Baş Bilgi Güvenliği Görevlileri (CISOS) tarafından siber riskleri panolara bildirmek için kullanılan geleneksel trafik ışık sistemi, zorlama belirtileri göstermektedir. Avrupa genelinde 10’dan fazla CISO ile görüştükten sonra, Hollanda Açık Üniversitesi’nden doktora araştırmacısı Gulet Barre, kanıtlarla ilgili olarak ortaya çıkardı: Amber risklerinin nasıl yorum yorumlamasının doğasında var olan bilişsel önyargılar, CISOS raporları ve kurulların anladığı şey arasında tehlikeli bir körfez yaratıyor gibi görünüyor.
Araştırmaları CISO’lar ve kurullar arasındaki iletişime odaklanan Barre, “Sürüş gibi düşünün” dedi. “Hepimiz yeşil ve kırmızı trafik ışıkları ile ne yapacağımızı biliyoruz, ama Amber? Bazı sürücüler hızlanıyor, diğerleri fren yapıyor. CISOS siber güvenlik riskleri sunduğunda Amber’deki bu belirsizlik tam olarak yönetim kurulu odalarında olan şeydir.”
Bu yanlış yorumlamanın sonuçları şiddetlidir. Kararlar bilişsel bozulmalara dayanarak verildiğinde, Barre’yi uyardı. Araştırmaları, kuruluşlar için potansiyel olarak yıkıcı sonuçlarla siber güvenlik karar almayı sistematik olarak baltalayan yedi bilişsel önyargı belirlemiştir.
Finansmana reaktif yaklaşım
Belki de Barre’nin araştırmasından en zararlı bulgu, bir CISO’nun samimi bir şekilde itiraf ettiği şeydir: “Kötü haber iyi bir haberdir. Bir rakipte eleştirel bir saldırı yürütüldüğünde, yönetim kurulu üyeleri bir torba para ile hazır duruyorsunuz. O zaman bir CISO olarak istediğinizi elde edersiniz – kırmızı takım umutsuzca finanse etmek istediğiniz egzersizler. Ne yazık ki, bu gerçektir.”
Siber güvenlik finansmanına bu reaktif yaklaşım kısır bir döngü yaratır. Cisos, önleyici tedbirler için yeterli kaynakları güvence altına almak için mücadele ederken, kurullar kuruluşlarının büyük bir olay çarpana kadar yeterince korunmasına ikna olmaya devam ediyor. O zamana kadar hasar yapılır.
Sorun, kehribar dereceli risklerin nasıl iletildiğinden ve yorumlandığından kaynaklanmaktadır. Geleneksel trafik ışığı raporlamasında, yeşil düşük risk anlamına gelir, kırmızı, anında eylemin gerekli olduğunu gösterir, ancak kehribar gri bir alanda farklı paydaşların tamamen farklı yorumladığı gri bir alanda bulunur.
Barre, “Bir ciso, Amber’in yeşile daha yakın olmasına eğilimli olabilir – riski yönetme konusunda nispeten iyimserler” dedi. “Ancak bir yönetim kurulu üyesi daha kötümser olabilir, aynı kehribar riski kırmızıya tehlikeli bir şekilde yakın görebilir. Risk algısındaki bu temel yanlış hizalama – belirsizlik yanlılığı dediğimiz – siber tehditlerin nasıl anlaşıldığı ve ele alındığı konusunda büyük bir boşluk yaratır.”
Siber kararları zayıflatan yedi önyargı
Barre’nin araştırması, siber güvenlik yönetişimini etkileyen yedi özel bilişsel önyargı tanımladı: iyimserlik yanlılığı, kötümserlik yanlılığı, sürü yanlılığı, onay yanlılığı, belirsizlik yanlılığı, aşırı güven yanlılığı ve bağış yanlılığı.
İyimserlik yanlılığı, CISOS’un olumsuz sonuçların olasılığını hafife almasına yol açarken, kötümserlik yanlılığı yönetim kurulu üyelerinin durumları olduğundan daha kötü görmelerine neden olabilir. Kombinasyon, Barre’nin “felaket karar verme senaryoları” dediği şeyi yaratıyor.
Sürü yanlılığı, toplantı odalarında özellikle tehlikelidir. Barre, “Yönetim kurulu üyesi olarak oturan eski bir CISO varsa, diğer yöneticiler şöyle düşünebilir: ‘Bu kişi bu yöne gitmemiz gerektiğine inanıyor, bu yüzden haklı olmalılar, takip edelim’,” diye ekledi Barre. “İnsanlar eleştirel değerlendirme olmadan algılanan uzmanlığa erteliyorlar.”
Bu davranış bireysel toplantıların ötesine uzanır. Kurullar, genellikle kendi risk profillerinden ziyade, rakip kuruluşların ne yaptığını temel alarak siber güvenlik kararları alırlar.
Barre, “Bir rakibin sağa hareket ettiğini görüyorlar, bu yüzden bunun organizasyonları için uygun olup olmadığını düşünmeden de sağa hareket ediyorlar” dedi.
Onay yanlılığı bu sorunları birleştirir. Medyada bildirilen fidye yazılımı saldırılarını gören yönetim kurulu üyeleri, bu belirli tehditlere sabitlenir ve CISOS’u en acil gerçek güvenlik açıklarından ziyade önyargılarıyla uyumlu riskleri ele almaya zorlar.
Bu arada, aşırı güven önyargısı, yönetim kurulu üyelerinin, özellikle güvenlik denetim raporları gibi yeni bilgiler aldıklarında, yanlış bir güvenlik duygusu yarattıklarında siber riskler anlayışlarını fazla tahmin etmelerini sağlar. Ve tahtalar mevcut sistemleri değiştirmeye direndiğinde bağış yanlılığı kendini gösterir.
