Özellikle kurumlar günümüzde sıklık ile siber tehdit ve saldırı yaşamakta. Ancak görülüyor ki birçok kurum bu konuda oldukça naif. Bu nedenle tehditte ve geldiğinde saldırıya hazırlıksız yakalanmakta. Siber tehditte riskin minimuma indirilmesi için kurumların özellikle ve öncelikle ne tür tehditlere maruz kalabileceklerinin açık ve net olarak bilmeleri, siber istihbarat süreçlerini oluşturmaları, saldırı ortaya çıktığında da hazırlıklı olmaları gerekmektedir. Siber tehdit bir siber saldırıya dönüştüğünde kurumlar ancak tanıyıp hazır olurlar ise hızlı ve doğru kararları alarak süreci güvenli ve hasarsız atlatabilirler.
Siber güvenlik ihlalleri nadiren medyanın gözünden kaçmaktadır. Bu alandaki düşman unsurların karmaşıklığı arttıkça, bir çok kurum siber saldırılara hızla cevap vermekte geç kalıyor ve dolayısıyla saldırı çoktan kurumların güvenliğiyle ilgili ciddi bir tehdit oluşturmaya başlamış oluyor. Önleyici tedbir almanın kurumlara maliyeti oldukça düşük1 ve müşteri odaklı2olmasına rağmen, çok az sayıda kurum siber tehditleri önceden tahmin ederek önleyici stratejileri uygulamaya koyabiliyor.
Bu tehditler karşılaşılan yeni bir durum değil, bilgisayar korsanları 1990’ların başından beri gizli hükümet sistemleri içine sızmayı başarıyor. Üst düzeye yönelik, ileri derecede zarar verici güvenlik ihlalleri, ulusal ve kurumsal alt yapılarda ciddi oranda fiziksel ve finansal hasara yol açtığı için siber güvenlik konusunda yapılan çalışmalar hızla gelişmektedir. Aynı zamanda tehdidin doğasının da değişmekte olduğu görülmektedir. En son anket çalışmamız, yüzde 67 oranındaki veri kaybının dış tehditlerden kaynaklandığını gösterirken, aynı süre içerisinde iç tehdidin en düşük seviyede olması şaşırtıcıdır.3
Bilgi Güvenliğinin doğası sürekli bir gelişim içindedir. Kamu ve özel sektör kuruluşları siber saldırılara hedef olabileceklerine inanmakta zorluk yaşar. Bu kafa yapısının değişmesi gerekmektedir çünkü en iyi saldırı iyi bir savunma yapmaktan geçer. Bununla birlikte, sadece savunmaya güvenmek de artık geçerli değildir. Kararlı rakip eninde sonunda hedefine ulaşacaktır. Sonuçta, kurumlar kendilerine yönelik saldırı gerçekleştiğinde veya olabilecek muhtemel saldırıyı tanımlayabilmek için, çevrelerinde ne olup bittiğini bilmek zorundadır. Bu yaklaşımın sağlayacağı içgörü ve istihbarat bundan sonra geliştirilecek olan Bilgi Güvenlik sisteminin odağında yer alacaktır.
Müşteriler, paydaşlar ve çalışanlar tarafından yaşanacak riski minimum seviyeye indirmek için siber tehditi proaktif yaklaşımla yönetmek üzere, kurumlara yardımcı olacak üç ana ilke olduğuna inanıyoruz. Bunlar;
- İstihbarata dayalı kafa yapısı oluşturmak
- İstihbarat yönetim modeli uygulamak
- İstihbarata dayalı karar-alma süreci oluştur
İlke 1- İstihbarata dayalı kafa yapısı oluşturun
İstihbarata dayalı anlayış, tehdit, savunmasızlık, uygunluk, risk, hareket ve sonuç ile doğrudan ilişkilidir. Bu yöntem liderlerin sürekli “basit” ancak “temel” soruları sormalarını gerektirir:
- Hangi tür siber tehditlerle karşılaşıyoruz?
- Siber tehditler değerli bilgi varlıklarımız için nasıl bir risk oluşturuyor?
- Cevabımız ne olmalı?
- Cevabımız ne kadar etkili oldu?
Bir çok yönetim siber tehdit risklerine rağmen, ilgili soruları sormakta veya tatminkar cevaplar almakta başarısız olmaktadır. Bunun nedeni, sıklıkla sorulan ilk sorunun, cevaplanması en zor soru olmasıdır. Siber tehditleri, olasılık ve iş üzerindeki etkisi açısından ölçmek oldukça zordur. İstihbaratın büyük bir kısmı durumsal farkındalık yaratır, saldırıyla ilgili gerçek bilgi vermekten çok, saldırının belirtilerini veya etkilerini ortaya koyar.
Sonuç olarak, bir çok yönetim tehditin doğasını tam olarak anlayamaz ve siber güvenliğin teknik bir konu olduğuna dair yanlış bir kanıya kapılır. Siber güvenlik genellikle BT uzmanları tarafından yönetilmektedir ancak bu kişiler, tüm kurumu kapsayan risk oranının azalmasında etkili olan kurum çapında kaldıraçları harekete geçirmekte başarısızdır.
