Yazan: Miguel Clarke, Armor’da GRC ve Siber Güvenlik Lideri ve eski FBI Özel Ajanı
Siber güvenlik kavramıyla ilk kez 2000 yılında tanıştım. O zamanlar Dallas FBI Saha Ofisi’nin 25’ten az e-posta adresi vardı ve bu adresler, o zamanlar “Ulusal Bilgi Koruma Merkezi” olarak bilinen Siber Ekip’in özel yetki alanına girmekteydi. ”veya NIPC Ekibi. Dışarıdan bakanlar için biz sadece bilgisayarlarla oynayan bir grup inek gibiydik.
Gerçekte biz, henüz kamuya açıklanmayan, yeni ortaya çıkan bir tehdidin önünde durmak için umutsuz bir mücadele içinde sıkışıp kalan 12 FBI Özel Ajanıydık. Perde arkasında Amerika Birleşik Devletleri İstihbarat Topluluğu alarma geçti; ulusumuzun düşmanlarının casusluklarını ve casusluk kampanyalarını daha da etkili hale getirmek için ağları zaten kullandıkları gerçeğini kabul etti.
O uzak günlerde, güvenlik işlevi, teknolojinin mevcut olduğundan ve düzgün çalıştığından emin olmakla görevli bilgi teknolojisi ekipleri için yalnızca ikincil bir görevdi. Günümüzün ihlali geniş çapta uygulanmamıştı. ‘Saldırılar’ tahrif edilmiş web sayfaları ve Hizmet Reddi Saldırıları şeklinde gerçekleşti. Ama sorun değildi, çünkü kötü adamlar öne geçtiğinde, iyi adamlar bir çözümle geri gelip günü kurtardılar.
Sorun şu ki, günümüzün risk algısı bu tarihe dayanıyor; ‘sihirli değnek’ teknolojileriyle donanmış iyi adamların üstesinden geleceği bir güven. Günümüz ağ savunucularına, makul hazırlıkların yeterli korumayı sağlayacağı konusunda bir miktar rahatlık sağlar. Ancak şu andaki sorun teknolojinin her yerde olmasıdır. İletişimden eğlenceye, bankacılığa kadar her şey için kullanıyoruz. Teknolojiye olan bu bağımlılık bizi siber güvenlik risklerine karşı daha savunmasız hale getirdi. Saldırganın artık yararlanabileceği iki güvenlik açığı vardır; insanlar ve teknoloji. Ve hatta onları riskten korumak için tasarlanmış teknoloji.
Ancak bunu okuyan herkes sorunun boyutunu biliyor. Siber suç 6 trilyon dolarlık bir sektör, siber güvenlik ise 200 milyar dolarlık bir sektör. Ancak ne kadar harcarsak harcayalım, daha güvende olmuyoruz. Bu artık üstesinden gelemeyeceğimiz bir sorun haline geldi. Ve bir işletme olarak güvenliğe giden yolu harcayamazsınız. Bu asimetrik bir savaş.
Bir FBI Özel Ajanı olarak ‘zihniyet’ hem eğitimimin hem de soruşturmalara yaklaşma yöntemimin çok önemli bir parçasıydı. İnsanlar olarak beynimiz herhangi bir bilgisayardan daha karmaşık ve muhteşemdir, ancak konu risk ve siber güvenlik olduğunda, teknolojik ‘düzeltme’ye olan bağımlılığımızın bizi bunları kullanmaktan alıkoymasından endişeleniyorum. Kamu yararına çalışan bir teknoloji uzmanı olan Bruce Schneier şunları söyledi: “Teknolojinin güvenlik sorunlarınızı çözebileceğini düşünüyorsanız, o zaman sorunları anlamıyorsunuz ve teknolojiyi anlamıyorsunuz” ve buna daha fazla katılmıyorum. Bir noktada hem güvenlik açığı hem de çözüm olarak insan faktörünün önemini unuttuk.
Öncelikle insan faktörünü bir kırılganlık olarak inceleyelim. Çoğu kuruluş, çalışanlarına yüksek düzeyde güven ve erişim sağlar ve bu da onları, çalışanların yaptığı hem kötü niyetli eylemlere hem de kötü niyetli olmayan hatalara anında maruz bırakır. Ne yazık ki, pek çok fayda sağlamasına rağmen, birden fazla cihaz, uygulama ve program aracılığıyla artan bağlantımız iki şey sağladı: bilgi sızdırmak için daha fazla sayıda çıkış noktası ve kritik bilgilere daha fazla erişime sahip daha fazla sayıda insan.
