RSA’ya 20 yıldan uzun süredir katılma ayrıcalığına sahibim, ancak bu konferans asla eskimiyor! RSA 2024’üm Pazar günü başladı, bir grup Siber Güvenlik yöneticisiyle bir Yönetim Kurulu için siber güvenlik risklerini tercüme etme konusunda konuştum. Bu konu hakkındaki Ulusal Kurumsal Yöneticiler Birliği (NACD) kılavuzu birkaç kez gündeme geldi, bunu yararlı buluyorum ve siz de buna atıfta bulunuyorsunuz.
Konferans resmi olarak Pazartesi günü başladı ve teması “Mümkün Olanın Sanatı”ydı. Konferans, San Francisco’nun Moscone Merkezi ve çevresindeki alanlarda 40.000’den fazla siber güvenlik uzmanı ve iş lideri için bir buluşma noktası görevi gördü. Bu yılki tartışmalar, siber güvenlik yeniliklerinin ön saflarına, ortaya çıkan tehditlere ve verilerin yeni çevre haline geldiği gelişen manzaraya odaklandı.
Benim çıkardığım en önemli ders, sektörümüzde birçok önemli temanın gelişmekte olduğu ve Kimlik’in yeni çevre olmaktan çıkıp, Veri’nin siber güvenliğin yeni çevresi haline geldiği ve çoğu şirketin bu alanı tanımlamakta zorluk çektiğidir.
Bazen siber güvenliğin bir satranç oyununa benzediğini duydum. Satrançta tüm alanı veya bu durumda satranç tahtasını gördüğünüzü iddia ediyorum. Tüm taşların nerede olduğunu ve nasıl hareket etmelerine izin verildiğini biliyorsunuz. Bence satranç çok siyah ve beyaz, kelime oyununu mazur görün, satranç tahtasının renkleriyle ilgili. Bence bizim zanaatımız daha çok eksik veri kümelerine dayalı olasılıksal bahisler yaptığımız bir dizi poker eline benziyor. Pokerde yalnızca kartlarınızı ve yalnızca rakiplerinizin oynadığı elleri görmeye benzer.
Bunları akılda tutarak, konferansın temel içgörülerini inceleyelim ve yapay zekanın etkileri, veri yönetimi, jeopolitik tehditler, kuantum hesaplama ve modern siber güvenlikte dayanıklılığın önemi konularına odaklanalım.
Siber Güvenlikte Yapay Zeka
Yapay Zeka (AI), siber güvenlik üzerindeki etkisini keşfetmeye ayrılmış 100’den fazla oturumla merkezi bir tema olarak ortaya çıktı. Tartışmalar, AI’nın sunduğu fırsatları ve zorlukları vurguladı. Uzmanlar, üretken AI’yı diğer AI türlerinden ayırmanın gerekliliğini vurguladı ve büyük dil modellerinin siber güvenlik araçlarını nasıl geliştirebileceğini araştırdı. AI’nın hem bir savunucu hem de potansiyel bir tehdit olarak hareket eden ikili doğası, tekrar eden bir konuydu.
CrowdStrike CEO’su George Kurtz, siber suçluların önünde kalmak için AI destekli yeni nesil Güvenlik Bilgi ve Olay Yönetimi (SIEM) çözümlerini benimsemenin kritik gerekliliğini vurguladı. AI’nın siber tehditleri ortaya çıkmadan önce tahmin etme ve önleme yeteneği, oyunun kurallarını değiştiren bir unsur olarak görülüyor. Ancak, gölge BT’ye benzer “gölge AI” ile ilgili endişeler dile getirilerek, kuruluşlar içindeki yetkisiz AI uygulamalarının izlenmesi ve düzenlenmesinin önemi vurgulandı.
Veri Yönetimi: Yeni Siber Güvenlik Çevresi
On yıl önce, verinin yeni petrol olduğunu benzetmeye başladık. Verinin güçlendirebileceği, ancak aynı zamanda tehlikeye atabileceği göz önüne alındığında, o günün yeni uranyum olduğunu öne sürerim. Uranyumunuzun nerede olduğunu bilmek ister misiniz?
