Londra’daki Gartner Güvenlik ve Risk Yönetimi Zirvesine katıldığımda, kritik ulusal altyapının (CNI) (veya kritik altyapının) bir ulusun işleyişini ve güvenliğini sağlamada ne kadar önemli bir rol oynadığı hakkında çok düşündüm.
Enerji, ulaşım, su, sağlık ya da finans olsun, bu sistemlerin hepsi birbirine bağlı olduğundan sorunsuz bir şekilde çalışabilmektedir. Ancak bu nedenle, bunlar aynı zamanda sürekli genişleyen ve veri ihlallerine, fidye yazılımlarına, tedarik zinciri saldırılarına ve sıfır gün güvenlik açıklarına eğilimli bir saldırı yüzeyinin de parçasıdır.
Dünya Ekonomik Forumu’nun Küresel Siber Güvenlik Görünümü’ndeki önemli bir istatistik, siber liderlerin %91’inin önümüzdeki iki yıl içinde geniş kapsamlı, yıkıcı bir siber olayın en azından bir dereceye kadar muhtemel olduğuna inandığını ortaya koydu. Kritik altyapı toplumun omurgasıdır; Toplumun işleyebilmesi için halkın bu hizmet ve kurumların güvenli olduğuna güvenmesi gerekir.
Teknolojik gelişmeler aynı zamanda güvenlik açıkları anlamına da geliyor
Teknolojinin hızlı gelişimi, dijital sistemlerin kritik altyapıya entegrasyonuna yol açarak verimliliği ve etkinliği artırabiliyor. Ancak bu entegrasyon, siber suçluların yararlanabileceği güvenlik açıklarını da beraberinde getirdi.
Bilgisayar korsanları, kritik sistemlere yetkisiz erişim sağlamak için güncel olmayan yazılımları, zayıf parolaları veya yama yapılmamış sistemleri hedefleyebilir. Gelişmiş kalıcı tehditler (APT’ler), kötü amaçlı yazılım ve fidye yazılımı saldırıları ciddi tehditler oluşturur; potansiyel olarak operasyonları kesintiye uğratır, hassas verileri çalar veya mali kayıplara neden olur.
Bu yılın başlarında SecurityScorecard, kritik altyapının durumu hakkında bir rapor yayınladı ve kritik üretimin en fazla risk altında olduğunu tespit etti. 2022 Global 2000 Forbes listesinde yer alan tüm kritik üretim organizasyonlarından oluşan bir grubu analiz ettikten sonra şunları belirledik:
- • Kritik üretim kuruluşlarının %48’i SecurityScorecard’ın Güvenlik Derecelendirmeleri platformunda “C”, “D” veya “F” olarak derecelendirildi
- • Geçen yıl, kritik üretim kuruluşlarının %37’sinde kötü amaçlı yazılım bulaşması yaşandı
- • Kritik üretimde 2021-2022 yılları arasında yüksek önemdeki güvenlik açıklarında yıldan yıla %38’lik bir artış görüldü.
Yama temposu, kritik altyapının gelişebileceği bir alan olarak ortaya çıkmaya devam ediyor. Kritik üretim durumunda, yama uygulama temposunda 2021-2022 yılları arasında büyük olasılıkla yüksek güvenlik açıklarının artan hacmi nedeniyle önemli bir düşüş yaşandı.
Gelişen tehdit ortamı
Siber tehditler giderek daha karmaşık ve çeşitli hale geliyor. Ulus devletler, suç örgütleri, hacktivistler ve hatta içeriden kişiler kritik altyapı için önemli riskler oluşturabilir. Bunun altını çizmek için Microsoft’un yakın tarihli bir raporu, kritik altyapıya yönelik ulus devlet saldırılarının Temmuz 2021 ile Haziran 2022 arasında iki katına çıktığını ortaya çıkardı.
Bu tehdit aktörleri, önemli kaynakları ve uzmanlıklarıyla, temel altyapı unsurlarını tehlikeye atan yüksek düzeyde koordineli siber saldırılar gerçekleştirebilir. Ayrıca suç grupları, fidye yazılımı saldırılarından para sızdırmak veya hizmetleri aksatmak için yararlanıyor ve bilgisayar korsanları, siber saldırılar yoluyla siyasi veya ideolojik mesajlar iletmeyi amaçlıyor. Bu arada, hoşnutsuz çalışanlar veya yükleniciler de dahil olmak üzere içeridekiler, ayrıcalıklı erişimlerini kötü amaçlarla kullanabilir ve anlatılmamış mali ve itibarsal zararlara neden olabilir.
