Tipik bir işletmede, sorumlulukların bölünmesi kanunlaştırılmıştır: bir BT ekibi BT sistemlerini yönetir ve bir güvenlik ekibi güvenlik sistemlerini işletir. Güvenlik araçları son kullanıcı cihazlarında, sunucularda ve ağdaki etkin öğeler olarak çalışana kadar güvenlik sistemlerinin BT sistemlerini etkileme riski olmayabilir (güvenlik duvarı yöneticileri benimle aynı fikirde olacaktır, BT ekiplerinden “güvenlik duvarı her şeyi yavaşlatıyor” şeklinde çok fazla haksız yere şikayet alırlar).
BT tarafından yönetilen sistemler üzerinde potansiyel etkileri olan güvenlik araçları arasında kötü amaçlı yazılımlara karşı çekirdek bağlantılı sürücüler yer alır. Siber tehdit aktörleri saldırılarını geliştirdikçe, kötü amaçlı yazılımlara karşı araçların yetenekleri de gelişir. İşlevlerini verimli bir şekilde yerine getirebilmeleri için, işletim sistemlerinin ve uygulamaların daha derin seviyelerine ayrıcalıklı erişime izin verilir. Teknik, sorumluluk ve olay yönetimi sorunlarının ortaya çıktığı yer burasıdır. Bunları çözmek için BT ve güvenlik ekipleri birbirlerine karşı değil, birlikte çalışmalıdır.
BT tarafından yönetilen sistemlerde, ister son kullanıcı bilgisayarları ister sunucular olsun, çalışmak için bir yazılım parçası (araç/hizmet/çekirdek sürücüsü) gerektiren bir güvenlik aracını ele alalım. Güvenlik ekibi, BT ekibinden söz konusu yazılımı sistemlerine yüklemesini talep edemez ve talep etmemelidir, güvenlik ekibine körü körüne “bu yazılım güvenlidir” diyerek güvenmelidir.
Bunun yerine, BT ekibi doğru gerekçelendirme ve performans etkisi testinde ısrar etmelidir. Bir güvenlik ekibi tarafından yönetilen bu araçların BT ekibinin Kurtarma Süresi Hedefleri (RTO) ve Kurtarma Noktası Hedefleri (RPO) sözleşmesini BT ekibi ile işletmenin geri kalanı arasında nasıl etkilediğine dair bir değerlendirme yapılmalıdır.
Ne yazık ki, kendi deneyimime ve bugüne kadar bir güvenlik şirketinin neden olduğu en büyük BT olayının analizine dayanarak, düzenlenen sektörlerdeki birçok işletmenin bunu başaramadığını görüyorum.
CrowdStrike’ın hatalı bir kanal güncellemesi dağıtıp birkaç saat sonra bir düzeltme yayınlamasından günler sonra bile normal operasyonlarına devam edemeyen işletmeleri hatırlayabilirsiniz. Örneğin Delta Airlines’ı ele alalım. Diğer tüm ABD havayolları, düzeltmenin kullanıma sunulmasından sonraki iki gün içinde operasyonlarını geri yüklerken, Delta beş gün boyunca faaliyet gösteremedi. CrowdStrike’ın blog yazısına göre, zamanında geri yükleme yapmamanın suçu CrowdStrike’ın BT ve güvenlik ekipleri arasında paylaşılıyor.
CrowdStrike’ın suç payının azaltılması gerektiğini savunmuyorum ancak düzeltme kullanıma sunulduğunda operasyonların yeniden başlatılamamasının, etkilenen kuruluşlardaki BT ve güvenlik ekiplerinin başarısızlığını temsil ettiğini savunuyorum.
BT ekibinin birincil hedefi, gerekli BT sistemlerinin kullanılabilir olduğundan ve kabul edilen parametreler dahilinde çalıştığından emin olarak iş değeri sunmaktır; güvenlik ekibinin birincil hedefi ise siber olay nedeniyle önemli bir etki olasılığını azaltmaktır. CrowdStrike bir siber olay değildi; bir güvenlik satıcısı tarafından meydana getirilen bir BT olayıydı. Benzer olaylar her yıl Microsoft’un hataları nedeniyle yaşanmaktadır.
Mutabık kalınan RTO ve RPO’lar dahilinde normal operasyonları geri yüklemeye yönelik hazırlık eksikliği, kaçınılmaz olarak, hem BT hem de güvenlik ekibinin itibarını diğer işletme fonksiyonu yöneticilerinin gözünde zedeliyor.
Kaybedilen güven ve itibarın yeniden kazanılması zordur. Bir sektör olarak bundan ders çıkarmamız ve daha akıllıca çalışmamız gerekiyor.
Bu çağı tanımlayan olaydan öğrenilen üç ders şunlardır:
- Kabul edilen RTO ve RPO’lara dayalı kurtarma testlerine odaklanın. Güvenlik ekipleri, BT ekibinin bir güvenlik aracının işletim sistemini önyüklenemez hale getirdiği senaryoları kapsayan kurtarma testleri gerçekleştirmesi konusunda ısrarcı olmalıdır.
- CIO’lar ve CISO’lar diğer şirket yöneticileriyle birlikte konuşmalı ve özel güvenlik araçlarına duyulan ihtiyacı açıklamalı, ayrıca test edilen kurtarmanın kararlaştırılan parametreler (örneğin RTO’lar ve RPO’lar) dahilinde olduğuna dair güvence vermelidir.
- Güvenlik tedarikçilerinin sözleşmelerini incelemek ve tedarikçilerin hizmet sunumundaki kusurları nedeniyle tazminatlar konusunda sözleşmelere yerleştirdikleri haksız avantajları tespit etmek için şirketin hukuk müşavirleri ve tedarik birimleriyle işbirliği yapın.