Amerikan güç şebekesi sadece modern yaşamın omurgası değil. Yeni jeopolitik çatışma çağımızda yüksek değerli bir hedef. Yabancı düşmanlar siber yeteneklerini genişlettikçe, ABD, ileri süren ısrarlı tehditlere karşı artan güvenlik açığı ile giderek daha yaşlanan ve birbirine bağlı bir altyapıyı savunurken buluyor. Fidye yazılımından sıfır gün istismarlarına ve içeriden gelen ihlallere kadar, ulusal şebekemiz şimdi dijital güvenlik ve ulusal güvenlik arasındaki titrek hata çizgisinde oturuyor.
Bu tehditleri birleştirmek önemli bir işgücü zorluğudur: siber güvenlik yetenek boşluğu. ABD’de 500.000’den fazla doldurulmamış siber işle, altyapı sağlayıcıları sınırlı bir nitelikli uzman havuzu için büyük teknoloji ve finansal kurumlarla rekabet ediyor. Bu sıkıntı, rolleri hızlı bir şekilde doldurmak için büyük bir baskı yaratır-genellikle uygun veteriner, eğitim ve uzun vadeli güvenlik planlaması pahasına. Böyle yüksek bahisli bir ortamda, yetenek sadece bir kaynak değil, aynı zamanda bir cephe savunması. Bu boşluğu kapatmak, sömürülmeden önce sistemik güvenlik açıklarını kaldırmak için kritik öneme sahiptir.
Ulus-devlet aktörlerinin hem niyetleri hem de infazında giderek daha sofistike büyüdüğünü gördük. Çin, Rusya, İran ve Kuzey Kore gibi ülkelerle bağlantılı gruplar sadece altyapı sistemlerine sızma kapasitesini değil, aynı zamanda aylarca algılanmamış kalma sabır ve disiplini de gösterdi. Bu operasyonlar sadece bir ülkenin teknik becerisinin testleri değildir. Onlar, şebekenin bozulması sivil düzeni istikrarsızlaştırmanın, ekonomik tahribat yaratmanın ve kamu güvenini zayıflatmanın bir yolu olan aktörlerden devam eden bir güç oyununda stratejik hareketlerdir.
Bu tehditleri bu kadar tehlikeli kılan şey, gizli ve ölçek karışımıdır. 2021’de büyük bir boru hattı operatörü olan Colonial Boru hattı, doğu sahilindeki yakıt malzemelerini bozarak fidye yazılımı tarafından vuruldu. Bu özel saldırı finansal olarak motive edildi, ancak savunmasız eleştirel altyapının bozulmaya devam ettiğini vurguladı. Kâr değil, felçle hedeflenen bir ulus-devlet saldırısı çok daha kötü olabilir ve ciddi hasar verebilir.
Farklı bir dönem için inşa edilmiş altyapı
Gerçek şu ki, ızgara altyapımızın çoğu asla bugünün siber tehditlerine dayanacak şekilde tasarlanmadı. İnternet bağlantısından önce gelen eski sistemlerin çoğu hala aktif olarak kullanılmaktadır. Bu sistemlerde genellikle şifreleme, çok faktörlü kimlik doğrulaması veya hatta temel günlüğe kaydetme yoktur. Daha da kötüsü, sık sık yeni teknolojilerle entegre edilirler, eşit olmayan güvenliğe sahip karmaşık sistemler oluştururlar.
Bu, eyaletler ve sektörler arasındaki tutarsız düzenleyici standartlarla birleştirilir. Kritik altyapı koruma standartları kamu hizmetleri için güçlü bir temel sunsa da, uygulama düzensizdir ve daha küçük operatörler genellikle tam olarak uyacak kaynaklardan yoksundur. Bu arada, rakiplerin istismar etmek için zincirde sadece bir zayıf bağlantı bulmaları gerekir.
