Çoğu ülke hala güvenilir rakamlar olmadan ulusal siber politika kararları alıyor. Düzenlemeler genellikle hasar meydana geldikten sonra vakaların raporlanmasına odaklanıyor ancak hükümetlere dirençliliğin ileriye dönük bir resmini vermekte başarısız oluyor. Zurich Insurance Group’un yeni bir raporu, bu açığın ekonomileri açıkta bıraktığını ve sistemik tehditlere yanıt verme yeteneğini yavaşlattığını öne sürüyor.
Metrikler neden önemlidir?
Siber güvenlik çoğunlukla uyumluluk veya olay sayımlarıyla ölçülür. Yararlı olsa da bu veriler, bir ülkenin saldırıları absorbe etme ve saldırılardan kurtulma konusunda ne kadar iyi hazırlandığını göstermiyor. Politika yapıcılar siber olaylara yönelik Richter ölçeğinin eşdeğerinden yoksundur. Üzerinde anlaşmaya varılan kriterler olmadan, hükümetler sektörler arasındaki dayanıklılığı karşılaştıramaz veya zaman içindeki ilerlemeyi izleyemez.
Standart önlemlerin bulunmaması, siber riskten korunma açığının boyutunun belirlenmesini de zorlaştırıyor. Siber olaylardan kaynaklanan toplam ekonomik kayıpların yalnızca %1’i şu anda sigortalıdır ve bu rakam, ne kadarının yönetilmediğini vurgulamaktadır.
Altı temel gösterge
Rapor, hükümetlerin ülkelerinin siber saldırılara karşı ne kadar dayanıklı olduğunu anlamak için izleyebilecekleri altı gösterge öneriyor. Bu metriklerin geniş göstergeler olması amaçlanıyor, mükemmel değil ancak işlerin iyiye mi yoksa kötüye mi gittiğini göstermeye yetiyor. Her biri NIST Siber Güvenlik Çerçevesindeki işlevlerle uyumludur ve bu da onları güvenlik liderleri tarafından tanınabilir hale getirir.
Siber sigorta veya denetim sertifikası kapsamı: Siber sigortası veya tanınmış bir güvenlik denetimi olan kuruluşların yüzdesi. Bu, kaç şirketin siber riski finansal koruma veya standartlara uyum yoluyla yönettiğini gösteriyor. Daha yüksek bir rakam, ekonomi genelinde daha fazla farkındalık ve hazırlığa işaret ediyor.
Yaşlanma zayıflıkları: Bir yıldan daha eski olan ve istismar edilen güvenlik açıklarının oranı. Saldırganların hâlâ eski zayıflıkları kullanabiliyor olması, zayıf yama alışkanlıklarına ve düzeltmelerin yavaş olduğuna işaret eder. Bu sayıyı takip etmek, politika yapıcıların kuruluşların bilinen güvenlik açıklarını ne kadar hızlı kapattığını görmelerine yardımcı olur.
Önemli olaylar: Bir raporlama dönemi içindeki büyük ihlal veya saldırıların sayısı. Hükümetlerin, mali kayıp, etkilenen kişi sayısı veya kritik hizmetlerdeki aksama açısından “önemli”nin ne anlama geldiğini tanımlaması gerekecektir. Bunu izlemek, ihlallerin ne sıklıkla meydana geldiğine ve ne kadar ciddi olduğuna ilişkin eğilimlerin belirlenmesine yardımcı olur.
Muhafaza süresi: Tehditlerin tespit edilmesinin ardından izole edilmesi için geçen ortalama süre. Sınırlama, tehdidin tespit edildikten sonra yayılmasının durdurulması anlamına gelir. Daha kısa kontrol altına alma süreleri, hem kamu hem de özel sektörde daha güçlü tespit, koordinasyon ve müdahale yeteneklerini yansıtır.
Restorasyon süresi: Normal operasyonlara dönmek için gereken ortalama süre. Bu, bir ihlal kontrol altına alındığında normale dönmenin ne kadar süreceğini ölçer. Daha hızlı toparlanma, daha yüksek dayanıklılığı ve ekonomi ve toplum üzerinde daha düşük bir genel etkiyi gösterir.
İşgücü açığı: Doldurulmamış siber güvenlik rollerinin yüzdesi, yönetişim ve müdahale açısından bir engeldir. Çok sayıda boş kadro, bir ülkenin siber tehditleri önleme, tespit etme ve bunlara yanıt verme yeteneğini sınırlıyor.
Bu göstergelerin kapsamlı olması amaçlanmamıştır. Politika yapıcıların yorumlayabileceği kadar basit olacak ve güçlü ve zayıf yönlere ilişkin ulusal bir bakış açısı sağlayacak şekilde tasarlandılar.
Veri boşlukları
Şu anda hiçbir ülke altı veri noktasının tamamını tutarlı bir şekilde toplamamaktadır. NIS2 ve DORA gibi kurallar uyarınca olay raporlamanın zorunlu olduğu Avrupa Birliği’nde bile gereklilikler yetersiz kalıyor. Önerilen altı göstergeden yalnızca tespit, AB düzenlemeleri tarafından tamamen kapsanmaktadır. Sınırlama ve kurtarma kısmen takip edilirken sigorta kapsamı, kırılganlık yaşı ve boş iş gücü pozisyonları toplu düzeyde toplanmaz.
Parçalanmış koleksiyon aynı zamanda kör noktalar da yaratır. Örneğin, Avrupa genelinde birden fazla kurum rapor alıyor ancak verileri nadiren birbirleriyle paylaşıyorlar. Bu, sektör çapındaki eğilimleri görmeyi veya ulusal tepkileri bölgesel tepkilerle uyumlu hale getirmeyi zorlaştırıyor.
AB’nin siber olay raporlama düzenlemelerindeki veri boşlukları.
Kurumsal düzeltmeler
Rapor, veri toplamayı standartlaştırmak ve merkezileştirmek için Ulusal Siber İstatistik Bürolarının oluşturulmasını öneriyor. Bu tür bürolar olayları, iş gücü kapasitesini ve dayanıklılık önlemlerini sürekli olarak takip edecek ve bulguları politika yapıcıların harekete geçebileceği şekillerde yayınlayacaktır. Zamanla uluslararası bir kuruluş bu verileri toplayabilir, küresel uyarılar yayınlayabilir ve standartların sınırlar arasında uyumlu hale getirilmesine yardımcı olabilir.
Bu kurumlar olmadan ulusal stratejiler eksik bilgilere dayanmaya devam edecektir. Buna karşılık yapılandırılmış bir büro, ulusal siber sağlığın durumunu bir bakışta gösteren puan kartları üretebilir. Rapordaki açıklayıcı bir örnek, diğer politika alanlarında kullanılan genel kontrol panellerine benzer şekilde, hedeflere yönelik ilerlemeyi izlemek için renk kodlu ölçümler kullanıyor.