Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Tehdit Aktörlerindeki Patlama, Kötü Yapılandırılmış Teknoloji Riski Arttırıyor
Mathew J. Schwartz (euroinfosec) •
8 Mayıs 2024
Bu yıl San Francisco’da düzenlenen RSA Konferansında mevcut ve eski hükümet siber güvenlik çarları, jeopolitik olayların kuruluşların siber güvenlik duruşuna yönelik giderek daha fazla risk oluşturduğu konusunda uyardı.
Ayrıca bakınız: Banka, Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görüyor
SentinelOne’un istihbarat şefi ve kamu politikası sorumlusu Chris Krebs, konferansa katılanlara “Sanki, en azından bizim yaşamlarımız boyunca, dünyanın her köşesinde bazı jeopolitik yangınlar varmış gibi görünüyor” dedi.
Rusya’nın Ukrayna’ya karşı fetih savaşı ve muhtemelen Çin’in çokça önizlenen Tayvan’ı işgali gibi bu alevlenmeler, dikkate değer siber güvenlik bileşenlerini içeriyor.
Krebs’in tezi, CISO’ların jeopolitik tehditleri takip etmeleri gerektiği yönünde; üstelik bu tür olayların kurumsal ağlar için oluşturduğu potansiyel risk göz önüne alındığında, yalnızca ormanda değil.
“On yıl öncesinden farklı olarak teknoloji, siber bilgi operasyonları ve dezenformasyon, çatışmanın ve askeri doktrinin ayrılmaz bir parçasıdır” dedi. “İş riski ve jeopolitik risk iç içe geçmiş durumda.”
Tehdit aktörlerinin sayısındaki patlamanın yanı sıra, özel sektörün riski en aza indirmeyecek şekilde yapılandırdığı ürün sevkiyatının devam eden sorunu da riski artırıyor. Yapay zekanın yalnızca siber uzayın karmaşıklığını artırdığını ekledi.
Daha önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın başında bulunan Krebs, “Sadece bugün değil, açıkçası hayatımızın geri kalanı boyunca her köşede bir tür riskle karşı karşıya olduğumuz görülüyor” dedi.
“Tehditler hakkında sonsuza kadar konuşabiliriz” diyen CISA’nın mevcut lideri Jen Easterly, şu ikisini vurgulamayı tercih etti: fidye yazılımı ve saldırganların kurbanlar pahasına elde ettiği devasa kârların yanı sıra, kritik altyapıların giderek daha fazla hedeflenmesi. Volt Typhoon kampanyası aracılığıyla Çin.
Volt Typhoon’un “esneklik hakkında bu kadar çok konuşmamızın ve tasarım gereği güvenlikten neden bahsettiğimizin” nedeni olduğunu söyledi (bkz: ABD CISA, Yapay Zeka için Tasarım Yoluyla Güvenlik Çağrısında Bulunuyor).
Fidye yazılımlarında olduğu gibi, kritik altyapıya sızmanın yollarını arayan Çinli saldırganlar “büyük ölçüde bilinen genel kusurlardan ve kusurlardan yararlanıyor.” Bu tür çabaları karmaşık hale getirmek için CISA, Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğunu korur ve destekler. Hem ulus devlet saldırılarıyla hem de siber suçlarla mücadele etmek için CISA, tüm kuruluşların KEV kusurlarını mümkün olduğu kadar hızlı bir şekilde düzeltmelerini tavsiye ediyor (bkz: Veri İhlallerinin Takibi: Artan Güvenlik Açıklarının Hedeflenmesi).
Ajans aynı zamanda büyük ihlallerden ve sektörden öğrenilen ayrıntılardan ders almaya çalışıyor.
Easterly, Pazartesi günü CISA’nın Krebs’i Siber Güvenlik İnceleme Kurulu’na atadığını duyurdu. Kurul en son, Krebs’in CISA’yı çalıştırmadan önce hükümet irtibat görevlisi olarak çalıştığı Microsoft’a yönelik büyük Çin saldırısını araştıran ve şirketin güvenlik kültürünün “önlenebilir ve asla gerçekleşmemesi gereken” bir casusluk saldırısını engellemede başarısız olduğunu gösteren bir rapor yayınladı. (Görmek: Microsoft, Büyük İhlallerden Sonra Güvenlik Uygulamalarını Yeniliyor).
