Bu Help Net Security röportajında, RTI International’ın CISO’su Dennis Pickett, araştırma kurumlarının sınırlı kaynaklarla siber güvenliğe nasıl yaklaşıp yine de dayanıklılık geliştirebileceklerini anlatıyor. Açık araştırma ile hassas bilgilerin korunması ihtiyacı arasındaki gerilimi tartışıyor ve uygulanabilir çözümlerin insanların işlerini nasıl yaptıklarını anlamaktan kaynaklanabileceğini belirtiyor.
Pickett, güvenlik ekiplerinin, yeniliği yavaşlatmak yerine destekleyen korkuluklar oluşturmak için araştırmacılarla nasıl ortaklık kurabileceklerini açıklıyor. Ayrıca ortaya çıkan riskler, devletin ileri teknolojilere olan ilgisi ve farklı disiplinlerdeki verileri yönetmenin zorlukları hakkındaki gözlemlerini de paylaşıyor.
Araştırma kurumları genellikle büyük işletmelerin bütçesinden veya personelinden yoksundur. Bu kısıtlamalar altında güvenlik esnekliği elde etmek için hangi yaratıcı stratejileri gördünüz?
Bütçeler kısıtlı olduğunda tekrarlanan çok eski bir söz vardır: “Daha azıyla daha fazlasını yapmalıyız.” Bunu hiç sevmedim çünkü takımın zaten maksimum çabayı göstermediğini gösteriyor. Bunun yerine amaç “mevcut kaynakları daha etkin kullanmak” olmalıdır. Hiçbir kuruluşun sınırsız zamanı veya parası yoktur. Sahip olduklarınızdan en iyi şekilde yararlanmak, risklerinizi anlamayı ve kaynaklarınızı en büyük etkiyi yaratacakları yere odaklamayı gerektirir. Yaratıcı stratejilerin yardımcı olabileceği yer burasıdır.
Örneğin, bir güvenlik ekibinin her sistemi izleyecek ve her etkinlik kaydını inceleyecek yeterli personeli yoksa, iş yükünü sonuçtan pay alacak şekilde diğer gruplara dağıtabilirler. Güvenlik ekibi şablonlar geliştirebilir, süreçleri tanımlayabilir ve rehberlik sağlayabilir; bireysel proje ekipleri ise kendi günlük incelemelerini ve güvenlik belgelerini yönetebilir. Merkezi bir ekibin yön ve standartları belirlemesi ve gözetim sağlaması sayesinde, her şeyi kendi başlarına yapacak sınırlı kaynaklara sahip tek bir gruba bağımlı kalmadan, iş tutarlı ve yüksek kalitede kalır.
Araştırma açıklık ve işbirliğiyle gelişirken, siber güvenlik kontrol ve kısıtlama gerektirir. Kurumlar bu zıt ihtiyaçları gerçekçi bir şekilde nasıl dengeleyebilir?
Güvenliğin insanların yapamayacağını söylediği şeylerden bahsetmek yerine, siber güvenlik hakkında neyin mümkün olduğu üzerinden konuşmayı tercih ediyorum. Güvenliğin amacı işbirliğini kısıtlamak değil, kuruluşu, personelini ve en önemlisi çalışmalarımıza katılan bireyleri koruyacak şekilde bunu mümkün kılmaktır. Bilgileri konusunda bize güveniyorlar ve bu güveni sürdürmek, insanlık koşullarını iyileştirme misyonumuz için çok önemli.
Açıklık ve güvenlik arasındaki denge genellikle benim “korkuluklar” dediğim şeylerle sağlanır. Araştırmacıların tanımlanmış sınırlar dahilinde özgürce işbirliği yapabileceği güvenli ortamlar yaratarak, korumadan ödün vermeden açıklığın gelişmesine izin veriyoruz. Bir araştırma ekibiyle çalışırken, onların iş ihtiyaçlarını anlamak ve ardından bu ihtiyaçları uygun bir araç veya çalışma alanı içinde karşılayan güvenli seçenekler sunmak önemlidir.
Örneğin, bir ekibin hassas veriler içeren dosyalar üzerinde birden fazla kuruluşla gerçek zamanlı olarak işbirliği yapması gerekebilir. İlk içgüdüleri tanıdık bir ücretsiz bulut depolama platformunu kullanmak olabilir, ancak bu hizmetler hassas bilgilere yönelik güvenlik gereksinimlerini nadiren karşılıyor. Bunun yerine, onları aynı işlevselliği sunan güvenli platformlara yönlendirebilir ve doğru yetenekleri edinmek ve yapılandırmak için onlarla birlikte çalışabiliriz.
Kullanıcıların ihtiyaçlarını anlayıp nasıl çalışmak istediklerini öğrendiğinizde hem güvenli hem de pratik çözümler önerebilirsiniz. Her araştırma teknolojisinde uzman olmanıza gerek yok. Bulut sağlayıcıları ve satıcıları tarafından sunulan hizmetlere dikkat ederek başlayın. Sürekli olarak kullanıcıların sorun yaşadığı noktaları inceliyorlar ve bunlara çözüm bulmak için araçlar tasarlıyorlar. Bilimsel verileri toplamayı, saklamayı veya paylaşmayı kolaylaştıran bir bulut hizmeti görürseniz onu çekici kılan şeyin ne olduğunu araştırın. Söz konusu araç uygun olmasa bile yararlı özelliklerini veya iş akışlarını halihazırda sağladığınız güvenli platformlara dahil edebilirsiniz.
