Siber dayanıklılık (Cyber Resillience) artan siber saldırılar ve bu saldırılardan etkilenen kurumların sayısı arttıkça daha da önemli hale geliyor. MIT Sloan tarafından yazılan bu makale kurumların siber dayanıklılıklarını nasıl oluşturabileceklerine dair bir kılavuz niteliğini taşıyor. Her kurumun sadece Bilgi Teknolojileri yöneticileri değil tüm üst düzey yöneticileri ve yönetim kurulları tarafından okunması, özümsenmesi, ele alınması ve aksiyona geçilmesi gerektiğini düşündüğümüz bir konu Siber dayanıklılık. Faydalı olması ümidi ile, keyifli okumalar…
2017’deki NotPetya kötü amaçlı yazılım saldırısı, Ukrayna’da başlayıp dünya çapında 60’tan fazla ülkeye hızla yayılarak küresel işletmelerin sistemlerini şifreleyip operasyonlarını sekteye uğratması. En kötü etkilenenlerden biri olan küresel denizcilik şirketi Maersk’in tüm BT altyapısını yeniden oluşturması gerekti. Sistemlerini tekrar erişime açmak için geçen dokuz gün boyunca şirket, ekiplerin anlık olarak bulduğu geçici çözümleri kullanarak faaliyetlerine devam etmekte zorlandı. Sonuçta bu olay Maersk’e yaklaşık 300 milyon dolara mal oldu.
Daha yakın tarihli bir fidye yazılımı saldırısı, ABD’nin en büyük et paketleyicisi olan JBS USA’nın faaliyetlerini durdurdu ve diğer saldırılar yüzlerce şirketi daha etkiledi. Örneğin 2021’in sonlarında Log4j güvenlik açığı, saldırganların kötü amaçlı yazılım yerleştirmesine ve son on yılda geliştirilen milyonlarca Java uygulamasının kontrolünü ele geçirmesine olanak sağladı. Bu yaygın olaylar, gelişmiş siber saldırıların önüne geçilemeyeceğini gösterdi.
Tüm yeni siber tehditlere karşı korunmanın imkânsız olduğu düşünüldüğünde, şirketlerin siber dayanıklılığa odaklanarak siber saldırıların etkisini azaltmaları kritik hale gelmiştir. Siber dayanıklılık sistematik, yapılandırılmış, uyarlanabilir bir yaklaşım gerektirir ve sadece Bilgi Teknolojileri Yöneticisine (CIO) veya Bilgi Güvenliği Yöneticisine (CISO) bırakılamaz. Potansiyel olarak işletmenin tüm bölümlerini içerdiğinden, üst düzey yöneticiler ve yönetim kurulu tarafından yönetilmelidir.
Klasik Siber Güvenlik Yaklaşımı Yetersiz
Çoğu kuruluş siber olgunluklarını Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi ‘ne göre değerlendirmektedir, ancak bu çerçevenin %80’i tanımlama, koruma ve tespit üzerine odaklanırken, yalnızca %20’si bir kuruluşun bir ihlale yanıt verme ve bu ihlalden kurtulma becerisine odaklanmaktadır.
Benzer şekilde, siber güvenlik harcamaları üzerine yaptığımız araştırma, harcamaların %72’sinin teşhis, koruma ve algılamaya, yalnızca %18’inin müdahale, kurtarma ve iş sürekliliğine harcandığını göstermektedir.
Bu dengesizlik sadece kurumları savunmasız bırakmakla kalmıyor, aynı zamanda şirketleri ABD Menkul Kıymetler ve Borsa Komisyonu tarafından önerilen ve şirketlerin SEC dosyalarının “bir siber güvenlik olayı durumunda iş sürekliliği, acil durum ve kurtarma planları” ile ilgili ayrıntıları içermesini gerektiren yeni kurallara uygun hale getirme konusunda da yetersiz kalıyor.
Siber suç kanunları halihazırda 156 ülkede yürürlüğe girmiştir ve 40 ABD eyaletinde ve Porto Riko’da 250 kanun tasarısı değerlendirilmektedir ve ek siber esneklik düzenlemelerinin de bunu takip etmesi beklenmektedir.
