[ This article was originally published here ]
Siber güvenliğe yaklaşım tarihsel olarak kişisel çıkar etrafında dönmüştür. Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin kurucusu Ciaran Martin’e göre, kolektif hakkında düşünmek için bunu değiştirmenin zamanı geldi.
Ciaran, yılın ikinci gününde açılış konuşmasında yaptığı konuşmada, “Hepimiz profesyonel olduğumuz için siber güvenlikle ilgileniyoruz, ancak hepimiz kendimiz, kendi finansal, ekonomik ve diğer çıkarlarımız için ilgileniyoruz” dedi. ISC)²’nin Güvenlik Kongresi 2022. Etkinlik bu hafta Las Vegas’ta gerçekleşiyor.
Ciaran, anlaşılır bir şekilde herkesin ailelerini ve kuruluşlarını korumak istediğini söyledi. Ancak siber güvenliği doğru bir şekilde elde etmek için, bir topluluk duygusuyla yaklaşılması gerektiğini savundu. “Yani kendimizi, ailelerimizi veya kurumlarımızı korumakla ilgili olmasının yanı sıra… onu bir müşterek olarak korumamız gerekiyor.”
Günün ilerleyen saatlerinde, (ISC)² CEO’su Clar Rosso ile “ocak başı sohbeti” sırasında, CISA Altyapı İcra Direktörü David Mussington da işbirliğinin öneminden bahsetti.
Kamu ve özel sektör arasındaki ve ülkeler arasındaki işbirliğine atıfta bulunarak, “Kritik altyapı veya siber savunma konusunda kimsenin tekeli yok, bu yüzden birbirimizden öğrenmemiz gerekiyor” dedi. “Benim için, en temelde bilgi paylaşımı, gerçekler, gerçek gerçekler – keşfedilmiş ve doğrulanmış gerçekler hakkında içgörüleri paylaşabileceğimizden emin olmak.”
Gerçeklerle ilgilenmek, Ciaran’ın “felaket” olarak adlandırdığı siber güvenlik algısının ele alınmasına da yardımcı olacaktır. Siber güvenliğin, gerçekte bir “küçük zararlar toplamı” olduğu halde, bir kıyamet veya felaket bağlamında çerçevelendiğini savundu.
Dijital Ortamın Korunması
Ciaran, siber güvenlik camiasının, bizim fiziksel çevreye yaklaşımımız gibi dijital ortamı da koruması gerektiğini söyledi. Bu, şu anda karşı karşıya olduğumuz zararlara bakmak ve savaşmak için etkili araçlar bulmak anlamına geliyor. Siber zararları üç ana kategoriye ayırdı:
· Soyuluyoruz
· Zayıflıyoruz
· Yaralanıyoruz
Hırsızlıkla ilgili ilki, para ve veri hırsızlığını içeriyor dedi. İkinci zarar – zayıflama – casusluk ve siyasi müdahale gibi ulus-devlet faaliyetlerini içerir. Örneğin Rusya’nın 2016 ABD Başkanlık seçimlerine müdahale etmeye çalıştığına inanılıyor. Başka bir olayda Çin’in ABD hükümet sistemlerine girmesiyle ilgili olduğunu söyledi.
“2015 yılında Amerika Birleşik Devletleri’ndeki Personel Yönetimi Ofisi’nin Çin hacki, geçmişte ve günümüzde milyonlarca Amerikan hükümet çalışanının yaşamları üzerinde gerçekten ürkütücü bir etki yarattı.” Dünya çapında benzer olayların hükümet kurumlarına olan güveni sarstığını söyledi.
Ciaran, üçüncü zararın – incinmenin – artan endişe olduğunu söyledi. Örneğin, İrlanda’daki sağlık sisteminin hacklenmesi, kanser hastalarının konsültasyonlarının üç ay ertelenmesine ve en az 36 haftalık hamile kadınlar için doğum öncesi hizmetlerin kısıtlanmasına neden oldu.
Karşı Mücadele
Ciaran, “Yapısal bir güvensizliğimiz var, bu zararı vermeye çalışan farklı insanlarımız var ve bu zararın tezahür ettiği farklı yollarımız var” dedi.
Direnmek için bu üç temel önlemin alınması gerekiyor – daha iyi risk yönetimi, ortaklık ve vizyona bağlılık, dedi. Riskle ilgili olarak, kuruluşların taç mücevherlerini ve onları en iyi nasıl koruyacaklarını düşünmeleri gerektiğini söyledi.
Kuruluşların, saldırıya uğradıklarında kısmen de olsa çalışmaya devam etmek için dayanıklılık oluşturmaları gerekir “Yanıtınızı nasıl koordine edebilirsiniz? Kimin sorumlu olduğunu biliyor musun? E-posta sistemleriniz çalışmıyorsa, kilit kişileri nasıl ele geçireceğinizi biliyor musunuz? Ne yaptığınızı bildiğiniz konusunda müşterilerinize, düzenleyici kurumlara, hükümete, medyaya nasıl güvence vereceksiniz?”
Güvenliği artırmak için kuruluşlar, organizasyonel, teknik ve insan faktörlerini içeren Ciaran’ın “siber savunma üçlüsü” olarak adlandırdığı şeyi ele almalıdır. Organizasyonel kısım, risk duruşunu ve ne kadar riskin kabul edilebilir olduğunu belirlemeye gelir. Teknik yön, bir organizasyonun sahip olduğu yeteneklere ve onların nasıl çalıştığını anlayan insanlara atıfta bulunur.
İnsan faktörüyle ilgili olarak Ciaran, siber güvenlikle ilgili olarak sıklıkla dile getirilen bir sözü yasaklayacağını söylüyor: “İnsanlar en zayıf halkadır.” “Buna şiddetle katılmıyorum. Eğer adamlarının gerçekten o kadar kötü olduğunu düşünüyorsan, o zaman yeni insanlar al. Ama bir saniye, şu konuyu bir düşünelim. Birisi bir bağlantıya tıklarsa ve bir fidye yazılımı saldırısı nedeniyle tüm şirket çökerse, bu onların suçu mu? Numara.”
Ciaran, işbirliğine duyulan ihtiyaçtan bahsederek konuşmasını sonlandırdı. İngiltere ve İsrail’in Wannacry fidye yazılımı saldırılarıyla mücadele etmek için birlikte çalıştıklarını ve bunun muhtemelen daha büyük bir etkiyi engellediğinden bahsetti.
Zararları gidermek için birlikte çalışarak, “sadece benim için iyi olanı, ailem için iyi olanı, kuruluşum için iyi olanı değil, aynı zamanda dijital ortam için iyi olanı da yapabiliriz” dedi.
reklam