Kuruluşunuz olumsuz haberlerin konusu olduğunda, hasarı en aza indirmek ve paydaş güvenini yeniden inşa etmek için etkili ve stratejik bir şekilde yanıt vermek hayati önem taşır.
Bu tür deneyimlerden ders çıkarmak ve gelecekteki olayları önlemek için plan yapmak hayati önem taşır. Sektörümüzde, kuruluşlar işlevlerini yerine getiremediğinde güvenlik hataları felaketle sonuçlanabilir, tıpkı son CrowdStrike olayında görüldüğü gibi. Birçok başarıya rağmen CrowdStrike, 2016 Demokratik Ulusal Komitesi saldırı soruşturması sırasında saldırıyı erken Rusya’ya atfettiği için dahil olmak üzere geçmişte birden fazla eleştiri bölümüyle karşı karşıya kaldı. Daha yakın zamanda, Falcon platformlarına yapılan hatalı bir güncelleme, NHS, HSBC ve birkaç İngiltere havalimanı gibi kuruluşları etkileyen yaygın sistem çökmelerine yol açtı ve Microsoft hariç en büyük 500 ABD şirketinin tahmini 5,4 milyar dolarlık zarara uğramasına neden oldu.
İnsanlar genellikle her sorunun bir güvenlik sorunu olduğu sonucuna varırlar, “kötü bir adam” olması gerektiğini varsayarlar. Peki güvenlik sorunu derken tam olarak neyi kastediyoruz? Yalnızca kötü niyetli bir aktör varsa güvenlik sorunu mu olur?
Bu zihniyet, güvenlik ekipleri için verimsizdir ve işletmelerin bilgi güvenliği risklerini yönetmesi için yardımcı olmaz. Kültürleri ve çalışanları ile güvenliğe nasıl yaklaştıklarını etkiler.
Siber profesyoneller birçok zorlukla karşı karşıyadır
Siber güvenlik profesyonelleri, beceri eksiklikleri, zaman kısıtlamaları ve yetersiz bütçeler veya eğitimler de dahil olmak üzere günlük görevlerinin ötesinde çok sayıda zorlukla karşı karşıyadır. İngiltere’de bu beceri açığı açıktır ve işletmelerin yarısı siber güvenlik için yalnızca bir kişiye güvenmektedir. Daha büyük kuruluşların bile nadiren beşten fazla ekibi vardır. Siber profesyoneller, yetersiz personel, yetersiz fon ve baskı altında olmaları nedeniyle becerilerini güncellemekte veya yetenek işe almakta zorlanırlar.
2021’den beri boş pozisyonu olan siber sektör firmalarının %53’ü arasında, Ipsos Siber Güvenlik Becerileri Birleşik Krallık İşgücü Piyasası 2022 çalışmasındaki önceki bulgularla tutarlı olarak, %67’si pozisyonları doldurmakta zorluk çektiğini bildirdi. Başlıca zorluklar, teknik uzmanlığa sahip adayların eksikliği ve rollerin taleplerine kıyasla düşük ücret veya yan haklar sunulmasıdır.
Siber profesyoneller, kısmen yönetim sorumluluklarına eklenen kapsamlı düzeltmeler olarak pazarlanan çözümler nedeniyle iş yükleri altında eziliyorlar. Siber ekipler sürekli olarak daha azıyla daha fazlasını yapmaya çalışıyor. Siber güvenlik profesyonellerinin yarısı günlük iş yüklerini büyük bir stres kaynağı olarak gösteriyor, %30’u ise siber saldırı tehdidi yüzünden uykularını kaybediyor.
Siber güvenlik topluluğu ayrıca kusursuz bir itibarı korumak için muazzam bir baskıyla karşı karşıyadır ve bu da üzerlerine yüklenen yüksek talepleri ve beklentileri vurgulamaktadır. Çoğu ekip, gelecekteki zorlukları öngörmek için gereken bant genişliğine sahip olmadıkları için anlık tehditlerle o kadar meşguldür. Bu sorunu daha da karmaşık hale getiren şey, birkaç teknoloji devine olan bağımlılığımızdır: Microsoft, ofis yazılımlarına hakimken, Amazon ile birlikte bulut depolamada da lider konumdadır ve bu da kuruluşlara sınırlı seçenekler bırakmaktadır.