Güçlü teknik savunmalarla bile, insan bileşeni güvenlik açığının en önemli noktalarından biri olmaya devam etmektedir. İçeriden gelen tehditler, ister kötü niyetli ister yanlışlıkla, altyapı ortamlarında artan güvenlik ihlali yüzdesini açıklar. Birçok sistem manuel geçersiz kılmalara, insan izlemeye ve uzaktan erişime bağlıdır, bu da uzlaşma için geniş fırsatlar yaratır.
Kamu ve özel sektörler için eylem adımları
Hepsi kıyamet ve kasvet değil. Federal hükümet, son yıllarda Ulusal Siber Direktör Ofisi, CISA aracılığıyla yatırımlar ve doğru yönde hareket etmemize yardımcı olan kritik altyapı hibelerine bağlı siber güvenlik görevleri de dahil olmak üzere cesaret verici adımlar attı. Yine de, daha fazlası yapılmalı.
Gerçek zamanlı zeka, sınırlama ve felaket arasındaki farktır, bu nedenle özel altyapı firmaları ve federal ajanslar arasında tehdit paylaşımını zorunlu kılmak esastır. Yeni nesil siber güvenlik araçlarının daha hızlı bir şekilde benimsenmesini sağlamak için tedarik kuralları da modernleştirilmelidir. Mevcut döngüler, gelişen tehditlerin hızına uymak için çok yavaş. Bu nedenle, özellikle operasyonel teknoloji ortamlarına göre tasarlanan siber güvenlik eğitim programlarının teşvik edilmesi başka bir önceliktir. Güç şebekelerini savunmak bir bankayı veya perakende platformunu savunmakla aynı değildir.
Bir şey açıktır: Altyapı operatörleri düzenlemenin yetişmesini bekleyemez. Siber güvenliğe proaktif yatırım artık isteğe bağlı değildir.
Üçüncü taraf satıcıları ve uzaktan erişim yollarını içeren tam kapsamlı risk değerlendirmeleri yapmalıdırlar. Tüm kritik sistemlerde çok faktörlü kimlik doğrulama ve katı rol tabanlı erişim kontrolleri de uygulanmalıdır. Mümkün olduğunda, eski sistemler sertleştirilmeli veya aşamalı olarak kaldırılmalı, segmentasyon ve izolasyona öncelik verilmelidir. Şirketler ayrıca gerçek dünyadaki müdahale hazırlığını test etmek için kırmızı takım/mavi takım egzersizlerine yatırım yapmalıdır.
Bununla birlikte, en önemlisi, şirketler siber güvenliği yönetim kurulu düzeyinde ele almalıdır, çünkü risk artık teorik değildir. Tek bir başarılı saldırı operasyonları kapatabilir, düzenleyici serpinti tetikleyebilir ve kamu güvenine zarar verebilir.
Amerikan güç şebekesi düşman siber aktörler için en çekici hedeflerden biri haline geldi. Ancak en savunmasız kalması gerekmez. Siber güvenliği ulusal esnekliğin temel bir bileşeni olarak tanıyarak, ABD reaktif savunmadan proaktif caydırıcılığa geçebilir. Bu geçiş, koordinasyon, yatırım ve sadece verileri değil, günlük yaşamlarımızı güçlendiren sistemleri de savunabilen yetenekli bir işgücü gerektirir.
Yazar hakkında
Nukudo CEO’su Dean Gefen, 13 yıldan fazla operasyonel deneyime sahip bir siber güvenlik uzmanıdır. Siber operasyonel birimlerin kurulması, hükümetler, güvenlik kuruluşları ve özel sektör için kapsamlı eğitim ve yeterlilik süreçlerinin geliştirilmesi de dahil olmak üzere siber eğitim ve danışmanlık konusunda son derece yetkindir. 2017’den bu yana Asya, Avrupa ve Orta Doğu’da çeşitli hükümetlerle danışmanlık yapıyor ve çalışıyor ve yılda 250’den fazla siber profesyonel eğitiyor. Dean’e nukudo.com adresinden ulaşılabilir