Sizi, henüz tanımadıysanız, hiç tanışmamış, yaşamları bile örtüşmeyen iki kişiyle tanıştırayım: Auguste Kerckhoffs ve Claude Shannon.
Auguste Kerckhoffs, 19. yüzyılda Hollanda doğumlu bir kriptograftı. Kendi adını taşıyan Prensip’te, sistemle ilgili her şey, anahtar hariç, kamunun bilgisi olsa bile, herhangi bir kripto sisteminin güvenli olması gerektiğini ileri sürdü. 50 yıldan fazla bir süre sonra, Amerikalı matematikçi Claude Shannon, Kerckhoff Prensibini Shannon’ın Maxim’i olarak bilinen şekilde yeniden ifade etti ve “kişinin, düşmanın onlara hemen tam aşinalık kazanacağı varsayımıyla sistemler tasarlaması gerektiğini” belirtti.
Özellikle kısa ve öz olmak istiyorsanız şöyle düşünün: “Düşman sistemi biliyor”.
Hem Kerckhoffs hem de Shannon “açıklama düşüncesinin” öncüleriydi. Her ikisi de herhangi bir sistemin zaten bozulmuş olduğu varsayımıyla inşa edilmesi gerektiğini anlamıştı. Bu tür düşünce tarzı bugün hala kriptograflar tarafından geniş çapta benimsenmektedir.
Tanınmış güvenlik teknolojisi uzmanı Bruce Schneier, hem Kerckhoffs Prensibinin hem de Shannon’un Maxim’inin kriptografinin ötesinde genel olarak güvenlik sistemlerine de uygulanabileceğini öne sürdü. Schneier şunları söyledi: “Her sır potansiyel bir başarısızlık noktası yaratır. Başka bir deyişle gizlilik, kırılganlığın temel nedenidir ve bu nedenle sistemi felaketle sonuçlanabilecek bir çöküşe yatkın hale getirmesi muhtemel bir şeydir. Tersine, açıklık süneklik sağlar.”
Bu, şiddetle paylaştığım bir siber güvenlik görüşüdür. 2020’de o zamanki Twitter’da bir soru ortaya çıktı: “Güvenlik alanındaki insanlara vereceğiniz tavsiyelerden biri nedir?” Cevabım şuydu: “Yazılımlarınızı ve sistemlerinizi insanların oluşturduğunu kurumsal olarak kabul etmek harika olsa da aynı zamanda yanıltıcıdır. Oyunun amacı onları bulmak, düzeltmek, onlardan öğrenmek ve tekrar etmektir. hayat öğreniyor :)” [sic].
Neden bu cevap? Çünkü, kriptografide olduğu gibi, amaçlanan görevlerini yerine getirirken uygulamaların ve sistemlerin performansında çok az (veya hiç) değişkenlik olmasını bekliyoruz: matematiksel sistemler ve mantık üzerine kurulu tanımlanmış algoritmalara göre çalışırlar. Ancak görevler yaratan ve sistemleri işleten insanlar… Ancak biz farklı bir hikayeyiz. Bu konuyu en sevdiğim yollardan biriyle açıklamak gerekirse: Bu makaleyi yazmak için kullandığım klavye mükemmel çalışıyor, ancak şimdiye kadar yüzlerce kez geri tuşuna veya silme tuşuna bastım.
Kerckhoff Prensibi, güvenlik ve tasarım düşüncesinin kesişimi hakkında, yani saldırganların, kullanıcıların ve sistem arayüzünün kesiştiği nokta hakkında nasıl düşünmemiz gerektiğini özetlemektedir. İnsan kaynaklı hatalar, tam olarak kendisine söyleneni yapmak üzere tasarlanmış bir sisteme yüklendiğinde, hatalar ve bazen de güvenlik açıkları yaratır.
İnsanların (katkıda bulunanların kendileri, yönetim, organizasyon ve pazar olsun) mevcut güvenlik durumundan önemli ölçüde sorumlu olduğuna inanıyorum. İnsanların kesinlikle makine olmadığını kabul etmeyi ihmal ediyoruz: İyi şeyleri övüyoruz ama olumsuz şeyleri ele almayı reddediyoruz. Ve umuyoruz – umuyoruz! – çirkini görmezden geldiğinizde eninde sonunda ortadan kaybolacaktır.
Bu değişmesi gereken bir zihniyettir. Schneier’in terminolojisini benimsemek gerekirse: Aşağıdaki durumlarda hepimiz daha az kırılgan olacağız:
- Hataların kaçınılmaz olduğunun bilincindeyiz ve;
- Bir hata tespit edildiğinde, hatanın kabul edilmesi, ele alınması ve aynı başarısızlığın tekrarını önlemek için derslerin öğrenilmesi ve uygulanması koşuluyla, takdir hakkı tanırız.
Başka bir deyişle şeffaflık ve hesap verebilirlik ikili politikalarını benimsiyoruz.
