Yaklaşık 170 kuruluş Katar Ulusal Siber Güvenlik Ajansı tarafından test edildi. Ulusal Siber Tatbikat geçen ay egzersizler.
Bu tür tatbikatlar Orta Doğu’daki siber dayanıklılığın yerleşik bir parçasıdır. Picus Security’nin kurucu ortağı ve bölgenin başka yerlerinde siber tatbikatlara katılan Picus Labs Başkan Yardımcısı etik hacker Süleyman Özarslan, Dark Reading’e nasıl çalıştıklarını anlattı.
Süleyman Özarslan, Picus Güvenlik
Dark Reading: Bu simülasyonlara ne tür varlıklar katılıyor?
Süleyman Özarslan: Katılımcı kuruluşlar genellikle hükümet, enerji, finans, kamu hizmetleri, telekomünikasyon, ulaşım ve sağlık hizmetleri dahil olmak üzere kritik altyapı sektörlerindendir. Örneğin, NATO’nun Kilitli Kalkanları genellikle enerji firmalarını ve teknoloji şirketlerini içerir ve ABD Siber Fırtınası tatbikatlar çeşitli kritik sektör şirketlerini kapsamaktadır.
DR: Şirketler için katılım zorunlu mu yoksa katılmamayı tercih edebilirler mi?
Özarslan: Katılım genellikle gönüllüdür ancak hükümetler, özellikle kritik altyapı sektörlerindeki kuruluşlar için katılımı güçlü bir şekilde teşvik edebilir. Bazı önemli endüstri oyuncuları, düzenleyici gereklilikler nedeniyle katılmaya zorlanabilir. Şirketler, güvenlik açıklarının açığa çıkmasıyla ilgili endişeler, kaynak sınırlamaları veya rekabet nedenleri gibi nedenlerden dolayı bu tercihten vazgeçebilir; ancak bu, değerli içgörüleri ve siber güvenlik hazırlıklarına yönelik iyileştirmeleri kaçırmak anlamına gelebilir.
DR: Egzersizler neleri içeriyor?
Özarslan: Bu simülasyonlardaki tatbikatlar çok çeşitli olabilir ancak genellikle simüle edilmiş siber saldırılara yanıt vermeyi içerir. Bu senaryolar, bir veri ihlalinin veya fidye yazılımı saldırısının yönetilmesini, kritik sistemlere yönelik karmaşık, koordineli saldırılara karşı savunmayı veya bunlardan kurtarmayı içerebilir. Örneğin, Türkiye’deki Finans Sektörü Siber Tatbikatı, gerçek zamanlı tehdit yanıtını içeren canlı fidye yazılımı saldırı simülasyonunu içeriyordu.
DR: Tatbikatları genellikle kim organize ediyor?
Özarslan: Bu simülasyonlar genellikle ulusal veya uluslararası devlet kurumları tarafından düzenlenir. Örneğin, Cyber Guard, ABD Siber Komutanlığının eğitim programının bir parçasıdır ve ENISA, Siber Avrupa’dan sorumludur. Bu kuruluşlar katılımcı sektörlerle işbirliği yapıyor ve bazen tatbikat senaryolarını oluşturmak için üçüncü taraf siber güvenlik uzmanlarını veya simülasyon platformlarını dahil ediyor.
DR: Sonuçlar ne olacak?
Özarslan: Bu simülasyonların sonuçları, başarıları, başarısızlıkları ve iyileştirilecek alanları vurgulayan ayrıntılı değerlendirmeler halinde derlenir. Bu sonuçlar stratejileri geliştirmek, politikaları geliştirmek ve siber güvenlik yatırımlarına rehberlik etmek için kullanılır. Bilgiler genellikle bireysel ve kolektif hazır olma durumlarını geliştirmek için katılımcılar arasında paylaşılır, ancak gizli ayrıntılar gizli tutulur.
DR: Bu simülasyonlarda başarısız olma endişesi var mı?
Özarslan: Evet, katılımcılar, itibarlarına zarar gelme potansiyeli ve rakiplerin zayıflıkları keşfedip istismar etme riski nedeniyle bu simülasyonlarda başarısız olma konusunda endişe duyuyorlar. Bu sorunu çözmek için simülasyonların ayrıntılı sonuçları nadiren kamuya açıklanır. Bu simülasyonların amacı başarılı olmak ya da başarısız olmak değil, düşük riskli bir ortamdaki zayıflıkları tespit etmek ve bu bilgileri genel güvenliği artırmak için kullanmaktır. Gizliliğin sağlanması, katılımcıların süreç konusunda daha rahat hissetmelerine yardımcı olur ve simülasyonlar sırasında tespit edilen eksikliklerden kaynaklanan olumsuz sonuçlardan duyulan korkuyu azaltır.