Dünyanın en güçlü askeri ve ekonomik gücü olan Amerika Birleşik Devletleri’nin daha az etkileyici bir ayrıcalığı daha var: Siber tehdit aktörleri, dünyadaki diğer tüm ülkelerden daha fazla ABD’yi hedefliyor.
Ajansın en son İnternet Suçları Şikayet Merkezi (IC3) raporuna göre, yalnızca 2022’de FBI siber suçla ilgili 800.000’den fazla şikayet aldı ve toplam kayıp 10 milyar doları aştı – bir önceki yıla göre 3,4 milyar dolar artış. Siber suçluların karmaşıklığı arttıkça, saldırıların oranı ve ciddiyetinin yalnızca artması bekleniyor. Dünya Ekonomik Forumu’nun 2023 Küresel Siber Güvenlik Görünümü’ne göre, iş liderlerinin %86’sı ve siber liderlerin daha da yüksek bir yüzdesi, %93, küresel jeopolitik istikrarsızlık nedeniyle önümüzdeki iki yıl içinde feci bir siber olayın olabileceğine inanıyor.
Ülkemizin en hassas bilgileriyle çalışan savunma müteahhitleri için etkili siber güvenlik protokolleri oluşturmak ek bir önem kazanıyor. Bu bilgilere kötü niyetli aktörler tarafından erişilmesi ve bunlardan yararlanılması, ulusal güvenliğimizi tehlikeye atmayı da içeren geniş kapsamlı etkilere sahip olabilir.
ABD federal hükümeti, Siber Güvenlik Olgunluk Modeli Sertifikasyon (CMMC) programında sürekli olarak kural koyarken, Savunma Bakanlığı yüklenicilerinden sözleşme hükümleri aracılığıyla bir dizi siber güvenlik gereksinimini karşılamalarını istemeye devam ediyor. Ayrıca, Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) yönelik finansmanı 2024 mali yılı için önerilen 3,1 milyar dolara yükseltmeye devam etti. Bu iyi niyetli çabalar, karşı karşıya olduğumuz tehlikenin boyutlarını kavrayamıyor. Aslında, CMMC düzenlemelerinin kendileri soruna katkıda bulunuyor olabilir.
Bunun nedeni, hükümetin savunma sözleşmesi yapma şeklinin, uyumluluğun fiilen karşılanma şekliyle örtüşmemesidir. Savunma yüklenicilerinin siber dayanıklılığa ulaşmaya çalıştıkları yöntemler, CMMC gerekliliklerini karşılamak için yapmak zorunda kalabileceklerinden tamamen farklıdır ve bazı işletmeler için, federal sözleşme fırsatlarına katılmaya devam etmenin maliyetleri o kadar ağır olabilir ki, onlar için artık geçerli değildir. artık buna değer.
Ticari alan bu şirketler için benzer şekilde karlı olabilir ve giriş engelleri o kadar yüksek değildir. Nihayetinde bu yıpranma, ülkemizi milli savunmamız için çalışan en iyi ve en parlak beyinlere sahip olmaktan mahrum bırakıyor.
Tipik olarak duyduğumuz siber suçlar, bireysel işletmeler veya kuruluşlar tarafından deneyimlenen münferit saldırılardır; bu saldırılar, bilerek bir ihlal yaşamamış kişiler için istemeden yanlış bir güvenlik duygusu yaratabilir ve böylece savunmalarının yeterli olduğunu varsaymalarına neden olabilir. Ancak, uydu destekli GPS sistemleri gibi ortak teknolojilere olan güvenimiz sayesinde giderek daha fazla birbirine bağlı hale gelmeye devam ettikçe, bir kuruluşa yönelik bir saldırı hepimizi etkileyebilir.