Microsoft veya Amazon gibi büyük sağlayıcılara aşırı güvenmek, kuruluşlar için tedarikçi bağımlılığı, azalan pazarlık gücü ve artan güvenlik riskleri gibi çeşitli zorluklara yol açabilir. Ayrıca bu platformların standartlaştırılmış yapısı nedeniyle inovasyonu engelleyebilir ve özelleştirme seçeneklerini sınırlayabilir. Tek bir sağlayıcıya bağımlılık, hizmet kesintilerine karşı savunmasızlığı artırır ve zamanla maliyet artışlarına neden olabilir. Ek olarak, kuruluşlar farklı yargı bölgelerinde veri gizliliğini ve uyumluluğu sağlamada zorluklarla karşılaşabilir. Bu riskleri azaltmak için kuruluşların teknoloji yığınlarını çeşitlendirmeleri ve esnekliği ve dayanıklılığı artırmak için çok tedarikçili bir strateji benimsemeleri önerilir.
Güvenlik ekipleri yalnızca kötü niyetli aktörlerle mücadele etmek için orada değildir; güvenlik olaylarını ele almada ve yetersiz eğitim veya zayıf organizasyon kültüründen kaynaklanan sorunları azaltmada hayati bir rol oynarlar. Yalnızca suçlamaya odaklanmak etkili güvenlik uygulamalarını zayıflatır ve toksik bir ortam yaratır. Amaç günah keçileri bulmaksa, yetenekli bireyleri böyle cezalandırıcı bir ortamda çalışmak istemekten caydırır. Bunun yerine, güvenlik ekiplerinin yalnızca tepki ve savunma vermek yerine korumak ve eğitmek için güçlendirildiği bir hesap verebilirlik ve iş birliği kültürü oluşturmalıyız. Siber profesyonellerin %50’si, iki ana stres kaynağının günlük iş yükleri olduğunu söylerken, %30’u siber saldırıya uğrama düşüncesiyle geceleri uyanık kalıyor.
Siber olay nedir?
Elbette, CrowdStrike olayı başlangıçta siber güvenlik dışı bir sorun olarak sınıflandırılmıştı, ancak bir veya daha fazla bilgi sisteminin kullanılamaz hale gelmesine yol açtığı için öyle kabul edilmelidir. Genellikle, siber güvenlikle ilgili tartışmalar dar bir şekilde veri ihlallerine ve kişisel bilgilere odaklanırken, diğerleri yalnızca BT sistemi arızalarını ele alır. İhtiyacımız olan şey, tüm bu yönleri kapsayan kapsamlı bir tanımdır. Meşru erişimi bozan herhangi bir planlanmamış sistem kesintisi bir bilgi olayı olarak nitelendirilir. Bu nedenle, “siber olayı” “bilgi olayı” olarak yeniden tanımlarsak, CrowdStrike durumunun doğasını doğru bir şekilde yansıtır.
Bir siber güvenlik olayının kötü niyetli bir aktör gerektirdiği inancı, BT ekiplerimiz veya tedarik zinciri ortaklarımız tarafından yapılan kazara dahili hataların veya yanlış yapılandırmaların etkisini göz ardı eder. “Siber” terimine odaklanarak, tehditlerin daha geniş kapsamını göz ardı etme ve olayları ele almadaki etkinliğimizi azaltma riskine gireriz. Siber güvenliğin hem harici saldırıları hem de dahili aksilikleri kapsadığını kabul etmeli ve kapsamlı koruma sağlamak için stratejilerimizi buna göre uyarlamalıyız.
