ETSI Güvenlik Konferansı 2025’te İngiltere’nin Ulusal Siber Güvenlik Merkezi’nde (NCSC) teknik sorumlusu Ollie Whitehouse ile gelişen küresel siber güvenlik manzarası, telekomünikasyonlarda ortaya çıkan tehditler, standartlar ve sektörler arası işbirliği rolü ve kuruluşların önümüzdeki zorluklara nasıl hazırlanabileceği hakkında konuştuk.
Ollie, mevcut küresel siber güvenlik manzarasını nasıl gördüğünüzü ve İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin (NCSC) CTO’ları olarak ana önceliklerinizin ne olduğunu paylaşabilir misiniz?
Misyonu İngiltere’yi çevrimiçi yaşamak ve çalışmak için en güvenli yer haline getirmek olan Ulusal Siber Güvenlik Merkezi’nin baş teknik sorumluyum. Önceliklerimizi üç lens aracılığıyla düşünebilirsiniz: Birincisi, kritik ulusal altyapımızın esnekliğini en sofistike tehditlere nasıl yükseltiyoruz?
İkincisi, suç veya benzeri, emtia tehditlerine karşı diğer herkesi nasıl koruyabiliriz?
Ve üç, geleceğin sistemlerinin ve teknolojilerinin, gelecekteki benliklerimize karşı nazik olmak için siber güvenlik göz önünde bulundurularak inşa edilmesini nasıl sağlayabiliriz?
Açılış konuşmanızda, önümüzdeki on yıl telekomünikasyon için toplu zorlukları tartışırsınız. Bu sektörde ortaya çıktığını gördüğünüz temel riskleri ve fırsatları vurgulayabilir misiniz?
Konuşmada, tehdit ortamının sadece daha karmaşık hale geldiğini açıkladık, ancak yine de teknik borçlarla geri tutuluyoruz ve daha karmaşık hale gelen ve tam olarak anlamadığımız güvenli sistemler oluşturmuyoruz. Etkinlik kanıtlarına ve geleceğe nasıl inşa ettiğimize dayalı olarak standardizasyon konusundaki fırsatları özetledik, aynı zamanda bulduğumuz diğer fırsatlardan bazılarını da özetledik. Çeviklik seviyesini nasıl artırabiliriz, bu nedenle standartlara ve yazılımlara yönelik daha sık güncellemeler daha hızlı bir şekilde konuşlandırılır, yıllarca yarım on yıldan yarım yıllara ve yıllara kavramdan gerçekleşmeye kadar hareket eder? Gerçekçi olarak, teknoloji manzarasının bir sonraki yarım on yılda çok fazla değişmesi bekleniyor ve zorunlu olacak.
Standartlar ve temel güvenlik çerçeveleri genellikle esneklik için kritik olarak belirtilir. Kuruluşlar bu standartları karmaşık ağlar ve sistemlerde etkili bir şekilde nasıl benimseyebilir ve uygulayabilir? Hükümetler nasıl etkilenir?
Gerçek şu ki, çoğu kuruluş standartları uygulamayı düşünmek zorunda kalmamalıdır. İstihdam ettikleri çözümler standartları uygular, ancak teknoloji üretenler ve telekomünikasyon operatörleri veya benzeri gibi birinci aşamalı müşterilerin standartlar oluşturma sürecinin bir parçası olması içindir. Bu şekilde, birlikte çalışabilir, güvenli, modüler sistemlere sahip olduğumuzu biliyoruz. Ancak iki adım kaldırılır çıkarmaz, kuruluşlar standartların bu standartların karmaşıklıklarına değil, daha güvenli sistemlere yol açtığını bilmelidir.
NCSC, iyi bir nedenden ötürü ETSI üyesidir. Uluslararası standartların değerini görüyoruz, iş üzerindeki maliyet yükünü azaltır. Bir standart iyi yaparsak ve bu standardın küresel olmasını sağlarsak, her ülkede 54 ustaca farklı standarda sahip olmaktan kaçınırız. Hükümetlerin rolü, standardın ülkelerindeki standart üretim organından kaynaklanması gerekmediğini kabul etmektir. Uluslararası foralarda çalışabiliriz ve benzer şekilde teknolojide çatallanmadan kaçınmak istiyoruz. Güneydoğu Asya’dan veya ABD’den uluslararası teknoloji şirketlerini buraya nasıl katılabiliriz? Birlikte böyle çalışıyoruz: kişisel çıkarlardan kaynaklanan birçok kez değil, bir şeyi iyi yapın.
Tedarik zinciri güvenliği küresel olarak endişe kaynağı olmaya devam etmektedir. NCSC, üçüncü taraf bileşenlerle ve kritik altyapıdaki uluslararası bağımlılıklarla ilgili risklere nasıl yaklaşıyor?
Şu anda yaklaşımımız soldan sağa bir ark kullanıyor ve bu arkın başlangıcı şeffaflık ile başlıyor. Şu anda, bir hizmet sağlayan veya teknoloji satanlar ile tüketenler arasında büyük bilgi asimetrisi olduğunu söyleyebiliriz. Şeffaflığın artması, böylece satın alanların daha bilinçli kararlar verebilmesi, tedarik zinciri risklerinin bir kısmını ele almanın harika bir yoludur.
Arc’ın sağında, nihayetinde, daha fazla düzenleme ve mevzuat olması gerekecektir, çünkü muhtemelen nihai amaca ulaşamayız. Ama şimdilik, iyi piyasa güçlerinden nereden geçtiğimizi görelim, çünkü orada daha fazla bilgimiz var.
Peki şeffaflık hakkında konuştuğunuzda, bu SBOMS ile ilgili mi?
