Yazan: Saurabh Amin, İnşaat ve Çevre Mühendisliği Profesörü PI, Bilgi ve Karar Sistemleri Laboratuvarı Massachusetts Teknoloji Enstitüsü
Siber saldırılar şüphesiz artıyor; Eylül 2023 itibarıyla güvenlik ihlallerinin sayısında 2022'nin toplam sayısına göre %17'lik bir artış vardı. Jeopolitik durum kötüleşmeye devam ettikçe ve yurtdışındaki hükümet aktörlerinin ABD şirketlerine saldırılar düzenlemesi nedeniyle bu tür saldırıların daha da artmasını bekleyebiliriz. ve altyapı. Bu ortamda, hem rutin hem de acil durum operasyonları için giderek birbirine bağımlı hale gelen ve siber altyapıya bağımlı hale gelen kritik altyapı sistemlerini korumak, hem kamu hem de özel sektör için zorlu bir görevdir.
Ne tamamen fiziksel ne de tamamen siber altyapıdan oluşan, siber-fiziksel-insan sistemlerinden (CPHS) oluşan bir dünyada yaşıyoruz. Güvenlik açıkları hastanelerin kapatılabileceği anlamına geliyor; hava trafiği ve nakliye kesintiye uğrayabilir; elektrik şebekeleri devre dışı bırakılabilir; ve navigasyon sistemleri sahte olabilir. Bu sistemlerin işlevselliği hızla azalabilir ve iyileşmesi önemli ölçüde zaman alabilir, bu da büyük toplumsal kayıplara yol açabilir. Bu tür riskler, ülkenin büyük ve stratejik sistemlerini tehlikeye atma girişimlerinin artması ve dezenformasyon, dolandırıcılık ve dijital güvenlik eksikliği nedeniyle dijital sistemlere olan güvenin kaybolması nedeniyle özellikle endişe verici hale geliyor. Kritik toplumsal hizmetleri sağlayan CHPS'nin dayanıklılığı ve güvenilirliği artık en önemli ulusal güvenlik endişesi haline geldi. Politika yapıcılar bu gerçeği nasıl ele almalı?
Yeni Ar-Ge kaynakları bir yanıttır. Ancak Ar-Ge'nin hem kaynaklara hem de çok paydaşlı ve son derece belirsiz bir ortamda iddialı ancak uygulanabilir bir veya daha fazla yola ihtiyacı var. Bu nedenle, eğer hükümet ve endüstrideki karar vericiler asimetrik siber sorunumuzun üstesinden gelmek istiyorlarsa, doğru rotayı çizmek ve gelecekteki küresel risklerin ve fırsatların ihtiyaçlarını yakalayan geniş, uzun vadeli bir resim oluşturmak için çeşitli, kararlı konu uzmanlığına ihtiyaç duyuyorlar. CPHS'nin tüm paydaşları.
Ar-Ge için araştırma önceliklerinin belirlenmesi, ABD Ulusal Bilim Vakfı (NSF) tarafından finanse edilen bir girişim olan Mühendislik Araştırma Vizyon Birliği'nin (ERVA) işlevidir. Ağustos 2022'de ERVA, ülkedeki siber güvenlik alanında en iyi düzinelerce uzmanı bir araya getiren “hacklenemez altyapı” temalı vizyon etkinliklerinden birini düzenledi. Uzmanlar, gelecekteki dayanıklı altyapının karşılaması gereken gereksinimler konusunda fikir birliğine vardı. Bunlar arasında, pratik kullanılabilirliği korurken, CHPS'nin temel sistem ve hizmetlerde emniyet, güvenlik ve güven sağlama yeteneği; ve (hem bilinen hem de bilinmeyen) rakiplere aktif olarak direnmek de dahil olmak üzere çeşitli durumlarda sağlamlığı ve güvenilirliği korurken beklenmedik değişikliklere uyum sağlama kapasitesi. Grup, günümüzün güvenlik teknolojilerindeki boşlukları belirledi ve dayanıklı ve güvenilir CPHS sağlamak için gelecekteki araştırmaları çok ihtiyaç duyulan inovasyon alanlarına yönlendirmede etkili olacak yeni fikirler ve vizyonlar formüle etti.