Siber suçlular iyi finanse edilmekte, iyi organize olmakta ve siber güvenlikten çok daha hızlı bir şekilde inovasyon yapmaktadır. Siber saldırılar artık endemik hale gelmiştir ve tıpkı vücudumuzun endemik bir hastalıkla mücadele etmek için yaptığı gibi, her kurumun kaçınılmaz tehditlere karşı dayanıklılık geliştirmesi önemlidir. Grip ve COVID-19 aşıları vücudumuzun hayati organlarımızı korumak için bağışıklık sistemimizi güçlendirmesine yardımcı olabilir; aynı şekilde yönetim de şirketlerin kritik sistemleri için hem bilinen hem de bilinmeyen tehditlere karşı etkili bir siber dayanıklılık oluşturmak için uyarlamalı düşünceyi kullanabilir.
Siber Dayanıklılık için Stratejik Bir Çerçeve
Bir şokun ardından çabucak toparlanarak operasyonel yeteneklerini geri kazanan siber dayanıklı bir şirket, yedi uyarlanabilir tasarım ilkesini kullanarak dört farklı zaman ölçeğinde (öngörü, sindirme, yanıt verme ve biçimlendirme) çalışır: Tedbirlilik, artıklık, çeşitlilik, modülerlik, adaptasyon, yerleşiklik ve yeniden hayal etme.3 (Bkz. “Kurumsal Dayanıklılık için Tasarım İlkeleri”)
Kurumsal Dayanıklılık için Tasarım İlkeleri
Ölçülen ve yönetilen siber dayanıklı bir kuruluş oluşturmaya yönelik bu çerçeve, ABD’deki halka açık şirketlerin son 30 yılda ekonomik gerileme ve COVID-19 salgını gibi aksaklıklara verdikleri yanıtlardan elde edilen gerçek verilere dayanmaktadır.
Beklenti: İhlalden Önce
1. İhtiyatlılık ilkesi (Prudence) bize bir şeyler ters gidebiliyorsa eninde sonunda ters gideceğini söyler- ters gitmeyeceğini düşündüğümüz her şey de buna dahildir. Sadece bilinen siber tehditlere değil, aynı zamanda sistemler henüz keşfedilmemiş siber saldırılar nedeniyle kesintiye uğradığında nasıl yanıt vereceğimize ve kritik iş fonksiyonlarını nasıl kurtaracağımıza odaklanarak öngörü yeteneğimizi genişletmeliyiz. Bir ihlal meydana geldiğinde, siber dayanıklı kuruluş, tıpkı bir futbol takımının iyi çalışılmış savunma taktiklerini, koçun ayrıntılı talimatlarını beklemeden rakip takımın hücumuna gerçek zamanlı olarak adapte etmesi gibi, görevinde çok az kesinti ile veya hiç kesinti olmadan çalışmaya devam eder.
Tedbirli olmayı geliştirmeye başlamanın en etkili yolu Masa Başı Tatbikatlarıdır (MBT’ler). Çoğu zaman MBT’ler siber saldırıya müdahaleye odaklanır ve sadece siber güvenlik olay müdahale ekibi ve kriz yönetim ekibi dahil olur. MBT’ler sadece bu iki ekibin dahil edilmesi, itfaiye müdürünün çalışanların katılımı olmadan bir yangın tatbikatı yapmasına eşdeğerdir. Tıpkı kuruluşların tüm çalışanlarının yangın tatbikatı yapmasını zorunlu tutması gibi, ihtiyatlılık da tedarik zinciri, operasyonlar, satış, müşteri desteği, finans, İK, BT ve idari hizmetler de dahil olmak üzere tüm çalışanların siber dayanıklılık konusundaki rollerini bilmelerini ve uygulamalarını gerektirir.
2018’de gerçekleştirdiğimiz bir MBT’ta, bir medya şirketinin tesislerinin kullanılamaz hale geldiği ve tüm çalışanların uzaktan çalışmasını gerektiren bir siber saldırı senaryosu hayal ettik. Şirket yönetimi böyle bir senaryonun asla gerçekleşemeyeceğini söyledi, ancak görünüşte imkânsız olan bu senaryo için bir kurtarma planı geliştirerek bizimle alay etmeye devam etti. Bir yıl sonra, COVID-19 şirketin tüm çalışanlarını uzaktan çalışmaya zorladı. Şirket, uzaktan çalışmaya geçişe nispeten hızlı bir şekilde yanıt verebildi ve iş kesintisini bir şekilde en aza indirdi, çünkü operasyonlar, yönetim, hukuk, İK ve finans dahil olmak üzere birçok departmanın yöneticileri bu düşünülemez durum için pratik yapmıştı. Daha fazla çalışan pratik yapmış olsaydı daha da az aksaklık yaşanabilirdi.