Yetersiz düzenleme ve standartlar
Kapsamlı ve standartlaştırılmış düzenlemelerin olmayışı da siber güvenlik güven açığını artıran bir diğer faktör. Onlarca yıldır düzenlemeler ve standartlar sektörler ve ülkeler arasında değişiklik gösteriyor ve bu durum kritik altyapılara uygulanan güvenlik önlemlerinde tutarsızlıklar yaratıyor. Birleşik bir düzenleyici çerçevenin bulunmaması, tutarlı siber güvenlik uygulamalarının sağlanmasını zorlaştırdı ve güvenlik açıklarının ele alınmamasına neden oldu. Birden fazla standarda uymak, kuruluşlar için külfetli ve maliyetli olabilir ve siber güvenliğe etkili bir şekilde yatırım yapma becerilerini engelleyebilir.
Ancak dünya çapındaki liderler, siber saldırılardaki artışı gördüler ve toplumlarımızın dayanıklılığına olan güveni yeniden tesis edecek bir çözüme olan ihtiyacın farkına vardılar. Örneğin, Avrupa Birliği, siber güvenliğe daha standart bir yaklaşım oluşturmayı amaçlayan, yürürlüğe girmesi beklenen bir dizi yeni siber güvenlik düzenlemesinin bir parçası olan Dijital Operasyonel Dayanıklılık Yasası (DORA), Düzenleme (AB) 2022/2554’ü uygulamaya koydu.
Yeni siber düzenlemelerin benimsenmesi önemli bir adım olsa da, kuralcı, “her şeyi kapsayan” bir yaklaşımdan kaçınmak çok önemlidir. Her hükümet farklı şekilde çalışır ve kendine özgü ihtiyaçları vardır; bu yüzden neyin yapıldığıyla daha az, nasıl yapıldığıyla daha çok ilgileniliyor.
Yetersiz yatırım ve kaynak tahsisi
Siber güvenliğe yeterince yatırım yapılmaması da kritik ulusal altyapılardaki güven açığını daha da derinleştiren bir diğer faktör. Kritik altyapı alanındaki birçok kuruluş, bütçe kısıtlamalarıyla mücadele ediyor ve uzun vadeli siber güvenlik hazırlığı stratejisi yerine acil operasyonel ihtiyaçlara öncelik vermek zorunda kalıyor.
Gelişen tehditlerle mücadelede siber güvenlik önlemlerine yeterli kaynak ayrılması büyük önem taşıyor. Bu, aşağıdaki yatırımları içerebilir: ileri teknolojiler; yetenekli siber güvenlik profesyonellerinin eğitimi ve geliştirilmesi; ve düzenli güvenlik değerlendirmeleri ve denetimleri.
Uluslararası işbirliği ve bilgi paylaşımı
Siber tehditler ulusal sınırları aşmaktadır, bu nedenle ülkelerin önemli bilgileri birbirleriyle paylaşmaları kesinlikle gereklidir. Tehdit istihbaratını, en iyi uygulamaları veya öğrenilen dersleri paylaşmak yalnızca siber tehditlere ilişkin kolektif anlayışımızı geliştirecek ve hazırlıklılığı ve yanıt mekanizmalarını güçlendirecektir.
Kritik ulusal altyapıdaki siber güvenlik güven açığının giderilmesi acil bir zorunluluktur. Teknolojik gelişmeler, gelişen tehditler, yetersiz düzenlemeler, yetersiz yatırım, kamuoyu farkındalığı ve uluslararası iş birliği dikkat edilmesi gereken kritik bileşenlerdir. Bu nedenle siber tehditlerin önünde kalmak, kritik ulusal altyapının sağlam bir şekilde korunmasını sağlamak ve kolektif siber dayanıklılığımızı artırmak için proaktif ve işbirlikçi bir yaklaşım şarttır.
Steve Cobb, SecurityScorecard’ın CISO’sudur ve şirketlerin siber riskleri nasıl anladığını, iyileştirdiğini ve yönetim kurullarına, çalışanlarına ve tedarikçilerine nasıl ilettiğini ele alan bir risk değerlendirme, yönetim ve derecelendirme uzmanıdır.