Kritik
Altyapılarda Siber Güvenlik
Kritik altyapılara yönelik siber saldırılarda kıran kırana bir mücadeleye tanıklık ediliyor. Anlık ve habersiz girişimlere hazırlıklı olmak için koruma çerçevesinin öncelikle kavramsal tasarımını tamamlamasına dikkat çekiliyor.
Tetikte bulunmamanın bedelinin yıkıcı olmasını tahmin etmek de zor olmamaktadır.
Başarılı ve etkin kurcalamanın örnekleri arasında finansal hizmetler, savunma
sistemleri, sanayi tesisleri, enerji üretim iletim ve dağıtım ile ulaşım altyapıları
öncelikli olarak sıralanmaktadır.
Altyapılara doğru
yönelen siber rahatsız edici eylemlerin genel olarak kontrol sistemlerini ele
geçirmeye yönelik olarak başlatıldığı bilinmektedir. Farklı olarak kurumsal ve
bireysel müdahale ise ağırlıklı olarak veri toplama bulgusu içermektedir.
Altyapı BT
sistemlerinin diğerlerine kıyasla devreye aldıkları (SCADA – Supervisory
Control & Data Acquisition) Merkezi
Kontrol ve Veri Toplama Sistemleri, Araştırma ve Geliştirme faaliyetleri bağlantı ve
iletişim yedekliliği, yapay zekâ ve siber güvenlik temalarına odaklanmaktadır. Ayrıca
çarçabuk yaşamımızda yer almaya devam eden (IOT) Nesnelerin Internet’in de
manzaranın yeni bir rengi olarak karşımıza çıkması benzersiz görüntüye katkı
vermeye başlamıştır.
Sessizce biriken
gerilimin ne zaman eyleme geçeceğini kestirmek neredeyse imkânsızı yaşamak gibi
olacağı beklenmektedir. Dolayısıyla kurumsal tutum ve davranış tedirginliğini
bir yana bırakılıp konunun irdelemesi ve en uç noktalara kadar uzanan zayıflıkların
tespitinde aranmaktadır. Uzmanların, durum tespitinin ardından aşamalı olarak
karşılık yöntemler uygulamaya konulmaktadır. Beklemek kesinlikle bir çözüm
değildir.
Kritik altyapı
işletmelerinde başarı kıstaslarının (KPI) biçimli olarak belirlenmesi alışılmış
bir yönetim sistemine dayanmaktadır. Öte yandan aynı kuruluşta siber güvenlik
hedeflerinin oluşturulması kuşkusuz daha bilimsel çalışmaya gereksinim
duymaktadır. Asıl mesele üst yönetimin konunun hassasiyetine inancının
sağlanması ve kaynak dağılımında ve ayrılmasında önceliğin belirlenmesidir. Üzerine
düşeni fazlasıyla yerine getirdiği kanaatine varılmış olmasına karşı, olay
gerçekleştikten sonra hasara ve daha da olumsuzu yıkıma akıl erdirmenin,
karmaşıklığı neticesinde sorumluluk ilk olarak teknik birimlerde aranacaktır.
Ünlü atasözümüz “Başa gelen çekilir” hükümsüz olacaktır,
çünkü işletmenin yüzleştiği kahredici zarar sadece süreçlerde aranmayacak,
güvenirliğini sarsacaktır.
Peki, nasıl olur
da siber farkındalık gün yüzüne çıkarılarak açıklanabilir?
1-Siber
güvenliğin kurumsal risklerinin ilki olarak adlandırılması. Savunma kademelerin saldırı karşılığı
planlanan seçeneklerinin test edilerek gözetimin sürekliliğin sağlanması. Olay
anının yürütülmesinde takip edilecek sürecin önceden bilinirliliği kıymetli bir
bilgi olduğunun kavranması. Bütünleşik uygulama haritasının üzerine titreyerek
ve onay sürecini tamamlanarak üst yönetimin ilgisinin diri tutulması, başarının
sırları arasında sayılmaktadır.