Özümseme: İhlalin Anlık Etkisini Azaltmak
Siber dayanıklı kuruluşlar, siber ihlalin etkisini absorbe etmek için birbirine bağlı üç kaldıraca sahiptir: yedeklilik, çeşitlilik ve modülerlik.
2. Yedeklilik (Redundancy) hem çoğaltılmış unsurları (birden fazla veri merkezi veya bulut örneği ve aynı ürünü üretebilecek birden fazla fabrika gibi) hem de meydana gelebilecek eksiklikleri telafi etmek için tamponlamayı (artan hammadde stokları, devam eden işler ve bitmiş ürünler gibi) içerir. Bu iki yetenek, karmaşık organizmaların örneğin birden fazla yedek antikora ve gıda kaynaklarında bir şok olması halinde yaşayabilecekleri bir yağ deposuna sahip olduğu biyolojiden alınmıştır.
Yedeklilik sadece teknik süreçler için değil, insan operasyonları için de geçerlidir. Çalışanların iş operasyonlarını sürdürmek için alternatif süreçleri var mı? Maersk saldırıya uğradığında, milyarlarca dolarlık malı yönlendiren bilgisayar sistemleri haftalarca kullanılamaz hale geldi. Neyse ki, kurumsal hafıza, dijitalleşme öncesi kağıt tabanlı sistemini eski haline getirmesine izin verdi. İşgücünün yedek çalışma yöntemlerine sahip olmasını sağlamak, dirençli kuruluşların bir saldırıyı göğüslemelerine yardımcı olur.
3. Çeşitlilik (Diversity) insanlarda, süreçlerde ve sistemlerde heterojenliğin gücünü kullanır. Tüm operasyonlar aynı teknolojiyi kullandığında, hepsi aynı anda tehlikeye girebilir. Farklı sistemler, uygulamalar, veri merkezleri, bulutlar, operasyonlar, üretim yöntemleri, iletişim sistemleri ve işgücü prosedürleri, kurumun bir siber ihlalin kurum üzerindeki etkisini absorbe etmesini ve azaltmasını sağlar.
Bir siber olay sırasındaki iletişimler bu noktayı göstermektedir. Tipik olarak, ya e-posta artık çalışmamaktadır ya da çalışıyorsa, saldırgan e-postaları okumakta ve böylece savunmanın bir adım önünde bulunmaktadır. Çalışanlar, tedarikçiler, müşteriler, hissedarlar, kolluk kuvvetleri ve düzenleyiciler gibi çeşitli paydaş grupları arasında farklı ve güvenli iletişim yöntemleri, kuruluşun saldırıyı göğüsleyebilmesi ve iş faaliyetlerine devam edebilmesi için kritik önem taşır.
Birçok şirket maliyet verimliliğine öncelik vererek her bir ana fonksiyon için kurum genelinde tek ve ortak bir sistem kullanır. Bu yaklaşım kısa vadeli işletme maliyetlerini azaltabilirken, bir siber ihlalin finansal etkisini büyük ölçüde artırabilir.
Dayanıklı kuruluşlar, farklı sistemler ve farklı insan prosedürleri kullanarak günlük işletme maliyetlerini düşürmek ve bir siber ihlalin etkisini hafifletmek arasındaki dengeyi kabul eder ve yönetir. Bu zor olabilir çünkü verimliliğin faydaları hemen fark edilebilirken siber dayanıklılık açısından çeşitliliğin faydaları belirsiz ve gizlidir. Deneyimlerimize göre, uygun denge ancak siber dayanıklılık açık bir öncelik haline getirildiğinde sağlanabilir.
4. Modülerlik (Modularity), tehlikeye düşmüş sistemleri sağlam sistemlerden izole etme ve tehlikeye düşmüş sistemlerin kritik kurumsal işlevlerini yerine getirmek için sağlıklı sistemleri ikame etme olasılığını ifade eder.
İzolasyon, sıfır güven mimarileri, ağ segmentasyonu ve en az ayrıcalıklı erişim yönetiminde günümüzde siber güvenliğin yaygın bir odak noktasıdır. Bu yaklaşımlar genellikle siber saldırganların güvenliği ihlal edilmiş sistemlerden normal sistemlere geçmesini ya da iş açısından en kritik sistemlere erişim sağlamasını engeller. Ancak, birçok kuruluş tarafından uygulandığı şekliyle izolasyon yalnızca korumaya odaklanır ve siber saldırganlar bu savunmaları aşmak için sürekli yeni yollar geliştirmektedir.
