Yazan: Avishai Avivi, CISO, SafeBreach
Siber güvenliğin çehresi gelişiyor. Siber suçlar ve sonuçları günlük hayatımızın kaçınılmaz bir gerçeği haline geldi ve genel tüketicilerden Fortune 500 şirketlerine kadar herkesi etkiledi. Siber saldırılar, dünya çapındaki çatışmalarda topyekun siber savaş tehdidinin giderek artmasıyla birlikte askeri alana da sızmaya başladı.
Sonuç olarak, hükümetin siber güvenliğe yönelik tutumları dramatik bir değişime uğradı. 2022, dünyanın dört bir yanındaki hükümetlerin, kuruluşların ve kuruluşların gelişen siber tehditlerden korunmasına yardımcı olmak için siber güvenlik düzenlemeleri oluşturduğunu veya en azından daha yoğun tartıştığını gördü. Örneğin Birleşik Krallık, milyonlarca tüketicinin özel verilerini açığa çıkarabilecek ihlalleri en aza indirmek amacıyla İnternet servis sağlayıcılarına (ISP’ler) daha sıkı güvenlik standartları uygulayan Telekomünikasyon Güvenliği Yasasını kabul etti. Ve ABD merkezli Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ilk kez, sürekli gelişen tehdit ortamına karşı koruma sağlamak için güvenlik kontrollerinin otomatik olarak sürekli doğrulanmasını önererek, işletmeleri siber saldırılara karşı kendilerini savunmak için daha proaktif bir yaklaşım seçmeye çağırdı.
Bunu akılda tutarak, siber suçların ve siber savaşların hükümetin siber güvenliğe yönelik tutumlarını nasıl etkilediğini daha derinlemesine incelemekte fayda var.
Siber savaş nedir?
“Siber savaş” teriminin kendisi tartışmalıdır. Tanımı etrafında pek çok tartışma yaşandı; hatta bazı uzmanlar siber savaş ile geleneksel savaş arasında gerçekten ayrım yapıp yapamayacağımızı bile sorguluyor.
Ancak, Amerikan küresel politika düşünce kuruluşu olan RAND Corporation bize makul bir çalışma tanımı veriyor.
“Siber savaş, bir ulus devletin veya uluslararası kuruluşun, örneğin bilgisayar virüsleri veya hizmet reddi saldırıları yoluyla başka bir ülkenin bilgisayarlarına veya bilgi ağlarına saldırıp zarar vermeye yönelik eylemlerini içerir.”
Çağdaş toplumun bilgisayarlara ve bilgi ağlarına neredeyse tamamen bağımlı olduğu göz önüne alındığında, özellikle jeopolitik huzursuzluğun olduğu bir dönemde hükümetlerin neden potansiyel siber saldırılara karşı savunmalarını güçlendirmek istediklerini anlamak kolaydır. Siber saldırıların bir ülkenin altyapısına yol açabileceği tahribatın ipuçlarını zaten gördük. Bunlardan belki de en unutulmaz olanı, 2021’de ABD’de benzin fiyatlarının fırlamasına neden olan, panik satın alma dalgasına yol açan ve Başkan Joe Biden’ın olağanüstü hal ilan etmesiyle sonuçlanan Colonial Pipeline olayıydı.
Hükümetin tutumu nasıl değişiyor?
Daha önce de belirtildiği gibi, siber savaş olasılığı hükümetlerin siber güvenliğe yaklaşım biçiminde önemli değişikliklere yol açmıştır. ABD hükümeti, kritik ulusal altyapının (CNI) korunmasında özel sektör ile kamu sektörü arasındaki işbirliğinin önemini uzun süredir vurgulamaktadır. Ancak 2023 ABD Ulusal Siber Güvenlik Stratejisi, düzenlemeye yeni ve çok daha güçlü bir vurgu yaparak aşağıdakilerin gerekliliğini ifade ediyor:
- Kritik altyapının güvenliğini sağlamak için siber güvenlik düzenlemeleri oluşturun
- Yeni ve mevcut düzenlemeleri uyumlu hale getirin ve kolaylaştırın
- Düzenlenen kuruluşların güvenliği karşılamasını sağlayın
Bu, kırk sayfalık belgenin tamamında düzenlemeden yalnızca bir kez bahseden ve aslında fikri eleştirecek kadar ileri giden 2018 stratejisiyle tam bir tezat oluşturuyor. İki belge, farklı yönetimlerin ideolojik farklılıklarından çok daha fazlasını temsil ediyor. Federal hükümetin dünyayı değiştiren önemli olaylara yanıt olarak siber güvenlik konusundaki görüşlerini nasıl değiştirdiğini gösteriyorlar.