Araştırmacılar arasında güvenlik politikalarının yeniliği yavaşlattığı yönündeki algıyı nasıl ele alıyorsunuz?
Güvenliğin operasyonları yavaşlattığı yönünde uzun süredir bir algı var. Araştırmaya özgü bir durum değil ama kesinlikle orada ortaya çıkıyor. Doğrusunu söylemek gerekirse bu algı sebepsiz de ortaya çıkmadı. Güvenlik kontrolleri veya kontrol katmanları eklemek süreçleri yavaşlatabilir, geliştirmeyi geciktirebilir ve zaman çizelgelerini konseptten lansmana kadar uzatabilir.
Neyse ki güvenliğin bir engel olduğu gerçeğini ve algısını değiştirmenin yolları var. Kariyerimin başlarında, BT’ye her zaman müşteri hizmetleri zihniyetiyle yaklaşılması gerektiğini bana öğreten harika bir akıl hocası (NIH’nin NICHD’sinin eski CIO’su Dave Songo’ya sesleniyorum). Bu rehberde yer alan iki temel prensip, ekibimin çalışma şeklini ve yeniliğe engel olarak görülmekten nasıl kaçınacağımızı şekillendirmeye devam ediyor.
Öncelikle politikalarınızın ve kontrollerinizin işi nasıl etkilediğini anlayın. Güvenlik bir boşlukta geliştirilmemelidir. Araştırmacılar, geliştiriciler veya operasyonel ekipler üzerindeki etkiyi anlamıyorsanız, kontrolleriniz işi mümkün kılacak şekilde tasarlanıp uygulanmamış olabilir. İkincisi, çözümler sunun, sadece hayır deme. Yalnızca fikirleri reddeden bir güvenlik ekibi bir engel olarak düşünülecek ve kullanıcılar etkileşimden kaçınmak için ellerinden geleni yapacaktır. İnsanların hedeflerine güvenli bir şekilde ulaşmalarına yardımcı olan bir güvenlik ekibi, aranan ekip haline gelir ve sonuçta işin daha güvenli olmasını sağlar.
Yardımcı olan başka bir kavram da benim “uygun güvenlik” dediğim şeydir. Her projenin en yüksek güvenlik filigranını karşılaması gerekmez. Yaptığınız işe bağlı olarak, daha az kısıtlamaya sahip izole ortamlar oluşturmak tamamen kabul edilebilir, hatta bazen gerekli olabilir. Örneğin, bulutta araştırmacıların yeni araçları veya iş akışlarını güvenli bir şekilde deneyebilecekleri sanal alan alanları oluşturabilirsiniz. Geliştiricilerin yeni yetenekleri test edip oluştururken gelişmiş yönetim haklarına sahip olduğu bir geliştirme ortamı oluşturabilirsiniz.
Bu düşük güvenlikli ortamlar, daha güçlü koruma gerektiren sistemlerden uygun şekilde yalıtıldığı sürece, denemeyi ve yeniliği teşvik eden güvenli, amaca yönelik olarak oluşturulmuş alanlar oluşturmak için kullanıcılarla işbirliği yapabilirsiniz.
Bu tür işbirliğine dayalı, çözüm odaklı bir yaklaşımı benimsediğinizde olumsuz güvenlik algısı ortadan kalkacaktır. Çok geçmeden kendinizi, giderek daha fazla kullanıcının sizi yenilik yapmalarına yardımcı olan önemli ortaklar olarak gördükleri için aktif olarak güvenlik ekibini aradığı “ne dilediğinize dikkat edin” durumunda bile bulabilirsiniz.
Özellikle yapay zeka, biyoteknoloji veya kuantum gibi alanlardaki akademik araştırmalara devlet destekli ilginin arttığını mı görüyoruz?
Yapay zeka ve kuantum hesaplama gibi yeni gelişen teknolojilere yönelik devlet destekli araştırmalarda kesinlikle bir artış görüyoruz. Biyoteknoloji her zaman kamu yatırımlarının odak noktası olmuştur, bu yüzden buraya olan ilginin son zamanlarda arttığını söyleyemem, aksine tutarlı bir devlet önceliği olarak kaldı.
Yapay zeka ise uzun yıllardır tartışılıyor, geliştiriliyor ve çeşitli şekillerde kullanılıyor. Ancak yeteneklerdeki son sıçramalar ilgiyi tamamen yeni bir düzeye taşıdı. Kısa bir süre önce, bir gün evdeki sanal asistanımın sadece sabah işe gidip gelme zamanımı istediğimi anlamasını zar zor başarabildiğimi ve ertesi gün “Da da da da dum giden şarkı nedir?” diye sorabildiğimi söyleyerek şaka yapmıştım. ve bu bana doğru bir şekilde Beethoven’ın Beşinci’sini kastettiğimi söylerdi.
