Son altı yılda, hükümetlerle, ulusal merkez bankalarıyla ve dünya çapında ilgi duydukları topluluklarla çalışma ayrıcalığına sahibim ve siber tehdit istihbaratları (CTI) topluluklarını oluşturmalarına ve geliştirmelerine yardımcı oldum. En siber olgun varlıklardan daha az kaynaklara sahip gelişmekte olan ekonomilerde olanlara kadar açık patenler var. Ve olgunluk seviyeleri çok değişse de, temel zorluklar ve çözümler oldukça benzerdir.
Askeri bir istihbarat geçmişinden gelince, istihbarat paylaşımını her zaman temel bir prensip olarak gördüm. “Bilmek İhtiyaç” temel bir dikte olsa da, “Paylaşması İhtiyacı” da aynı derecede hayati önemliydi – özellikle operasyonlara gelince. Özel sektöre geçmek bir kültür şokuydu, çünkü zekayı paylaşmak için tereddüt sadece bir gerçek değildi, yaygındı.
Boyut Önemlidir
Bu benim ilk anahtar dersime yol açtı – boyut önemli.
Örneğin, bir CTI topluluğu oluşturmak için bir Ulusal Merkez Bankası ile çalışırken ele alalım. Çabaya ve birçok iyi niyete rağmen, girişim ne yazık ki başarısızlığa mahkum edildi. Neden? Çünkü ülkenin en büyük bankalarının zaten kendi, daha küçük, son derece güvenilir ağları vardı. Zekayı o grup dışında paylaşmak istemediler.
Buradaki argüman oldukça basit. Hiçbir finans kurumu bireysel olarak esnek değildir. Siber risk herkesi etkiler ve bankaların daha geniş finansal ekosistemi koruma sorumluluğu vardır.
Diğer uçta, düzinelerce üyenin çağrılara katıldığı, ancak çok az değer değiştirildiği aktif bir küresel bilgi paylaşım ve analiz merkezi (ISAC) gözlemledim. Buradaki sorun, topluluğun çok büyük olmasıydı. İnsanlar sadece bildikleri ve dolayısıyla güven duymadıkları meçhul kişilerle istihbarat paylaşmaya istekli değillerdi.
Bu nedenle, açıkça CTI toplulukları, tüm ekosistem üzerinde gerçekten bir etkisi olacak kadar büyük olmalı, ancak aynı zamanda güvenilir ilişkilerin gelişmesi için yeterince küçük olmalıdır.
Zeka ve veriler
İkinci anahtar dersim, “zeka” tanımı konusundaki sürekli mücadelenin etrafındaydı. İyi bildiğimiz bir terim, ancak BT ekiplerinden inşa edilen yaşlı topluluklar anlamak için mücadele etti. Birçok CTI topluluğu son derece taktikseldi, yalnızca kötü amaçlı bilgi paylaşım platformu (MISP) gibi platformlar aracılığıyla paylaşılan uzlaşma göstergelerine (IOC’ler) odaklandı. Ama gerçekte, bu zeka değildi. Tehdit verilerinin paylaşılmasıydı.
Konuşmanın yükseltilmesi gerekiyordu, bu yüzden tehdit bilgileri, stratejik zeka ve en iyi uygulamalar hakkında daha geniş tartışmaları savundum. Ayrıca, bu zekanın farklı kitleler için uyarlanması gerekiyordu. Örneğin, analistler için otomatik veri çıktıları; siber uzmanlar için teknik makaleler; CISO’lar için istihbarat özetleri ve yöneticiler ve yönetim kurulu üyeleri için stratejik raporlar ve ufuk taraması. Kendileri ve benzersiz topluluğu ile ilgili istihbarat brifingleri.
Nihayetinde, istihbarat ürünlerinin açık bir “yani?” Bu, zekanın ne anlama geldiğini ve karar vericilerin bununla ne yapması gerektiğini belirler. Bağlamı yoksa ve karar vermeyi bilgilendirmezse, tehdit zekasını tehdit etmenin çok az anlamı yoktur.
Yasal zorlukta gezinme
İstihbarat paylaşım topluluklarında açıkça yasal endişeler var. Ne yazık ki, bunlar geçmişte paylaşmamak için bir bahane olarak kullanılmıştır. Örneğin GDPR başlangıçta belirsizliğe neden oldu, ancak zamanla kuruluşlar veri gizlilik düzenlemelerinin engel olması gerekmediğini, yapılandırılmış paylaşım için yönergeler olduğunu anladılar.
Gizlilik endişelerini azaltmak için, en başarılı istihbarat paylaşım toplulukları, yasal çerçevelerde izin verilen veri alışverişini tanımlayan yönergeleri ve otomatik tehdit veri işleme ile birlikte, sorumluluk korumasını sağlamak için merkezi sözleşmeleri ve referans şartlarını uygulayacaktır.
