Bugün görülen siber saldırıların ölçeği hem benzeri görülmemiş hem de üzücü. Sağlık, finans ve eğitim gibi önemli sektörler kendilerini saldırı altında buldular ve bilgisayar korsanları ihlal sistemlerinin izini, çalınan verileri ve bozulmuş operasyonları geride bıraktı.
Sadece sağlık sektörüne odaklanarak, istatistikler kendileri için konuşuyor: Geçen yıl işletmeler ve kurumlar 809 veri ihlali yaşadı, bu da bir önceki yıla göre% 136 artışla etkilendi. Saldırılar açısından, finans sektörü çok geride değildi, 744 ihlal 61 milyon insanı etkiledi. Bu sayılar, özellikle kritik sektörlerde bulunanların hiçbir kuruluşunun bağışık olmadığını ciddi bir hatırlatma görevi görür.
İşgücü boşluğunu ele almak
Küresel siber güvenlik işgücü boşluğu sadece bu sorunu daha da kötüleştirmeye hizmet etti. Bir işletmenin bunları doğru bir şekilde uygulamak için doğru personele ve bilgisine sahip değilse, maliyet yoğun güvenlik önlemlerine yatırım yapmanın bir anlamı yoktur. Örneğin, Birleşik Krallık’ta, tüm işletmelerin yaklaşık% 44’ü, dünya çapında görülen benzer bir eğilimin ardından temel teknik alanlarda beceri boşluklarına sahiptir.
Sağlam bir siber güvenlik işgücü oluşturmak söz konusu olduğunda, işletmeler kendilerini zorlu bir konumda bulurlar: azalan bir uzman havuzunda faaliyet gösteriyorlar ve mevcut olanlar ağır bir fiyat talep edebilirler. Dünya Ekonomik Forumu’na göre, bu siber güvenlik uzmanlarının kıtlığı aşağıdaki konular nedeniyle ortaya çıkmıştır: farklı kariyer yollarının eksikliği, modası geçmiş eğitim, pahalı sertifikalar ve yüksek düzeyde iş stresi.
Neyse ki, bu sorunu çözmek için eylemler yapılmaktadır. Birleşik Krallık’a döndüğünde, siber güvenlik mezunlarının sayısı%34 arttı. Bu, 2020-2023 yılları arasında ülke genelindeki siber iş ilanlarının sayısındaki% 32’lik bir düşüşte rol oynamıştır, ancak iş kesintileri gibi bir dizi ekonomik faktörün de bu rakamı etkilediğini not etmek önemlidir.
Kapsamlı eğitim programları ve işletmeler tarafından sunulan rekabetçi tazminat, kritik rolleri doldurmaya ve sadakat ve elde tutmayı teşvik etmeye yardımcı olmaktadır. Mevcut çalışanların sadece bir şirketin özel ihtiyaçlarına göre uyarlanmış siber güvenlik uzmanlığı ile güç vermekle kalmaz, aynı zamanda çalışanların daha önce hiç düşünmemiş olabileceği yeni kariyer yolları sunar.
Dahili bir yetenek boru hattı genellikle dış işe alımları aramaktan daha etkili ve ekonomiktir-şirket içinde eğitilmiş çalışanlar şirketin sistemlerine, iş akışlarına ve kültürüne aşinadır, bu da onları güvenlik açıklarını tanımlamak ve ele almak için daha donanımlı hale getirir. Yetenekli bir işgücünü düzenli denetimler, testler ve sürekli yazılım güncellemeleri gibi önleyici önlemlerle birleştirmek, en sofistike saldırıları bile engelleyebilecek çok katmanlı bir savunma yaratır.
Güvenlik için doğru standardı ayarlamak
Eğitim ve öğretim hayati önem taşır, ancak tüm sistemde sadece bir temel dişlidir. İşgücünü yükseltirken operasyonları korumak için, işletmeler ‘güvenilir bilgi işlem’ yaklaşımını benimsemeyi düşünmelidir. Bu, Güvenilir Bilgi İşlem Grubu (TCG) gibi kuruluşlardan elde edilen en son standartların, özelliklerin ve teknolojilerin benimsenmesini içerir. Ücretsiz kullanımı ve tüm modern sistemler, ağlar ve cihazlar için tasarlanan bu standartlar zaten tüm sektörlerdeki güvenlik önlemlerini geliştirmeye yardımcı olmaktadır.
En iyi örnek, bir kullanıcının kimliğinin ve hassas verilerinin korunması yoluyla güvenli işlemler sağlayan düşük maliyetli, güvenli bir güven kaynağı (ROT) olan güvenilir Platform Modülü (TPM). Bir TPM ile, bir cihazın ürün yazılımı ve yazılımının öğeleri yürütülmeden önce karmakarışık olur ve sistem bir ağa bağlanmaya çalıştığında t sunucu seviyesini doğrular. Ayrıntılar eşleşmezse, cihazlar önyükleme yapmaz. TPM tarafından yapılan imza ve doğrulama, doğrulama, veri koruma, tanımlama ve onaylamanın temel güvenlik yapı taşlarının bir şirketin sistemlerinde yerleşik olmasını sağlar.
