Microsoft, stratejik liderlikteki sistemsel sorunlar nedeniyle siber güvenlikte başarısızlıklar yaşıyor.
Dünya, Microsoft ürünleri ve hizmetleriyle ilgili siber güvenlik sorunlarının endişe verici bir eğilimine tanık oluyor. Son birkaç yıldır Microsoft, bulut ve e-posta ortamlarının tehlikeye atıldığı birkaç ciddi saldırıya maruz kaldı. Bazı durumlarda, müşteriler karanlıkta bırakıldı ve saldırganlara kurbanları istismar etmeleri ve etkilenenlerin zararına daha da derinlere yerleşmeleri için ek zaman verildi.
Microsoft, müşterilerden temel güvenlik araçlarını ve içgörülerini esirgeyerek (veya ek satış yapmayı düşünerek) hizmet ve güvenin temel yönlerini göz ardı etti. ABD İç Güvenlik Siber Güvenlik İnceleme Kurulu’nun (CSRB) Microsoft’un bulut ortamının 2023’teki ihlaline yönelik yaptığı bir araştırma, hata dizisinin önlenebilir olduğu ve “Microsoft’un güvenlik kültürünün yetersiz olduğu ve elden geçirilmesi gerektiği” sonucuna vardı.
Haziran 2024’te Microsoft, Recall adlı yeni bir ürün özelliğini duyurdu. Siber güvenlik sektörü endişelerini hemen dile getirdi: özellik açıkça sağduyulu güvenlikten yoksundu, gizlilik hususlarını göz ardı ediyordu ve varsayılan olarak kullanıcılara dayatılmak üzere tasarlanmıştı. (Güvenlik uzmanlarına göre) tüketicilerden çok siber saldırganlar için daha faydalı olacaktı.
Microsoft, siber güvenlik uzmanlarının uyarılarına ve tavsiyelerine karşı ısrarla sağır oldu. Her durumda, “bunu yapabilir miyiz?” ürün geliri hedefleri, “yapmalı mıyız?” perspektiflerine üstün geldi. Bu strateji, uzun vadeli kademeli siber güvenlik etkilerine yol açtı.
Yarım önlemler
Microsoft, teknik güvenlik açıklarına karşı kodu güçlendirmeye odaklanan güvenlik mühendisliğine büyük miktarda para harcıyor. Ancak bir şeyin yaratılıp yaratılmaması, kullanıma sunulup sunulmaması, sürdürülebilir bir şekilde güvence altına alınıp alınamayacağı veya nasıl kötüye kullanılabileceği konusunda çok az yatırım yapıldığı aşikar hale geldi.
Son Güvenli Gelecek Girişimleri (SFI) yine teknik açıklara odaklanıyor ve halihazırda yaptıkları işi ikiye katlıyor; ancak bunu dahili kodun ötesine genişletmeye veya saldırganların müşterileri mağdur etmek için nasıl manevra yapacaklarını daha iyi anlamaya yönelik hiçbir belirti yok.
Hakimiyeti ve geniş ürün benimsemesi göz önüne alındığında, Microsoft oldukça arzu edilen bir hedeftir. Böylesine bir yenilikçi ve teknoloji devi için bu tür kritik siber güvenlik değerlendirmelerinden kaçınmak utanç vericidir.
Microsoft’un ABD Kongresi’ndeki tanıklık da dahil olmak üzere tüm örneklerdeki yanıtı eşit derecede etkileyici olmamıştır. Uzmanlar net endişeler ve sorunlar dile getirdiğinde, Microsoft’un küçümseyici yanıtı, açıklanan sorunların doğasını anlama konusundaki yetersizliğini göstermektedir. Microsoft yalnızca tartışmalar viral hale geldiğinde yanıt vermiştir, ancak genellikle eksikliklerinin anlamlılığını dile getirmenin faydası olmaksızın bazı önerileri genel olarak kabul etmiştir. Bu durum uzmanları ve teknoloji meraklısı müşterileri hayal kırıklığına uğratmaya devam etmektedir.
Örneğin, Microsoft’un yönetim kurulu yakın zamanda iki adımı onayladı: kıdemli yöneticilerin yıllık ikramiyelerinin kısmen siber güvenliğe bağlı olacağına dair söz verdiler ve Microsoft’taki her çalışan için güvenlik ölçütlerini ve hedeflerini karşılamak için çalışanların çabalarına daha fazla vurgu yapacak iki yılda bir inceleme başlatma sözü verdiler. Kusurlu süreçlerin ve yetersiz organizasyonel yapıların sorun olduğunun farkında değiller.