Kuruluşlar operasyonlarını giderek daha fazla dijitalleştirdikçe, veriler siber güvenlikte yeni bir çevre haline geldi. “Dünya Bankası, yönetişimi “bir ülkenin ekonomik ve sosyal kaynaklarının kalkınma için yönetiminde gücün kullanılma biçimi” olarak tanımlıyor. Yönetişim, aktörler arasındaki çatışmaları çözmek ve karar (yasallık) benimsemek için siyasi sistemin kuralları olarak tanımlanmıştır.” Bilimsel Devrim’e katkıda bulunan Toskanalı fizikçi, matematikçi, astronom ve filozof Galileo Galilei bir keresinde “Şarap, suyla bir arada tutulan güneş ışığıdır.” demişti. Bunu, “Dayanıklılık, yönetişimle bir arada tutulan uygulamadır.” olarak çevirebiliriz. RSA Konferansı 2024, farklı organizasyonel düzeylerde verileri yönetme ve güvence altına almanın karmaşıklıklarını ele alarak veri yönetişimini ön plana çıkardı. Etkili veri yönetişim politikaları, gelişen standartlara uyumu sağlamada ve hassas bilgileri korumada çok önemlidir.
Dayanıklılıktan bahsetmişken…
Dayanıklılık Oluşturma: Teknolojinin Ötesinde
Siber güvenlikte dayanıklılık, gelişmiş teknolojileri uygulamanın ötesine geçer. RSA Konferansı, dayanıklı bir siber güvenlik duruşu oluşturmak için farklı paydaş grupları arasında iş birliğini teşvik etmenin önemini vurguladı. Mandiant CEO’su Kevin Mandia, fidye yazılımı gruplarının gelişen taktiklerini ve dayanıklılığa bütünsel bir yaklaşımın gerekliliğini vurguladı. İşler ters gittiğinde bir Baş Güvenlik Görevlisi olarak kendinize sormanız gereken basit bir soru şudur: “Ciddi bir ihlal olduğunda benimle kim acı çekecek?” Oyunda yer almaları için teşvik edilen bir paydaş listeniz yoksa, yerinde iş birlikçi ve dayanıklı bir ekibiniz de yoktur. Bugün bir tane oluşturmaya başlamak için iyi bir zamandır.
Jeopolitik Endişeler ve Siber Güvenlik
Siber güvenlik ve jeopolitiğin kesişimi RSA 2024’te önemli bir odak noktasıydı. Ulus-devlet aktörlerinin yükselişi ve karmaşık siber kampanyalarıyla, sağlam ve koordineli bir savunma stratejisine duyulan ihtiyaç hiç bu kadar kritik olmamıştı. CISA Direktörü Jen Easterly, Çin gibi ülkelerden gelen artan tehditleri vurguladı ve “tasarım gereği güvenli” bir altyapı inşa etmenin önemini vurguladı.
68 önde gelen yazılım üreticisinin ürün güvenliğini başlangıçtan itibaren geliştirmek için imzaladığı gönüllü taahhüt, dikkate değer bir gelişmeydi. Bu taahhüt, yaygın güvenlik açıklarını ele almayı, çok faktörlü kimlik doğrulamayı teşvik etmeyi ve güvenlik açığı açıklamalarında şeffaflığı artırmayı hedefliyor ve konferansta sıcak bir konu olan Ransomware çağında zarar veremez. Bu tür işbirlikçi çabalar, ulusal siber güvenlik savunmalarını güçlendirmede önemlidir.
Kuantum Bilgisayarı ve Kriptografi
Veri işleme ve şifrelemede devrim yaratma potansiyeline sahip kuantum bilişim, bir diğer ilgi çekici temaydı. Whitfield Diffie ve Adi Shamir gibi ünlü kriptograflar, kuantum bilişiminin mevcut kriptografik teknikler üzerindeki etkilerini tartıştılar. Panel, kuantum bilgisayarların mevcut şifreleme standartlarını ihlal etmesiyle ilgili endişeleri ve kuantum dirençli algoritmalar geliştirme ihtiyacını ele aldı.
Kuantum bilişimindeki son gelişmeler ve korkular, kuantum sonrası bir dünyaya hazırlanmanın aciliyetini vurguladı. Kuruluşların bu alandaki gelişmeler hakkında bilgi sahibi olmaları ve kuantum güvenli kriptografik yöntemlere geçiş için planlamaya başlamaları önerilir.