İnsan faktörü şüphesiz herhangi bir BT altyapısının güvenliğindeki en zayıf halkadır. Fidye Yazılımı ve Ticari E-posta Güvenliğinin Ele Geçirilmesi gibi tehditler insan zihniyetinin istismarına dayanır, bu nedenle insanlarla ilgili riskleri göz ardı etmek sizin için tehlike oluşturur. Ayrıca, tehdidin arkasında, manipülatif ve incelikli davranışlar sergileme yeteneğine sahip başka bir insanın bulunduğunu da unutmayın; bu nedenle politikalar ve teknoloji, kötü niyetli eylemleri engelleyebilse de, insanlar doğası gereği öngörülemez olduğundan riskler ortadan kaldırılamaz.
İnsan faktörünün riskini kabul etmek, işletmenizdeki her teknoloji kullanıcısının dikkate alınması gerektiğini hatırlamak anlamına gelir. Risk ve siber güvenlik, BT departmanınızın tek alanı değildir ve bilgisayar korsanlarının siber güvenlik konusunda bilgili kişileri hedeflemesi muhtemel olmadığından, BT yönetişimi ve risk yönetimini kapalı tutmak verimsizdir.
Peki insan faktörünü nasıl lehimize çevirebiliriz? Tehditlerden ve zayıf noktalardan uzaklaşan bir zihniyet değişikliği yapmamız gerekiyor. Riske dayalı bir zihniyet, çok daha faydalı bir sohbete olanak tanır. Aşağıdaki gibi daha iyi sorularla başlar:
- Olmasını beklediğim en kötü şey nedir?
- İşletme için en kritik varlıklar hangileridir? “İşin sona ermesi” sonucunu doğuracak koşullar nelerdir?
- Bu sonucu önlemek için ne kadar çaba gösterebiliriz?
- Bu olaydan sağ çıkabilmek için hangi olasılıkların mevcut olması gerekiyor?
- Hangi kaynaklara ihtiyacımız olacak?
- İyileşme nasıl görünür ve ne kadar sürer?
- Gelecekteki olaylara daha iyi hazırlanabilmek için öğrendiğimiz dersleri nasıl kaydedebiliriz?
Bu, dirençli kuruluşların daha anlamlı konuşmalar başlatmak için kullanacağı soruların yalnızca bir örneğidir. Sırada, önemli olayları gözlemlemek, anlamak ve düzeltmek için gereken becerileri geliştirmeye odaklanmak yer alıyor. Gerçekten mi? Evet. Risk konuşmalarını kapalı kapılar ardında sürdürmenin kimseye faydası yoktur. Bunun yerine, potansiyel riskleri tartışmak ve daha geniş anlamda işletmeyle iletişim kurmak ve onları eğitmek için BT, İK ve iletişim dahil olmak üzere çok disiplinli bir ekip oluşturmayı düşünün.
Her kurumda siber güvenlik kültürü ve risk farkındalığı oluşturmalıyız. Bu kültür, siber güvenliğe temel bir iş önceliği olarak öncelik vermeli ve çalışanları güvenlik olaylarını veya potansiyel tehditleri bildirmeye teşvik etmelidir. Ayrıca, kuruluşun verilerinin ve varlıklarının güvenliği konusunda çalışanlar arasında sahiplenme ve hesap verebilirlik duygusunu da teşvik etmelidir.
Doğru zihniyet, gelişmiş araçlarla ilgili becerileri geliştirme kararlılığıyla birleştiğinde dayanıklılığa giden yol ortaya çıkar. Direnç, büyüyen siber suç ekonomisinin panzehiridir. Tamamen olgunlaştığında artık siber suçların “kurbanları” kalmayacak. Sadece savaşçılar olacak.
yazar hakkında
Miguel Clarke, Armor Siber Güvenliğinin GRC ve Siber Güvenlik lideridir. Yaklaşık 24 yılını FBI’da Özel Ajan olarak geçirdi ve burada Ulusal Siber Araştırma Ortak Görev Gücü ve Savunma İşbirliğine Dayalı Bilgi Paylaşım Ortamı’nın kurucu üyesi oldu. Amerika Birleşik Devletleri İstihbarat Topluluğuna yaptığı katkılardan dolayı NIMUC (Ulusal İstihbarat Değerli Birim Citation) ödülüne layık görüldü.
Miguel’e çevrimiçi olarak [email protected] adresinden ve şirketimizin www.armor.com web sitesinden ulaşılabilir.