Eyalet ve yerel yönetim ile eğitim kuruluşları (SLED olarak da bilinir) siber saldırılara karşı her zaman risk altındaydı ancak üretken yapay zekanın yükselişi bu riskleri önemli ölçüde artırdı. Saldırganlar, sahte e-postalar ve hatta derin sahte telefon aramaları kullanarak, şüphelenmeyen çalışanları kandırarak sistemlere erişim izni vermeleri konusunda her zamankinden çok daha bilgilidir.
Rapora göre, 2023’ün ilk sekiz ayında devlet kuruluşlarına yönelik kötü amaçlı yazılım saldırıları yıldan yıla yüzde 148, fidye yazılımı vakaları yüzde 51 arttı ve veri ihlalleri, yetkisiz erişim ve içeriden gelen tehditler gibi uç nokta güvenlik hizmetleri vakaları yüzde 313 gibi şaşırtıcı bir oranda arttı. 2022 Ülke Çapında Siber Güvenlik İncelemesine. K12 Security Information Exchange (K12 SIX) raporuna göre, 2016’dan bu yana kamuya açıklanan 1.300’den fazla siber olayla birlikte okullar da siber saldırılardan ağır şekilde mağdur oldu. Bu, “ülkenin devlet okullarında okul günü başına birden fazla K-12 siber olayının yaşandığı anlamına geliyor.”
Gerçekten korkutucu bir ortam ve saldırganların uzaktaki iş gücü, BYOD ve buluttaki verilere zarar vermesi hiç bu kadar kolay olmamıştı.
Hükümet ve eğitim kuruluşları, artan bu tehditlere karşı sınırlı bütçelerle mücadele ediyor ve daha iyi maaş sunabilecek şirketlere karşı en iyi siber güvenlik personeli için rekabet ediyor. Yayınlanan verilere göre Aksiyos, Ortalama özel sektör siber güvenlik rolü, kamu sektöründeki işlerden yüzde 14 daha fazla ücret ödüyor. Kamu sektöründeki, özellikle de okullardaki diğer bir zorluk, teknik açıdan pek bilgili olmayan personelle çalışmaktır. Bir de odada dijital fil var: değişime karşı direnç. Çalışanlar tanıdık süreçler konusunda kendilerini rahat hissediyor ve yeni çözümlerin işlerini ve kendilerini daha az değerli hale getirebileceğinden endişeleniyorlar.
Peki ya bir hükümet veya eğitim kurumu, ihtiyaç duyduğu siber güvenlik yeteneğini ve araçlarını elde edecek bütçeye veya kaynaklara sahip değilse? İşte güvende olmak için alabilecekleri üç yol daha.
- Kaynakları eyalet düzeyinde havuzlayın
Siber güvenlik ürünlerine ilişkin lisanslar eyalet düzeyinde satın alınabiliyor ve daha sonra bu ürünlerin “bileşenlerine” dağıtılabiliyor. Bunun işe yaraması için devlet düzeyindeki yetkililerin değişime karşı her türlü direncin üstesinden gelmesi gerekiyor. Ceza İnfaz Kurumundan Ulaştırma Bakanlığına kadar her kurumun, kullandıkları araçla uyumlu olduğundan emin olmaları gerekiyor. Bu bir zorluktur çünkü bu departmanların her biri güvenlik için farklı bir şeyler yapıyor olabilir. Kendi kadroları var. E-posta adresleri farklı. Ancak bu şekilde maliyetler düşük tutulurken herkes faydalanabilir.
- Hibe parasının devam etmesi için baskı yapın
2022’de Biden Yönetimi, eyalet ve yerel siber güvenlik hibe programına 1 milyar dolar fon sağlanacağını duyurdu. Program, nakit sıkıntısı çeken hükümet ve eğitim kuruluşları tarafından, yukarıda belirtildiği gibi, temel güvenlik protokollerini uygulamalarına ve devlet düzeyindeki kaynaklara erişim kazanmalarına olanak tanıdığı için müjdelendi. Ancak eyalet ve şehir liderleri arasında fonun tam olarak dağıtılmayacağına dair endişeler var ve bu da devam eden siber güvenlik çabalarını tehdit ediyor. Bu hibe programının yalnızca amaçlanan dört yıl boyunca ilerlemesi değil, aynı zamanda bir şekilde ilerlemeye devam etmesi, devam eden siber güvenlik çabaları açısından hayati önem taşıyor.
- Siber güvenlik mevzuatı lobisi
Ülke çapında eyalet, şehir ve ilçe düzeyindeki liderler, belirli siber güvenlik korumalarını zorunlu kılan yasaları geçirmek için yasama meclisleriyle birlikte çalışıyor. Örneğin Connecticut, 2023 yılında eyalet kurumları ve diğer kuruluşlar arasında stratejiler geliştirecek ve siber güvenlik çalışmalarını koordine edecek “bir siber güvenlik görev gücü oluşturan” bir yasayı yürürlüğe koydu. Bu Connecticut için umut verici bir gelişme, ancak geçen yıla göre çok daha fazla siber güvenlik mevzuatı başarısız oldu. Hem kamu hem de özel sektör siber güvenlik liderlerinin, daha güçlü siber güvenlik programları üzerinde seçilmiş yetkilileriyle birlikte çalışmaları gerekiyor.
Reaktif eylem en pahalı yoldur
Bu yolların üçü de siber güvenlik tehditlerini büyük sorunlara dönüşmeden durdurmak için proaktif eylemlerde bulunmak konusunda ısrar ediyor. İhlallerin bir şehrin veya eyaletin nüfusunda yarattığı tahribatı ve ardından fidye ödemenin veya neden oldukları sorunları çözmenin getirdiği masrafları görmek için çok da geriye bakmamıza gerek yok. Geçen yıl Dallas şehrine yapılan bir fidye yazılımı saldırısı, vergi mükelleflerinin yazılım, donanım, adli tıp uzmanlarının işe alınması ve ihlalden etkilenen kişilerin iki yıllık kredi takibi için 8,5 milyon dolar harcamasına yol açtı.
Doğru siber güvenlik kaynaklarıyla Dallas’ın bu kadar büyük bir masrafa girmeden saldırıyı önlemesi muhtemeldir. Yazılım açıklarını proaktif bir şekilde yönetenler de dahil olmak üzere piyasadaki birçok araç, ihlalleri gerçekleşmeden önce durdurarak sonuçta hükümet ve eğitim kuruluşlarının paradan tasarruf etmesini sağlayabilir.
Amerika Birleşik Devletleri fiziksel güvenliğe önemli bir bütçe ayırıyor ancak siber güvenlik göz ardı ediliyor ve yeterince finanse edilmiyor. Bu kritik sınırla başa çıkmak için siber güvenlik çözümü sağlayıcılarının, verilerini güvende tutmak ve hizmet verdikleri kişileri korumak amacıyla hükümet ve eğitim kurumlarıyla birlikte çalışması gerekiyor. Manzara giderek daha tehlikeli hale geliyor. Ajansların, riske girmeleri veya kendi kuruluşlarının ve seçmenlerinin sonuçlarına katlanma riskine girmeleri gerekiyor.
Yazar hakkında
Sarah Gray, Otonom Uç Nokta Yönetiminde Küresel Lider olan Adaptiva’da Ürün Pazarlama Direktörüdür.