Genellikle bağımsız çalışan siber güvenlik uzmanları, siber suçluların istismarına fırsat vermeden önce sorunları çözmek için yazılım, ağ ve donanımdaki zayıflıkları ararlar. Çalışmalarının önemine rağmen birçok kuruluş, bu araştırmacıların kendilerine yaklaşmasına tereddütle, yanlış anlama ve hatta düşmanlıkla karşılık veriyor. Bu tepki sadece araştırmacılara değil, hepimizin güvendiği dijital sistemlerin genel güvenliğine de zarar verebilir.
İç Güvenlik Bakanlığı (DHS), insanları şüpheli etkinlikleri bildirmeye teşvik etmek için “Bir Şey Gör, Bir Şey Söyle” adlı iyi bilinen bir kampanya yürütüyor. Siber güvenlikte de aynı kavram geçerlidir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), uyanık bir vatandaşın kendi mahallesindeki olağandışı bir şeyi bildirmesi gibi, güvenlik araştırmacılarını da sistemlerdeki potansiyel kusurları bildirmeye teşvik ediyor. Bu araştırmacılar, güvenlik açıklarını erken ortaya çıkararak kritik sistemlerin suçluların veya yabancı bilgisayar korsanlarının saldırılarına karşı korunmasına yardımcı olur.
Genellikle bir araştırmacı bir güvenlik açığı bulduğunda bunu düzeltmek için sorumlu kuruluşa ulaşır. İdeal sonuç, şirketin veya devlet kurumunun raporu memnuniyetle karşılaması ve sorunu çözmesidir.
Bu sürecin sorunsuz işlemesi için araştırmacıların, iyi niyetli çabalarından dolayı cezalandırılma endişesi taşımadan, öne çıktıklarında kendilerini güvende hissetmeleri gerekiyor.
CISA’nın Güvenlik Açığı Raporlamasına Desteği
CISA, Bağlayıcı Operasyonel Direktif 20-01 gibi politikalar yoluyla federal kurumlardaki güvenlik açıklarının sorumlu bir şekilde ifşa edilmesini aktif olarak desteklemektedir. Bu politika, federal kurumların bir Güvenlik Açığı Açıklama Politikasına (VDP) sahip olmasını ve her .gov web sitesinde güvenlik sorunları için bir irtibat kişisi yayınlamasını gerektirir. Bu kurumların ayrıca, güvenlik açıklarını bildirmek için iyi niyetle hareket eden araştırmacılara karşı yasal işlem başlatmayacaklarını da açıkça belirtmeleri bekleniyor.
Bu tür politikaların amacı kuruluşlar ve araştırmacılar arasında şeffaflığı ve güveni teşvik etmektir. Araştırmacıların sorunları bildirmeleri için açık bir yol belirler ve güvenliğin iyileştirilmesine yaptıkları katkıların kabul edilmesini sağlar.
Güvenlik Açığı Açıklaması Nasıl Çalışır?
Bir güvenlik açığı bildirildiğinde süreç genellikle birkaç adımı izler:
- Tanımlama ve Raporlama: Bir araştırmacı bir güvenlik açığı keşfeder ve etkilenen kuruluşla listelenen güvenlik kanalları aracılığıyla iletişim kurar. Ancak doğru kişilere ulaşmak çoğu zaman araştırmacılar için önemli bir zorluk olabilir.
- Teşekkür: Kuruluş raporu kabul eder ve daha fazla iletişim için bir zaman çizelgesi sağlar. Sorunu daha iyi anlamak için daha fazla bilgi isteyebilirler.
- Değerlendirme ve Doğrulama: Kuruluş daha sonra ne kadar ciddi olduğunu görmek için güvenlik açığını araştırır. Bu, güvenlik açığından nasıl yararlanılabileceğini açıklığa kavuşturmak için araştırmacıyla yapılan görüşmeleri içerebilir. Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) gibi sistemler ciddiyetin belirlenmesine yardımcı olur.
- İyileştirme: Güvenlik açığı doğrulandıktan sonra kuruluş bunu düzeltmek için çalışır. Ayrıca yeni sorunların ortaya çıkmamasını sağlamak için düzeltmeyi de test edebilirler. Araştırmacılar genellikle bu düzeltmelerin doğrulanmasına yardımcı olur.