Uyku – başarılı bir çerçeve
CIISI-AB çerçevesi, güvenilir istihbarat paylaşımının gücünün bir kanıtıdır. Beş yıl önce, Avrupa Siber Dayanıklılık Kurulu (ECRB) ve Avrupa Merkez Bankası (ECB), stratejik anlayışlar, en iyi uygulama değişimi ve operasyonel zekaya odaklanan küçük ama son derece etkili bir topluluk oluşturmayı tartıştı. Bu girişimden CIISI çerçevesi kuruldu ve o zamandan beri diğer uluslar tarafından kabul edildi.
Europol ve Enisa’nın yanı sıra Merkezi İstihbarat İşlevi olarak SecaleLiance ve Tehdit Makinesi de dahil olmak üzere 26 varlıktan oluşan Ciisi, taktik, operasyonel ve stratejik zeka arasında doğru dengeyi vuruyor. Her seviyedeki karar vericilerin ilgili istihbarat ürünlerine erişmesini sağlamak için ortak araştırmaları, koordine edilmiş istihbarat işlevlerini, atölyeleri ve eğitimi bir araya getirir.
Çerçevenin tanımlayıcı bir gücü, ECB’nin sadece onu uygulamakla kalmayıp, aynı zamanda beyaz makalesini ve istihbarat paylaşım kural kitabını da yayınlaması ve diğer kuruluşların ve ulusların yaklaşımından öğrenmesine izin vermesidir.
CIISI’nin yaratılmasına doğrudan dahil olduktan sonra, ilkelerini çeşitli ülkelerde benzer çerçeveleri çoğaltmak için uygulayabildim, her birini belirli sektörel, kültürel ve olgunluk gereksinimlerine uyacak şekilde uyarladı. Bununla birlikte, her topluluğun kendine özgü ihtiyaçları olsa da, belirli temel ilkeler sabittir.
İlk olarak, zeka, güveni korurken etkisini en üst düzeye çıkarmak için uygun sınıflandırma seviyeleri içinde mümkün olduğunca geniş bir şekilde paylaşılmalıdır. Topluluklar da anlamlı sonuçlar elde edecek kadar büyük olmalı, ancak üyeler arasında gerekli güven düzeyini koruyacak kadar küçük olmalıdır.
Liderlik alımını ve finansmanı güvence altına almak için yönetici düzeyinde katılım sağlamak, farklı kitleler için tasarlanmış istihbarat ürünleri geliştirmek önemlidir.
Güven inşa etmek, başarılı istihbarat paylaşımının temel taşıdır. Bu yüzden yılda en az iki kez yüz yüze görüşmek, topluluk üyeleri arasındaki ilişkileri güçlendirmek için gerçekten önemlidir.
İstihbarat değerlendirmeleri, bilgilendirici bilgiler ve veriler aktif olarak değiştirilmeli ve otomasyon bu süreci daha verimli hale getirmede önemli bir rol oynamalıdır. Şimdi 2025’te, taktik zeka paylaşımı büyük ölçüde daha otomatik olmalı ve operasyonel ve stratejik çıktılarda daha fazla zaman sağlamalıdır. Merkezi bir platform oluşturmak çok önemlidir, istihbarat paylaşımı e -posta ve whatsapp gibi parçalanmış kanallardan uzaklaşır. Bu platform sadece uzlaşma göstergelerini (IOCS) değil, aynı zamanda istihbarat ürünlerini ve stratejik raporları da dağıtmalıdır. Sadece teknik ekipler için değil, tüm kullanıcı türleri için insan merkezli ve kullanımı kolay olmalıdır. Üyelerin istihbaratlarına erişimi kontrol etmelerini sağlamak için topluluktaki yayılmayı, aynı zamanda örgütsel ve bireysel seviyeyi de kontrol etmelidir.
Dağıtımı sağlamak, kalıpları tanımlamak, değerlendirmeler eklemek ve katılım için bir katalizör görevi görmek için özel bir istihbarat fonksiyonu gereklidir. Taahhüdü güçlendirmek için üyeler, zeka katkıda bulunma yükümlülüklerini özetleyerek bir tüzüğe, kural kitabına veya resmi referans şartlarına kaydolmalıdır. Ayrıca, şablonlar ve politika çerçeveleri sağlamak, kuruluşların iç yasal zorluklarda gezinmesine yardımcı olabilir ve düzenleyici engellerin işbirliğini engellememesini sağlar.
CIISI, düzgün, yapılandırılmış istihbarat paylaşım çerçevelerinin gerçek bir etkiye neden olabileceğini gösterdi. İlkeleri dünya çapında toplulukları şekillendirmeye devam ederek, istihbaratın ulusal ve sektörel düzeylerde siber esnekliği arttırmak için nasıl değiş tokuş edildiğini, işlendiğini ve harekete geçtiğini geliştiriyor.
2025 ve ötesinde, siber tehditler gelişmeye devam ettikçe, istihbarat paylaşan topluluklar daha stratejik, daha işbirlikçi ve daha etkili olmak için uyum sağlamaya devam etmelidir. Bu makalede özetlenen ilkeler, ulusal ve sektör çapında siber güvenlik direncine katkıda bulunan esnek, etkili CTI ekosistemleri oluşturmak için bir taslak sunmaktadır.