Bu artan alaka yolu net bir çözüm değildir, çünkü temel sorunu ele almaz. Gerekli içgörüleri içermeyen kusurlu planlara ve süreçlere daha fazla yatırım yapmak önemli ölçüde daha iyi bir sonuç üretmez. Bu tür kamusal iyileştirmeler anlamlı hiçbir şeyi ele almaz ve bir pazarlama taktiği gibi görünür.
Microsoft’un Başkan Yardımcısı ve Başkanı Brad Smith’in Kongre önünde konuşmasından ve güvence vermesinden sadece birkaç hafta sonra bir utanç daha yaşandı: Microsoft, Office ürünlerine ait bazı güvenlik sertifikalarının süresinin dolmasına izin verdi ve müşterileri, süresi dolan sertifikalar için faaliyetleri engelleyen kötü amaçlı yazılım önleme ajanlarından güvenlik uyarıları aldı.
Sertifikaları yenilemek, piyasaya sürülen ürünlerin siber güvenliğini sürdürmek için temel bir işlevdir, ancak Microsoft nedense bu kadar basit bir şeyi (sadece birkaç yılda bir yapılması gereken) yapmayı başaramadı. Daha da kötüsü, böyle bir şey ilk kez olmuyordu; Microsoft’un bu kadar temel ve basit bir sürece karşı tekrarlanan ilgisizliği anlamlıdır.
Bu sorunlar sistemseldir ve bu nedenle devam edecektir. Gelecekte projeler, ürünler ve hizmetler genelinde Microsoft’un üst düzey yöneticilerini ve yönetim kurulu üyelerini görünüşte ilgisiz şekillerde şaşırtmaya devam edeceklerdir. Yönetim bugüne kadar temel nedeni keşfedemedi ve temel sorunları ele almadan sorunlar devam edecektir.
Kök neden
İnanması zor olabilir, ancak sorunun özü TEKNİK DEĞİLDİR. Aksine, ürünlerin, hatta iyi yapılmış olanların bile, nasıl kötüye kullanılacağına veya piyasaya sürüldükten sonra kabul edilemez riskler getiren karmaşık manevralarda nasıl rol oynayacağına dair stratejik bir anlayış eksikliğidir.
Ne kadar hoş olmasa da, asıl neden siber güvenliğin doğası ve kapsamı konusunda gerekli stratejik içgörülere sahip liderliğin eksikliğidir.
Microsoft’un birincil güvenlik odağı – kodun istismar edilebilir güvenlik açıklarına sahip olmamasını sağlamak – siber güvenliğin bir parçasıdır, ancak diğer hususlar da önemlidir: Kötü niyetli kişiler tarafından mükemmel bir şekilde çalışan bir araç nasıl kullanılabilir? Ürünleri zaman içinde güvenli bir şekilde sürdürmek için hangi taahhüt gereklidir? Bir müşteri güvenliğin tehlikeye girdiğini nasıl hızla fark edebilir? Bir araç hangi riskleri beraberinde getirir? Kimler aracı kullanmaya yetkili olmalıdır? Mağdurlar etkilendiğinde etkili bir şekilde nasıl yanıt verebilir?
Son olaylar ve iş kararları Microsoft’un bu boyutlardan habersiz olduğunu gösteriyor. Doğru nitelikli liderlik (1) kültürün hesap verebilirliğini genişletmek ve (2) mevcut operasyonel zihniyeti tasarım ve iş kararlarının uzun vadeli hesap verebilirliğini içerecek şekilde dönüştürmek için yetkilendirilmediği sürece hiçbir miktarda para, pazarlama, eğitim veya düzeltici eylem planı bu sistemsel sorunu çözmeyecektir.
Otomotiv güvenliği, güçlü kapı kilitlerine sahip arabalar üretmekten daha fazlasıdır. Aynısı, bilgisayar ortamları, işletim sistemleri ve yazılımlar için de geçerlidir.
Microsoft’un istismar edilebilir güvenlik açıklarından arındırılmış, güçlendirilmiş kodlara odaklanması, ürün dünyaya sunulduğunda ortaya çıkacak karmaşık riskleri ve birbiriyle ilişkili sonuçları gölgede bırakıyor.
Liderlik kararları
İkilem çözülebilir, ancak daha fazla teknik mühendislik uygulanarak değil. Aslında, mevcut duruma en büyük katkıda bulunan muhtemelen budur. Teknik siber güvenlik mimarları, mühendisleri ve geliştiricileri, bir ürünün güvenli bir şekilde kodlandığından emin olmada önemli bir rol oynarlar, ancak bu tür çözümlerin kötüye kullanıldığında, tehlikeye atıldığında veya manipüle edildiğinde ekosistem genelinde nasıl sorunlar yaratacağını anlamada doğal olarak yetenekli değillerdir.