- Kamuyu Aydınlatma: Son olarak hem kuruluş hem de araştırmacı, güvenlik açığının ne zaman ve nasıl kamuya açıklanacağı konusunda hemfikirdir. Amaç, güvenlik ihtiyacını dengelerken kullanıcıları ve diğer paydaşları bilgilendirmektir.
Etkili Kriz İletişimi
Bir güvenlik açığı veya güvenlik ihlali keşfedildiğinde, bir kuruluşun bu konuda nasıl iletişim kurduğu kalıcı bir etkiye sahip olabilir. Potansiyel yükümlülükleri yönetmek için hukuk danışmanlığına başvurmak yaygındır, ancak kuruluşların kamunun güvenini korumak için açık ve sorumlu iletişime odaklanması gerekir. Bir güvenlik sorununu ele almak için bazı önemli noktalar şunlardır:
- Sorunu Kabul Edin: Tüm ayrıntılar mevcut olmasa bile, sorunun farkında olduğunuzu ve çözüm üzerinde çalıştığınızı kamuoyuna duyurmanız önemlidir.
- Araştırmacılarla Çalışmak: Güvenlik araştırmacıları düşman değil müttefiktir. Bunların keşfi, sistemlerinizin ve kullanıcılarınızın korunmasına yardımcı olur.
- Şeffaf Kalın: Sorunla ilgili düzenli güncellemeler güven oluşturur. Kuruluşun sorunla aktif olarak ilgilendiğini göstermesi halinde, kötü haberleri paylaşmak bile güven verici olabilir.
- Araştırmacıyı Suçlamaktan Kaçının: Araştırmacılara karşı yasal işlem tehdidinde bulunmak ters etki yaratır. Başkalarını gelecekteki güvenlik açıklarını bildirmekten caydırır ve kuruluşun itibarına zarar verebilir.
Kuruluşlar bu uygulamaları takip ederek güvenlik olaylarını daha etkili bir şekilde ele alabilir ve siber güvenlik topluluğuyla ilişkilerini güçlendirebilir.
Hata Ödüllerini ve Açıklama Programlarını Teşvik Etmek
İleriyi düşünen kuruluşlar, araştırmacılara güvenlik açıklarını keşfetmeleri ve bildirmeleri için ödüller sunan hata ödül programlarını halihazırda benimsiyor. Google, Microsoft ve Amazon gibi şirketler bu programlardan büyük fayda sağladı. Yalnızca güvenliği artırmakla kalmıyor, aynı zamanda araştırma topluluğuyla iyi niyet de geliştiriyorlar.
Devlet kurumları da güvenlik araştırmacılarıyla etkileşimde bulunmaktan yararlanabilir. Risk altındaki bu kadar çok kritik altyapı varken, kamu kuruluşları açık süreçler oluşturarak güvenlik açığı raporlamasını teşvik etmelidir. İyi tanımlanmış bir Güvenlik Açığı Açıklama Programı (VDP), araştırmacıların bulgularının adil bir şekilde ele alınacağından emin olmalarına yardımcı olur.
Siber Güvenlikte İşbirliğini Teşvik Etmek
Dijital altyapımızı gerçek anlamda korumak için kuruluşların “Bir Şey Gör, Bir Şey Söyle” yaklaşımını benimsemesi gerekiyor. Güvenlik araştırmacıları tehdit olarak değil ortak olarak görülmelidir. Yasal girdi çoğu zaman gerekli olsa da, genel yanıt sorunun çözümüne ve halkın güveninin korunmasına odaklanmalıdır.
Siber güvenliğin güçlendirilmesi için araştırmacılar ve kuruluşlar arasındaki işbirliği önemlidir. CISA, koordineli güvenlik açığı açıklamasını (CVD) teşvik ederek bunu teşvik eder ve güvenlik sorunlarına ilişkin kamuya açık raporları memnuniyetle karşılar. Daha da aktif bir rol oynamak isteyenler için CISA, güvenlik açıklarının dünya çapında ifşa edilmesini koordine etmeye yardımcı olan CVE Numaralandırma Otoritesi programına katılma fırsatı sunuyor.
Bir işbirliği kültürünü teşvik ederek kuruluşlar, devlet kurumları ve araştırmacılar, herkes için daha güvenli bir dijital ortam yaratmak üzere birlikte çalışabilirler. Siber güvenlik tehditleri geliştikçe, genel anlamda güven oluşturma ve savunmaları iyileştirme çabalarımız da gelişmelidir.