Kasabanız için en kötü senaryo nasıl olurdu? Elektrik şebekesinin kesilmesi, topluluğunuzun günlerce elektriksiz kalması? Ya da yerel su temininde bir kesinti? Ya da acil tıbbi müdahale sistemine ve tıbbi tesislere siber saldırı, insanların hayati tehlike arz eden durumlarda bakıma erişimleri olmadan ortada kalması?
Bunlar bu tür senaryolardır Kesintisiz27 ABD’deki yerel toplulukların kritik altyapılarına yönelik siber saldırılara hazırlanmayı amaçlamaktadır ve dört temel alana odaklanmaktadır: su ve atık su; acil tıbbi bakım ve hastane hizmetleri; gıda tedarik zincirleri; ve yerel güç kaynakları.
Program, teknoloji dünyasını ve kamu sektörünü birbirine bağlamayı amaçlayan kar amacı gütmeyen bir düşünce kuruluşu olan Güvenlik ve Teknoloji Enstitüsü tarafından yönetiliyor ve bu yaz, kuruluşun Siber Sivil Savunma girişiminin bir parçası olarak Craig Newmark Philanthropies’ten 700.000 dolarlık bir hibe ile finanse edilen bir pilot programla başladı. İlk aşama, su ve acil tıbbi bakımın birleştiği noktaya odaklanacak. Proje, Josh Corman, İkametgah Yöneticisi tarafından yönetiliyor IS ve kurucu ortağı Ben Süvariyim ve CyberMedSummit.
“İster yiyecek, ister barınak, ister sıcaklık olsun, herkes yaşamak için altyapıya güvenir. Kötü aktörler de bunu bilir. Bu bir korkutmaca değil. Ülkemizin bugün karşı karşıya olduğu çok gerçek bir tehdit. Hükümetleri, kamu hizmetlerini ve şirketleri bu konuda daha iyi olmaya zorlamak hepimizin görevi. Bu, belki de yetersiz personele sahip BT için ekstra iş anlamına geliyor ve benden çok rahatsız olabilirler, tamam, en kötüsüne hazırlanmaya yardımcı oluyorsa,” diyor Craig Newmark. “Bu arada, söylediklerimi eyleme döküyorum.”
Güvenlik ve Teknoloji Enstitüsü Strateji Sorumlusu Megan Stifel, projenin ilk aşamasının paydaşların katılımını sağlamak ve finansal, teknik veya her ikisinin bir kombinasyonu olsun, onların endişelerini ve sınırlamalarını dinlemek olduğunu söylüyor.
Karışmak gibi Y2K’ya hazırlanınStifel, UnDisruptable27 girişiminin, herhangi bir özel tehdit gerçekleşse bile somut bir zaman çizelgesine sahip olmasının fayda sağladığını söylüyor.
Harekete geçme çağrısı, Kongre ve ABD hükümet siber güvenlik liderlerinin Çin’in siber saldırılarının altyapıya yönelik potansiyel tehditlerini araştırdığı bu yılın başlarında yapılan kamuoyu duruşmaları tarafından teşvik edildi. Volt Tayfunu grup veya diğer devlet destekli aktörler. Projenin amacı, temel insan ihtiyaçlarını destekleyen kritik altyapıyı 2027’ye kadar “kesintisiz” hale getirmektir.
“Daha fazla kesinti, daha büyük kesinti, daha uzun kesinti ve daha fazla kamu hayatını ve güvenliğini etkileyen kesinti görüyoruz. Ve bu doğru değil. Bu gidişat sürdürülemez,” diyor Corman. Su ve elektrik dağıtım sistemleri ve diğer altyapılar gibi alanları “hedef açısından zengin ve siber açıdan fakir” olarak adlandırıyor, yani devasa bir saldırı yüzeyi oluşturuyorlar ancak kendilerini siber saldırılardan yeterince korumak için gereken kaynaklardan yoksunlar.
“Zaten gördüğümüz bozulma eğiliminin üstüne bir de melez çatışma görürsek, ortalama vatandaş hazırlıklı olmaz,” diyor Corman. “Panik istemiyoruz ve hazırlıklı olmak istemiyoruz, ancak düşündüğümüz şey, hiç kimsenin bundan dolayı hazırlıksız yakalanmaması veya şaşırmaması ve şimdi ile potansiyel olarak artan jeopolitik bağlam veya çatışma bağlamı dönemi arasında seçimler yapabileceğimizdir.”
İhtiyacı vurgulamak ve kamuoyunu harekete geçirmek için UnDisruptable27, doğal afetlere hazırlık kılavuzundan bir sayfa alıyor ve toplulukları hazırlanmaya ikna etmek için iletişim stratejileri ve anlatılardan yararlanıyor.
“Gerçekten halka ulaşmadık ve bu yüzden halk her Crowd Strike, NotPetya veya Ascension Health olduğunda rahatsız olmaya ve şaşırmaya devam ediyor,” diyor Corman. “Bu yüzden bu kritik altyapı sektörlerinin sahipleri ve operatörleriyle, bu topluluklardaki son kilometredeki belediye liderleriyle ve muhtemelen ve muhtemelen doğrudan bu eğitim kampanyası için vatandaşlarla görüşmek üzere aşağı ineceğiz. Ve bunun anlamı, onlarla bulundukları yerde buluşmamız gerektiğidir.”
Corman, grubun başlangıçta su ve sağlık hizmetlerinin kesiştiği noktaya odaklanmayı seçtiğini, çünkü bunun zaten kamuoyunun gözü önünde olduğunu söyledi.
Yerel topluluklar için olası bir kaynak, siber güvenlik olgunlukları konusunda yardıma ihtiyaç duyan yetersiz kaynaklara sahip kuruluşlarla doğrudan etkileşim kurmaları için öğrencileri eğiten üniversite tabanlı klinikler ağı olan Siber Güvenlik Klinikleri Konsorsiyumu’ndan gelen yardım şeklinde olabilir. Corman ve UnDisruptable27, erken aşamalarında ihtiyaç duyulan alanları belirleyecek ve belediyeler ve kamu hizmetleriyle bağlantı kuracak. Grup, daha sonraki aşamalarda yardıma ihtiyaç duyanları kaynaklarla buluşturmak için kliniklerle ortaklık kurmayı umuyor.
UC Berkeley Uzun Vadeli Siber Güvenlik Merkezi’nde Kamu Yararı Siber Güvenlik Program Direktörü olan Sarah Powazek, yerel topluluklardaki daha küçük kuruluşların inanılmaz derecede savunmasız olduğunu söylüyor. Bu yetersiz kaynaklara sahip topluluklar, siber saldırganlar için çok çekici hedefler sağlayabilir ve UnDisruptable27 gibi projelerin önemli bir etki yaratma potansiyeli vardır.
“Korunması gereken en önemli kurumların her zaman en büyük kurumlar olmadığını düşünüyorum. Bence toplum düzeyinde bu bakım ağını gerçekten özlüyoruz. Ve bence kendilerini uzun vadede sürdürülebilir bir şekilde korumalarına yardımcı olacak bir stratejiyi de özlüyoruz. Ve bence UnDisruptable projesi bu kurumlara hizmet etmek için ihtiyaç duyulan birçok girişimden biri olacak,” diyor Powazek.