Temel sorunlar çözülmediği sürece bu sorunlar birçok platform, özellik ve üründe ortaya çıkmaya devam edecektir. Kök sorun, çalışanlarının teknolojik bilgisinde değil, daha ziyade, düşmanca bir ortamın stratejik sorunlarıyla başa çıkma konusunda gerekli deneyime sahip liderlere dayanan daha geniş denetimde yatmaktadır.
Temel değişiklik, Microsoft’un Microsoft ürün ve hizmetlerinin stratejik siber güvenlik denetiminden sorumlu liderliği kurmasını, uygun şekilde kadrolandırmasını ve güçlendirmesini gerektiriyor.
Bu ekip, müşterilerle uzun süreli güven oluşturmak için özellikler ve ürünler için alt akış sonuçlarını ve sektör etkilerini değerlendirmeye odaklanacaktır. Ayrıca, siber güvenlik yatırımlarının hissedarlar ve ortakların genel faydası için ürün ve hizmetlerin alt satırına sağlayabileceği değeri en üst düzeye çıkarmak için iş birliği yapacaklardır.
Anahtar kopyaları
1. Siber güvenlik tuzaklarından kaçınmalarına ve yenilik yapmalarına yardımcı olmak, bu ürünlere ilişkin güvenlik, gizlilik, emniyet ve güvenin genel rekabet avantajı değerini artırmak için her ürün ve hizmet bölümüyle yakın bir şekilde çalışacak stratejik bir siber güvenlik liderlik ekibi kurulmalıdır.
2. Ekibin kendisi, siber güvenlik manzarasını anlayan oldukça deneyimli bir siber güvenlik lideri tarafından oluşturulmalı ve yönetilmelidir. Lider, siber güvenliğin koruma ve uyumluluk sağlamakla sınırlı olmadığını, aynı zamanda rekabet avantajı ve genel iş hedeflerine değerli bir katkıda bulunabileceğini de bilmelidir.
Bu kişinin gerçek siber güvenlik operasyonlarına, sektör iş birliğine, stratejik deneyime ve bu tür işler için güçlü bir üne ihtiyacı vardır. Başka bir disiplinden harika bir lideri nakletmek başarıya giden bir yol değildir. Siber güvenliğin nüanslarının üstesinden gelmek için gereken belirli beceriler vardır. Sorumlu yönetici olarak bir iş, teknoloji, hukuk veya başka bir yönetim uzmanını yerleştirmek, gerçekleşmeyi bekleyen bir başarısızlıktır. Kendi alanlarında veya bitişik alanlarda çok yetenekli olabilirler, ancak bunlar istenen siber güvenlik hedeflerine ulaşmak için yeterli düzeyde transfer olmayacaktır. Birçok kuruluşun öğrendiği zor bir derstir, ancak Microsoft’un hala öğrenmesi gerekir.
3. Ürünün başlangıcından kullanım ömrünün sonuna kadar, stratejik siber güvenlik liderlik ekibinin yerleşik siber güvenlik ilkeleri ve hedefleriyle uyumu denetlediği bir gözetim inceleme ve onay süreci başlatın.
4. Erken tasarım ve mimari aşamalarında, sürüm yayınlarında ve siber güvenliğin müşterilerin genel güvenini etkileyebileceği olaylarda ek inceleme, içgörü ve öneriler için harici sektör uzmanlarını ve danışmanlarını içeren resmi bir süreç oluşturun.
5. Müşterilerin güvenini artırmak için siber güvenliğe yönelik genel güvenlik stratejisi, risk/fayda tartışmaları ve bütünsel yaklaşımın belirlenmesinde medya, düzenleyiciler, hükümetler ve ortaklarla yapılacak tartışmalara öncülük edecek veya yetkiyle katkıda bulunacak yeni ekibi konumlandırın.
Başarı artık yakın ve dünya, pazardaki benzersiz konumu nedeniyle Microsoft’un liderlik etmesini bekliyor.
Bay Nadella, Microsoft’un vizyon sahibi lideri olarak karar sizin, devam eden başarısızlıkların yükü de sizin. Bu sorunları çözmek ve hissedarlar ve küresel dijital ekosistemin yararına daha iyi ve daha rekabetçi bir siber güvenlik kültürü, yeteneği ve destekleyici süreçler oluşturmak için doğru liderliği getirmenizi rica ediyorum.