Ek olarak, TPM’nin bir cihaz uygulaması veya mimarisi için çok büyük veya başka bir şekilde uygun olmadığı durumlarda bir cihaz tanımlayıcı kompozisyon motoru (DICE) de kullanılabilir. Daha hafif bir çözüm olan Dice, TPM ile aynı temel güvenlik protokollerini uygular ve kriptografik olarak güvenli kimlikler oluşturma ve daha yeni cihazlarda bulunan yazılımı doğrulama olanağı sağlar. Dice mimarisi içinde, katmanlı bir güvenlik yaklaşımı ile korunan ‘benzersiz cihaz sırrı (UDS)’ olarak bilinen temel bir sır yatmaktadır. Her katman bağımsız olarak UDS’den türetilmiş kendi benzersiz sırrını yaratır; Bir saldırı sırasında bir katman tehlikeye atılırsa, hacker’ın ortaya çıkardığı sır, diğerlerini tehlikeye atmak için kullanılamaz ve potansiyel hasarı hafifletir. Cihaz bütünlüğü de zarlar ve kötü amaçlı kod algılanması durumunda yeniden anahtarlama yeteneği ile korunur.
Ayrıca kötü amaçlı yazılım kalıcılığını azaltmak ve cihazlarda ve sistemlerde depolanan kritik kodu ve verileri korumak için oluşturulan siber esnek modül ve yapı taşı gereksinimleri (CYRES) özellikleri de vardır. Bir saldırının bunları tehlikeye atması durumunda, Cyres herhangi bir uzlaşmadan önce bir sistemi güvenilir bir duruma geri kurtarmanın araçlarını sağlar ve operasyonların hızlı bir şekilde yeniden başlatılmasına ve saldırının olumsuz etkilerini azaltmasına yardımcı olur.
Güvenlik liderliğindeki bir kültür yaratmak
Bu standartlar ve özellikler, dünyanın dört bir yanındaki hükümetler ve eğitim organları tarafından başlatılan yoğun eğitim girişimleri ile el ele çalışır. Aslında, TCG gibi kuruluşlar bu çabaların faydalarının giderek daha fazla farkına vardılar ve yeni nesil siber güvenlik uzmanlarını daha iyi hazırlamak için kendi eğitim girişimlerini sunmaya başladı.
İşletmeler tarafından sunulan kurslar tipik olarak çalışanlarını hedeflemekte, kimlik avı girişimlerini tanımak, iyi şifre hijyenini sağlamak ve şüpheli faaliyetleri ilgili kuruluşlara bildirmek için iyi uygulamalar öğretmektedir. Bu üst düzey yaklaşım iyi bir başlangıçtır ve insanları standart kuruluşlar tarafından geliştirilen daha fazla teknik ders almalarını ilgilendirebilir.
TCG ve OpenSystemstraining 2 tarafından oluşturulan kurslar gibi eğitim programları, yazılım geliştiricilerinin ve ilgili tarafların siber güvenlik becerilerini geliştirmelerine ve TPM gibi en son standartlara ve özelliklere benzeri görülmemiş bir erişim elde etmesine izin vermek için çok önemlidir. Genellikle laboratuvar güdümlü ve standartlarla çalışma deneyimine ihtiyaç duymayan bu kurslar, kullanıcıların yenilikçi güvenlik uygulamalarını keşfetmelerine ve yazılım ve donanım güvenliğini desteklemek için kilit teknolojilerden nasıl yararlanacağını öğrenmelerine yardımcı olabilir. Sonuç? Kullanıcılar, daha önce birkaç ay veya yıllar boyunca eğitim alacak çok sayıda yeni beceri seti öğrenirken, standartları benimsemeyle ilişkili zaman da azalır. Bu, hem siber güvenlik becerileri boşluğunu azaltırken, güvenlik önlemlerini işletmeler için daha erişilebilir hale getirmede uzun bir yol kat ediyor.
Siber güvenlik tek seferlik bir yatırım veya uygunluk onay kutusu olamaz; Örgüt kültürünün kökleşmiş bir parçası haline gelmelidir. Güvenilir hesaplamayı her süreç ve kararda yerleştirerek, işletmeler reaktif olmaktan inisiyatif almaya geçebilir. Güvenilir teknolojileri benimsemekten yetenekli bir iş gücüne yatırım yapmaya kadar, esneklik artık çok yönlü bir yaklaşım gerektiriyor, özellikle de işletmeler güvenlik profesyonellerinin sıkıntısının üstesinden gelecekse. Mesaj açıktır ve riskler görmezden gelemeyecek kadar yüksektir: Siber güvenlik sadece tehditlere tepki vermekle ilgili değildir; Onları tahmin etmek ve giderek daha tehlikeli bir dijital dünyada ilerlemekle ilgilidir. Atıldığını gördüğümüz adımlar iyi bir başlangıç, ancak daha fazlası her zaman yapılabilir.
Yazar hakkında
Thorsten Stremlau, CISSP, Sistemler Baş Mimar Nvidia. Nvidia’da seçkin bir mühendis ve sistem baş mimarıdır. Bileşenler, cihazlar, yazılım ve bulut hizmetleri için teknik stratejilerden sorumludur. Bu rolde Thorsten, mevcut ve gelecekteki teknolojilerin entegrasyonunu belirler ve iter, bunları ürün geliştirme süreçlerine entegre eder ve özellikle yeniliği NVIDIA portföyünün güvenlik yeteneklerine yönlendirir.
Thorsten’in kariyeri, müşteriler için çözümleri ve stratejik uygulamaları tanımlamaya adanmıştır. Yaklaşık 25 yıldır bir mühendis olarak, geniş deneyimi, binlerce müşterimizin ileri teknolojiyi kullanarak çevrelerini dijital olarak dönüştürmesine yardımcı olmasını sağladı.
Thorsten, endüstriyel üretim/finans alanında lisans derecesine sahiptir. Thorsten ailesiyle birlikte Kuzey Carolina’da yaşıyor.
Thorsten’e çevrimiçi olarak ulaşılabilir: [email protected] veya [email protected] ve şirket web sitemizde https://trustedcomputinggroup.org/