Sonuçta ortaya çıkan rapor, güvenlik mühendisliğindeki en zorlu zorlukların üstesinden gelme hedefiyle Ar-Ge çalışmaları için beş somut alanda araştırma yönlerini belirledi. Her alan, daha güvenli ve dirençli bir dünya için mühendislik araştırmalarını hızlandıracak bir dizi özel mühendislik konusu üretti. Uzmanlar, CPHS'nin alana özgü tasarımı ve işlevsel gereklilikleri ile güvenlik, güvenlik ve dayanıklılığın kesin özellikleri dikkate alınarak bu konuların çeşitli alanlarda (örneğin enerji, ulaşım, tedarik zincirleri, sağlık hizmetleri sistemleri) bağlamsallaştırılmasının yollarını vurguladı. tüm paydaşlar için gereklilikler.
- İnsan-Teknoloji Arayüzünde Dikkat Edilecek Hususlar: Vizyon etkinliği raporu çok önemli bir içgörüyü vurguladı: İnsanlar siber güvenlikte hem en zayıf halka hem de en büyük fırsattır. Siber tehditlere karşı koymaya yönelik modelleme, motive edici teşviklerden asimetrik bilgi ortamlarındaki güvenlik ekonomisine ve ayrıca mühendislik altyapılarındaki kullanılabilirliğe kadar insan unsurunu daha kapsamlı bir şekilde dikkate almalıdır. (Bu nedenle, temel insani yönü vurgulamak için siber-fiziksel sistemler (CPS) kavramını siber-fiziksel-insan sistemlerini kapsayacak şekilde genişlettik.) Bir araya gelen uzmanlar ayrıca artırılmış ve sanal gerçeklik gibi öncü teknolojilerin güvenliğe entegre edilmesi için daha fazla Ar-Ge tavsiyesinde bulundu. arayüzlerinin yanı sıra sürükleyici insan-bilgisayar ortamlarının daha fazla kullanılması. Bunlar aynı zamanda güvenlik sistemlerinin insan operatörler için kullanılabilirliğini artıracak ve insanları belirli şekillerde hareket etmeye neyin motive ettiğinin daha iyi anlaşılmasına olanak tanıyacak; bu bilgi, düşmanların düşünme ve hareket etme biçimlerine de uygulanabilecek.
- Güvenliği Ölçme ve Doğrulama: CPHS, oldukça karmaşık ve sürekli değişen ortamlarda çalışır, bu da herhangi bir zamanda ne kadar güvenli olduklarının belirlenmesini zorlaştırır. Kısmen gözlemlenebilir ve genellikle savunmasız CPHS arayüzlerinde konuşlandırılabilecek yapay zeka (AI) araçlarının daha da geliştirilmesine dayanacak olan sürekli izleme ve doğrulama araçlarına yönelik ileri araştırmaların yanı sıra sistem güvenliğini belirlemek için yeni niceliksel ölçümlerin geliştirilmesini öneriyoruz. Bu araçların, değişen tehdit ortamlarından öğrenebilecek ve son derece dinamik ve öngörülemeyen durumlarda otomatik yanıtın tetiklenmesine yardımcı olacak şekilde tasarlanması gerekir. Ek olarak, insan davranışının sistematik incelenmesinden ve mühendislik sistemlerine yönelik teşviklerden elde edilen bilgiler, güvenlik izleme, uyarlama ve doğrulamanın insan gözetimi yönünü daha iyi anlamak için çok önemli olacaktır.
- Otonom Güvenliğe Gelecek Yaklaşımlar: Siber tehditlerin büyüklüğü ve ölçeği, büyük miktarlarda veriyi izlemek ve hızlı bir şekilde sentezlemek ve CPHS'nin ne zaman risk altında olduğunu belirlemeye yardımcı olmak için yapay zeka ve makine öğrenimi yeteneklerinin çok daha fazla kullanılmasını ve dağıtılmasını gerektirecektir. Ar-Ge, otomatik kararların ve yanıt yeteneklerinin güvenilirliğini sağlarken, mümkün olduğu kadar insani bir şekilde bağlamsal farkındalıkla yapay zekanın geliştirilmesine özel olarak odaklanarak, en ileri teknolojiye sahip yapay zekanın emniyet ve güvenlik süreçlerine entegrasyonunu sürekli olarak vurgulamalıdır. En önemlisi, insan operatörlerinin ve karar verme süreçlerinin (veya geri bildirim döngülerinin) AI ile etkileşime girmesi ve ondan en fazla değeri elde etmesi için etkili süreçler geliştirmek, yine insan davranışı hakkındaki bilgiyi tehdit modelleme ve koordineli bir şekilde entegre etmek için CPHS çerçevesinden yararlanmak için araştırmaya ihtiyaç vardır. Fiziksel kısıtlamaları karşılayan risk bilincine sahip yanıt mekanizmaları.
