncelik olmaya devam ediyor
Hadi kollarımızı sıvayalım ve bu değişimlere biraz değinelim. Onlara doğru gözle bakacağım API güvenliği özellikle.
Kimlik ve Erişim Yönetimi ve Bulut Hizmetleri Düşüyor – Peki Neden?
Kimlik ve Erişim Yönetimi (IAM) ve Bulut Hizmetleri, 2023’teki beşinci ve altıncı sıralardan 2024’te sırasıyla sekiz ve dokuzuncu sıralara indi. Ancak bunun nedeni, teknolojilerin birdenbire öneminin azalması olmayabilir; yalnızca günümüz ortamına daha derinlemesine entegre olmuşlardır.
Bana öyle geliyor ki bunlar, öncelikle birbirine bağlanan iki önceliğin (Siber Güvenlik ve Risk Yönetimi ve Dijital Devlet/Dijital Hizmetler) yanı sıra Eski Modernizasyon’un hayati bir parçasını oluşturuyor gibi görünüyor.
Başka bir deyişle eyalet ve yerel yönetimler, bu listedeki daha yüksek öncelikleri karşılamak için geliştirdikleri IAM ve bulut hizmetleri üzerinde halihazırda önemli çalışmalar yapmış olabilir. Eğer durum buysa, bu yıl öncelik değişikliği çok mantıklı.
Siber Güvenlik ve Risk Yönetimi Zirveye Dijital Devlet/Dijital Hizmetler Katıldı
Altyapı zamanla önemli ölçüde daha karmaşık ve dağınık hale geldi. Birçok kuruluş daha fazla bulut ortamı ekliyor ve bu da beraberinde daha fazla karmaşıklık getiriyor.
Aynı zamanda, giderek daha fazla dijital anlayışa sahip seçmenler, kendilerine hizmet eden eyalet ve yerel yönetimlerden daha fazlasını beklemeye başladı. Ne yazık ki hükümetleri son teknoloji dijital işlevsellik sağlamaya iten güç, ek risk getirebilecek güçle aynı: hız ihtiyacı.
Dijital Devlet/Dijital Hizmetler, karmaşıklığı basitleştirmek ve dijital varlıkları yönetmek ve güvence altına almak için dağıtılmış bir bulut yeteneğine ihtiyaç yaratır. Karmaşıklığın ve talebin arttığı bu ortamda, uygulamalara yönelik saldırılar artmaya devam etti. API’lere yönelik saldırılar. Saldırganlar, yenilik yapma ve bileşenlere daha iyi hizmet sunma baskısının API odaklı bir dünya yarattığını fark etti. Saldırganların bundan yararlanmak istemesi şaşırtıcı değil.
Seçmen beklentilerinin beklenen isteklilikle karşılanması, bazı durumlarda uygulamaların ve API’lerin uygun şekilde geliştirilemeyeceği, yönetilemeyeceği, envantere alınamayacağı ve güvence altına alınamayacağı anlamına gelir. Bu riski ele almanın birden fazla yolu olsa da, güvenlik politikasını geliştirme, dağıtım ve operasyon genelinde eşit şekilde oluşturma ve uygulama yeteneği ana yöntemlerden biridir. API’leri keşfetme ve güvence altına alma yeteneği de öyle.
Yapay Zeka Güçlü Bir Çıkış Yapıyor
Son zamanlarda yapay zeka (AI) hakkında tonlarca söylenti duymadıysanız, bir kayanın altında yaşıyor olabilirsiniz. Ciddi olmak gerekirse, abartılı reklama rağmen yapay zekanın eyalet ve yerel yönetimler için bazı gerçek uygulamaları ve sonuçları var.
Saldırgan tarafında yapay zeka, siber suçluların hem saldırılarının karmaşıklığını hem de saldırılarını geliştirme hızlarını artırabilecekleri yeni ve özgün yollar sunarak tehdit alanını biraz daha genişletiyor. Savunma tarafında yapay zeka, tespit ve azaltma yeteneklerini iyileştirme ve artırma fırsatları sunuyor.
Ancak kesin olan bir şey var: Yapay zeka, başarılı bir şekilde kullanılabilmesi için belirli sorunlara uygulanması gereken bir teknolojidir. Bu, eyalet ve yerel yönetimlerin, kendilerini yapay zeka tabanlı veya yapay zeka destekli saldırılara karşı en iyi şekilde nasıl savunabileceklerini ve ayrıca belirli güvenlik sorunlarını çözmek veya riski daha iyi azaltmak için yapay zekadan dahili olarak nasıl yararlanabileceklerini keşfetmelerine yardımcı olacak bir yapay zeka stratejisine sahip olmasını gerektirir.
Eski Modernizasyon Sorun olmaya Devam Ediyor
Eyalet ve yerel yönetimler, uygulamaları ve API’leri stratejik olarak en uygun ortamlara taşımaya devam ediyor. En uygun ortamın ne olduğu elbette değişebilir. Bazen geçiş şirket içinden genel buluta yapılabilir. Diğer durumlarda şirket içinden özel buluta/veri merkezine kadar olabilir. Bazı durumlarda geçiş, genel buluttan şirket içine bile geri dönebilir.
Hangi uygulamaların ve API’lerin hangi ortamlara gittiğinden bağımsız olarak, eski modernizasyon iyi gidiyor. Ortaya çıkan ortam karışımının, karmaşıklığı ne olursa olsun, uygun şekilde yönetilmesi ve güvence altına alınması gerekecektir. Bu göz önüne alındığında, Eski Modernizasyon’un bu yıl da en önemli öncelik olmaya devam etmesi mantıklı görünüyor.
Uygulamalar ve API’ler Neden Merkezidir?
Birçok sektörde ilgi alanları ve öncelikler yıldan yıla değişmektedir ve eyalet ve yerel yönetimler de istisna değildir. Ancak değişmeyen bir şey var ki, en önemli önceliklerin uygulamaların ve API’lerin güvenliğini kapsaması gerektiğidir.
Hükümetler, bu uygulamaları ve API’leri desteklemek için gereken modern altyapıların getirdiği yönetim ve güvenlik sorumluluklarının yanı sıra karmaşıklıkla da başa çıkmaya hazırlıklı olmalıdır. NASCIO’nun ilk 10’u kesinlikle bunu yansıtıyor.