Güvenli Pazartesi: Siber güvenlik ve siber direnç

cyber_attact

Siber güvenlik, sıklıkla kulağımıza çalınan bir konu. Siber direnç ise pek çok kişi için yeni bir kavram olabilir. Farklı ama aynı derecede öneme sahip bu iki kavramın, bilişim güvenliği için ne anlama geldiğine bakıyoruz.

Ekim ayında yaşanan Mirai tabanlı IoT saldırısı, teknolojinin yaşamımızın her boyutuna ve ekonomilerimizi, toplumlarımızı destekleyen sistemlere genişlemesinin önemli, ancak çoğunlukla dikkate alınmayan bir sonucudur. Siber saldırılara hiç bu kadar açık olmamıştık; teknolojinin yaşamlarımızla giderek daha fazla iç içe geçmesiyle, geçen ay gerçekleşen türden saldırıların sonuçları geçmişte olduğundan daha yaygın ve can sıkıcı olacaktır.

Bu saldırının ölçeğinden, web kamera gibi gündelik cihazları kullanmasına kadar tüm ayrıntıları kendi içlerinde hem ilginç hem kaygı verici (bu konuda iyi yazılmış yazıları burada ve burada bulabilirsiniz) olmakla birlikte önemli bir soruyu gündeme getirmektedir. Güvenlik profesyonelleri, bağlı hiçbir sistemin %100 güvenli olamayacağını, yakında doğrudan interneti oluşturan temelin desteklerinin siber saldırılar nedeniyle gerçek bir çökme riskini taşıyacağı bir dönemin geleceğini uzun zaman önce kabul ettiler. Böyle olacaksa, başarılı siber saldırıları önlemeye ayıracağımız kaynaklar, başarılı bir siber saldırının sonuçlarını karşılama hazırlıklarımıza eşdeğer mi olmalıdır? Bir başka deyişle, siber direnç, siber güvenlikle aynı düzeyde mi ele alınmalıdır?

İlke belirleme açısından, bu sorunun yanıtlanmasının getirdiği zorluklardan biri, küresel bir siber direnç tanımının olmaması, bu nedenle de siber direncin nasıl başarılacağında sınırlı görüş birliği olmasıdır. Bu kuramsal engelden kaçınıp (sosyal, tasarım, siyasi) sistemlerimizi, bu sistemlerin temel varsayımlarına karşı yapılan “Siyah Kuğu” ihlâlleri durumunda bile en azından belli bir düzeyde çalışabilecek şekilde nasıl tasarlayabileceğimizi ele alabilsek bile çözüme pek fazla yaklaşamayız. Elektriğin olmayacağı kısa bir süreye hazırlıklı olmamız gibi bir öneri bile, bir sabah güneşin doğmayacağına karşı hazırlıklı olma düşüncesi gibi gelebilir. Ancak gerçek, siber saldırıların sıfır toplamlı oyun olmadığı, ihlâlin kaçınılmaz bir sistem hatası demek olduğudur. Karmaşık teknolojiler söz konusu olduğunda, bir saldırıyı gerçekleştirmenin ne kadar yolu varsa bu saldırıdan kaçınmanın da o kadar yolu olacaktır. Siber dirence yapılan yatırımlar bunu mümkün kılacaktır.

Bu nasıl başarılabilir? Hazırlıklı olma, yanıt verebilirlik ve bir siber saldırı sürecinde sistem ile süreçlerimizi yeniden icat edebilmek üzerinde odaklanmamızın önemli olduğunu düşünüyorum. Hazırlıklılık, uzun dönemli bir işlevdir; riskleri değerlendirme ve yönetme, kesinti durumunda yanıt ve kurtarma yeteneklerinin geliştirilmesinden destek alır. Yanıt verebilirlik, siber saldırıyı olduğu sırada algılama, tanımlama, giderme ve bu süreçte sistemleri çalışır durumda tutma yeteneğidir. Yeniden icat etme, yanıtla birlikte başlar, daha uzun bir stres dönemi veya daha kısa, ani bir şok şeklinde gelebilen etkiye, sistemleri korumanın ve kesintiye uğrayan hizmetleri sağlamanın yeni yollarını bularak uyum sağlamaya çalışmalıdır.

Bu tür siber direnç için gereken yapı ve süreçler, siber güvenlik için gerekenlerden farklıdır; ancak gerektirdikleri teknik beceri ve süreçlerden bazıları ortaktır. Siber güvenlik gereksinimlerini gerçekçi bir biçimde siber direnç gereksinimleriyle karşılaştıran her kuruluş için bu ikisi arasındaki farklılıklar belirgindir. Özellikle direnç, teknolojiye olduğu kadar kültüre de odaklanmayı gerektirir. Kuruluş liderliği, net açıklanabilirliği olan ileri görüşlü, sonuç odaklı hedefler belirlemeli, planlamayı her düzeyde teşvik etmelidir. Yönetim, operasyon ve teknoloji yaklaşımlarında, siber saldırının sonuçlarını yaşayan ekipleri risk almaya, daha hızlı öğrenmeye, aksilik durumunda yapabilirim tavrını benimsemeye teşvik edecek türde yaratıcılık da gereklidir. Araştırma, eğitim ve en iyi uygulamaların tanımlanmasına yapılan yatırımlar, bu kültürel boyutu uzun dönemde desteklemelidir.

Sonuç olarak siber güvenlik ve siber direnç, farklı ancak birbirini bütünleyen iki disiplin olarak görülmelidir. Bu disiplinler, teknolojinin modern toplumumuzdaki hızlı evrimi ve giderek yaygınlaşmasıyla giderek daha önem kazanmaktadır. Siber güvenlik şimdilik siyaset ve iş liderleri tarafından siber dirençten daha fazla konu edilse de toplumlarımızın, ekonomilerimizin güvenliğini sağlamamız veya kronik streslere, akut şoklara dayanabilmemiz için biri olmadan diğeri asla yeterli olmayacaktır.