Kuruluşlar, NCSC ve NIST’ten gelenler gibi siber güvenlik çerçevelerinin yalnızca BT’yi kapsamaması nedeniyle siber ve bilgi yönetimi ekipleri arasında bir örtüşme görebilir. Bu çerçeveler, geleneksel olarak bilgi güvencesinin bir parçası olarak görülen insanlar, mülk, iş sürekliliği ve bilgi gibi unsurları içerir. Tüm bu unsurları “siber” olarak etiketlemek, tedarik zinciri güvence denetimleri gibi alanları yönetme becerisinden yoksun olabilecek BT ekipleri için zorluklar yaratır. Kuruluşların bu ayrımı fark etmeleri ve siber ekiplerin, geleneksel olarak bilgi yönetimi ekipleri tarafından ele alınan rollere tecavüz etmekten kaçınmak için sorumluluklarını net bir şekilde anlamalarını sağlamaları hayati önem taşır.
Siber ve bilgi güvenliğini kimin yönettiği konusunda bir karışıklık varsa, liderlik rolleri netleştirmek ve yönlendirme sağlamak için müdahale etmelidir. Güvenlik ihlallerini önlemek yalnızca siber ekiplerin sorumluluğu değildir; üst düzey yönetim tüm personelin en iyi güvenlik uygulamalarına uymasını sağlamalıdır. Microsoft, yıllardır süren eleştirilerin ve Microsoft’u “ulusal güvenlik tehdidi” olarak etiketleyen ABD hükümetinin son sert uyarılarının ardından, güvenliği her çalışan için en önemli öncelik haline getirerek yakın zamanda bu sorunu vurguladı.
Tedarikçi entegrasyonu
Son hikaye CrowdStrike’a odaklansa da, CrowdStrike ve Microsoft, tamamlayıcı güvenlik çözümleri ve ortaklıkları aracılığıyla siber güvenlik alanında birbirine bağlıdır. CrowdStrike gelişmiş uç nokta koruması ve tehdit istihbaratı sağlarken, Microsoft Microsoft Defender gibi bir dizi güvenlik aracı sunar. Ürünleri genellikle kuruluşlar için katmanlı bir savunma stratejisi oluşturmak üzere entegre olur.
Microsoft’un son güvenlik ihlalleri arasında hassas verilerin ifşa edilmesi ve sistemlerindeki güvenlik açıkları gibi önemli sorunlar yer aldı. Özellikle saldırganlar tarafından istismar edilen Microsoft Exchange Server’daki kritik bir kusur, çok sayıda kuruluşu etkileyen yaygın veri ihlallerine yol açtı. Ek olarak, Microsoft’un bulut hizmetlerindeki güvenlik açıkları da hedef alındı ve bu da veri koruması ve genel güvenlik konusunda endişelere yol açtı. Bu olaylar, gelişmiş güvenlik önlemlerine olan ihtiyacı vurguladı ve Microsoft’u ürün ve hizmetlerinde güvenliğe öncelik vermeye yöneltti.
Küresel güvenlik sistemleri üzerinde önemli bir etkiye sahip olan Microsoft ve CrowdStrike gibi kuruluşlar, kusursuz bir güvenlik standardını korumalıdır. Sayısız sistemi korumadaki merkezi rolleri göz önüne alındığında, süreçleri ve prosedürleri ihlalleri ve olayları önlemek için titizlikle tasarlanmalıdır. Bu şirketler, güvenlik sorumluluklarının kritik doğasını yansıtan en yüksek hesap verebilirlik ve mükemmellik standartlarına tabi tutulmalıdır.
İş sürekliliği ve bulut
Yıllardır, bulutun şirket içi çözümlere kıyasla üstün güvenlik ve dayanıklılık sunduğuna dair güvence aldık ve bu da bizi kendi dayanıklılığımız üzerindeki kontrolümüzü bırakmaya yöneltti. Son CrowdStrike başarısızlığı gibi olaylar yaşandığında, kritik bir soru ortaya çıkıyor: Bu tür senaryoları iş sürekliliğimize ve dayanıklılık planlamamıza dahil ettik mi? Yoksa bulutun her zaman güvenilir olacağını varsayarak, bulutun yanılmazlığına körü körüne mi inandık?
