Tamamen dijital bağlantıya bağımlı olduğumuz bir çağda, kritik altyapımızın güvenliği her şeyden önemlidir. CISA, ABD’nin kritik altyapısının 16 sektörünü tanımlıyor; her biri benzersiz ve yine de her biri birbirine derinden bağlı. Çoğu kişi bunun güvenli olduğuna inanıyor çünkü sonuçta çoğunu hükümet kontrol ediyor ve bu nedenle iyi korunması gerekiyor. Hükümet tarafından kontrol edilirse korunacağı yönündeki yanlış varsayımı bir kenara bırakırsak, gerçek şu ki, ABD altyapısının şaşırtıcı bir şekilde %65’i özel sektöre aitken, eyalet ve yerel yönetimler %30’a ve federal hükümet ise yalnızca 5’e sahiptir. %. Bu, ülkemizin üzerinde bulunduğu karmaşık mal ve hizmet ağının güvenliğinin neredeyse tamamen bu özel şirketlerin siber güvenlik uygulamalarına ve yatırımlarına bağlı olduğu anlamına geliyor.
Eğer ulusal güvenliğimizi ciddiye alırsak, özel olarak korunan bu altyapının ülkemiz açısından derin kırılganlıklarını kabul etmeliyiz. Siber saldırıların özel şirketler üzerindeki yansımalarını şöyle gördük; Etkilenen milyonlarca hayat, panik, fiyat artışları vb. Colonial Pipeline’a yapılan fidye yazılımı saldırısı, yakıt tedariki kıtlığı, fiyat artışları ve önemli bir coğrafi etkiyle bunun en belirgin örneklerinden biriydi. Bu, Ulusal İstihbarat Direktörü’nün 2019’da boru hatlarının siber saldırılara karşı özellikle savunmasız olduğu ve uzun süreli kapanmalara neden olabileceği yönündeki uyarılarına rağmen gerçekleşti. Sağlık sektöründe, Change Healthcare’e yapılan fidye yazılımı saldırısı, yalnızca Amerikalıların muhtemelen üçte birinin kişisel sağlık, kimlik ve mali bilgilerini açığa çıkarmakla kalmadı, aynı zamanda yaşamı tehdit eden etki, sağlık hizmeti sağlayıcılarının bakım sağlamasını, reçeteleri doldurmasını ve sigorta işlemlerini gerçekleştirmesini engelledi. iddialar.
Bu saldırıların her biri tek bir sektöre yönelikti ancak bariz ne olur sorusu, benzer bir saldırının bir sektör içindeki birden fazla kuruluşta, sektörler arasında veya her ikisinde aynı anda gerçekleşebileceği korkusuyla ilgilidir. Siber suç örgütleri arasında koordinasyonun arttığını görüyoruz. Mantıksal sonuç, bu işbirliğinin daha büyük ölçekli saldırılara yol açacağıdır. Kritik altyapımızın ve tedarik zincirlerimizin birbirine bağlı olması nedeniyle, koordineli, çok kuruluşlu, sektörler arası bir saldırı, ülke genelinde kademeli ve yaygın hasar anlamına gelecektir. Bugüne kadar, ortalama bir kişinin siber saldırılardan kişisel etkisi, bu tür bir saldırının neden olacağı kişisel etkiye kıyasla çok az olmuştur.
Tedarik zinciri saldırıları yoluyla birden fazla sektörü bozmak giderek daha fazla yapılıyor. Tedarik zincirlerimizin ne kadar hassas olduğunu, en ufak bir kesinti veya gecikmenin bile büyük dalgalanmalara neden olduğunu Kovid salgınıyla birlikte gördük. Tedarik zincirlerimizin güvenlik için büyük bütçeleri olan büyük şirketlerden oluştuğunu varsayıyoruz, ancak ister yazılım ister ürün tedarik zinciri olsun, küçük şirketler genellikle sürecin tamamına dahil oluyor. Bu küçük kuruluşlar, küçük belediyeler vb. kendilerini yeterince savunacak beceri ve yeteneğe sahip değildir ve bunu dışarıdan temin etmek için gerekli kaynaklara da sahip değildir. Genellikle bir veya iki BT personeli, sıfır özel siber güvenlik personeli ve ortalamanın altında araçlara sahiptirler.
Durum jeopolitik sorunlar nedeniyle daha da karmaşık hale geliyor. ABD şirketlerini hedef alan, finanse edilen, görevlendirilen ve bazı durumlarda yabancı askeri şubelerde barındırılan ulus devlet tehdit aktörlerimiz var. Başkenti işgal etmek ve eyaletin kontrolünü ele geçirmek amacıyla Virginia kıyılarına yabancı bir askeri çıkarma yaptığınızı hayal edin. Çok zor görünüyor. Ordumuz, ABD topraklarına yaklaşmadan çok önce tehdidi önleyecekti. Şimdi aynı tehdidi hayal edin, ancak düşmanlar Virginia kıyı şeridine ulaşıyor ve vali yardım istediğinde federal hükümet şöyle diyor: “Üzgünüz, ama sizi savunacak kaynaklara sahip değiliz, tek başınasınız. ” Bu hayal bile edilemez, ancak temelde ABD’deki siber güvenliğin durumu budur. FBI Direktörü Christopher Wray geçtiğimiz günlerde FBI siber personelinin sayısının yalnızca Çin’den gelen bilgisayar korsanları tarafından 50’ye 1 oranında geride kaldığını söyledi. Özel bir ABD kuruluşunun yabancı saldırganlarla doğrudan çatışmada yalnız kalacağı başka bir senaryo yok. Şirketlerimiz, özellikle bu şirketlerin bünyesinde yer alan BT ve siber güvenlik personeli ön saflarda hizmet veriyor. Bir saldırı gerçekleştiğinde bu erkekler ve kadınlar siber savaşta aktif savaşçılar haline geliyor. Çoğu, nereden başlayacaklarını bilmedikleri için başarısız oluyor veya başlayamıyor. Eğitimli değiller ve savaşta test edilmemişler. Aynı şey daha büyük organizasyonlardaki birçok kişi için de söylenebilir. Durumun ciddiyeti ve güvenlik açığının derinliği göz önüne alındığında, federal yatırımın yanı sıra artan düzenleyici müdahaleler kaçınılmaz görünüyor.
