YORUM
İki bölümden ilki.
En yıkıcı güvenlik hataları çoğu zaman, gerçekleşene kadar hayal bile edemediğimiz hatalardır.
11 Eylül’den önce, ulusal güvenlik ve kolluk kuvvetleri planlamacıları, uçak korsanlarının müzakereli bir anlaşma arayışıyla uçakları indireceğini varsayıyordu; ta ki öyle olmayana kadar. Stuxnet’ten ÖnceKontrol sistemleri mühendisleri, hava boşluklu sistemlerin rahatsız edilmeden çalışabileceğini varsayıyorlardı; ta ki bir virüs yerleştirilene kadar. SolarWinds ihlalinden önce 2020’deki keşifte, BT yöneticileri güvenilir bir ağ yönetim platformuna yapılan doğrulanmış güncellemelerin meşru ve güvenli olduğunu varsaydılar; ta ki platform, yıkıcı bir tedarik zinciri saldırısının vektörü haline gelene kadar.
Bu olaylardan kaynaklanan yaralanmanın boyutu genellikle yeni ve orijinal olayların ne ölçüde yaygınlaştığına bağlıdır. riskler öngörülmemiş veya ilk etapta risk olmadığı varsayılmıştır. Başka bir deyişle, varsayım ne kadar temel olursa, uzlaşma o kadar yıkıcıdır.
Güvenliğin zorunluluğu yalnızca şimdi değil, gelecekte de doğru olmak, etkili planlama ve hazırlık yoluyla daha sonraki bir zamanda ve yerde ortaya çıkacak riskleri öngörmek ve azaltmaktır. Ve bu gelecekteki ortam hakkında yaptığımız varsayımlar, bu çalışmanın temelini oluşturur. Herhangi bir güvenlik planının tutarlı olması için varsayımlar gereklidir. Ancak bunların bir raf ömrü vardır.
Bugünkü varsayımlarımızın gelecekte geçerli olma olasılığı düşüktür. Artan karşılıklı bağımlılıkların güvenlik zorluklarını doğası gereği alanlar arası ve disiplinler arası hale getireceğini biliyoruz. Teknolojik gelişme oranıyla yönlendirilen değişim hızının, keşfetme ve yamama, tanımlama ve etkisizleştirme ve algılama ve yanıt verme gibi sonsuz döngüleri bugün olduğundan daha da zor sürdürebileceğini biliyoruz. Güvenliği kimin ve neyin sağladığının da değiştiğini biliyoruz.
Güvenliğe yönelik mevcut yaklaşım aşağı yukarı şöyledir: İlk olarak, son olayları gözden geçirirken, tehditler hakkında bilgi hakkında bilgi sahibiyiz. Sonra, bu tehditleri nasıl etkisiz hale getireceğimiz ve ilişkili riskleri nasıl azaltacağımız konusunda bir fikir birliği (olay verilerine ve uzman görüşlerine dayanarak) oluşturuyoruz. Son olarak, bu azaltmaları ölçekte uygulamak için programlar ve araçlar geliştiriyoruz. Bunu ne kadar iyi ve hızlı yaparsak, o kadar güvende oluruz.
Geleceğe Dayanıklılık Yaklaşımını Benimsemek
Değişen manzarayı fark ederek, daha geniş veri toplama ve paylaşımı, daha güçlü analizlerden elde edilen daha derin içgörüler, tehdit aktörlerinin ve eylemlerinin daha erken tespiti ve devam eden saldırılara daha hızlı yanıt verme yoluyla bu süreci hızlandırmaya çalıştık.
Ancak daha da geride kalıyoruz. Bir tehdit aktörünü, niyetlerini ve saldırı yöntemlerini anladığımızda veya hareketlerini tespit ettiğimizde çok geç oluyor. Temel zorluk, bilinmez bir risk profiline sahip bir geleceğe hazırlanmaktır.
“Çok geç olana kadar görünmeyen” tehditler dünyasında daha dirençli olmak için varsayımlarımızı stres testinden geçirerek planlarımızı güçlendirmeliyiz. Güvenliğin geleceği, bugün özel olarak tanımlanamayan ortaya çıkan riskler karşısında dayanıklılıkla ilgili olacaktır. Trendleri izlemek ve tehditleri öngörmek yeterli değildir. Ayrıca, bugün güvenlik hissimizi destekleyen varsayımları da sorgulamalıyız.
Yeni, geleceğe dayanıklı bir yaklaşım, geçerliliğini korurken, mevcut varsayımlara meydan okumayı içeren bilinçli bir süreci içermeli ve bu varsayımların tehlikeye atıldığı bir geleceği modellemelidir. Daha sonra, bu yeni gelecek “gerçekliğine” dayanarak, hayatta kalmanın yollarını geliştirebiliriz. Başka bir deyişle, yaklaşımımızı mevcut ortamı değerlendirmekten, gelecek hakkında varsayımlarda bulunmaktan, tehditleri belirlemekten, sonra bu riskleri azaltmaktan, varsayımlarımızı açıkça belirlemeye, bu varsayımları tehlikeye atmak için tehditler “uydurmaya” ve o gelecekte hayatta kalmak için dayanıklılık oluşturmaya kaydırıyoruz.
Uygulamada bu, faaliyet gösterdiğimiz dünya ve güvenliği sağlamaya çalıştığımız ortamlar hakkında yaptığımız varsayımların stres testini içerir. Bu varsayımlar, birden fazla boyutta geniş veya dar olabilir. Sıkı bir yaklaşımın şu dört kategoriyi dikkate alması gerekecektir:
-
Açıklaması: Kimin (veya neyin) korunduğu ve neden korunduğu konusunda ne varsayıyoruz? O kişi/varlığın güvende olması nasıl görünüyor?
-
Etkilemek: Savunucuların kendilerini koruma yetenekleri hakkında ne varsayıyoruz? Saldırganların bize zarar vermek için neler yapabileceği hakkında? Güvenlik ortamı veya ekosistem üzerinde ne kadar etki olabileceğine inanılıyor?
-
Dayanışma: Sorgulamayı düşünmeden, bizim için erişilebilir olmasını beklediğimiz şey (veya kim) nedir? Yeterince öngöremediğimiz sistem etkileri nelerdir?
-
Yönetim: Hükümetin nerede bir etkiye sahip olması gerektiğine ve olacağına inanıyoruz? Devletin rolü hakkında ne varsayıyoruz? Geleceğin dünyası egemen ulus devletler ve uluslararası normlar (olduğu gibi) çerçevesinde işlemeye devam edecek mi?
Temel varsayımları kategorize etme ve stres testi yapma süreci, belirsiz bir gelecek karşısında uzun vadeli güvenlik ve dayanıklılığı garanti altına almak isteyen her lider için gerekli bir uygulamadır.
Bu iki bölümlük yazının bir sonraki bölümünde, en yaygın güvenlik çerçevelerindeki temel varsayımlardan bazılarını ve siber güvenliğin merkezinde olduğunu varsaydığımız teknolojileri inceleyeceğim. Ayrıca, görünüşe göre benimsediğimiz birkaç temel inancı vurgulayacağım ve gelecekteki dayanıklılığı inşa etmek için sormamız gereken rahatsız edici soruları soracağım.