Thoma Bravo’da siber güvenliğe yatırım yapan bir yönetici ortak olarak, benim dünyamdaki “diplomasi” genellikle işletme sahipleri ve yönetici ekiplerle olan etkileşimlerimle sınırlıdır. Amaç, yeni yatırım fırsatları yaratmak ve portföy şirketlerimizin büyümesine ve bileşenlerine hizmet etmesine yardımcı olmaktır.
Ancak Mayıs ayında 2023 Milken Enstitüsü Küresel Konferansında “Dijital Savunma ve Diplomasi: Küresel Siber Koordinasyonu Geliştirmek” başlıklı bir siber güvenlik paneline katıldım. Milken paneline katılmam istendiğinde, biraz aykırı olabileceğimden endişelendim. Devlet ve kamu sektörü siber güvenliğinde olağanüstü uzmanlığa sahip bir grup uzmanda benden “özel sektörün sesi”ni temsil etmem istendi.
Bir Özel Sermaye Firmasının Siber Güvenlikle Ne İlgisi Var?
Thoma Bravo, 2009’dan beri siber güvenlik şirketlerine yatırım yapıyor. Kurumsal değeri 40 milyar dolara yakın olan, yıllık toplam 5,8 milyar dolar gelir sağlayan ve 20.000’den fazla kişiyi istihdam eden (2022’nin sonunda) bir siber şirketler portföyümüz var. Benim işim, sermayeleri konusunda bize güvenen yatırımcılara getiri sağlamak için eşit parça inovasyonu ve iş yönetimi yoluyla büyük siber güvenlik şirketlerinin kurulmasına yardımcı olmaktır.
Öyleyse, ülkeler arasındaki siber çatışmanın “yüksek siyaseti” ve savunma, caydırıcılık ve benzeri konulardaki bu kritik tartışmalara dahil olan hükümet politikasının dinamikleri hakkında bir sohbete ne katabilirim?
Görünüşte bunlar, siber güvenlik hakkında konuşmak için çok farklı – ve hatta bazıları uyumsuz olduğunu iddia edebilecek – kültürel bağlamlar gibi görünüyor. Ancak uygulamada kamu ve özel sektör dijital ortam söz konusu olduğunda oldukça fazla ortak noktaya sahiptir.
Kamu ve Özel Sektörün Benzer Zorlukları ve Hedefleri Var
Dijital güvenliğin zorluğu, hem kamu hem de özel sektör için temelde eşdeğerdir. Her iki ortam da günümüzün dijital ekonomisinin ve toplumunun altında yatan dokuyu koruma gibi basit bir hedefi paylaşıyor. Dijital dönüşüm ilerledikçe, sektör ne olursa olsun ekonominin ve toplumun bir bütün olarak korunması anlamına geliyor. Tüm bu bulanık çizgiler, bu iki kültürün en iyileri arasında köprü kurma ve sonuç olarak genel olarak siber güvenliği güçlendirme girişimi olan kamu-özel sektör ortaklıklarına (PPP’ler) artan bir odaklanma sağladı.
Bu mantıklı; Uygulamada siber güvenlik, hem özel hem de kamu sektörlerini etkileyen toplumsal düzeyde bir sorundur. Ancak siber güvenlik PPP’lerinde söylenen ve yazılanların (ve daha az ölçüde denenenlerin) büyük bir kısmının üst düzey, soyut ve fazlasıyla istek uyandırıcı olduğunu görüyorum. Özel sermayede, soyutlamayla uğraşmak için çok az yer vardır.
Siber güvenlik şirketlerine yatırım yaptığımızda, verimlilik yaratabilecek, performansı artırabilecek ve hem güvenlik hem de iş açısından ölçülebilir şekilde daha iyi sonuçlara yol açabilecek somut eylemler ararım ve bunu çok geç olmadan yapmaya çalışırım.
Kamu-Özel Siber Güvenlik Ortaklıklarını Geliştirmenin 4 Yolu
Milken paneli, ortak bir gündem üzerinde ilerleme kaydetmek için kamu sektörünün bu tür özel sektör pragmatizminden nasıl daha iyi yararlanabileceğini görmeme yardımcı oldu. Bu düşünceleri dört ortak ilgi noktası, dil ve perspektif – PPP gündemini ilerletme ve hızlandırma potansiyeline sahip, eyleme geçirilebilir çapraz alanlar – kristalize ettim.
