Soğuk Savaş’tan Dersler: Siber Güvenlikte Nitelik Nicelikten Nasıl Üstündür?

Yüksek kaliteli araçlar ve standartlar, bütçeler azalsa bile siber güvenlik çabalarında kritik bileşenler olmaya devam etmektedir. Personelin müdahale prosedürlerini ve rollerini bilmesi ve ayrıca iyi iletişim kurması önemlidir. “Askeri Şartname” veya “MIL-SPEC” terimleri kulağa devlet …

Yüksek kaliteli araçlar ve standartlar, bütçeler azalsa bile siber güvenlik çabalarında kritik bileşenler olmaya devam etmektedir. Personelin müdahale prosedürlerini ve rollerini bilmesi ve ayrıca iyi iletişim kurması önemlidir.

“Askeri Şartname” veya “MIL-SPEC” terimleri kulağa devlet bürokrasisi gibi gelebilir. Ancak, ordu tarafından kullanılan her ekipmanın – vida, elektronik ve plastik gibi bileşenlerine kadar – belirli standartları karşılaması gerekliliği, ABD’nin Soğuk Savaşı kazanmasının tartışmasız nedeniydi.

ABD ordusu niteliğe odaklanırken, Sovyetler Birliği niceliğin niteliğin önemli bir parçası olduğuna dair kendi doktrininden hareketle niceliğe odaklandı. Rejim, sonsuz sayıda tank ve uçağın herhangi bir çatışmayı kazanmalarını sağlayacağına inanıyordu; bunun hatalı bir düşünce olduğu ortaya çıktı.

ABD ordusu için kalite – ve bu kaliteye ulaşmak için gereken ayrıntılar – kritik önemini korumaktadır. F-16 savaş uçağına takılan her şeyin MIL-SPEC derecesine sahip olması gerekiyor. MIL-SPEC, örneğin bir devre kartını oluşturmak için kullanılan malzemenin veya bileşenin, bileşeni arıza noktasına kadar zorlayacak şekilde test edilmesi gerektiği anlamına gelir; bu, tasarlandığı şey için operasyonel gereksinimin çok ötesindedir. Buna donma, çözülme, ısınma, titreşim, düşme, basınçlandırma, basınçsızlaştırma ve elektromanyetik darbelere (EMP’ler) maruz kalma dahildir ancak bunlarla sınırlı değildir. ABD’nin aya insan göndermesine, gökyüzüne hükmeden gizli savaş uçaklarına ve suda bir delik açmak gibi denizaltılara sahip olmasına olanak tanıyan şey, kaliteye odaklanılmasıdır.

Kaliteye odaklanmak, özellikle bütçelerin sınırlı olduğu durumlarda, kurumsal siber güvenlik için de yol gösterici bir ilke olmalıdır. Niceliğin işe yaramadığı giderek daha açık hale geliyor; McKinsey raporuna göre, siber güvenlik araç ve hizmetlerine yapılan harcamalar yılda %12’den fazla artıyor, ancak veri ihlalleri çoğalıyor ve bunların zararı 2025 yılına kadar muhtemelen yıllık 10 trilyon dolardan fazla olacak. Bu zorluğun ortasında, bir ekip oluşturmaktan ürünleri test etmeye ve bir saldırı planlamaya kadar her adımda kaliteyi benimsemek çok önemlidir.

Askeri Deneyime Sahip Bir Ekip Kurun

Devlet destekli saldırılardan kaynaklanan tehdit arttıkça, ister şirket içinde ister dışarıdan bir sağlayıcı aracılığıyla olsun, siber ekiplerinde hükümet veya askeri sektörlerde deneyim sahibi kişilerin bulunması şirketlere büyük fayda sağlayabilir. İşletmeler, Rusya ve Çin gibi yerlerden gelen devlet destekli saldırıların büyüyen bir tehdit olduğunun farkındadır; ankete katılan şirketlerin %42’si devlet destekli bir saldırıdan dolayı risk altında hissettiklerini ve yarısı da zaten bir saldırıda hedef alındıklarını söylemiştir. Ancak ankete göre çok azı bu tür sofistike saldırıları önleyecek ve azaltacak kaynaklara sahip.

