Günümüzün kamu sektörü kuruluşlarında sunulan BT hizmetleri artık amacına uygun olmamaktadır. Güvenlik ihlalleri sıklıkla manşetlere çıkıyor. Kesinti süreleri hizmetleri ve üretkenliği kesintiye uğratır. Birleşik Krallık’ta da aşırı harcamalar var. Daha da kötüsü, tüm bu faktörler genel olarak vatandaşların deneyimini gerçek anlamda iyileştirme potansiyeline sahip olan temel hizmet yeniliğinin halka sunulamamasıyla sonuçlanıyor; üstelik bu arada maliyetler ve şu anda yaşanan aşırı harcamalar da azaltılıyor.
Bununla birlikte dünya genelinde siber saldırılarda da artış yaşanıyor. Ne yazık ki Birleşik Krallık’ın kamu sektörü bu saldırıların çoğuna maruz kalacak ilk sırada yer alıyor. Bu, her kuruluşun üstesinden gelmesi gereken bir sorun olsa da, buradaki kamu sektörü için zorluk, hizmet kesintisine, veri kaybına ve sistemleri yeniden inşa etme ve geri yükleme maliyetine neden olan ihlallerin çok büyük miktarda olmasıdır. Kabul edilemez ve gereksizdir. Bilgi birikimi eksikliği, yeterli satın alma durum tespiti ve grup düşüncesi eksikliği, az sayıda tedarikçiye aşırı bağımlılığa, sektör genelinde yaygın olan altyapı modellerine ve hızla ve kolaylıkla yararlanılan güvenlik açıklarının karşılanmasına yol açtı.
Kuruluşların kullanabileceği bütçeler bu zorluklarla mücadele etmek için yeterlidir. Piyasada mevcut olan teknoloji etkili ve güvenlidir, ayrıca kanıtlanmış ve olgunlaşmıştır. Bunu akılda tutarak, Zeus Cloud CEO’su Mark Grindey, inovasyonun baltalanmasından ve kamu sektörünün yıkıcı güvenlik risklerine maruz bırakılmasından sorumlu olan büyük bir sorunun, kesintiye uğrayan ihale süreci olduğunu açıklıyor.
Artan siber güvenlik tehditlerine karşı hazırlık
Birleşik Krallık’taki kamu sektörü kuruluşlarının artan güvenlik tehditleriyle karşı karşıya olduğuna şüphe yok. Her gelişmiş ülkede kamu kurumlarının yanı sıra, temel hizmetlerin sunumunu baltalamak amacıyla devlet destekli saldırılar geliştirilmekte ve yürütülmektedir. Konseylerin son yıllarda fidye yazılımı saldırılarından kurtulmak için milyonlar harcaması nedeniyle, bu siber saldırılardan kurtulmanın maliyeti zarar verici ve şok edici.
Ancak sürekli artan tehdit seviyesi hikayenin sadece bir kısmı. Depolanan hassas verilerin düzeyi, kritik altyapıya saldırının etkisi ve yüksek profilli bir kuruluşu hedeflemenin çekiciliği nedeniyle kamu sektörü kurumları temel hedefler olsa da, tüm kamu kurumları ihlallerin bir sonucu olarak tekrarlanan kesintiler yaşamamaktadır.
Tek bir hack bile organizasyonun her bölümünü otomatik olarak etkileyerek hayati hizmetlerin günlerce, hatta haftalarca kesintiye uğramasına yol açmaz. Peki, Bexley Council ve Bedford Council gibi iyi bir siber güvenlik performansına sahip kuruluşları diğerlerinden ayıran şey nedir? Ve daha da önemlisi, riski azaltmak için kamu sektörü genelinde en iyi uygulamaları oluşturmanın en iyi yolu nedir?
Sorun Kusurlu İhale Sürecidir
Bütçe sorun değil. Kamu sektörü sürekli olarak finansman eksikliğini iddia edebilir; ancak para, yetersiz güvenliğin veya tutarsız hizmet sunumunun temel nedeni değildir. Sorun bu paranın nasıl harcandığıdır. Kamu sektörü BT yatırımlarının durum tespitini iyileştirme çabalarına rağmen, mevcut ihale süreci yanlış yönlendirilmiş ve aşırı harcamaları körüklüyor.