Tüm kuruluşlar iş sürekliliği planlarına geri dönmeli ve bu tür olaylar için dayanıklılık planlamasını dahil ettiklerinden emin olmalıdır. Bulutun ilk vaadi cazipti: daha düşük maliyetler, daha fazla çeviklik ve gelişmiş inovasyon. Ancak gerçek farklı bir resim çiziyor. Citrix tarafından yapılan bir ankete göre BT liderlerinin %43’ü uygulamaları ve verileri buluta taşımanın beklenenden daha pahalı olduğunu buldu. Hizmetlerini kendi bünyelerine geri getirerek kendileri yönetebilen kuruluşların gördüğümüz değişime verilen isim olan bulut geri dönüşü.
İş sürekliliği planlamamız, olası arızaları ele alabilecek ve büyük bulut sağlayıcılarının yanılmaz veya doğal olarak üstün olduğu yanılgısından kaçınabilecek kadar sağlam olmalıdır. Güvenliğin bulut çözümlerimize otomatik olarak dahil edildiği varsayımına güvenmek, güvenlik ekipmanlarıyla ilgili geçmiş deneyimler gibi yanıltıcı olabilir. Bulutun güvenilirliğine körü körüne inanmak yerine, güvenlik açıklarını eleştirel bir şekilde değerlendirmeli ve bunlara karşı hazırlıklı olmalıyız.
Daha geniş çaplı sorunlar için siber ekipleri suçlamayın
Büyük teknoloji şirketlerinin başarısızlıkları için siber güvenlik mesleğini suçlamayalım, çünkü birçoğunda derin siber güvenlik uzmanlığı eksikliği olabilir. Unutmayın, büyük teknoloji şirketleri kârı önceliklendirir ve çok miktarda koddan oluşan karmaşık sistemleri her zaman kesintilere neden olabilecek güvenlik açıklarına ve kodlama hatalarına karşı hassastır. Siber güvenlik uzmanları olarak, bu tür olaylarla başa çıkabilecek kadar güçlü bir iç dayanıklılığa sahip olmamızı sağlamak bizim sorumluluğumuzdur. Bu sağlayıcılara olan bağımlılığımız göz önüne alındığında bu zorlayıcı olsa da, sıkı iç savunmaları sürdürmek esastır.
Siber güvenlik uzmanları genellikle başarıları nedeniyle tanınmazlar ve yalnızca sorunlar ortaya çıktığında fark edilirler. Görünürlüğümüzü ve algımızı iyileştirmek için kendimizi nasıl sunduğumuzu geliştirmemiz ve işe daha etkili bir şekilde entegre olmamız gerekir. Siber güvenlik ekiplerinin izole ve savunmacı olduğu yönündeki klişe, kısmen olaylar meydana geldiğinde karşılaştıkları sık suçlama ve eleştirilerden kaynaklanmaktadır. Şu anda “siber” olarak kabul edilen şeylerin birçok yönü, çoğu siber güvenlik ekibinin doğrudan kontrolü dışındadır, ancak genellikle haksız yere sorumlu tutulurlar ve etki alanları dışındaki sorunlar için cezalandırılırlar.
Etkili liderlik, ekiplerimiz içinde net sorumlulukları tanımlamak ve kıdemli liderlerin siber güvenlik ekiplerimizin ne ilettiğini anlamasını sağlamak için çok önemlidir. Liderlik tonu belirler ve siber güvenlik uygulamaları bu rehberliği takip eder. Liderler, temel siber güvenlik riskleri konusunda bilgili olmalı ve risk yönetimi ve azaltmadaki rolleri netleştirmek için ekipleriyle aktif olarak işbirliği yapmalıdır. Liderliğin hem siber riskin nüanslarını hem de işletme etkilerini anlaması esastır; siber güvenlik profesyonellerinin ise işletme riski açısından daha etkili bir şekilde iletişim kurması gerekir. Genellikle kıdemli liderler daha geniş etkiyi kavramakta zorlanır ve bazı sorunların siber ekibin kontrolü dışındaki kararlar gerektirdiğini fark etmeyebilir. Siber güvenlik, çevresel bir endişe olarak görülmek yerine işletmenin her yönüne entegre edilmelidir.