Düzenleme tek başına bir çözüm değildir ancak temel güvenlik standartlarını belirler ve savunmayı desteklemek için çok ihtiyaç duyulan finansmanı sağlar. Standartlar uzun bir yol kat etti ve nispeten olgunlaştı. Ancak hâlâ çok büyük miktarda gri alan var ve belirli endüstriler ve daha küçük kuruluşlar için alaka veya ulaşılabilirlik eksikliği var. Federal hükümet, siber güvenlik girişimlerine fon sağlamaya öncelik vermeli ve kritik altyapıyı yöneten en küçük kuruluşların bile güçlü güvenlik önlemleri uygulayabilmesini sağlamalıdır. Bu finansmanla, bu özel sektör kuruluşlarında güçlü bir savunma duruşu ve siber dayanıklılık oluşturmalıyız. Bu, gelişmiş araçların dağıtımından daha fazlasını içerir; olaylara müdahale edebilecek ve saldırılara karşı savunma yapabilecek vasıflı personelin geliştirilmesini gerektirir. Beceri geliştirme programları, kuruluşların güvenliklerini proaktif bir şekilde yönetecek uzmanlığa sahip olmasını sağlayarak mavi ekip oluşturma ve olaylara müdahale üzerine odaklanmalıdır.
Etkili siber güvenliğin kritik bir bileşeni, standart risk formülünü anlamak ve uygulamaktır: Risk = Tehdit x Güvenlik Açığı x Sonuç. Bu formül, riskin bir saldırı olasılığının (Tehdit), savunmadaki zayıflıkların (Hassasiyet) ve bir ihlalin potansiyel etkisinin (Sonuç) değerlendirilmesiyle belirlendiğini vurgulamaktadır. Bu risk değerlendirme yaklaşımına odaklanan kuruluşlar, saldırıları daha hızlı fark etme ve bunlara yanıt verme konusunda daha iyi bir konuma sahip olur.
Bu eğitim dönemi boyunca ve sonrasında, güçlü bir olay müdahale planının geliştirilmesine ve yönetimine de yardımcı olan, savaşta test edilmiş bir olay müdahale ekibiyle ilişkinin sürdürülmesi esastır. Danışmanlık kuruluşları ve hizmet sağlayıcılar, derinlemesine güvenlik otomasyonuna odaklanmayı geliştirmeli ve satıcıların kar odaklı kafeterya menüsünden vazgeçmelidir. Yönetilen tespit ve yanıt (bu amaçla otomasyonun yanı sıra), siber tehdit istihbaratı, saldırı yüzeyi analizi ve risk odaklı tehdit danışmanlığı, ABD’nin kritik altyapısında yer alan her boyuttaki kuruluş için standart çalışma prosedürü olmalıdır.
Durum vahim görünse de umut her zaman mevcut olmalıdır. Siber açıdan bakıldığında ulusal güvenliğimiz, özel sektör kuruluşlarının siber güvenlik yeteneklerine bağlıdır. Riskler yüksek ama başarısızlık bir seçenek değil. Güvenlik açıklarını dürüstçe tanıyarak, siber güvenliğe yatırım yaparak ve siber personelimizi ön saflarda hizmet verecek şekilde birleştirerek ve becerilerini geliştirerek, sürekli gelişen tehdit ortamına karşı dayanıklı bir savunma oluşturabiliriz. Tüm endüstriler ve sektörler, hem özel hem de kamu, birlikte çalışmalı ve bilgi paylaşımına kökten açık olmalıdır. Bu mücadele ancak birlikte kazanılabilir. Artan dijital tehlikeler karşısında temel hizmetlerimizin güvende olmasını sağlamak için artık harekete geçmenin zamanı geldi.
Yazar Hakkında
Chris Storey şu anda EDR, Saldırı Yüzey Yönetimi, Ayrıcalıklı Erişim Yönetimi, Kimlik Yönetişimi ve Yönetimi, SIEM ve Siem’i kapsayan siber güvenlik ürün ve hizmetlerini uygulama, entegre etme ve özelleştirme konusundaki uzmanlığıyla tanınan bir şirket olan Qriar’da İş Geliştirme Direktörü olarak görev yapmaktadır. Güvenli API Yönetimi. Siber güvenlik çözümlerine özel olarak odaklanarak iş geliştirme, satış ve hesap yönetimi alanlarında sekiz yıldan fazla deneyime sahiptir.
Onun tutkusu, olağanüstü müşteri hizmetleri sunmaya ve kalıcı müşteri ilişkileri geliştirmeye dayanmaktadır. Chris, karmaşık sorunları çözme ve özel çözümler üretme konusunda beceriye sahip. Kimlik ve Erişim Yönetimi, Ayrıcalıklı Erişim Yönetimi ve Tehdit ve Güvenlik Açığı Yönetimi konularında sertifikalı olup, yenilikçiliği zaman içinde test edilmiş yaklaşımlarla harmanlamaktadır. Chris’in nihai amacı, şirketlerin güvenlik ve iş hedeflerine ulaşmalarına yardımcı olan özel bir siber güvenlik ortağı ve savunucusu olmaktır.