Teorik olarak açık ihale modeli, paranın iyi harcanmasını sağlamalıdır. Hizmetin en iyi sağlayıcı tarafından verildiğini garanti etmelidir. Gerçekte, sözleşmelerin büyük çoğunluğu aynı bir avuç büyük kuruluşa tahsis edilmektedir. Sunulan hizmetler en üst kalitede, son derece güvenli ve uygun fiyatlı olsaydı bu iyi olurdu. Onlar değil. Kamu sektörü, eşdeğer BT dağıtımları için rutin olarak özel sektöre göre üç kat daha fazla ücret almaktadır. Üç katı kadar.
Aşırı harcamalara ek olarak, az sayıda satıcıya güvenmek, altyapı modellerinin her yerde bulunması nedeniyle güvenlik tehdidini önemli ölçüde artırıyor. Kamu sektörü kuruluşlarının çoğunluğu aynı genel bulut hiper ölçekleyicisine taşındığında ve aynı güvenlik duruşlarını benimsediğinde, bir kuruluştaki bir ihlalin hızla yararlanılması ve başka bir yerde tekrarlanması kaçınılmazdır.
Yetersiz durum tespiti
Mevcut ihale süreci gerekli özeni göstermemektedir. Devam eden güvenlik ihlalleri göz önüne alındığında, neden bu satıcılardan hesap sorulmuyor? Neden hâlâ yeni sözleşmeler alıyorlar? Kendi gözetimlerinde meydana gelen bir güvenlik ihlali nedeniyle hasar gören sistemleri yeniden inşa etme ve kurtarma işini neden kazanıyorlar? Diğer Yönetilen Hizmet Sağlayıcıları ve bulut platformları daha iyi fiyatlandırma ve güvenlik izleme kayıtları sunabilir. Kamu sektörü alımlarında bir şeyler çok ters gidiyor.
Kamu sektörü de bu aşırı harcamanın bir parçası. Daha düşük (adil) bir tutar talep etmeye çalışan herhangi bir satıcı otomatik olarak ihale sürecinden çıkarılır. Neden? Bunun nedeni, kamu sektörünün BT endüstrisi tarafından şişirilmiş maliyetlere katlanmak üzere ‘eğitilmiş’ olması ve aynı zamanda temel sektör uzmanlığından yoksun olan özel Tedarik Görevlilerine güvenilmesidir. Örneğin neden Leicester Şehir Meclisi tarafından kullanılan her bir sistem aynı genel bulut platformunda bulunuyor? Bir sistem ihlalinin organizasyonun her bir bölümüne yayılması ve yayılması imkansız olmalıdır. Ancak temel güvenlik ilkelerini anlamada başarısız olan konsey, kendisini pahalı bir başarısızlığa sürükledi.
Çözüm
Tüm bu bozuk BT sistemi, kamu ve kamu sektörü kuruluşları için sinir bozucudur; ayrıca, daha düşük maliyetli, güvenli sistemler sunma uzmanlığına sahip BT satıcıları için de son derece sinir bozucudur.
Tüm kamu sektörü kuruluşlarının karşı karşıya olduğu artan baskılar göz önüne alındığında, değişim gereklidir. Sektör uzmanlarının satın alma sürecine dahil olmasını sağlamak için kurum içi uzmanlığın yeniden yapılandırılması gerekmektedir. Ek olarak, fiyatlandırma beklentilerinin derhal güncellenmesi gerekiyor: Hırslı BT satıcıları, itiraz edilmediği sürece aşırı ücretlendirmeye devam edecek. Bir fikir ve olasılık, geniş kamu ve özel sektör uzmanlığına sahip, sorunlu ve yaygın aşırı ücretlendirmeyi ortaya çıkaracak bilgi ve deneyime sahip bir dış kaynak CTO’su atamaktır. Satın alma sürecini aklı başında kontrol edebilecek biri.
Sürü zihniyetinden uzaklaşmak da önemli. Örneğin, şirket içi özel bulut çözümü, genel bulut hiper ölçekleyicisi yerine daha iyi bir seçim olabilir mi?
Üçüncü bir tarafa güvenmek yerine şirket içi güvenlik uzmanlığını eklemenin maliyet karşılaştırması nedir? Elbette bir sorun oluştuğunda hızlı tepki vermenin değeri de dikkate alınır.
İyi bir güvenlik performansına sahip bir avuç yerel otoritenin aynı büyük tedarikçi, genel bulut yaklaşımını benimsememiş olması şaşırtıcı değildir; ancak daha güvenli ve uygun maliyetli bir yaklaşıma ulaşmak için satın alma sürecine daha etkili bir durum tespiti uyguladık. Başkaları da başarılı olmak için bu kuruluşlardan öğrenebilir ve öğrenmelidir.