-
Hesabı uyarlayın: Savunmaya çalıştığımız kötü aktörlerin, rasyonel ve maliyete duyarlı bir şekilde neyin yapılıp yapılmayacağına dair kararlar aldıklarını kabul etmek önemlidir. Bu mantık yalnızca ulusal savunmanın merkezinde değil, aynı zamanda bir CISO’nun değerli kaynakları hangi güvenlik ürünlerine harcayacağına ilişkin kararlarının da merkezinde yer alır. Ancak hem kamu hem de özel sektör savunucularının, siber güvenlik öncelikleri ve yatırımları hakkında iyi kararlar verebilmeleri için kötü aktörlerin ayrıntılı motivasyonlarını ve hesaplamalarını benzer şekilde daha iyi anlamaları gerekir. Örneğin hacktivistler, devlet aktörlerinden veya tamamen kâr peşinde koşan suçlulardan farklı bir rasyonel hesaplamaya sahiptir. Önemli bir PPP odağı, zaman içinde bu hesaplamalar hakkında her birimizin öğrendiklerini paylaşmak olmalıdır.
-
Temel bilgileri kapsar: Güvenlik değer zincirindeki en zayıf halkalar genellikle bilimsel açıdan en karmaşık veya ilginç saldırı vektörleri veya araştırmacılar arasında en fazla dikkati toplama eğiliminde olanlar değildir. Günümüzde daha fazla siber güvenlik çabası, savunmamızdaki kolay açıkları kapatmaya varan temel korumalar olmaya devam ediyor – zaten nasıl düzelteceğimizi bildiğimiz şeyler. Hem devletlerin hem de özel şirketlerin temel siber hijyene (iki faktörlü yetkilendirme (2FA) ve kimlik yönetimi gibi şeyler) çok daha fazla dikkat etmesi gerekiyor. Bu, heyecan verici hikaye anlatımı veya bilimsel entrika konusu olmayabilir, ancak yine de savunucuların çoğu zaman paranın karşılığını en çok koruyan patlamayı aldıkları yer burasıdır. Temel bilgiler üzerinde uygulama büyük bir fark yaratabilir.
-
Kâr için yenilik: Dijital teknolojideki hızlanma – ve elbette en son olarak üretken yapay zekada — siber güvenlik Ar-Ge’sinin savunmanın geleceği için kesinlikle kritik olduğu anlamına gelir. Ancak Ar-Ge harcamaları tek başına her zaman uygun değer üretmez. Üretken olmak için Ar-Ge’ye ihtiyacımız var, bununla büyük inovasyonun iş disiplini tarafından yönlendirilmesi ve odaklanılması gerektiğini kastediyorum. Bunu akılda tutarak, kârlılık dürtüsü üretken Ar-Ge’nin bir özelliğidir, bir hata veya talihsiz bir kısıtlama değildir.
-
Kürek çekmeyi öğrenmek: Son olarak, kamu ve özel sektör arasındaki bilgi paylaşımının her iki taraf için de en faydalı olması için sistematik ve spesifik olması gerektiğine inanıyorum. Panelist arkadaşlarımdan biri, Ukrayna işgali öncesinde özellikle değerli bilgi paylaşımı örneğini gündeme getirdi. Hükümet, harekete geçmek için iyi konumlanmış özel şirketlerle ilgili istihbaratı paylaştığı için, hepimiz “aynı yönde kürek çekiyorduk” dedi. Özellikle her iki sektör de krizde değilken, bu tür bilgi paylaşımını sürekli olarak uygulamamız gerekiyor – hem gerekli kasları hem de birlikte kürek çekmek için koordinasyonu oluşturmak.
Milken panelinden PPP’lerin siber güvenliğin geleceğinde oynayacağı kritik role dair güçlenmiş bir inançla ayrıldım. Bu PPP’lerin başarılı olması için, daha az parmakla işaretleme (her iki yönde) ve daha kapsamlı işbirliği gerekecektir. Bu, kamu ve özel kuruluşlar da dahil olmak üzere genel olarak topluma fayda sağlamak amacıyla ortaklık için belirli alanların belirlenmesi ve sonuçların zaman içinde ölçülmesi anlamına gelir.