Siber tehditler giderek daha karmaşık hale gelirken ve kritik altyapıları hedef alırken, Help Net Security röportajında, Beyond Blue yönetici müdürü David Ferbrache, siber güvenlik hazırlığı ve dayanıklılığının mevcut durumunu ele alıyor.
Ferbrache, hem geleneksel hem de dijital altyapıları yönetmenin karmaşıklıklarından, düzenleyici kurumların kritik rolünden, bu tehditlere karşı koymak için kamu ve özel sektör iş birliğine duyulan acil ihtiyaçtan ve çok daha fazlasından bahsediyor.
Ulusal altyapıları hedef alan siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, ulusal siber güvenliğin hazırlık ve dayanıklılık açısından mevcut durumunu nasıl değerlendiriyorsunuz?
Siber güvenlik, değişen tehdit ortamı, yeni saldırı taktikleri ve giderek karmaşıklaşan ve birbirine bağımlı hale gelen kritik ulusal altyapı karşısında ulusal güvenliğin en çok değişen yönlerinden biridir.
Su, petrol, gaz ve elektrik gibi geleneksel ulusal altyapı sağlayıcılarına hala bağımlı olsak da, giderek dijital ekosisteme güveniyoruz. Bu, temel soruların şu olduğu anlamına geliyor: Bu yeni kritik altyapı sağlayıcılarını nasıl tespit ederiz ve güvenlik ve dayanıklılık konusunda doğru davranışları nasıl teşvik edebiliriz?
Eski teknoloji, geleneksel altyapı için hala en büyük zorluğu temsil ediyor. Birçok sistem onlarca yıllık olabilir ve güncel olmayan mimariler çalıştırabilir. Ortamlarını yeniden düzenlemek ve güvenliği güvenli bir şekilde yerleştirmek pahalıdır ve bu maliyetlerin nereye düşeceği konusunda sağlayıcılar ve düzenleyiciler arasında zorlu görüşmeler gerektirir.
Dijital altyapı sağlayıcıları söz konusu olduğunda, çok farklı zorluklarla karşı karşıyayız. Bu sağlayıcılardan hangilerinin kritik olduğunu anlamamız, bunların genellikle küresel kapsamda olduğunu kabul etmemiz ve doğru düzenleyici modeli seçmemiz, ideal olarak bunu yaparken diğer uluslarla işbirliği yapmamız gerekiyor.
Sonuç olarak, İngiltere’nin ulusal çıkarlarını siber saldırılara karşı savunması gerekiyor ve GCHQ ile NCSC, siber saldırıları izleme ve engellemede her zaman önemli bir role sahip olacak. NCSC’nin Aktif Savunma girişimi, özellikle hükümet ve endüstri ortak çalışırsa neler başarılabileceğinin mükemmel bir örneğidir.
Son dönemde siber savaş taktiklerinin yoğunlaştığına dair raporlar göz önüne alındığında, ulusal siber güvenlik önlemlerinin şu anda eksik olduğu en kritik alanlar nelerdir?
Bugün karşı karşıya olduğumuz önemli bir zorluk, bilgi alanını yanlış bilgilendirme, dezenformasyon, manipülasyon ve aldatıcı içeriklere karşı korumaktır. Bu, ulus devletlerin veya destekçilerinin emriyle olsun, son derece istikrarsızlaştırıcı ve yıkıcı olabilir.
Bu zorluğun üstesinden gelmenin bir yolunu bulmalıyız, ancak bu yalnızca sosyal medya platformlarının üstlendiği sorumluluklara odaklanmamalı, aynı zamanda hedeflenen yanlış bilgileri nasıl tespit edebileceğimize, bu anlatılara nasıl karşı koyabileceğimize ve kaynakları nasıl engelleyebileceğimize de odaklanmalıdır. Teknoloji şirketlerinin açıkça kötü amaçlı olan içerikleri kaldırmada önemli bir rolü vardır, ancak süreçlerin günler ve haftalar yerine saatler içinde yanıt vermesi gerekir.
Daha genel olarak, saldırıları başlatmak için kullanılan altyapı her zamankinden daha hızlı bir şekilde devreye girebilir ve saldırılar hızla kendini gösterebilir. Bu, hükümetin bu tehditleri engelleyebilmemiz ve karşı koyabilmemiz için büyük teknoloji ve telekomünikasyon sağlayıcılarıyla daha yakın bir şekilde çalışmasını gerektirir ve bu, bunu mümkün kılan bilgi paylaşım mekanizmaları ve yasal çerçeveler gerektirir.
Modern ulusötesi siber suçları araştırmak ve bunlarla mücadele etmek çok farklı yaklaşımlar gerektiriyor ve elbette yapay zekanın bunda büyük bir rolü olacak, ancak ne yazık ki hem saldırıda hem de savunmada.