Barre, “Bir CISO, eski bir aracın değiştirilmesini tavsiye edebilir, ancak yönetim kurulu üyeleri, özellikle kıdemli olanlar, ‘Bu sistem yeterince iyi’ diyecektir, çünkü buna alışkın oldukları için,” dedi Barre. “Kuruluşları savunmasız bırakan bir değişim direnci biçimi.”
Amber yanılsaması
Temel mesele, Amber’in temel doğasında, Barre’nin “bir yanılsama” olarak adlandırdığı gibi yatmaktadır. Hastaların orta zemin olmadan kaldıkları veya eve gittikleri hastanelerin aksine, siber güvenlik raporlaması, ne CISO’lara ne de kurullara etkili bir şekilde hizmet veren bu sorunlu orta kategoriyi sürdürmüştür.
“Amber aslında bir eylem noktası değil,” dedi Barre. “Hem panolar hem de CISO’lar için bir park yeri haline gelir. Tahta toplantılarında sınırlı zamanınız ve tartışmak için birden fazla riskiniz olduğunda, Kırmızı Riskleri Tartışma için daha fazla zaman yaratmak için itme eğilimi var. Ancak bu tehlikeli belirsizlik yaratıyor.”
Araştırma, risk oluşturma ve yorumlama boşluğunun muazzam olduğunu ortaya koyuyor. Aynı siber güvenlik senaryosu farklı paydaşlara sunulduğunda, cisos bunu kırmızı olarak sınıflandırabilirken, yönetim kurulu üyeleri onu yeşil olarak görebilir veya tam tersi. Risk değerlendirmesindeki bu temel kopukluk tüm siber güvenlik yönetişim sürecini zayıflatır.
Barre’ye göre, zamansal mesafenin risk algısını etkileyip etkilemediğini araştırmak değerli olacaktır. “Gelecek hafta operasyonları etkileyebilecek bir siber güvenlik tehdidini tartışıyorsanız, yönetim kurulu üyeleri daha kötümser, daha temkinli olma eğiliminde olabilir” dedi. “Ancak aynı tehdit aylarca aylarca öngörülürse, daha iyimser olabilirler, daha az endişe duyabilirler.”
Güncelleme Raporlama Gerekiyor
Peki, çözüm nedir? Barre’nin devam eden araştırması, geleneksel trafik ışığı raporlamasının kurtarılabileceğini veya tam olarak değiştirilmesi gerekip gerekmediğini araştırmaktır.
“Hareket etmeden 20 yıl boyunca bir evde yaşayabilirsiniz, ancak yenilenebilirsin” dedi. “Soru, Amber’in ilaçlar gibi ‘hasta bilgi broşürüne’ ihtiyaç duyup duymadığı, tam olarak ne anlama geldiğini ve hangi eylemlerin gerekli olduğunu veya Amber’i tamamen ortadan kaldırmamız gerekip gerekmediğini açıklamak.”
Farmasötik benzetme kasıtlıdır. Doktorlar ilaç reçete ettiğinde, dozaj, zamanlama ve potansiyel yan etkiler hakkında ayrıntılı rehberlik sağlarlar. Siber güvenlik raporları şu anda bu özgüllükten yoksundur ve tahtaları riskleri kendi önyargılarına ve sınırlı anlayışlarına göre yorumlamaya bırakır.
Bazı yüksek güvenilirlik kuruluşları zaten basit renk kodlamasının ötesine geçiyor, sofistike gösterge tabloları ve AI güdümlü risk değerlendirme araçları uygulanıyor. Bununla birlikte, Amber’in gri alanı, raporlama sisteminin karmaşıklığına bakılmaksızın devam eder.
NIS2 gibi yeni Avrupa mevzuatıyla, yönetim kurulu üyelerini siber güvenlik başarısızlıklarından kişisel olarak sorumlu hale getirerek, bahisler hiç bu kadar yüksek olmamıştı. Araştırma, bu bilişsel önyargıların tanınmasının daha iyi karar almaya yönelik ilk adım olabileceğini göstermektedir.
Barre, “Yönetim kurulu üyeleri ve CISO’lar iyimserlik yanlılığının, sürü davranışının veya onay yanlılığının ne zaman tartışmalarını etkilediğini belirleyebilirlerse, birbirlerini hesap verebilir tutabilir ve daha rasyonel kararlar alabilirler” dedi.
Şu anda devam etmekte olan deneysel araştırması, farklı sunum yöntemlerinin siber güvenlik risklerinin önyargı odaklı yanlış yorumlarını azaltıp azaltamayacağını test edecek. Amaç, CISO’lar ve kurullar arasındaki iletişimi geliştiren pratik araçlar geliştirmektir.
Barre’nin mevcut kurullara mesajı keskin: “Umarım yönetim kurulu üyeleri yeşil, kehribar, kırmızının riskin tam kapsamını kapsadığını fark ederler. Sadece Amber’deki sorunları park edemezler ve ele alınamazlar.”
CISO’lar için araştırma, yönetim kurulu önyargılarının tanınmasının ve aktif olarak ele alınmasının teknik güvenlik önlemleri kadar önemli olduğunu göstermektedir. Barre, “Her karar verme sürecinde psikolojik bozulmalar mevcut” dedi. “Anahtar, birbirlerini keskin tutmak ve bu önyargıların kritik siber güvenlik kararlarını ne zaman etkilediğini tanıması.”
Siber tehditler gelişmeye devam ettikçe ve düzenleyici baskı yoğunlaştıkça, kuruluşlar artık belirsiz risk raporlaması lüksünü karşılayamazlar. Yıllardır siber güvenlik yönetişiminin temel taşı olarak hizmet veren trafik ışığı sisteminin kendisinin bir güvenlik güncellemesine ihtiyacı olabilir.