Melissa Hathaway, on yıl önce Beyaz Saray’dan ayrıldığından beri şirket yönetim kurullarına ve hükümet liderlerine siber güvenlik politikası konusunda tavsiyelerde bulunmaktan çekinmedi. Ulusal Güvenlik Konseyi’nin eski Siber Güvenlik Şefi olan Hathaway, Başkan George W. Bush için Kapsamlı Ulusal Siber Güvenlik Girişimi’ne liderlik ederek ve Başkan Barack Obama’nın Siber Uzay Politikası İncelemesini başlatarak iki yönetimde görev yaptı.
Şu anda Uluslararası Yönetişim Yenilik Merkezi’nin yönetim kurulu üyesi olan Hathaway, geçtiğimiz ay bir CIGI konferansında mevcut dijital riskler hakkında konuştu. Hathaway aynı zamanda Hathaway Global Strategies’in başkanı olarak danışmanlık hizmetleri de sağlıyor ve son olarak veri koruma tedarikçisi Commvault tarafından işe alındı. yeni kurulan Siber Dayanıklılık Konseyine başkanlık edecek. New York City’deki bir toplantıda Hathaway, Çin ve Rusya’dan gelen en son küresel siber güvenlik tehditleri ve savaşın İsrail’deki etkisi hakkındaki görüşlerini paylaştı.
Dark Reading: Bugünkü tehdit ortamını on yıl önce Beyaz Saray’da çalıştığınız zamanla nasıl karşılaştırırsınız?
Hathaway: Fidye yazılımları yükselişte ve çok karmaşık hale geldi. Artık 50 terabaytlık veriyi beş dakikadan daha kısa bir sürede şifreleyebilirsiniz ve bir davetsiz misafirin ihtiyacı olan tek şey içeri giren bir yoldur. Gerçekten çok sayıda yıkıcı, kötü amaçlı yazılım geliştirilmektedir ve bunun kanıtları Ukrayna’da gösterilmiştir. silecek virüs saldırıları gördüğümüz Viasat’a karşı. Ayrıca, yüksek hacimli dağıtılmış hizmet reddi saldırıları gerçekleştirebilen düşük seviyeli botnet’lerin enfeksiyonlarını da görmeye başlıyorsunuz. Ancak en büyük sorunun, şirketlerin üçüncü taraf tedarikçilerine olan bağımlılıkları konusunda yeterli şeffaflığa sahip olmaması olduğunu söyleyebilirim. Şu anda şirketlerin çoğuna giden yol, eğer yamalanmamış bir sistem değilse, üçüncü taraf tedarikçilerden geçiyor.
DR: Yazılım tedarik zinciri açıkları gibi mi?
Hathaway: Evet ama sadece bu olmak zorunda değil. Kendi altyapısına yama yapmayan güvenilir tedarikçi olabilir ve onlar şu anda uğraştığımız gibi sadece kötü olan ürüne giden yol değil Cisco IOS’la.
DR: Başkan Biden’ın siber güvenliğe yaklaşımı hakkında ne düşünüyorsunuz?
Hathaway: Beyaz Saray’ın yeni stratejisi Şirketleri yalnızca ürünlerinden ve güvenli geliştirme yaşam döngüsünden sorumlu kılmakla kalmıyor, aynı zamanda yönetişim ve kurumsal risk yönetimi konusunda da onları daha sorumlu hale getirmeye odaklanıyor. Ve buna on yıldan fazla bir süredir ihtiyaç duyuldu. Bu yönetimin gerçekten şirketleri sorumlu kılmaya odaklandığını düşünüyorum.
DR: Bu Beyaz Saray’ın önceki yönetimlerden daha fazlasını yaptığını söyleyebilir misiniz?
Hathaway: Sadece farklı bir yaklaşım benimsiyorlar. Biden yönetimi, önceki yönetimlerin asla benimsemediği bir düzenleyici yaklaşıma odaklanmış durumda.
DR: Peki bunun iyi bir şey olduğunu düşünüyor musun?