“Mümkün olanın sanatı” sloganını taşıyan bu yılki RSAC’da yapay zeka ön plana çıktı. Easterly, kulağa coşkulu gelen bu temaya dikkat çekerek şunları söyledi: “Yapay zeka dünyanın hayal gücünü ele geçirdi, ancak bu hayal gücünden yararlanıp hayal gücünün başarısızlığından kaçınmak liderlerin sorumluluğundadır.”
CISA, İç Güvenlik Bakanlığı’nın bir parçasıdır. DHS Sekreteri Alejandro Mayorkas, Salı sabahı konferansta yaptığı açılış konuşmasında, hükümetin yapay zekanın güvenli kullanımını ve geliştirilmesini kolaylaştırma çabalarının altını çizdi. Özellikle, Başkan Joe Biden tarafından Beyaz Saray’a “ülkemizin kritik altyapısında yapay zekanın güvenli, emniyetli ve sorumlu bir şekilde uygulanmasını” teşvik etmek için gereken önlemler konusunda tavsiyelerde bulunmak üzere oluşturulan 22 üyeli bir kurulun Pazartesi günü yapılan ilk toplantısına dikkat çekti.
Kurulun, uygulanabilir roller ve sorumluluklar tarafından takip edilecek ilkeleri belirlediğini ve ardından “umarım yapay zekanın güvenli ve emniyetli bir şekilde uygulanması için yönergeler oluşturacağız ve gerçekten ulusal bir plan geliştireceğiz” dedi.
Konferans oturumu sırasında konuşan Easterly, kritik altyapılar da dahil olmak üzere yapay zekanın oluşturduğu çeşitli risklere de odaklandı.
Easterly, “Yapay zeka, hedef odaklı kimlik avı, dış etki veya dezenformasyon olsun, seçimlerimize yönelik mevcut tehditleri daha da artıracak” dedi, ancak “bu tehditleri temelden değiştirmeyecek.”
2017 yılında ABD hükümeti seçim altyapısını kritik altyapının bir parçası olarak belirledi ve CISA, eyalet ve yerel seçim yetkilileriyle yakın işbirliği içinde çalışarak bu altyapıyı korumakla görevlendirildi.
Easterly, “ülkenin seçim altyapısının güvenliğini ve dayanıklılığını artırmada kapsamlı ilerleme kaydedildiğini, demokrasimizin ön saflarında seçim altyapımızı idare eden, yöneten ve savunan eyalet ve yerel seçim görevlilerini desteklemek için çalıştıklarını” söyledi.
Krebs, 2020’de, bu yılki başkanlık seçiminin tarihteki en güvenli seçim olduğunu ve güvenlik uzmanlarının kapsamlı incelemesinin ardından tüm dolandırıcılık iddialarının “ya asılsız olduğunu ya da teknik olarak tutarsız” olduğunu söyleyen ünlü bir tweet attı. Buna cevaben, seçimin kaybedeni dönemin Başkan Donald Trump, bir tweet aracılığıyla Krebs’i kovdu.
Easterly, CISA’nın yönlendirdiği çabalar sayesinde yerel ve eyalet seçim yetkililerinin “2018, 2020 ve 2022’de seçimleri güvenli bir şekilde gerçekleştirdiğini” söyledi ve daha fazla denetlenebilirlik için kağıt oy pusulalarıyla desteklendi. “Bildiğimiz gibi kötü niyetli aktörlerin seçimler üzerinde herhangi bir etkisi olduğuna dair hiçbir kanıt yok.”
Easterly, 2024’ün aynı zamanda güvenli ve doğru seçimler sunma yolunda ilerlediğini söyledi. “Bu işte, sizin gibi ülke genelindeki baş seçim yetkilileriyle çok fazla zaman geçirme ayrıcalığına sahip oldum ve onların vatandaşlarının oylarının kullanılmış sayılmasını sağlamak için ne kadar sıkı çalıştıklarını biliyorum” dedi. . “Seçim yetkilileri, seçimlerin siyasi olduğunu ancak seçim güvenliğinin olmadığını biliyorlar ve bu nedenle seçimlerimizin bütünlüğüne güveniyorum ve Amerikan halkının da güvenmesi gerekiyor.”