Askeri veya hükümet işlerinde geçmişi olan profesyoneller, devlet destekli bilgisayar korsanlığı gruplarından gelen tehditleri bulmak ve değerlendirmek söz konusu olduğunda özellikle değerlidir. Bu tür tehditlerin teknik özelliklerine daha aşina olmanın yanı sıra, ordudan veya hükümetten gelenler, devlet destekli bilgisayar korsanlarından gelen potansiyel tehditleri değerlendirirken dikkate alınması gereken değişen jeopolitik manzara hakkında da değerli bilgiler sunar. Askeri ya da hükümet geçmişi, bu profesyonelleri süreçlerin ve iletişimin önemini anlamaya da hazırlar. Bu iki unsur, bir şirketin siber güvenlik statüsünün kalitesini belirleyebilir.

Test Edin, Test Edin ve Tekrar Test Edin

Nasıl ki F-16’larda her unsurun en uç senaryolara dayanması gerekiyorsa, bir şirketin siber güvenlik önlemleri de öyle olmalıdır. Profesyonel bir kırmızı ekiple ya da bir şirketin BT sistemine sızmaya ve kontrolü ele geçirmeye çalışan etik hackerlarla çalışmak, savunma araçlarının ve stratejilerinin kalitesini kontrol etmenin en iyi yollarından biridir. Hangi araç ve politikaların işe yaradığını ve hangilerinin değiştirilmesi ya da iyileştirilmesi gerektiğini belirlemenin tek yolu gerçek hayat testleridir.

Benzer şekilde, bu tür testler düzenli olarak yapılmalıdır. Önemli yeni bir tehdidin ortaya çıkması veya sızma gibi kritik olaylar da kapsamlı testleri tetiklemelidir. Kırmızı bir ekiple çalışmanın önemli bir parçası, iletişimin iyi olmasını sağlamak ve işe alan şirketin ne yapıldığına, sonuçların ne olduğuna ve bulguların hafifletilmesine ilişkin önerilere dair eksiksiz bir rapor almasını sağlamaktır. Bu teknik hususların daha sonra, siber güvenlik açıklarının bir işletmenin kârlılığı, büyüme potansiyeli ve genel risk durumu üzerindeki etkisi de dahil olmak üzere, teknik olmayan kurumsal liderlerin anlayabileceği bir dile ve kavramlara çevrilmesi gerekir. Bu şekilde, bu karar vericiler en çok neyin risk altında olduğunu ve siber duruşlarının gerçek hayattaki kalitesini artırmak için nereye yatırım yapmaları gerektiğini anlayacaklardır.

Masa Üstü Egzersizlerini Küçümsemeyin

Saldırı gerçekleşmiş gibi tatbikatlar düzenlemek, bir şirketin müdahale ve hafifletme yeteneklerinin kalitesini teknik seviyenin çok ötesinde test edebilir. Bir siber saldırı artık sadece teknik bir olay olmadığı için bu giderek daha önemli hale gelmektedir; saldırılar ve veri ihlalleri önemli iş kesintilerinin yanı sıra yasal ve halkla ilişkiler zorluklarına da neden olmaktadır.

Gerçek şu ki, kaliteli savunmalara sahip olsalar bile, çoğu kuruluş bir noktada bir tür saldırı veya veri ihlalinin kurbanı olacaktır. Ancak bir şirket içindeki tüm taraflar müdahale prosedürlerini anlar, rollerini bilir ve iyi iletişim kurarsa hasar azaltılabilir veya ortadan kaldırılabilir. Kuruluşların kaçınılmaz olanla mümkün olan en iyi şekilde nasıl başa çıkacaklarını anlamaları gerekir.

Şirketler bu adımları attıklarında bilgisayar korsanlarına karşı daha fazla şansa sahip olurlar. Siber suçlular genellikle sınırsız zamana ve çok sayıda araca sahiptir – bir nevi Sovyetler Birliği gibi. Şirketler, araçlarının ve süreçlerinin en yüksek kalitede olduğundan ve savaşta kendilerini kanıtlayabileceklerinden emin olarak buna karşı koymalıdır.