Şeffaflık ve hesap verebilirlik güvenin artmasına ve itibarın artmasına yol açar
“Biz” derken “biz”i kastediyorum. Bugcrowd’da örnek olarak liderlik ediyoruz ve şeffaflık ve hesap verebilirlik değerleri yaptığımız her şeye dahil ediliyor; kurumsal DNA’mızın bir parçası. Güven ve doğruluk hayati öneme sahiptir, dolayısıyla güvenlik uygulamalarımız açık bir kitaptır ve ortaklarımız ve kamuoyu nezdinde güveni güçlendirir. Araştırmacılarımız tarafından bir güvenlik açığı ortaya çıkarıldığında, aynı güvenlik açığının başka yerlerde varlığını sürdürmesini önlemek için söz konusu güvenlik açığının geliştiricisi veya yayıncısı tarafından geçersiz kılınmasını sağlamayı hedefliyoruz.
Hata ödülü veya güvenlik açığı açıklama programlarını uygulamak için Bugcrowd ile çalışan kuruluşlar aynı şeffaflık ve hesap verebilirlik zihniyetini göstermektedir. Başlangıç noktaları hataların yapılmış olabileceğini varsaymaktır. Sahip olabilecekleri güvenlik açıklarını ortaya çıkarma sorumluluğunu kabul ederler ve bu olasılığı ele almak için şeffaf adımlar atarlar. Bu, güvenlik açığından yararlanmanın sonuçlarından kendilerini sorumlu tutmaktan çok daha ucuz ve basittir.
Ancak şeffaflık ve hesap verebilirlik elbette sonuç değildir; işlerin nasıl yapılacağını anlatırlar. İşleri şeffaf ve hesap verebilir bir şekilde yapmanın sonuçları ve bunların siber güvenlikte önemli olmasının bir başka nedeni de güvenin artması ve itibarın artmasıdır. Örneğin kuruluşların, markalarını ve fikri mülkiyetlerini proaktif bir şekilde korumak için Bugcrowd ile giderek daha fazla etkileşim kurduğunu ve aldıkları önlemleri kendi müşterilerine ilettiklerini görüyoruz. Amaçları, kendilerini müşterilerinin güvenliğinin korkusuz savunucuları olarak kamuoyu önünde konumlandırarak halkın güvenini artırmaktır.
Başka bir örnekte, Bugcrowd yakın zamanda Seçim Güvenliği Araştırma Forumu (ESRF) tarafından düzenlenen ve bu kuruluşun “güvenlik araştırmacıları ve ABD’li seçim teknolojisi sağlayıcılarının yapabilecekleri süreçlerin oluşturulmasına yönelik açık ve uyumlu bir yaklaşımın şekillendirilmesine yardımcı olma” amacının bir parçası olarak düzenlenen bir etkinliğe katıldı. Seçim teknolojisinin güvenliğini artırmak ve ABD seçimlerine olan genel güveni artırmak için Koordineli Güvenlik Açığı Açıklaması (CVD) ilkeleri altında birlikte çalışacağız.”
Bana göre o etkinliğin değeri “seçim ekipmanlarını test ettik”ten daha önemliydi. Bana göre en önemli değer, son derece duygusal ve önemli bir konu bağlamında, katılan herkesin şeffaflığı teşvik etmesiydi: çok açık bir şekilde, ortaklaşa test ettik ve bunu yaptığımızı ilan ettik. Böyle bir faaliyetin sonucu kaçınılmaz olarak sürecin tamamına duyulan güvenin artması olacaktır. (Ve herhangi bir güvenlik açığı bulunsaydı, bu durum beyan edilir ve ele alınırdı; hesap verebilirlik ve eylemde şeffaflık sağlanırdı.)
Hesap verebilirlik ve şeffaflık zihniyeti siber güvenlik alanında kesinlikle ilgi görüyor. Ancak, üst düzey yöneticilere, gerçekleşmesini engellemeye yönelik bir yatırımın getirisini kanıtlamanın zor olabileceğini kabul etmeye değer: eğer bir şey asla olmazsa, bunun zaten olmayacağını kim bilebilir? Üst düzey yöneticilere süreçten ziyade sonuçlara odaklanması hatırlatıldığında bu tür bir argümanın etkisi hızla tükenir: Çoğu kuruluş, güveni ve itibarını geliştirmek için tüm operasyonları boyunca yoğun yatırımlar yapar, çünkü her ikisi de çok değerli niteliklerdir. .
En azından barış zamanında çok değerliydi ama hem Kerckhoffs’un hem de Shannon’ın sırasıyla Prensiplerini ve Maxim’lerini belirlerken akıllarında oldukça farklı gündemler vardı. Yıllar sonra, çok farklı bir dünyada eleştirel düşünmelerinin daha olumlu bir etki yaratacak şekilde uygulandığını görmekten memnun olacaklarına inanıyorum.
Casey Ellis, Bugcrowd’un kurucusu ve baş strateji sorumlusudur