Siber dayanıklı kuruluşlar, hızla bileşenlerin değiştirilmesine olanak tanıyan dijital sistemler geliştirerek kritik iş fonksiyonlarının, sağlıklı bir sistemin (birebir aynısı olmayabilir) tehlikeye girmiş bir sistemin yerine ikame edilmesiyle eski haline getirilmesini sağlar. İnsan biyolojisinden örnek verecek olursak, bir kas yaralandığında diğer kaslar bunu telafi eder. Tasarım yoluyla dayanıklılığın ilk göstergelerinden biri, siber saldırıları milisaniyeler içinde kendi kendine tespit eden ve ardından yedeklerden karmaşık ve uzun bir geri yükleme gerektirmeden saniyeler içinde iş sürekliliği için saldırı öncesi duruma geri dönen devrim niteliğinde bir işletim sistemi olan DBOS’tur.
Müdahale Yeteneği: İhlal Süresinin Azaltılması
Kurumların bir siber saldırıdan ne kadar çabuk kurtulabilecekleri birbiriyle ilişkili iki ilke tarafından kolaylaştırılır: Adaptasyon (Adaption) ve Bütünleşiklik (Embeddedness).
5. Bilinen ve bilinmeyen tehditlerden kurtulmak için adaptasyon (Adaption) gereklidir. Tüm siber saldırılar, savunucunun ve düşmanın eylemleri birbirlerinin hamlelerine yanıt olarak geliştikçe öngörülemeyen şekillerde ortaya çıkar. Bir ihlalden kurtulmak için hızlı öğrenme döngüleri ve gelişen durum hakkında istihbarat toplanmasını, yeni eylemlerin tekrar tekrar denenmesini ve başarılı önlemlerin artırılmasını sağlamak gerekir.
Rusya’nın Ukrayna’nın elektrik şebekesine yönelik ilk siber saldırısında, Rus düşmanlar altı şebekenin ana kontrol bilgisayarlarının uzaktan kontrolünü ele geçirdi, Ukraynalı operatörleri kilitledi ve altı şebekenin beşindeki her bir mahalleyi tek tek kapatarak 250.000 hane ve işyerinin elektriğini kesti. Altıncı şebeke, operatörün gösterdiği hızlı tepki sayesinde açık kaldı. Bir düşmanın ana bilgisayarının kontrolünü ele geçirdiğini fark eden operatör Ethernet kablosunu çekerek bilgisayarı ve düşmanı şebekeden ayırdı. Verdiği yanıt standart iş sürekliliği planında yer almasa da, operatör şebekenin arızaya karşı güvenli durumunun tüm müşterilere elektrik sağlamaya devam etmek olduğunu biliyordu.
6. Bütünleşiklik (Embeddedness), hiçbir sistem ya da kuruluşun kendi başına bir ada olmadığı ilkesini benimser. Bir kuruluş ve çevresi tedarikçiler, çalışanlar, müşteriler, rakipler ve hissedarlardan oluşan bir ekosistemin parçasıdır. Herhangi bir kuruluş ihlal edildiğinde, birbirlerine bağımlı oldukları için diğer birçok bileşeni etkileyecektir.
Liderler tedarik zinciri siber güvenlik açıkları konusunda endişelidir ve bunda da haklıdır. SolarWinds yazılım güncellemesi yoluyla gerçekleşen 2020 siber ihlali en az dokuz devlet kurumuna ve 18.000 şirkete bulaşarak ihlal olayını ekosistem çapında bir sorun haline getirmiştir. Benzer şekilde, Kaseya yazılım güncellemesine yerleştirilen kötü amaçlı yazılım binlerce süpermarket ve büyük mağazanın satış noktası sistemlerine bulaşarak birçoğunu kapılarını kapatmaya zorladı. Siber esneklik, ekosistemin herhangi bir üyesi tehlikeye girdiğinde acil durum planlarına sahip olmayı gerektirir.
Daha geniş ekosistemde de ihlale uğrayan kuruluşlara yardımcı olacak pek çok kaynak bulunmaktadır. İncelediğimiz siber dayanıklı şirketlerin kolluk kuvvetleri, adli tıp uzmanları, hukuk danışmanları, düzenleyiciler ve iletişim uzmanlarıyla önceden kurulmuş ilişkileri var. Saldırıya uğradıklarında, başka türlü geliştirilmesi çok zaman alacak olan bu mevcut ilişkilerden yararlanırlar.
