Skip to main content

Siber Güvenlik

20 Haziran 2024

 

Yönetim kurulu odasını siber savaş alanına taşımak

Siber uzmanlar, şirket liderlerini, şirketlerini artan fidye yazılımı ve casus yazılım saldırılarından ve diğer tehditlerden koruyacak yüksek riskli kararlar almaları için eğitiyor.

Christine Gibson

Contributor

2020 yılının başlarında, son derece sofistike bir grup bilgisayar korsanı tarihteki en yaygın siber saldırılardan birini gerçekleştirdi. Rus hükümeti için çalıştıklarına inanılan bu kişiler, SolarWinds adlı bir BT yönetim yazılımı geliştiricisinin bilgisayar sistemlerine sızmış ve şirketin izleme araçları serisine kötü amaçlı kod yerleştirmişlerdir.

Haziran ayına gelindiğinde, kötü amaçlı yazılım bilgisayar korsanlarına yüzlerce federal kurumun ve Fortune 500 şirketinin iç işleyişine erişim sağlamıştı. Hack tespit edildiğinde, grubun hükümet ve şirket operasyonlarını gözetlemek için ayları vardı.

Hem kamu hem de özel sektör için bu olay, giderek tırmanan bir tehdide karşı uyandırma çağrısı işlevi gördü. Siber saldırılar internet kadar eskidir, ancak son birkaç yılda daha sofistike, sinsi ve yıkıcı hale gelmişlerdir. Siber saldırılardan kaynaklanan doğrudan rapor edilen kayıplar 500.000 dolar gibi küçük bir meblağ olsa da, Uluslararası Para Fonu kısa süre önce en az 2,5 milyar dolar gibi büyük bir kayıp riskinin arttığını bildirdi.

Risklerin ne kadar yüksek olduğu göz önüne alındığında, bir şirketi siber saldırılardan koruma sorumluluğu en üst düzey üyelerine, yani yönetim kuruluna düşmektedir. Bugün işinin önemli bir parçası, şirketin sistemlerini siber güvenlik tehditlerinden korumak için doğru kültür ve yönetişimin mevcut olup olmadığını ölçmektir ve bunu yapmak için siber risk hakkında incelikli bir anlayışa ihtiyaçları vardır.

Mastercard'ın S iber Güvenlik Araştırmacısı ve eski baş güvenlik görevlisi Ron Green, "Yönetim kurulları elbette mali açıdan akıllı olmalı, ancak siber açıdan da akıllı olmaları gerekiyor" diyor. "Farkında olsalar da olmasalar da her gün bu zorlukla yüzleşiyorlar."

Ancak bu düzeyde bir uzmanlık, yöneticiler arasında nadiren görülür. ABD Gizli Servisler Direktörü Kimberly Cheatle, siber güvenlik şirketlerine fon sağlayan bir girişim sermayesi şirketi olan NightDragon ve Diligent Institute tarafından yapılan 2023 araştırmasına atıfta bulunarak, S&P 500 yönetim kurullarının yalnızca 12% 'sinde bir siber güvenlik uzmanı bulunduğunu söylüyor.

Mastercard, yöneticilerin şirketlerini - ve vatandaşlarını - siber suçlardan korumalarına yardımcı olmak için ABD Gizli Servisi, Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ulusal Kurumsal Yöneticiler Birliği ve NightDragon ile işbirliği içinde bir eğitim kursu olan Siber Güvenlik Kurulu Akademisi'ni geliştirdi. Cheatle, "Bu, söz konusu açığı kapatmaya başlamak için gerçekten eşsiz bir fırsat," diyor.

Salı günü Maryland Güney Laurel'deki Gizli Servis James J. Rowley Eğitim Merkezi'nde düzenlenen CISA ve Gizli Servis Yönetim Kurulu Akademisi'nin ilk oturumu, dijital ağ korumasında son teknolojiyi keşfetmek üzere şirket yöneticilerini ve sektör uzmanlarını bir araya getirdi.

 

Mastercard'ın Siber Güvenlik Araştırmacısı Ron Green, bu hafta başında Maryland'de siber risk ve dayanıklılık konulu bir eğitim oturumuna katılan şirket yöneticilerine hitap ediyor. (Fotoğraf kredisi: Rebecca Abraham)

CISA'nın direktörü Jen Easterly, "Bu bağlantıyı güçlendirdiğimizden emin olmak istedik" diyor. Özel sektörün "sofistike ulus-devlet aktörleriyle tek başına yüzleşmesi beklenmemelidir. Dolayısıyla, kamu sektörü ile özel sektör arasındaki bağlantının artırılması ve güçlendirilmesine gerçek bir önem atfediyor."

Ulusal altyapıyı korumak için birlikte çalışmak

Giderek daha fazla birbirine bağlanan bir dünyada, siber güvenlik bir ekip çalışması olmalıdır. Bu nedenle Mastercard ve ortakları, Fortune 500 şirketlerinden ve ABD'nin kritik altyapısını temsil eden birçok şirketten yöneticileri, hükümet ve sektör uzmanlarından ilk elden bilgi almak üzere davet etti. NACD ve Internet Security Alliance'ın etkili siber risk gözetimi ilkeleri tarafından bilgilendirilen bir müfredatta katılımcılar tehditler, yönetişim, koruma ve dayanıklılık konularını tartışarak sürekli siber savunma için en iyi uygulamaların temelini oluşturdular.

Bu saldırılarda, suç örgütleri ve devlet destekli aktörler casusluk kampanyaları düzenleyerek veya kritik ulusal altyapıyı devre dışı bırakmaya çalışarak zararlar finansal boyutun çok ötesine geçebilir. Hiçbir kurum yasak bölge değildir. Hastaneler, okul sistemleri, tıbbi araştırma laboratuvarları, eyalet ve yerel yönetimler - hepsi hedef haline geldi. ABD'nin altyapısının büyük bir kısmı özel kuruluşlara ait olduğundan, iş sektörü sivil savunmada çok önemli bir rol oynamaktadır.

Açılış oturumuna katılan 16 direktör arasında yer alan çip üreticisi Analog Devices'ın bağımsız direktörü Stephen Jennings, "Şirketlerimiz adına -ülkemiz adına- bu konuda uyanık olmanın yollarını bulmak yaptığımız iş için çok önemli" dedi. "Uygulama kabiliyetlerini, en son trendleri ve en son riskleri daha iyi anlıyoruz."

"Siber güvenlik kolektif bir çaba olmalı ve artık ileriye dönük saldırılar için endüstri ve kamu sektörü arasında daha fazla alışveriş yapabiliriz. Bu tehdit yakın zamanda ortadan kalkmayacak. Bu devam eden bir mücadele olacak."

Stephen Jennings

Program ayrıca, katılımcıların birbirlerinden öğrenmeye devam edebilmeleri ve tehditlerin önüne geçebilmeleri için devam eden bir kamu-özel sektör ortaklığı oluşturuyor. Yönetim Kurulu üyeleri genişleyen bir siber güvenlik uzmanlığı ağından yararlanabilirken, CISA ve Gizli Servis de daha geniş bir özel sektöre yönelik mesajlarını ince ayarlamak için geri bildirim alma imkanına sahip olur.

Jennings, "Siber güvenlik kolektif bir çaba olmalı ve artık ileriye dönük saldırılar için endüstri ve kamu sektörü arasında daha fazla alışveriş yapabiliriz" diyor. "Tehdit yakın zamanda ortadan kalkmayacak. Bu devam eden bir mücadele olacak."