2018 ABD Siber Güvenlik Stratejisinin açıklanmasından yaklaşık iki yıl sonra, COVID-19 dünyayı kasıp kavurdu ve bildiğimiz dünyayı geri dönülmez bir şekilde değiştirdi. Mart 2020’de ABD’nin büyük bir kısmı karantinaya alındı ve birçok çalışan evden çalışmaya zorlandı. Haziran ayına gelindiğinde FBI siber suçlarda %75’lik bir artış bildirdi.
Bir yıldan kısa bir süre sonra, Mayıs 2021’de Sömürge Boru Hattı olayı meydana geldi. Rusya ile bağları olan bir siber suç grubu olan DarkSide, Houston, Teksas’tan çıkan ve Güneydoğu Amerika Birleşik Devletleri’nin büyük bir kısmına benzin ve jet yakıtı sağlayan bir boru hattı sistemine fidye yazılımı saldırısı başlattı. Saldırı, kitlesel yakıt kıtlığına neden oldu, uçuşların durdurulmasına neden oldu ve olağanüstü hal getirdi.
Şubat 2022’de Rus ordusu Ukrayna sınırlarına baskın düzenledi. Savaş Avrupa’ya geri dönmüştü. İşgal, dünya liderlerinin geniş çapta kınamasına neden oldu ve bugüne kadar devam eden bir jeopolitik huzursuzluk atmosferini ateşledi. Dahası, savaş boyunca Rusya, Ukrayna’ya çeşitli etkilerle defalarca siber saldırılar düzenledi. Rusya ayrıca Ukrayna’nın internet erişimini yok etmek için geleneksel kinetik saldırılara da girişti.
Bu olaylar şüphesiz ABD hükümetinin siber güvenliğe yönelik tutumlarını etkilemeye yardımcı oldu. COVİD-19’dan Sömürge Boru Hattı saldırılarına ve Avrupa’da savaşın patlak vermesine kadar, ABD altyapısına yönelik devlet destekli siber saldırıların artık söz konusu olmadığı açıkça ortaya çıktı. Daha sıkı düzenlemelerin geliştirilmesi doğal bir sonuçtu.
Özel sektörün rolü ne olmalı?
Siber savaş ihtimali, özel sektörü ABD’de İkinci Dünya Savaşı’ndan bu yana görülmemiş ölçüde çatışmalara sürükledi. Özel kuruluşlar artık askeri kampanyaların meşru hedefi haline geldi. Amerika Birleşik Devletleri gibi kendi topraklarında kinetik veya başka türlü savaşlara alışık olmayan ülkeler için bu özellikle endişe verici bir ihtimal.
Sonuç olarak özel sektörün ulusal güvenlikte önemli bir rolü var ve bu sadece CNI olarak değerlendirilebilecek kuruluşlar için geçerli değil. Herhangi bir kuruluş, çeşitli nedenlerden dolayı devlet destekli bilgisayar korsanlarının hedefi olabilir. Modern iş tedarik zincirlerinin doğası, daha büyük ve daha kritik bir organizasyonun ihlaline giden yolda ilk adım olabileceğinden herhangi bir organizasyonun çekici bir hedef olarak görülebileceği anlamına gelir.
