YORUM
İki bölümden ikincisi. (Bölüm 1’i okuyun: “Güvenlik Varsayımlarımızı Yeni ve Orijinal Riskler Dünyasında Stres Testi.”)
“Çok geç olana kadar görünmeyen” tehditlerin olduğu bir gelecekte güvenliği sağlamak, keşfetme ve yamama, tanımlama ve etkisiz hale getirme, algılama ve tepki verme gibi sonsuz döngülerin ötesine bakmamızı, varsayımları stres testinden geçirerek ve bu varsayımların sürdürülemez hale geldiği bir geleceğe hazırlanarak dayanıklılık oluşturmamızı zorunlu kılar.
Temel varsayımları parçalayarak, gelecekteki dayanıklılığı proaktif olarak planlayabilir ve böylece başarmaya başlayabiliriz. Bu çalışma için temel bir çerçeve aşağıdaki adımları içerir:
-
Temel bir varsayımı ve onunla ilişkili bağımlılıkları tanımlayın.
-
Varsayımı teorik uzlaşma veya bozulma yoluyla stres testine tabi tutun ve varsayımın artık geçerli olmadığı gelecekteki bir durumu hayal edin.
-
Gelecekteki durumda ortaya çıkabilecek riskleri belirleyin.
-
Bu risklere yönelik azaltım tedbirleri geliştirin.
Bu yaklaşım teoriktir ve bu nedenle hataya açıktır. Sınırsız hayal gücü gerçeklikten daha fazla kurguya yol açabilir. Ancak öngörülemeyen risklere hazırlanmanın tek yolu, hayal edilemez olanı hayal etmek ve fırsatımız varken bu riskleri azaltmanın yollarını düşünmektir.
Bu süreci örneklendirmek için bazı temel varsayımlara bakalım.
İşletme merkezli Siber Güvenlik
İşletmenin en çok verinin oluşturulduğu, işlendiği, yönetildiği, iletildiği ve depolandığı yer olduğunu biliyoruz, bu nedenle işletmenin siber güvenliğin odak noktası olduğunu varsayıyoruz. Benzer şekilde, en kritik altyapıların çoğu, hem kamu hem de özel sektör kuruluşlarını içeren işletmeler tarafından inşa edilir, işletilir ve sürdürülür, bu nedenle dünyanın merkezi sinir sistemini güvence altına alma çabaları oraya odaklanmalıdır. Bu makul bir varsayım olmaya devam ediyor. NIST Siber Güvenlik Çerçevesi, CIS Kritik Güvenlik KontrolleriVe ISO 2700 serisi yönergeleri hepsi işletmeye odaklanıyor. Hatta Ulusal Siber Güvenlik Stratejisi kuruluşun birincil rolünü üstlenir. Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) tarafından korunan kişisel sağlık bilgilerinin sağlık hizmeti ödeyicileri ve sağlayıcıları tarafından yönetildiği ve korunduğu varsayılır.
Peki ya bilgi çağının güçleri ve yapay zeka devrimi şirketleri zayıflatırsa, şirketler aşınırsa veya bağımsız, dağıtılmış çalışan ağları (ki bu zaten uzaktan çalışma ve geçici iş ekonomisi yoluyla oluyor) tarafından değiştirilirse, ya da büyüyen bir kamu sektörü veya henüz hayal etmediğimiz başka bir şey olursa?
Bu senaryoda çok sayıda risk var. Bunu, güvenli olmayan ev veya genel ağları kullanan uzaktan çalışanlarda zaten görüyoruz. İnsan “saldırı yüzeyi” halihazırda işletmenin en savunmasız kısmıdır; işletmenin aşınması muhtemelen insanları siber sömürüye daha fazla maruz bırakacaktır.
İşletme merkezli bir yaklaşımın siber güvenlik faydalarından biri, deneyim ve uzmanlığın siber güvenliğin “gerçekleştiği” yerde yoğunlaşabilmesidir. Kurumsal yapı aşınırsa, iyi geliştirilmiş güvenlik kontrollerini (örneğin, CIS Kontrolleri) uygulama yeteneği de aşınabilir.
Azaltma önlemleri, insanları eğitim gibi işletme dışındaki ortamlarda daha siber güvenli hale getirmek için artan çabaları, kamu farkındalığı ve uyarı protokolleri (polis veya acil tıbbi müdahale için 911 sistemine benzer) yoluyla içerebilir. Bunlardan bazıları halihazırda gerçekleşiyor olsa da odak, vurgu ve sorumluluk şirketlerden kamu ve kâr amacı gütmeyen kuruluşlara kayacaktır.
Veri Sahipliği
Genellikle insanların karar alma, tasarlama, oluşturma, organize etme ve yönetme yoluyla veri yarattığını varsayarız. Bundan doğal olarak insanların bu verilere sahip olduğu (ve onları koruması gerektiği) sonucu çıkar. Makine tarafından üretilen verilerin mülkiyeti bile bu makinelerin insan sahiplerine bağlıdır.
Peki ya veri üretimi insan olmayan varlıklara kayarsa? Bunu halihazırda görüyoruz üretken yapay zeka (GenAI). Şimdilik, GenAI veri alanı nispeten küçük ve kapsamı sınırlı kalmaya devam ediyor. Ancak, rutin ve proaktif olarak yeni veriler üretmek, önerilerde bulunmak ve hatta daha önce insanlar tarafından kontrol edilen süreçleri yönetmek için adımlar atmak üzere konuşlandırılabilecek otonom GenAI’dan çok da uzak değiliz.
GenAI platformlarının geniş bilgi işlem kaynakları ve sağlam altyapılar gerektirdiği göz önüne alındığında, büyük dil modelleri (LLMs) yararlı olması için, en popüler platformların paylaşılan kaynaklar olması muhtemeldir, tıpkı Bulut bilişim oldu. Peki, GenAI tarafından üretilen bu verileri kim sahiplenecek ve koruyacak? Kusurlu veya hatta tehlikeli olabilecek verilerin üretilmesini ve yayılmasını ne engelleyecek?
Gelecekteki riskleri azaltmak, GenAI platformları “büyüdükçe” güvenlik kontrollerini ölçeklendirmek için güvenli tasarım ilkelerinin uygulanmasını içerebilir. Uygun segmentasyon, ayrı kullanıcıların paylaşılan temel LLM’lerden yararlanmasını sağlarken, o kullanıcının kapsamının ötesinde veri sızıntısını önleyebilir (zaten devam eden bir çalışma). Ayrıca, insan önceliğini sağlamak için acil durdurma mekanizmaları olarak hizmet edecek AI “öldürme anahtarları”ndan da bahsediliyor. GenAI, güvenlik hususlarının en baştan itibaren düşünülmesi gereken bir alandır.
İleriye Giden Yol
Varsayımları stres testine tabi tutmak için bu temel çerçeve, gelecekteki dayanıklılığı inşa etmenin bir yoludur. Baş güvenlik görevlileri (CSO’lar) ve siber güvenlik uzmanları, hafife aldıkları varsayımlara dikkatlice bakmalıdır. Çünkü, ne kadar makul olurlarsa olsunlar, bir raf ömürleri vardır. Ve deneyimlerimizden biliyoruz ki varsayım ne kadar temel olursa, uzlaşma o kadar yıkıcı olur.