Hathaway: 2010 yılında Türkiye için önemli bir anın yaşandığını yazmıştım. SEC, FCC ve FTC kendi yetkilerine sahip olacak dayanıklılığa ulaşmak için. Ancak tüm düzenleyicilerin farklı yönlere gitmesi durumunda bir zorluk olduğunu düşünüyorum. Bu da sektöre aşırı bir maliyet getiriyor. Dolayısıyla idarenin zorladığı düzenleyici çerçevelerde bir miktar uyum sağlanması gerekiyor. Ama bunu yapmak zordur. Birincisi, güçlü bir liderlik ve hükümetin nasıl çalıştığına dair anlayış gerektirir. İkincisi, bu düzenleyicilerin potansiyel olarak işbirliği yapmasını ve koordine etmesini gerektirir ve bunu yapma yetkileri dahilinde olmayabilir. Ve üçüncü olarak, birinci, ikinci ve üçüncü olarak hangi sorunu çözmek istediğinize karar vermelisiniz.
DR: Ortaya konan ve önerilen mevcut politikalara göre, eğer yönetimlerde bir değişiklik olursa, bir sonraki başkanlık seçiminin sonucunun bu politikaları nasıl değiştirebileceğini düşünüyorsunuz?
Hathaway: Sende yeni SEC Kuralı ve bu kuralın uygulamaya konması neredeyse 13 yıl sürdü. Parti fark etmeksizin başka bir yönetim gelip yön değiştirmek isteseydi bu ülkede mevzuatı, kanunları değiştirmek çok zor olurdu. Yeni bir başkan başka bir idari emir veya politika üretebilir ancak bunlar çok zordur. Demek istediğim, yazmak kolay ama sonra her şey icrayla ilgili. Ve hükümet içinde bile bunlarla ilgili herhangi bir ceza yok.
DR: Çin’in bir tehdit olarak görülmesiyle ilgili endişeleriniz nelerdir?
Hathaway: Onlar önde gelen bir siber güçtür ve muhtemelen genel ulusal hedeflerine ulaşmak için ABD’de veya herhangi bir yerde olduğundan daha fazla insan gücüne sahiptirler. Bunun bir kısmı nüfusun belirli bir yüzdesini oluşturuyor, ancak bunu beş yıllık planlarının ve genel stratejilerinin bir parçası olarak stratejik bir öncelik haline getirdiler.
Stratejileri arasında bir endüstriyel casusluk kullanıyorlar [element] bu öne çıktı 60 dakika sadece iki hafta önce, Beş Göz. Endüstriyel casusluk on yılı aşkın bir süredir devam ediyor ve onlar bu yolda ilerlemeye devam ediyorlar.
İçinden Kuşak ve Yol GirişimiTelekomünikasyon, veri hizmetleri ve diğer şeylerin sağlanması için ulusal şampiyonlarını konumlandırıyorlar. Ve onlar Küresel Güney’in önde gelen sağlayıcılarından biridir. Ve bunların hepsi ekonomik stratejilerinin bir parçası ve küresel, dünya düzeninin bir kısmını değiştiriyor diyebilirim.
Ayrıca merkez bankası dijital para birimlerinde de lider konumdalar. Bitcoin’i bir fırsat olarak gördüler ve onunla ilgili politika geliştirmeye ve denemelere yaklaşık on yıldan fazla bir süre önce başladılar. Ve şimdi o zamandan beri bir CBDC yayınladılar [central bank digital currency]ve bunu kullanan 300 milyondan fazla insan var. Eğer bunu düşünmeye başlarsan [as] Dünyanın dört bir yanındaki finansal hizmet sistemlerinde bir geçiş, CBDC’ler aracılığıyla ABD doları dışında bankalar arası bir dijital para borsasına sahipler. Dolayısıyla daha uzun vadeli bir stratejileri var.
DR: Politika yapıcılar bu konuda ne yapabilir?