Bir teknoloji bu kadar umut verici olduğunda ve yaşamın ve işin pek çok yönünü iyileştirebildiğinde, herkes onu araçlara, yazılımlara ve günlük cihazlara entegre etmek için acele ediyor. Çok geçmeden buzdolaplarımızla, içindekilere dayanarak tarif fikirleri hakkında sohbet ediyor olacağız. Devletler bu fırsatları şarkılar veya tarifler için değil, bu teknolojilerin getirebileceği işler, ekonomik büyüme ve gelişmiş kamu hizmetleri için de görüyor. Bunun bir örneği, kısa süre önce gelecekteki iş büyümesi için önümüzdeki beş yıl içinde kuantum teknolojilerine 1 milyar dolarlık yatırım yapmayı planladığını açıklayan memleketim Maryland’dir. Ve Maryland yalnız değil; birçok eyalet kendilerini yapay zeka ve kuantum inovasyonunda ön sıralarda konumlandırmak için büyük yatırımlar yapıyor.
Teknoloji istikrarlı, ölçeklenebilir ve uygun maliyetli bir aşamaya ulaştığında endüstri ortakları ve devlet kurumları onu araçlara, sistemlere ve hizmetlere entegre edecek. Ticari bir ürün, kamu sektörü hizmet iyileştirmesi veya eyalet ve federal misyonları destekleyen bir yetenek gibi herkesin kullanabileceği bir şey haline geldiği nokta budur.
Araştırma projeleri sıklıkla birden fazla disiplini ve uyumluluk rejimini kapsadığında kurumlar veri sınıflandırmasını nasıl uygulayabilir?
Genellikle Veri Kaybını Önleme (DLP) ile eşleştirilen veri sınıflandırması, kendine has zorluklarla birlikte gelir ve araştırma projeleri, farklı uyumluluk gerekliliklerine sahip birden fazla disipline yayıldıkça bu karmaşıklıklar daha da büyür. Birçok yönden bu zorluklar, çoğu sınıflandırma çalışmasını destekleyen aynı araç ve süreçler kullanılarak çözülmektedir.
Güvenlik uzmanları olarak, bilgilerin yalnızca bunu yapmaya yetkili kullanıcılar veya sistemler tarafından güvenli bir şekilde alınmasını, saklanmasını ve erişilmesini sağlamaktan sorumluyuz. Bu, kimliklerin doğrulanmasıyla, kimlik bilgilerinin doğru kişilere verilmesiyle ve bilgiye erişmeye çalışan herkesin kimliğinin doğru şekilde doğrulanmasını sağlamakla başlar. Bundan sonra kullanıcının söz konusu belirli verilere erişme yetkisine sahip olduğunu doğrulamamız gerekir.
Ancak bu kontrollerin hiçbiri, öncelikle bazı temel soruları yanıtlamadan işlev göremez. Hangi verilere sahibiz? Nerede saklanıyor? Ne kadar hassas? Bu sorular, disiplin veya uyumluluk çerçevesinden bağımsız olarak evrensel olarak geçerlidir. Araştırma, her biri farklı sınıflandırma kriterleri veya etiketleme süreçleri kullanan çok sayıda kaynaktan veri içeriyorsa, karmaşıklık artar ve uygun erişim kontrollerini uygulamak için verilerin yeterince iyi anlaşılması zorlaşır.
Bu senaryoya yaklaşmanın birkaç yolu vardır. Yalnızca çalışma henüz başlamadığında ideal olan bir yaklaşım, tek bir sınıflandırma çerçevesi üzerinde standartlaştırmak ve tüm katılımcı kurumların herhangi bir veri toplanmadan veya oluşturulmadan önce bunu benimsemesini sağlamaktır. Kuruluşlar farklı dahili yöntemler kullansa bile, etkili işbirliğinin sağlanması için paylaşılan verilerin ortak bir standardı takip etmesi gerekir.
Diğer bir yaklaşım ise mevcut tüm verileri inceleyerek ve güncel ihtiyaçları yansıtan yeni sınıflandırmalar atayarak yeni bir başlangıç yapmaktır. Bu, verileri taramak ve sınıflandırmak için bir araç gerektirebilir, ancak ileriye yönelik temiz ve tutarlı bir temel sağlar.
Bazı durumlarda uygun olan üçüncü bir seçenek, bireysel veri öğeleri yerine tüm grubu veya ortamı sınıflandırmaktır. Örneğin, bir disipline ait veriler topluca “Kısıtlı” veya “Dahili” olarak değerlendirilebilirken, başka bir disipline ait veriler “Gizli” olarak kabul edilebilir. Bu, her şeyi yeniden sınıflandırmadan hızlı erişim kontrolü sağlayabilir. Ancak bu yaklaşım dikkatli olmayı gerektirir çünkü verileri toplu olarak etiketlerken koleksiyonun tamamının, içindeki herhangi bir öğenin gerektirdiği en kısıtlayıcı sınıflandırmayı devralması gerekir.