2-Sürekli
izleme ve ölçü noktalarının verilerine güvenme. Kolay olmamakla birlikte kaba sayısal çıkarımlar
hesaplanabilir. Sürekli çekilen resmin çözünürlüğünün düşük olmasına rağmen, şekilsel
olarak gidişat hakkında bilgi verebilecek seviyede olduğu ifade edilmektedir.
Ayrıca algılayıcıların güncel donanım ve yazılım yetkinliklerinin, toz duman
içinde, sezgilerinin ve uyarılarının berraklığı ile doğru orantılı olduğudur.
3-Olayın
oluşmasının süratle farkına varılması ve zaman olarak erken tespiti. (MTTD - Mean Time to Detect). İsabetli kararların çevrim içi alınmasında
alakalı planların en ince ayrıntısına kadar tartışılması kayda değer
olmaktadır. Bununla birlikte gidişatın öngörülmesi ve benzerleri ile
kıyaslanması, tehlikeye dayanma ve temizleme çabasına katkıda bulunmaktadır.
4-Vakanın
bertaraf edilmesi süresinin en hızlı ve doğru olarak uygulanması. (MTTR – Mean Time to Resolve). Bütün boyutlarıyla ele alınması gereken zarar
verme anı otomasyon sistemlerine tamamen bırakılmayacak kadar nazik bir mesele
konumundadır. Bütün evre ve adımlar tatbikatlar ile etraflıca ve ne kadar
sıkıcı olursa olsun defalarca denemeler yapılarak doğrulanmalıdır.
5-Uzaklaştırılan
her etkileşim sonrası. Erişilen
özgüven, hayal kırıklığının yerini kazanma tutkusuna çevirmektedir. Elbette
mükemmelliği yakalamak her denemede mümkün olamayacaktır. Ancak öğrenmeye
katkısının, kusursuzluk yönünde olanak sağladığının memnuniyeti de, işletmeye
verimlilik ve canlılık kazandırmaktadır. Kanıtlanmış deneyimlerin ortak
paydaşlarla iletişimi, top yekûn siber saldırılarla mücadeleye imkân
verecektir. Zincirleme uyum, rastgele önlemlerin yerini, becerikli uzmanların
bilgeliğinde yürütülecek bağışıklığa bırakmaktadır. Direnç artarak kapı zararlı
hamlelere kilitli olacaktır.
Günümüz çevrimiçi
internet bağlantılı iş dünyasında yapay zekâ siber güvenliğin merkezine
yerleşmiş görünüyor. Kod yazabiliyor, açıkları tespit edebiliyor nereye ne
zaman sınırsız girişim yapabileceğini öğrenebiliyor. Kurumları
bereketsizleştiriyor neredeyse çöle çeviriyor. Milyarlarca Dolar üretim kaybı ve
sigorta maliyeti oluşmasının yanı sıra duygusal çöküşün geri dönüşü
olamayabiliyor.
Dolayısıyla yine
o çok anlamlı ve inandırıcı bir başka atasözümüzden alıntı yapacak olursak… Ne
kadar mantıklı uyarmış atalarımız…
“Balık ağa girdikten sonra aklı başına gelir”
Ağa takılmayı
sezinlemek için maharetli, tecrübeli takım arkadaşlarımızın seslenişlerine
kulak vermeliyiz. Kaynaklarının kısıtlı ve önceliklerin farklı olması dayanıklı
işletmeler için riskleri beraberinde getirmektedir. Rekabetçilik kuşkusuz
ticari amacın kaçınılmaz önceliğidir. Böylesi bir kovalamaca içinde günlük
yükümlülüklerimizden bir an olsun fedakârlık ederek siber güvenliği umursamaya
zaman ayırmalıyız. Karşı tedbirlerle ilgilemek, özen göstermek ileride
oluşabilecek karmaşıklığın kördüğüme dönüşmesine izin vermeyecektir.
Dahası Hacker toplumuna zahmet çıkarmanın dolambaçsız etkisi, varlık maliyetlerinin
kaçınılmaz olarak artacağıdır.
Her zaman ve
mekânda hatırlayalım.
İcrayı San’at
Eyle.
Kalın sağlıcakla.