Kritik Ulusal Altyapı (CNI), modern toplumun merkezinde yer alır ve günlük yaşam için hayati önem taşıyan temel sistemleri güçlendirir. Yine de, son yıllarda kötü niyetli tehdit aktörleri için cazip bir hedef haline geldi.
Başarılı saldırıların önemli ve potansiyel olarak felaket etkisi nedeniyle. Siber tehdit manzarası yoğunlaştıkça, birçok CNI kuruluşu siber riskleri yönetme ve mücadele etme yeteneklerinde tehlikeli bir şekilde fazla güvenmektedir. Bu yanlış yerleştirilmiş güvence, hayati sistemleri ihlallere, bozulmaya ve uzun vadeli itibar zarlarına maruz bırakıyor.
Sektördeki siber tehditlerin farkındalığına rağmen, CNI kuruluşlarının% 95’i geçen yıl içinde bir veri ihlali yaşamıştır. Bu, sektörün siber saldırıları önlemedeki güven seviyeleri söz konusu olduğunda tutumlar arasında algı ve gerçeklik arasında önemli bir boşluğu vurgulamaktadır. Yine de, önceki yüksek profilli saldırılar, sektör içinde sahip olabilecekleri gerçek dünya etkisini göstermektedir. Örneğin, 2021’de rezil sömürge boru hattı fidye yazılımı olayı, Güneydoğu Amerika Birleşik Devletleri’ni etkileyen tedarik zincirinde yakıt kıtlıklarına, fiyat artışlarına ve aksamalara yol açtı.
Aynı şekilde, Çinli bilgisayar korsanlarının 300 günden fazla bir süredir küçük bir kamu hizmetinin ağında tespit edilmediği ABD Ulusal Şebekesine son zamanlarda Volt Typhoon saldırısı, siber özellikli casuslukta ciddi bir artış gösterdi. Ayrıca, kritik altyapının kalıcı ulus-devlet tehditlerine karşı güvenlik açıklarının altını çizerek, tam etki belirsiz kalsa bile, daha büyük, daha karmaşık sistemler için daha geniş riskleri vurgulamaktadır. Bunun yanı sıra, Londra’nın güneydoğusundaki kan testi hizmetleri sağlayan Synnovis, geçen yıl Rus grubu Qilin tarafından yürütüldüğü iddia edilen ve gecikmiş bir test sonucu nedeniyle hastanın ölümüne yol açtığı iddia edilen bir fidye yazılımı saldırısı yaşadı. Bu olayın, bir siber saldırıya doğrudan bağlı ilk kaydedilmiş ölüm olduğuna inanılıyor ve bu tür saldırıların potansiyel olarak yaşamı tehdit eden sonuçlarını gösteriyor.
Açıkçası, hizmet kesintileri, kamu güvenliğine yönelik tehditler ve itibar serpinti artık varsayımsal riskler ve CNI sektörü için yakın bir gerçeklik değil. Bu nedenle, sektörün ortaya çıkan tehditlere cevap verme, gelişen tehdit manzarasını anlamasını ve siber esneklik stratejisini rakiplere karşı yeniden düşünme yeteneğini yeniden değerlendirmesi kritik hale geldi.
Tedarik zincirini güvence altına almak
Ekonomik baskılar arttıkça, birçok CNI kuruluşu siber güvenlik bütçelerini önemli ölçüde azaltıyor ve maliyet tasarrufu sağlayan bir önlem olarak dış kaynak kullanımına yöneliyor. Bu eğilim, operasyonel olarak verimli olsa da, zaten karmaşık tedarik zincirleri içindeki tehdit aktörleri için yeni giriş noktaları getiren yönetilen hizmet sağlayıcılara (MSP’ler) artan bir güven gördü. Dış kaynak kullanımı, uygun değerlendirme ve gerekli süreç olmadan, aksi takdirde güvenli sistemlere erişmek için üçüncü taraf ilişkilerinden yararlanmak için tehdit aktörlerine kapıyı tamamen açık bırakabilir. CNI kuruluşlarının% 57’si geçen yıl bir tedarik zinciri saldırısı yaşadığı için bu sektör içinde büyüyen bir sorun haline geliyor. Örneğin, son Marks & Spencer ihlali, üçüncü taraf bir sağlayıcıdaki güvenlik açıklarına kadar izlendi ve yeterli gözetim olmadan dış ortaklara güvenme risklerini gösterdi.
Tedarik zinciri saldırıları en zayıf bağlantıyı hedefledikleri için tercih edilen bir taktik olmaya devam ediyor. Tehdit aktörleri, tedarikçi güvenlik protokollerini değerlendirmenin veya yeniden değerlendirmenin önemini vurgulayarak ve uçtan uca görünürlük ve hesap verebilirliğin sağlanmasının önemini vurgulayarak erişim elde edildikten sonra ağlar arasında yanal ve genellikle tespit edilmeyebilir.