BT düzenleyicileri için yol gösterici ilkeler ışığında, düzenleyici kurumların ulusal siber güvenlik stratejilerini şekillendirmede nasıl bir rol oynaması gerektiğini düşünüyorsunuz?
Yeni düzenlemeler ve politikalar geliştirirken karşılaştığımız temel sorunlardan biri, bunları farklı sektörlerin ihtiyaçlarına ve faaliyet gösterdikleri daha geniş düzenleyici çerçevelere uyacak şekilde tasarlamaktır.
Siber Temel Bilgiler gibi standartları teşvik etmek, Siber Sigorta pazarını etkinleştirmek veya kurumsal raporlamada daha fazla şeffaflık gerektirmek gibi piyasa güçlerini kullanarak daha iyi siber davranışı teşvik etmenin yolları vardır.
Ancak ulusal düzeyde yeni düzenlemeler getirme söz konusu olduğunda, siber güvenlik düzenlemelerinin iyi kurulmuş düzenleyici modeller ve yapılarla uyumlu olduğunda en iyi şekilde çalıştığını kabul etmemiz gerekir. Peki, siber güvenlik operasyonel dayanıklılık veya güvenlik düzenlemesiyle nasıl bağlantılıdır? Düzenleyici, düzenlenen kuruluşlar tarafından siber güvenlik yatırımını teşvik etmede hangi rolü oynamalıdır? Mevcut denetim modelleri ve yaptırımlar nasıl uygulanır?
Düzenlemeler güvenliğin artırılmasında elbette rol oynuyor, ancak bunların belirli pazarlara uyumlu hale getirilmesi gerekiyor ki ulaşılabilir ve amaca uygun olsunlar.
Özellikle kritik altyapı sektörlerinde, sıfır güven mimarisinin ulusal düzeyde uygulanmasının zorlukları ve potansiyel sınırlamaları nelerdir?
Kritik kuruluşların sıfır güveni benimserken karşılaştıkları en büyük zorluk eski altyapıdır. Sıfır güven, bu kuruluşlar için kavramsal olarak genellikle çok çekici gelir ancak bunu BT varlıklarıyla eşleştirmeye başladıklarında bunun uygulanmasının yıllar alabilecek uzun bir süreç olduğunu fark ederler. Bunu üst düzey yöneticilere satabilmeleri ve ayrıca bu süreçte ilerleme ve iş faydası gösterebilmeleri gerekir.
Bir diğer engel ise Operasyonel Teknoloji ve Endüstriyel Kontrol Sistemleri etrafındadır. Güvenlik, endüstriyel ortamlarda genellikle bir numaralı önceliktir ve bu, acil durumlarda insanların hızlı ve kararlı bir şekilde hareket etmesini gerektirebilir. “Cam Kırma” erişimi hayati önem taşıyabilir ve sıfır güven modellerinin bu olasılıklara izin vermesi gerekir.
Ulusal siber güvenliğin artırılmasında kamu ve özel sektör arasındaki iş birliği ne kadar önemlidir? Başarılı iş birliklerine ve bunların etkilerine dair örnekler verebilir misiniz?
“Bugün kamu ve özel sektör arasında çok az veya hiç ayrım yok. Altyapımızın büyük kısmı özel sektörün elinde ve toplum bu hizmetlere büyük ölçüde bağımlı.
Kritik altyapıların siber güvenliği, kamu ve özel sektör kuruluşlarının ortak bir ekip çalışmasıyla sağlanır.
İyi yapılırsa kamu ve özel sektör kuruluşlarını bir diyaloğa, her iki sektördeki dinamiklerin anlaşılmasına ve teşviklerin hizalanmasına getirir. Örneğin, NCSC’yi sektörü korumak için finansal şirketlerle bir araya getiren Finans Sektörü Siber İşbirliği Merkezi’nin kurulmasını gördük.
Ayrıca, organize suç gruplarının kullandığı altyapıyı devre dışı bırakmak ve operasyonlarını aksatmak da dahil olmak üzere siber suçla daha genel olarak mücadelede sağladığı faydaları da gördük. En son olarak, NCSC ve NCA tarafından yönetilen ancak siber güvenlik sektöründen birçok kuruluşu da içeren bir operasyon olan LockBit 3.0’ın devre dışı bırakılmasını gördük. Saldırı kalıpları hakkında veri paylaşabilmemiz veya suç operasyonlarının devre dışı bırakılmasını koordine edebilmemiz için daha işbirlikçi bir şekilde birlikte çalışmamız gerekiyor.
Genel olarak, benim için kamu ve özel sektör arasında gerçek bir ayrım yok, çünkü ikisi de siber tehditleri anlamak ve bunlara karşı koymak için ihtiyaç duyduğumuz toplumsal eylemin bir parçasını oluşturuyor.