‘Signalgate’ skandalı kırıldıktan haftalar sonra, Beyaz Saray yetkililerinin sivil olmayan şifreli mesajlaşma hizmetlerini kullanan sorunlar bir uygulama veya bir yetkiliden çok daha büyük. Herhangi bir operasyonun, kamu veya özel sektörün liderleri için en iyi güvenlik uygulamalarını sürekli olarak uygulamak önemlidir.
Güvenlik protokollerinin iyileştirilmesi hakkında hiçbir kamuya açık açıklama yapılmamıştır. Bunun yerine, halk liderlerin sorumlu tutulmayacağını görebilir.
Sürekli bir dizi hata, süreç anlamına gelmez
ABD Ulusal Güvenlik Danışmanı Mike Waltz, teminatsız sinyal sohbetinde neyin tartışıldığını bilmeye gerek olmayan gazeteciyi eklemek için ilk hatayı yaptı.
ABD Savunma Sekreteri Pete Hegseth, gazetecinin yetkilendirildiğini ve sınıflandırılmış bilgileri bilmeye ihtiyaç duyulduğunu doğrulamadan gizli bilgileri yayınlama konusunda ikinci hatayı yaptı.
Başkan Yardımcısı JD Vance gibi kabine düzeyinde yetkililer de dahil olmak üzere sohbetteki herkes, ilk hikaye kırılıncaya kadar üçüncü ve hiçbir şey yapmamanın hatalarını yaptı.
ABD ve müttefikleri, rakiplerinin o hafta ABD askeri planlarından ödün veremedikleri için şanslı olabilirler, ancak tehlikeye atılan şey, Amerikan müttefiklerinin ulusal güvenlik meslektaşlarına olan güveniydi.
Bu rastgele bir siyasi utanç değil. Liderlik temel kuralları isteğe bağlı olarak ele aldığında güvenliğin nasıl çöktüğüne dair bir vaka çalışmasıdır. Ulusal güvenlik liderleri disiplini modellemezse, sistemdeki başka birinin nasıl olması beklenebilir?
Süreçler ve araçlar yeterli değil
Sertifikalı bilgi sistemleri Güvenlik Uzmanı (CISSP) ve COO birden fazla işletme için bilgi güvenliğini destekleyen olarak, şifreleme ve yayınlanmış politikaların yeterli olmadığını ilk elden gördüm.
Tüm güvenlik mesleğine bir hakaret olan Waltz-Hegseth sızıntısı, kötü teknoloji nedeniyle gerçekleşmedi. Sinyal düzgün kullanıldığında mükemmeldir. Hassas bölünmüş bilgi tesisleri (SCIF’ler) gibi güvenli iletişim platformları zaten hükümetin içinde mevcuttur. Peki bu skandal nasıl oldu? Güvenli uygulamalar kültüre dayanır. Ve kültür üstte. Waltz, Hegseth ve diğerleri sorumluluk konusunda rahatlık öncelik verdiler. Kuralların diğer insanlar için orada olduğuna inanıyorlardı.
Aynı riskler özel sektörde de mevcuttur. Finans, sağlık hizmetleri ve savunma endüstrilerinde, protokolü görmezden gelen bir yönetici, özellikle diğerleri protokolün isteğe bağlı olduğuna inanıyorsa, tüm bir kuruluşu tehlikeye atabilir.
Sürekli güvenlik kültürü zorunludur
Sinyal skandalından gelen dersler açık:
• Güvenilir üçüncü taraf güvenlik uzmanları tarafından yapılan sürekli değerlendirmelerden geçen güvenli, yetkili araçları kullanın.
• Sınıflandırılmış bilgileri asla veteriner ağların dışında paylaşmayın ve yalnızca bilme ihtiyacı olanların bu tür bilgileri görebilmesini sağlayın.
• İhlalleri artırın ve ihlal sonuçlarını unvan veya rütbe için istisna olmadan eşit olarak uygulayın.
• Yalnızca belirgin gelir sürücüleri için değil, tüm operasyonlarda güvenlik en iyi uygulamalarını uygulamak için liderlik ile çalışın ve destekleyin.
• Liderleri ve katkıda bulunanları, siber güvenliğe öncelik vermek ve öğrenmeye sürekli olarak yenilemek için, uyum evrakları olarak muamele etmemek için eğitmek.
Üstteki başarısızlıklar izole kalmaz. Kurumlar arasında standartları aşındırırlar ve rakiplere hassas bilgilerle başa çıkmak için gereken olgunluğa sahip olmayan kuruluşları takip edebileceklerini bildirirler. Tehditlerin tam otomatik hale geleceği ve AI kullanacağı, sosyal mühendislik saldırılarını büyük ölçekte az çaba sarf edebileceği yeni bir paradigmaya giriyoruz.
Güvenlik, teknoloji değil liderlik ile başlar. Kurallar sorumlu olanlar için isteğe bağlı hale geldiğinde, sistem zaten tehlikeye atılmıştır.