Siber Güvenliğin Geleceği: Olasılık Sanatını Kucaklamak
İleriye baktığımızda, RSA Konferansı 2024’ten gelen içgörüler karmaşık ve sürekli gelişen siber güvenlik ortamında gezinmek için bir yol haritası sunuyor. “Olası Olanın Sanatı” teması, zorlukların kaçınılmaz olsa da, bunların inovasyon, iş birliği ve ileri görüşlü bir zihniyetle üstesinden gelinebileceğini hatırlatıyor.
- AI Odaklı Çözümleri Benimseyin: Tehdit algılama ve yanıt yeteneklerini geliştirmek için AI’dan yararlanmak hayati önem taşır. Kuruluşlar, AI’nın iki ucu keskin bir kılıç haline gelmesini önlemek için AI’nın etik ve güvenli kullanımı konusunda dikkatli olmalıdır.
- Veri Yönetimine Öncelik Verin: Verinin yeni çevre olmasıyla birlikte, sağlam veri yönetimi politikaları esastır. Kuruluşun tüm seviyelerinde veri bütünlüğünün, uyumluluğun ve güvenliğin sağlanması riskleri azaltabilir ve genel siber güvenlik duruşunu iyileştirebilir.
- Jeopolitik Savunmayı Güçlendirin: Artan ulus-devlet tehditleri karşısında, koordineli ve proaktif bir savunma stratejisi hayati önem taşır. “Tasarıma göre güvenli” taahhüdü gibi işbirlikçi girişimler, ulusal ve kurumsal siber güvenlik dayanıklılığını önemli ölçüde artırabilir.
- Kuantum Bilgisayarlara Hazırlıklı Olun: Kuantum bilgisayarlardaki gelişmelerin önünde kalmak ve kuantum dirençli kriptografiye yönelik planlama yapmak, gelecekte güvenli iletişim ve veri korumasını sürdürmek açısından kritik önem taşıyacaktır.
- İşbirliğiyle Dayanıklılık Oluşturun: Teknoloji tek başına siber güvenliği garanti edemez. Dayanıklılık oluşturmak, tüm paydaşların kolektif çabasını, bir güvenlik farkındalığı kültürünü teşvik etmeyi ve farklı sektörler arasında işbirliğini teşvik etmeyi gerektirir.
RSA Konferansı 2024, siber güvenlikteki olasılıkların sınırsız olduğu bir gelecek için sahneyi hazırladı. Yeniliği benimseyerek, veri yönetimine öncelik vererek ve iş birliğini teşvik ederek, önümüzdeki zorlukların üstesinden gelebilir ve daha güvenli bir dijital dünya sağlayabiliriz.
Çözüm
RSA Konferansı 2024’ün temel çıkarımları, verilerin tartışmasız yeni çevre haline gelmesiyle siber güvenliğin dinamik doğasını vurguluyor. Etkili yönetişim, son teknoloji ve işbirlikçi çabalarla birleştiğinde, karşı karşıya olduğumuz risk olasılıklarını yönetmek için anahtar olacaktır. “Olasılığın Sanatı”nı benimsemek yalnızca bir tema değil, siber güvenlik topluluğunun zorlukların üstesinden gelmesi ve dayanıklı, güvenli bir dünya yaratması için harekete geçme çağrısıdır. Gary Miliefsky ve Cyber Defense Magazine ekibine teşekkürler. 31 Ekim’de yıllık konferanslarında konuşma yapacağımst – 1 KasımstGary ve ekibi birinci sınıf bir etkinlik düzenliyor ve katılmanızı tavsiye ediyorum!
yazar hakkında
Nick Shevelyov, şirketlerin risk stratejilerini geliştirmelerine ve ürün şirketlerinin pazara giriş hikayelerini ve kanal geliştirmelerini iyileştirmelerine yardımcı olan bir siber güvenlik ve veri gizliliği Danışmanlık ve Danışmanlık firması olan vCSO.ai’nin Kurucusu ve Yönetici Ortağıdır. İnovasyon ekonomisinin bankası olan Silicon Valley Bank’ta eski Baş Güvenlik Görevlisi’dir (2007 – 2021). “Siber Savaş… ve Barış”ın yazarıdır, çeşitli süreli yayınlar yayınlamıştır, Bay Area CSO Konseyi Yönetim Kurulu’nda yer almaktadır ve çeşitli Girişim Sermayesi ve Özel Sermaye şirketlerine danışmanlık yapmaktadır.