Birleşik Krallık, kendilerini düşman ulus devletlerden gelen hedefli saldırılar da dahil olmak üzere siber tehditlerden koruma konusunda gelişmekte olan teknoloji şirketlerini ve startupları desteklemek için Güvenli İnovasyon adı verilen ortak bir güvenlik rehberlik paketi başlattı.
Kampanya, Ulusal Siber Güvenlik Merkezi (NCSC) ve MI5 bünyesindeki Ulusal Koruyucu Güvenlik Otoritesi (NPSA) tarafından kurulan ve bir bütün olarak teknoloji sektörünü hedef alan ortak girişimi sürdürüyor. Artık NCSC’nin Avustralya, Kanada, Yeni Zelanda ve ABD’den oluşan gayri resmi Anglophone Five Eyes istihbarat ittifakındaki ortak kurumları tarafından da destekleniyor ve katılımcı her ülke için bölgeselleştirildi.
Secure Innovation, genç, hızlı büyüyen teknoloji şirketlerini ve yenilikçileri, projelerinin güvenlik seviyelerini değerlendirmelerine ve fikirlerini, itibarlarını ve gelecekteki uygulanabilirliklerini daha iyi korumak için alabilecekleri uygun maliyetli önlemleri belirlemelerine olanak tanıyan özel eylem planları oluşturma konusunda desteklemek üzere tasarlanmıştır. NCSC, 500’den fazla kuruluşun bundan halihazırda yararlandığını söyledi.
MI5 genel müdürü Ken McCallum, “Çin gibi gelişmiş ulus devlet düşmanları, ülkelerimizin en yenilikçi ve heyecan verici startuplarından bazılarının elinde bulunan fikri mülkiyet haklarını çalmak için çok çalışıyorlar” dedi.
“Bugün uygulamaya koyduğumuz Beş Göz Güvenli İnovasyon tavsiyesi yanıtımızın bir parçasını oluşturuyor” dedi. “Müttefiklerimizle bir araya gelerek ve tutarlı tavsiyeler sunarak, dünya çapında çalışan şirketlerin fikirlerini ve ürünlerini güvende tutacak adımlar atmasını kolaylaştırıyoruz.”
CybSafe CEO’su ve kurucusu Oz Alashe şunları ekledi: “Siber güvenlik, startuplar için her zaman en önemli önceliklerden biri gibi görünmese de, her kurucunun aklının ön saflarında yer almalıdır… KOBİ’ler [small and medium-sized enterprises] Siber saldırılara karşı son derece savunmasızdırlar ve mağdur olmaları durumunda katlanmaları muhtemeldir. Sınırlı kaynakları bir dezavantaj olarak görmek yerine, start-up’lar büyüklüklerini daha büyük, genellikle daha yavaş hareket eden rakiplerle karşılaştırıldığında bir varlık olarak görmelidir.
“Farklı ekipler ve bölgeler genelinde güvenlik uygulamalarını geliştirmek için yoğun yatırım yapması gereken kuruluşların aksine, yeni kurulan şirketler çevik ve uyarlanabilir. Bu, güvenlik bilincine sahip bir kültüre gerçekten değer veren bir ekip tarafından desteklenen, güvenliğin DNA’sına yerleştiği bir iş kurma fırsatı yaratır. Siber tehditler giderek daha karmaşık ve sık hale geldikçe, bu zihniyeti geliştirmek yalnızca stratejik bir avantaj değil, aynı zamanda bir zorunluluktur.”
Çin tehdidi
Kılavuz özellikle Çin casusluk teşkilatlarının fikri mülkiyetlerini (IP) çalma girişimlerinin hedefi olabilecek şirketlere yöneliktir ve devlet destekli endüstriyel casusluğun kurbanı olan kuruluşlara ilişkin çok sayıda uyarıcı öykü içerir.
Organizasyon içinde güvenlik liderliğini belirlemenin ve temel teknik önlemleri uygulamanın öneminin yanı sıra, tedarik zincirlerini güvence altına almanın ve denizaşırı ortakların, özellikle de Çin menşeli olanların kapsamlı bir şekilde incelenmesine yakın ilgi gösterilmesinin önemi derinlemesine ele alınmaktadır.
Raporda, havacılık bileşenleri konusunda uzmanlaşmış İngiltere merkezli hassas mühendislik şirketi Smiths (Harlow) Ltd’nin, Çinli ortağı Future Aerospace’in 8 milyon sterlinlik bir yatırım anlaşmasından cayması ancak maddelerden yararlandıktan sonra başını belaya sokması örneğine yer veriliyor. Mağdurun önemli teknik verileri devrettiği ve Çinli mühendislere eğitim verdiği sözleşmede. Çin’le olan bağlantıları daha sonra Smith’in Batılı ordular da dahil olmak üzere çok sayıda yüksek profilli kuruluşla çalışmasına mal oldu ve 2020’nin başlarında yönetime düştü.
Benzer şekilde paket, hızlı büyüyen girişimlerdeki yatırımcılara, potansiyel yatırımlarla ilgili durum tespiti yaparken güvenlik risklerini de dikkate almaları yönünde rehberlik de içeriyor.
Örneğin, yatırımcılar bir şirketin kendi güvenlik kültürünü ve uygulamasını değerlendirmenin yanı sıra, şirketin risk oluşturabilecek başka “yüksek riskli” yatırımcılara sahip olup olmadığını ve diğer yatırımcıların katılımının gelecekteki fon toplama turlarını engelleyip engellemeyeceğini veya Yabancı yaptırımlardan veya ihracat kontrollerinden kaynaklanan yasal, etik veya uyumluluk sorunları nedeniyle şirketin satışı.