Şekillendirme: İhlal Bittikten Sonra
Kuruluşlar tarafından genellikle göz ardı edilen bu dördüncü zaman ölçeği (siber güvenlik harcamalarındaki sadece %18’lik payının da gösterdiği gibi), kuruluşların gelecekteki olaylardan nasıl ders çıkaracağı ve bunlara nasıl hazırlanacağı konusunda kritik öneme sahiptir. İşte burası yeniden yapılandırmanın devreye girdiği yerdir.
7. Yeniden yapılandırma, dirençli şirketlerin bir ihlalden sonra hem işletme hem de ekosistem içinde gelecekteki dirençlerini nasıl artırdıklarıdır.
Alınan derslere odaklanan postmortem incelemeler genellikle geriye dönük, mekanik, teknik alıştırmalardır ve olaylara müdahale ve iş sürekliliği planlarında yalnızca kademeli iyileştirmeler sağlar. Siber dayanıklılığa sahip şirketler, geleceğe yönelik performanslarını en üst düzeye çıkarmak için iki geniş düşünce hattına yatırım yapar. İlk olarak, başka nelerin yanlış gidebileceğini ve bilinen ve yeni keşfedilen tehditlere nasıl daha iyi yanıt verebileceklerini tamamen yeniden düşünürler. İkincisi, ihlalleri, genel kurumsal operasyonları ve genişletilmiş iş ekosistemini nasıl daha verimli ve etkili hale getireceklerini yeniden tasarlamak için bir uyarıcı olarak kullanırlar. Bu, tehditleri ve fırsatları ele almak için yeni ittifaklar, normlar, yaklaşımlar ve modeller oluşturarak şekillenir.
Bir ilaç şirketi, bir siber olay nedeniyle uzun süreli bir iş kesintisi yaşadı. Siber saldırıyı hafiflettikten sonra, ekipman tamir edilemeyecek kadar hasar gördüğü ve yedek ekipman bulunamadığı için şirket yine de üretime devam edemedi. Şimdi, bu makaledeki eylem ilkelerini takip eden CEO, tüm fabrikaların iş sürekliliği planlarını düzenli olarak test etmelerini ve aşağıdaki gibi senaryolara yanıt vermelerini istemektedir: “X sistemi bir siber saldırı sonucu devre dışı bırakıldı ve üretim durdu. Üretimi tekrar nasıl başlatabiliriz?” Her fabrika, üretime ne kadar hızlı devam edebileceğini görmek için ölçüm yapmaktadır. Buna ek olarak, yedi dayanıklılık ilkesini kullanan ilaç şirketi, bir dizi yeni prosedür ve iş birliği geliştirerek eskisinden çok daha fazla siber dayanıklılığa sahip oldu.
Kurumları genellikle başarılı ve yüksek verimli olacak şekilde tasarladığımız için, bir kurum için yanlış gidebilecek tüm olası şeyleri hayal edebilmek çok zordur, ancak ödülleri büyüktür. Spor salonunda “acı yoksa kazanç da yok” deriz; kaslarımızı zorlarız, bu da gücümüzün ve dayanıklılığımızın artmasına neden olur. Kalp krizleri pek çok insanı daha sağlıklı beslenmeye, egzersiz yapmaya ve kilo vermeye sevk eder; böylece pek çok fayda elde eder ve kalp hastalıklarına ve diğer pek çok hastalığa karşı daha dirençli hale gelirler. Bu makalede ele alınanlar gibi siber dirençli şirketler, olumsuz koşullar altında faaliyetlerine nasıl devam edebildiklerini incelerken, işletmelerinin genel etkinliğini, verimliliğini ve performansını artırmanın yeni yollarını keşfettiler.
Siber dayanıklı bir kuruluş olmak için, yönetim kurulları ve yönetimin düşünce yapısını %80 koruma ve %20 dayanıklılık şeklindeki yaklaşımdan daha çok dayanıklılığa odaklanan bir yaklaşıma kaydırması gerekir.
Siber dayanıklı bir kurum inşa etmek sadece teknoloji mimarisi değil, tüm kurum ve onun daha geniş ekosistemi için bir eylem planıdır. İncelediğimiz şirketler, yönetim kurullarına, müşterilerine, tedarikçilerine ve hissedarlarına siber dayanıklılığa yönelik ölçülü, yönetilen ve doğal olarak ilham veren yaklaşımlarının kendilerine emsallerine ve siber düşmanlarına karşı nasıl rekabet avantajı sağladığını güvenle gösterebildiklerinde ödüllerin çabaya değdiğini gördüler.
Kaynak:
Yorum yazabilmek için oturum açmalısınız.