Hathaway: Rusya’ya, Çin’e, İran’a bakmalıyız. [and] Farklı merceklerde Kuzey Kore. Onlar değerli rakiplerdir. Ve bunlar ikinci sınıf değil, aslında hepsi farklı kategorilerde birinci sınıf. Bu da bazı şeyleri farklı düşünmemizi gerektiriyor. Biden yönetiminin güvenli geliştirme yaşam döngüsü gibi bazı girişimleri önemlidir, bu da kodunuzun iyi olması anlamına gelir. Piyasada kolayca sömürülebilecek çok fazla kötü ürün var. Yeni nesil standartları gerçekten düşünmemiz gerekiyor; 5G’de kaybettik, 6G’de de kaybedecek miyiz? Bu da uluslararası standartlar hakkında gerçekten farklı düşünmemizi gerektiriyor.
Ayrıca düşünmemiz gereken bazı durumlar hakkında da düşünmemiz gerektiğini düşünüyorum; 5G’ye geçtiğinizde ve buluta geçtiğinizde ve her şey otonom olduğunda, Uç bilişime sahip olacağız – bu, benim sürücüsüz arabamdan sizin sürücüsüz arabanıza ve bunları uçta neyin işlediğine kadar veri hareketi konusunda tamamen farklı politikalara sahip olacak, böylece ikimiz de bir sorun yaşamayacağız. Bu güvenliği, veri güvenliğini, veri gizliliğini, veri hareketini ve ilerleyecek olan bu uç işlemeyi gerçekten ele almıyoruz. Bu, dayanıklılık, emniyet, gizlilik ve güvenlik konusunda gerçekten farklı bir mimari düşünmemizi gerektiriyor. Ve bu tartışmanın ülkemizde başladığını gerçekten düşünmüyorum ve buna şimdi başlamalıyız.
DR: İsrail’deki savaş tehdit ortamının denklemini şimdiden değiştirdi mi?
Hathaway: Kesinlikle. Sanırım işler istikrarsız. Üç şey ekliyor: Birincisi, yeni kötü amaçlı yazılımların geliştirildiğini görmeye başlıyorsunuz ve hızlı sentetik medya, derin sahtekarlıklar ve diğer şeyleri söyleyebilirim. Bu çok fazla kafa karışıklığına neden oluyor, ancak sadece Hamas veya Hizbullah değil, pek çok gruptan çok sayıda deney yapılıyor; kötü niyetli faaliyetlerin dezenformasyonu ve kötü amaçlı yazılımlarla ilgili de çok sayıda deney yapıldığını söyleyebilirim.
İkincisi, İsrail BT ve siber endüstrisinde, ne olacağını düşünmediğimiz bir tedarik zinciri kesintisi göreceğiz diye düşünüyorum. Bazıları bu sektörde olan 300.000 yedek personeli harekete geçirdiğinizde, bu sektör sağlayıcılarından bazıları bir yavaşlama olacak veya bir aksama. Dolayısıyla bunu iyice düşünmemiz gerekiyor.
İsrail bunların bazılarında öncü bir yenilikçidir; BT alanında lider oldukları için tedarik zincirinde bir kesintinin yaşanacağını düşünüyorum.
Üçüncüsü, bölgenin genel istikrarı konusunda endişeleniyorum; çok fazla jeopolitik istikrarsızlık yaşıyoruz [and] şu anda dünya çapında çok fazla.
DR: Açıkçası çok sayıda İsrailli siber güvenlik şirketi ve hatta Microsoft, Check Point, Google ve daha pek çok şirket var.
Hathaway: Peki, sende Beersheba’daki teknoloji inovasyon merkezi, ancak İsrail’de tüm Silikon Vadisi’ne, Seattle’a, Boston’a ve benzerlerine hizmet veren, çalışan ve ortak olan çok büyük bir BT teknolojisi siber endüstrisi var. Bu nedenle, öngörmemiz gereken bir aksama olacağını düşünüyorum çünkü bu savaş yakın zamanda bitmeyecek.