Sektörde yılın bu zamanı siber kahinler olmaya çalışıyoruz. Bu çok zor bir iş; 2030’a bakmaya çalıştığınızda bu daha da zor.
Siber güvenlik ortamı bir değişim halinde ve son beş yıl bizi tetikte tuttu. 2020’lerin sonundaki kristal küreye bakmak için elimden geleni yaparken, CISO’ların ve ekiplerinin karşı karşıya olduğu zorlukların daha da karmaşık hale geleceği açık. Sürekli fidye yazılımı tehdidinden siber sabotajın yükselişine kadar tehdit ortamı büyük bir dönüşümden geçiyor. Ve bunun sonuçları sadece teknik olanın ötesine geçiyor; güvenlik liderleri için kişisel sorumluluk potansiyeli de rollerimizi yeniden şekillendirebilecek baş döndürücü bir sorundur.
Önümüzdeki beş yıl içinde ortaya çıktığını görebileceğimiz heyecan verici ve kaotik fırsatlar hakkındaki düşüncelerim şunlardır.
Sabotaj artıyor
Fidye yazılımları varlığını sürdürecek ancak özellikle kritik altyapıyı hedef alan siber ve fiziksel sabotaj saldırılarının bulanıklaşması daha yaygın hale gelebilir. Bunun nedeni, devlet destekli faaliyetler ile suç teşkil eden faaliyetler arasındaki çizgilerin bulanık olmasıdır.
Siber güvenlikte sabotaj, operasyonları aksatmak, zarar vermek veya güvenliği tehlikeye atmak amacıyla dijital verilere veya sistemlere kasıtlı olarak zarar vermek veya bunların manipülasyonunu yapmak anlamına gelir. Siber saldırganlar, operasyonları aksatmayı ve bilgisayar sistemleri ile ağların bütünlüğünü tehlikeye atmayı hedefleyebilir. Bu kötü niyetli faaliyetin, geçici kesintilerden ciddi uzun vadeli sorunlara, mali kayıplara ve veri ihlallerine kadar uzanan ciddi sonuçları olabilir.
Sabotaj ilginçtir çünkü siber güvenlik alanında beş ila 10 yıl önce bulunduğumuz yerden bir sapmayı temsil etmektedir. Daha önce siber güvenlik profesyonellerinin sabotajı birincil tehdit olarak görmesi gerekmiyordu; ancak bu değişiyor. Burada ilginç olan, siber sabotajın yeni olmaması, ancak yaratabileceği etkinin artıyor ve artmaya devam edecek olmasıdır.
Sabotajın daha fazla endişe verici olduğunu öne süren son olaylar, Kuzey Akımı gaz boru hattı saldırıları ve Baltık Denizi’nde yakın zamanda yaşanan bir fiber optik kablo olayı gibi. Kritik altyapılara yönelik bu tür fiziksel saldırılar, potansiyel sabotaj eylemleri olarak görülüyor. Sabotaj oldukça politik bir konu; bu da siber güvenlik uzmanlarının önümüzdeki yıllarda hassas jeopolitik meselelere karışmaktan kaçınmak için dikkatli olmaları gerekebileceği anlamına geliyor.
Riskli iş
Yapay zeka (AI) gibi yeni teknolojilerin ortaya çıkışı, veri sahipliği ve gizlilik sorunları gibi kuruluşların yönetmesi gereken yeni riskleri ve istenmeyen sonuçları beraberinde getirecektir. Bu, yapay zekayı kullanarak önemli kararlar almaya başlarsak, etraflarında sağlam ve açıklanabilir güvenlik önlemlerinin olmasını sağlamamız gerektiği gerçeğiyle de paraleldir. Heyecan verici alanlardan biri de Birleşik Krallık’taki Yapay Zeka Güvenlik Enstitüsü ve Frontier Yapay Zeka modellerinin güvenli kullanımına nasıl baktıklarıdır.
Yapay zeka, hem yararlı hem de kötü amaçlı kullanılabilecek güçlü bir teknolojidir. Verimlilik kazanımları sağlayıp tehditlere karşı savunmaya yardımcı olabilse de, aynı zamanda kötüye kullanım potansiyeline de sahiptir. Bu teknolojilerin büyümesi, kuruluşların yönetmesi gereken yeni ve tesadüfi riskleri ve sonuçları beraberinde getirecektir.
Bir kuruluş tüm verilerini yapay zeka destekli bir sisteme koyarsa ve ardından sistem başarısız olursa veya şirket iflas ederse ne olur? Verinin kime ait olduğu ve ona ne olacağı konusunda (en yüksek teklifi verene satılması gibi) sorunlar yaşanabilir. 23andMe’yi ele alalım; bu verilerin sahibi şu anda kim?
Bunun gibi olumsuz sonuçlardan kaçınmak için yapay zekayı ve diğer gelişen teknolojileri benimsemenin etik sonuçlarını dikkatle değerlendirmemiz gerekiyor.
Sigorta yaptırmanın zamanı geldi
Siber güvenlik, insanların yemek masasında konuştuğu bir konu. Annemin bundan bahsetmesinin iyi mi yoksa ayıltıcı mı olduğuna karar veremiyorum. Siber güvenliğe yönelik bu artan farkındalık ve ilgi, CISO’ların daha yüksek standartlara tabi tutulduğu ve “doğru” kararlar alma konusunda daha fazla baskıyla karşı karşıya kaldığı bir duruma yol açıyor.
Bir CISO’nun aldığı kararlar riskleri yansıtır ve biz genellikle birinin kazara sorun yaratmasını engellemeye çalışırız. Yanlış karar verirsek CISO’lar yasal açıdan sorumlu ve sorumlu mudur?
CISO’ların, şirket yöneticilerinin yaptığı gibi kişisel sorumluluk sigortasına sahip olup olmaması gerektiği konusunda devam eden bir tartışma var. Bunun nedeni, CISO’ların kuruluş adına verdiği kararların riskli kararlar olarak görülebilmesi ve bu kararların yanlış çıkması durumunda CISO’nun potansiyel olarak sorumlu tutulabilmesidir.
Uber vakasında olduğu gibi, bir güvenlik olayına veya ihlaline yol açacak bir karar vermeleri durumunda CISO’ların hukuk davasında veya ceza davasında yasal olarak sorumlu tutulduğunu görmeye başlayabiliriz.
Kristal kürem önümüzdeki beş yıl için biraz bulanık olsa da, bir şey açık: CISO’lar ve güvenlik ekipleri çeşitli zorluklarla karşılaşacak. Daha fazla düzenleme, artan tehdit ortamı ve siber sabotaj potansiyeli nedeniyle dikkatli bir denge kurmamız gerekecek.
Ama her şey karamsarlık ve kasvet değil! İyimser olunacak çok şey var. Siber güvenlik konusunda artan farkındalık, farklı yetenekleri çekmenin ve daha fazla endüstri işbirliğini teşvik etmenin kapılarını açıyor. Ayrıca yapay zeka, tehditlere karşı daha verimli ve daha iyi savunma vaat ediyor. Potansiyel risklerle doğrudan mücadele ederek bu trendlerin olumlu yönlerini benimseyebilir ve geleceğe iyi hazırlanabiliriz.