Bunun ışığında özel sektörün siber güvenlik konusunda sorumluluk alması her zamankinden daha önemli. Sorumlulukları artık itibarlarını, mali durumlarını ve müşteri verilerini korumanın ötesine geçerek uluslarını güvende tutma alanına da giriyor. Bu, ABD gibi küresel süper güçlerin neden daha sıkı düzenlemeler ve öneriler getirdiğini ve otomatikleştirilmiş sürekli güvenlik doğrulamasının neden bu kadar önemli olduğunu anlamanın anahtarıdır. Kuruluşların risk altında olup olmadıklarını söyleyebilmeleri ve kuruluşlara güvenlik ekosistemlerinin etkinliğini sürekli olarak doğrulamaları, boşlukları belirlemeleri ve anlamlı düzeltici eylemlerde bulunmaları için bir yol sağlayan ihlal ve saldırı simülasyonu (BAS) gibi araçları kullanabilmeleri gerekir. – bu bilgiyi sağlamak için gereklidir.
Siber güvenlik CNI olarak değerlendirilebilir mi?
Siber güvenliğin CNI için önemine zaten değinmiştik, ancak bu durum siber güvenliğin gerçekten CNI olup olmadığı sorusunu akla getiriyor. Kritik Ulusal Altyapıyı Koruma Merkezi (CPNI), CNI’yi şu şekilde tanımlamaktadır:
“Ulusal Altyapı, bir ülkenin işleyişi için gerekli olan ve günlük yaşamın bağlı olduğu tesisler, sistemler, siteler, bilgiler, insanlar, ağlar ve süreçlerdir. Aynı zamanda, temel hizmetlerin sürdürülmesi açısından kritik olmayan ancak kamuya yönelik potansiyel tehlike nedeniyle korunmaya ihtiyaç duyan bazı işlevleri, sahaları ve kuruluşları da içerir (örneğin sivil nükleer ve kimyasal sahalar).
Bu parametrelerin kapsamına giren tüm sektörlerin faaliyetlerine devam etmek için siber güvenliğe dayandığı göz önüne alındığında, siber güvenliğin de tanımı gereği kesinlikle CNI olarak değerlendirilmesi gerekir.
CNI sektörleri kritik kabul ediliyor çünkü herhangi birinin başarısız olması halinde ülke işlevini kaybedebilir. Üstelik CNI diğer tüm sektörlerden daha sık, çeşitli ve karmaşık siber saldırılara maruz kalıyor; bu, siber güvenlik sektörünün başarısız olması halinde, bütün bir ülkenin CNI’sının da başarısız olabileceği anlamına gelir.
Özetle, siber savaş olasılığının hükümetin siber suçlara yönelik tutumları üzerinde büyük bir etkiye sahip olduğu açıktır. En azından güvenlik açısından bakıldığında bu değişiklik memnuniyetle karşılansa da, bu, özel kuruluşların siber güvenliklerinin sorumluluğunu üstlenme konusunda giderek daha fazla baskı altında olacağı anlamına geliyor. Örneğin BAS gibi bir kuruluşun ortamına ilişkin derinlemesine bilgi sağlayan güvenlik araçlarını kullanmak her zamankinden daha önemli. Beğensek de beğenmesek de ufukta daha sıkı siber güvenlik düzenlemeleri var ve işletmelerin hazırlıklı olması gerekiyor.
yazar hakkında
Avishai Avivi, İhlal Saldırısı ve Simülasyonunun (BAS) öncüsü SafeBreach’te Bilgi Güvenliği Direktörüdür. Avi, Wells Fargo, E*Trade ve Experian gibi şirketlerde üst düzey bilgi güvenliği lideri olarak 30 yıldan fazla bir süredir hizmet vermektedir. En iyi uygulamalara ve kontrol olgunluğuna odaklanan güvenlik programları oluşturduk ve uyguladık. Avi’nin güvenlik kariyeri İsrail Savunma Kuvvetleri Birimi 8200 ile başladı ve bilgi güvenliği, ürün AR-GE’si, profesyonel hizmetler, müşteri desteği ve stratejik liderlik gibi birçok rol ve alanı kapsıyor. Avi, UC Berkeley Haas İşletme Okulu ve Columbia Üniversitesi İşletme Okulu’ndan çift MBA derecesine sahiptir. CISSP, CISM, CRISC, CISA, CIPM ve CIPT sertifikalıdır ve Stanford Üniversitesi Stratejik Karar ve Risk Yönetimi programı sertifikasına sahiptir.
Avi’ye linkedin.com/in/aavivi adresinden ve http://www.safebreach.com adresinden çevrimiçi olarak ulaşılabilir.