Koordineli bir siber saldırının günlük hayatımızda büyük aksamalar yaratma kapasitesi hakkında çok küçük düşünüyoruz. Bu gerçeğin yakın tarihli ve canlı bir örneği, 2022’de Rusya bağlantılı siber suç grubu Conti’nin Kosta Rika ülkesinin çekirdek altyapısına yönelik bir dizi uzun süreli saldırı başlatarak ülkeyi aylarca kaosa sürüklemesiyle yaşandı. İki haftalık bir süre boyunca Conti, toplam 27 kurumu hedef alarak neredeyse her gün farklı devlet kurumlarını ihlal etmeye çalıştı. Bundan kısa bir süre sonra grup, ülkenin sağlık sistemine ayrı bir saldırı düzenleyerek on binlerce randevunun iptal edilmesine ve hastaların tedavide gecikmeler yaşamasına neden oldu. Ülke ulusal bir acil durum ilan etti ve sonunda, Amerika Birleşik Devletleri ve Microsoft da dahil olmak üzere dünyanın dört bir yanındaki müttefiklerinin yardımıyla sistemlerinin kontrolünü yeniden ele geçirdi.
ABD federal hükümetinin katı uyum standartları, çoğu zaman işletmelerin en temel gereksinimlerin ötesine geçmesini engeller. Uyum, olgunluğu da içeren bir merdivenin en alt basamağıdır ve en üst basamağında etkinlik vardır. Başka bir deyişle, uygunluk kapıyı kilitlemektir, olgunluk bunu her seferinde yapmaktır ve etkinlik her gerçekçi erişim noktasını kilitlemektir.
Bir savunma yüklenicisiyseniz, aşağıdaki adımları izleyerek uyumluluğu, olgunluğu ve etkinliği aşmaya başlayabilirsiniz:
1. İlerlemenizi ölçebileceğiniz bir temel oluşturmak. Nereye gittiğinizi anlamak için nerede olduğunuzu bilmeniz gerekir, bu nedenle siber güvenlik stratejinizin ince noktalarını araştırın ve bunların sektörünüzdeki diğerlerine göre nasıl ölçüldüğüne dair net bir değerlendirme yapın. Bu tür bir değerlendirme yapmak için yardıma ihtiyacınız varsa, yardım etmesi için her zaman bir siber güvenlik firmasıyla çalışabilirsiniz.
2. Güvenlik açıklarını kovalamak yerine misyonunuzu ve neyi korumaya çalıştığınızı anlamak. Bir kontrol listesi hazırlamak ve siber güvenlik savunmanızdaki olası her açığı yamamaya çalışmak yerine, düşmanlarımızın sizden ne gibi özel şeyler isteyebileceğini düşünün. İşletmeniz gerçekten değerli olan ne yapıyor? İşletmenizin koruması için hangi varlıkların en önemli olduğunu belirledikten sonra, buna odaklanan bir plan oluşturmaya başlayabilirsiniz.
3. Tasarıma dayalı bir tehdit (DBT) oluşturma. Bu, siber güvenlik çabalarınızın dayanacak şekilde oluşturulacağı bir dizi özel tehdit profilidir. Bu, gürültüyü filtrelemeye, zamandan tasarruf etmeye ve yanlış alarmları azaltmaya yardımcı olarak sonuçta daha dayanıklı bir sistem sağlar.
Teknoloji giderek daha karmaşık hale geldikçe, güvenlik bilincine sahip işletmelerin bile ayak uydurması zor olabilir. Soruna para saçmak sorunu çözmez; Kötü aktörler zaten yerinde ve saldırmaya hazırken, siber direnci korumanın tek yolu odaklanmış, kasıtlı bir stratejidir.
İşletmenizin siber başarısını, ihlal edilip edilmediğinize ve haberlere çıkıp çıkmadığınıza göre değerlendirmek yerine, kritik verilerinizin korunmasının büyük resme nasıl uyduğunu düşünün. Bir kuruluş için iyi bir siber hijyen, tüm Amerika Birleşik Devletleri için siber güvenliği iyileştirerek her işletmeyi bir bakıma ulusal güvenlik uygulayıcısı yapar. İşletmenizin siber güvenliğini yürütme şeklinizin bu sorumluluğu hesaba kattığından emin olun.