Esnekliği artırmak için daha katı düzenlemeler
Sorunu genel olarak ele alma çabalarında, hükümet CNI içindeki birden fazla sektördeki esnekliği güçlendirmeye yardımcı olmak için düzenlemeleri sıkılaştırıyor. Nisan 2025’te tanıtılan İngiltere’nin AB’nin NIS2 direktifinden sonra modellenen siber güvenlik ve esneklik tasarısı, CNI sektörleri arasında daha katı standartları uygulayarak ulusal siber savunmaları desteklemeyi amaçlamaktadır. Bununla birlikte, bu mevzuatın, özellikle – oldukça haklı olarak – hizmet ettikleri kuruluşlarla aynı titiz standartlara sahip olacak olan temel hizmetleri destekleyen MSP’ler için önemli etkileri olacaktır. Önerilen fatura uyarınca, MSP’lerin üçüncü taraf bağımlılıkları da dahil olmak üzere altyapı ve hizmetleri üzerinde daha fazla şeffaflık ve kontrol göstermeleri bekleniyor.
Buna ek olarak, dış kaynak kullanımı için MSP’lere büyük ölçüde güvenen CNI kuruluşları için, yeni yükümlülüklere uyulmamasının her iki taraf için yasal ve itibar risklerine yol açabileceğini göz önünde bulundurması önemlidir. CNI kuruluşları için uyumluluk, hem teknik yükseltmeler hem de kültürel bir değişim talep eder ve siber güvenlik bir maliyet değil, kritik bir iş yatırımı olarak görülmelidir.
Artan ulus-devlet tehdidi
Ulus-devlet aktörlerinin tehdidi, Sektörü CNI kuruluşlarının en az% 65’i hala üst düzey bir endişe olarak derecelendirerek rahatsız etmeye devam ediyor. Bunun nedeni, birçok CNI kuruluşunun Rusya, Çin ve Kuzey Kore gibi rakip devletlerden kaynaklanan yüksek kaynaklı, politik motive olmuş kampanyalara karşı savunmak için donanımlı olmasıdır.
Çin grubu tuz tayfası gibi gelişmiş kalıcı tehdit (APT) grupları, derhal finansal kazançla saldırılardan ziyade uzun vadeli casusluklara odaklanıyor. 2024’te Salt Typhoon, bir ABD hükümetinin telefonla telafi platformundan ödün vermeyi amaçlayan AT&T ve Verizon da dahil olmak üzere büyük ABD telekom sağlayıcılarını hedef aldı. Demodex rootkit gibi sofistike araçlar kullanarak, ağ içinde gizli, kalıcı erişim sağladılar. Bu, ulus-devlet aktörlerinin ağlarda uykuda kalmayı, uzun vadeli gözetim yürütmeyi veya gelecekteki aksamaya zemin hazırlamayı tercih ettikleri siber casusluğun gelişen ve gizli doğasını vurgular-özellikle bu saldırının gerçek sonuçları hala belirsizdir. Bu tür tehditler CNI sektöründen daha fazla uyanıklık, istihbarat paylaşımı ve gelişmiş tehdit tespit yetenekleri gerektirir.
Devam eden fidye yazılımı tehdidi
Artan farkındalık ve artan savunmalara rağmen, fidye yazılımı sektöre en yaygın ve önde gelen siber tehditlerden biri olmaya devam ediyor, çünkü CNI kuruluşlarının yarısından fazlası son 12 ayda fidye yazılımı saldırısı yaşıyor. Tarihsel olarak, fidye yazılımı saldırıları belirli bir dereceye kadar derin teknik uzmanlık gerektiriyordu. Bununla birlikte, bu, bu tür saldırıları tehdit aktörleri için daha erişilebilir ve uyarlanabilir hale getiren, hazır fidye yazılım kitleri ve hizmet olarak siber suç platformları gibi saldırı araçlarının demokratikleştirilmesi ile son yıllarda önemli ölçüde değişmiştir.
Dağınık örümcek gibi tehdit aktör grupları, yüksek değerli sistemlere sızmak için hedefli sosyal mühendislik ve ticari siber suç araçlarını kullanır ve genellikle geleneksel savunmaları endişe verici bir şekilde atar. Tehdit artık kimlik avı e -postalarıyla sınırlı değil, oldukça hedefli, derinden yıkıcı ve sürekli gelişiyor.
CNI’da aşırı güvenle mücadele
Siber tehdit manzarası birçok CNI kuruluşunun hazırlandığından daha hızlı değişiyor. Sektördeki aşırı güven sadece savunmada bir boşluk değil, aynı zamanda yakın saldırılar için hızlı bir yol. Kuruluşlar gerçekte olduklarından daha güvenli olduklarına inandıklarında, modern tehditlere dayanmak için gerekli önlemlere yatırım yapamazlar.
Hazırlık sırasında, sektördeki kuruluşlar, savunmalarındaki boşlukları belirleyerek ve ele alarak hazırlıklarını karşılaştırmalıdır. CNI için siber güvenlik sadece başka bir masraf değil, stratejik bir kolaylaştırıcı olarak değerlendirilmelidir. Artık bir siber saldırının olup olmayacağı değil, ne zaman. Reaktif savunma zamanı geçti ve kuruluşların gelecekteki saldırıların kaçınılmazlığına dayanmak için esneklik oluşturmaya yardımcı olacak garanti edilen çerçevelere uyumlu en iyi uygulamaların temelini oluşturan proaktif bir duruş benimsemeleri hayati önem taşıyor.
Anthony Young, Bridewell’in CEO’sudur.