Sboms ile başlar. SBOMS üzerindeki pozisyon, size üçüncü taraf yazılım, kütüphaneler ve versiyonlar hakkında bilgi vermek için mükemmel olmalarıdır. Yapmadıkları şey, bellek-saf bir dilde yazılan, 20 yaşında ve son iki yılda sadece% 4’üne dokunan birinci taraf yazılım hakkında bilgi vermektir.
Yani, SBOM’ların ötesine geçiyor ve donanım seviyesine de inmemiz gerekecek. Yarı iletken düzeyinde gördüğümüz şey, gerçek çip tasarımlarının, tam olarak güvenebileceğimiz ülkelerden değil, üçüncü taraf fikri mülkiyeti içerebilmesidir.
Yani, tam yığıntan aşağı inmek zorunda kalacak. Sboms harika bir başlangıç, ama muhtemelen bittiği yer burası değil.
Yapay zeka da dahil olmak üzere gelişmekte olan teknolojiler hem tehditleri hem de savunmaları dönüştürüyor. Telekomünikasyon sektöründe AI ve diğer ileri teknolojiler tarafından getirilen en acil siber güvenlik zorlukları nelerdir?
AI tarafından sunulan zorluklar mutlaka yeni değildir. Etkinleştirdikleri bir ölçeklendirme faktörü var. Tüm takım ve otomasyonu hayal ederseniz, kötü niyetli olanların daha kötü şeyleri daha etkili, potansiyel olarak daha az beceri ile yapmalarını sağlar. AI, bunun bir bileşiğidir, ancak AI’nın siber savunma için hala net bir fayda olacağı pozisyonuna sahibiz. AI’yı iyi kullanmak isteyen ve büyük bir etkiye sahip olacak daha fazla insan olacak. Sorun şu ki, olduğumuz yerden bu varış noktasına giden yol kayalık ve düzensiz olacak, bu nedenle bunu istihdam eden rakipler, savunucular karşı koymak için yeterince kullanana kadar, muhtemelen kısa vadede biraz avantaj elde edecekler.
Sektörler arası işbirliği genellikle esnekliğin anahtarı olarak vurgulanır. İngiltere’de ve uluslararası alanda siber savunmaları iyileştirmek için hangi mekanizmaların veya ortaklıkların etkili olduğu kanıtlanmıştır?
Sanırım, bencilce bizim için Etsi inanılmazdı. Telekomünikasyon Güvenlik Yasası düzenlememizde teknik bir uygulama kodumuz var ve bu kod içinde ayrıcalıklı bir erişim iş istasyonu kavramı var. Aslında tanımlanmadığını fark ettik – ayrıcalıklı bir erişim iş istasyonu. Bu yüzden ETSI’ye geldik ve iki kısımda ayrıcalıklı bir erişim iş istasyonunun nasıl ortaya çıktığını tanımlamak için çeşitli bileşenlerle çalıştık. Şimdi ağ ekipmanı üreticileri, telekomünikasyon sağlayıcıları ve servis sağlayıcıları tarafından benimsenebilecek bir ETSI standardı olarak bundan yararlanıyoruz. Bu bir örnek. AI, quantum sonrası şifreleme ve benzer alanlarda başkalarına sahibiz, ancak kendi ulusal standartlarımız, düzenlemelerimiz ve mevzuatımızla zincirleyen ETSI standartlarını nasıl bağladığımızın iyi bir örneğidir.
İleriye baktığınızda, küresel siber güvenlik manzarasını şekillendiren hangi eğilimleri veya ortaya çıkan tehditleri görüyorsunuz ve kuruluşlar nasıl hazırlanmalı?
Bence sorunuz gerçekten kuruluşların nasıl hazırlanması gerektiğiyle ilgili. Bunun başına gelmeyeceğini düşünen çok fazla kuruluş görüyoruz ve bu yüzden tezahür ettiği zaman için hazırlık eksikliği var. Bunun olduğunu nereden biliyorsun? Hızlı bir şekilde nasıl iyileşirsiniz? Tüm bunları nasıl iletirsiniz? Sadece böyle bir hazırlık eksikliği görüyoruz. Genel olarak, eğer kuruluşlar daha hazırlanmış olsaydı-çünkü gelecekteki tehdidin ne olacağını tahmin edemeyiz, gerçekten dürüst olalım-muhtemelen kanıta dayalı ve yönlü olarak doğru bir fikir verebilirim, ancak gerçek şu ki, kuruluşların bilinmeyen için hazırlanması gerekiyor. Onu tespit edebileceklerine, patlama yarıçapını azaltabileceklerine ve kabul edilebilir bir iş kesintisi seviyesiyle makul bir sürede iyileşmeleri gerektiğine güvenmelidirler, bu da çoğunlukla 2025’te gördüğümüz şey değildir.
Bu zorluklarla başa çıkmaya başlayan uygulayıcılar ve liderler için, siber güvenlik planlamasında hem esneklik hem de stratejik öngörü sağlamak için hangi temel adımlar önerirsiniz?
Her zaman öğrenmeye devam etmelisiniz. Sanırım 20-30 yıl önce kullandığımız metodolojileri ve yaklaşımları uyguladıysanız, 2025 standartlarına kadar gizli görüneceklerdi. Uzmanlık alanınızda çağdaş siber savunma ve esnekliğin nasıl göründüğünü anlamak için tüm liderlik – hem teknik liderlik hem de iş liderliği – beklentisi vardır. CEO, CFO, CISO, CTO iseniz… bu anlayış olmadan, bilinçli kararlar alamaz veya doğru rehberliği sağlayamazsınız.