Koruyucu yaklaşım benimsemek, üst yönetim düzeyinde başlayan kültürel bir değişim gerektirir. Üst yönetim seviyesinde bu sorulara odaklanmak ve bu soruları kurum risk stratejisi ile ilişkilendirmek başarı için kritik önem taşır. Bu yaklaşımla, liderler mevcut siber güvenlik stratejisindeki boşlukları tanımlamaya hızla başlayabilir ve siber tehditlere karşı koymak üzere kurum çapında bir hareketi cesaretlendirebilir.
İlke 2 – İstihbarat yönetim modeli uygulayın
Bir kurumda istihbarata dayalı karar alma sürecini yerleştirmek için, en temel istihbarat modeli o kurumda uygulanmakta olmalıdır. İstihbarat hukuk kurallarını uygulayan kurumlar, bilgi toplamak, analiz etmek ve istihbarata dayalı hareket etmek için güçlü sistemler ve süreçler kullanır. Bu sistemlerin birbirinden farklılık gösteren modelleri vardır. Ancak bu modeller ortak bileşenler üzerine yapılandırıldıkları için, istihbarat yetkinliğini geliştirmeyi hedef almış her kuruma doğrudan uygulanabilir.
Şekil 1’de görüldüğü gibi, temel istihbarat çalışma modelimiz, hukuka dayalı istihbarat yönetim sistem ve süreçlerini geliştirme deneyimimize dayanmaktadır.
İstihbarat ürününün değerini, siber güvenlik riskleriyle nasıl baş edileceği konusunda doğrudan karar bildirip bildirmemesi ile test edebiliriz. Hukuksal yaptırımlar ve benzer kurumsal şirketler açısından bu konuda alınacak başlıca kararlar şunlardır:
- Ne zaman hareket edilecek?
- Hangi taktik uygulamaya koyulacak?
- Etkili oldu mu?
Siber saldırıya karşı atak arayışında olan kurumlar için sorulacak en uygun sorular bunlardır. Saldırı esnasında, doğal bir gerginlik ortaya çıkar. Bu gerginlik, tehditi etkisiz kılmak üzere, saldırıyla ilgili daha fazla istihbarat edinerek saldırıyı denetlemek ile kurumun uğrayacağı kaybı en düşük düzeye indirmek arasında yaşanır. Bu durumun açıkca hüküm vermek olduğu görülür; tam gelişmiş kurumlar sıkça daha ileri istihbaratı ortaya çıkaracak saldırıları başlatmak üzere aldatma stratejileri kullanır.
İlke 3- İstihbarata dayalı karar alma süreci oluştur
Hukuki yaptırımlarda ve istihbarat kurumlarında, istihbarat doğrudan tüm çekirdek iş kararlarını bilgilendirir. Kurumsal üst yönetimin bu yaklaşımı istikrarlı bir şekilde takip etmedikleri gün gibi ortadadır. Bu nedenle üst yönetim, kritik iş kararları üzerinde maddi etki yaratabilecek siber tehditlerle ilgili net bir fikre sahip değildir.
Londra Ulusal Koordinasyon Merkezi (NOCC) (2012), UK politikasının karar alma yapısı ve yönetimiyle bütünleşmiş gelişmiş istihbarat yeteneğine iyi bir örnektir.
NOCC’de her gün izlenecek yol, gün içerisinde iki görevlendirme ve koordinasyon toplantıları tarafından belirlenir. Bu toplantı döngüsü, üst düzey çalışanların en son istihbarat bilgilerini sürekli olarak gözden geçirmelerine ve yaklaşan tehditleri hafifletmek üzere kaynakları harekete geçirmelerine imkan verir. Burada ana hedef istihbarat kullanımını işin merkezine yerleştirmektir. Bu yolla istihbarat ürünlerinin gelişimi resmi karar alma adımlarıyla birleştirilir.
Aynı zamanda açıkca görülen öncelikler de önemlidir. NOCC de gerçekleştirilen istihbarat toplantıları, dinamik, neler yapılması gerektiğini öngören kararlar almak üzere yetkilendirilmiş (gerektiğinde delege edilebilen) üst düzey, hukuka uygun hareket eden görevliler tarafından yönetilir.
Bu kurallara uygunluğun ihtiyaç göstermediği durumlarda, yaklaşan siber tehditlerin üst yönetim tarafından bilinmesi ve verilecek cevabın belirlenmesi kritik noktayı oluşturur. Siber güvenliğin belirsiz dünyasında, tehdit istihbaratı kurumların daha proaktif davranmalarına, bu konu üzerine odaklanmalarına ve koruyucu önlemler almalarına olanak sağlar.
Sonuç:
Bu anlayışın kurumda yerleşmesi, bize etkili siber istihbarat çalışma adımlarının yapılaşmasında benzersiz bir bakış açısı kazandırır.
Tehdit istihbaratı, etkili siber güvenlik konusunun merkez bileşenidir. Hedefimiz, stratejik düşünceleriyle bütünleşmiş doğru modeli tasarlayarak sürekliliği olan siber güvenlik yetkinliği oluşturmalarında kurumlara yardımcı olmaktır.
Kaynaklar:
- For example: http://money.cnn.com/2012/12/13/technology/security/bank-cyberattack-blitzkrieg/index.html
- UK Cyber Crime Strategy, March 2010
- KPMG Data Loss Barometer, 2012
Leave a Comment
Your email address will not be published. Required fields are marked with *