- Birbirine Bağlı Altyapılarda Dayanıklılığa Yeni Yaklaşımlar: CPHS, sürekli fiziksel dinamikleri ağ bağlantılı bilgisayar süreçleriyle sıkı bir şekilde birleştirir; bu, rakiplerin çok daha geniş hasara yol açmak için bir alandaki zayıflıktan yararlanabileceği anlamına gelir. Bu nedenle, farklı sistemler, kuruluşlar ve endüstriler arasındaki stratejik koordinasyon, ilişkili yazılım hataları, donanım arızaları ve ağ karşılıklı bağımlılıkları nedeniyle ortaya çıkan güvensizliklerin ele alınması açısından kritik öneme sahiptir. Teknik araştırmaya ek olarak, hükümet ile kâr amacı güden kuruluşlar arasında koordinasyon mekanizmaları oluşturulmalıdır; zira bu kuruluşlar, ortak CPHS'ye entegre edilmiş kritik sektörlere erişim kontrolüne sahiptir. Güvenlik taktikleri ve aktif savunma stratejilerine yönelik bilgi tabanının yanı sıra veri paylaşımı ve analizi gibi süreçler için sınırlı sorumluluk çerçevesine (diğer adıyla gerekli özen standardı) ve uyumluluk mekanizmalarına açık bir ihtiyaç vardır.
- Güvenilir Sistemlerin Mimarisi: Sistemler ve güvenlik süreçleri her şeyden önce güvenilir olmalıdır. Peki bu ne anlama geliyor? Mühendislik altyapısı bağlamında güvenilir, iyi tanımlanmış bir tasarım spesifikasyonuna göre sistemin doğruluğunu ve güvenliğini ifade eder. Bu nedenle, bu alandaki Ar-Ge, öncelikle tasarım spesifikasyonuna ve karmaşık altyapılarda (birçok birbirine bağlı alt altyapıyı ve merkezi komutadan tamamen merkezi olmayan operasyonlara kadar değişebilen süreçleri içeren) doğru davranışı tanımlamaya odaklanmalıdır. Amaç, saldırılara veya sistemin spesifikasyonlarına giren beklenmedik teknoloji kullanımlarına dayanabilecek güvenilir sistemler tasarlamaktır. Bu sistemler, gizli bilgi işlem teknikleri ve güvenilir mimarilerle çözülebilecek güvenilmeyen girişlere ve arayüzlere sahiptir. Mühendislik araştırmaları, bugün gördüğümüz, kötü tanımlanmış spesifikasyonlardan, kırılgan kontrol döngülerinden ve yeterince anlaşılmayan karşılıklı bağımlılıklardan kaynaklanan güvenlik açıklarını ele almak için bu tür önemli konuları ele almalıdır.
ERVA raporu, bu beş araştırma alanının her birinde siber güvenliği denetleyenler için proaktif araştırma yönlerini ve odak noktalarını açıklıyor. Ancak her şeyden önce iki önemli noktayı vurgulamak isterim: (1) CPHS'nin birbirine bağımlı doğası gereği, endüstriler ve sektörler (akademi ve devlet kurumları dahil) arasındaki işbirliği esastır; ve (2) tüm önemli kritik altyapı alanlarında güvenilir ve dayanıklı CHPS tasarlamak için sistem yaklaşımı açısından düşünmenin zamanı geldi.
Açıkları kapatmak ve güvenlik ihlalleriyle ortaya çıktıkça mücadele etmek çözüm değildir. Art arda gelen tehditler ve bunların küresel sonuçlarıyla dolu bu dünyada siber-fiziksel güvenliğe yaklaşımımızı baştan sona yeniden tasarlamamız gerekiyor. ERVA vizyon oluşturma oturumu, burada ve şimdinin ötesinde geleceğe, potansiyel tehditlere bakma çağrısıyla motive edildi; böylece henüz var olmayan ancak acilen ihtiyaç duyulan çözümler üzerinde düşünebiliriz. Hem ulusal savunma hem de özel sektördeki karar vericiler güvenliğimizi sağlamak için daha az çaba harcamamalıdır.
yazar hakkında
Saurabh Amin, MIT İnşaat ve Çevre Mühendisliği (CEE) Bölümünde Profesördür ve ERVA Engineering'in Hacklenemez Altyapılar için Ar-Ge Çözümleri Görev Gücü'nün eş başkanıdır.
Saurabh'a şirketimizin web sitesi https://www.ervacommunity.org/ adresinden ulaşılabilir.