Siber suçları durdurmak için suçlu gibi düşünmeyin

Sinemadan esinlenilmiş gibi görünen bir sahnede, van der Gaast Hindistan'daki bir nükleer silah tesisine girip yeraltı nükleer testlerinden veri çaldığında 16 yaşındaydı. "Bana bir yönetici hesabı vermesi için kandırdığım bir posta sunucusunun eski bir sürümünü kullanıyorlardı" diyor. Bu onu bir dizi istihbarat kurumunun radarına soktu ve sonunda dünyanın en kötü şöhretli 5 hacker'ından biri seçildi.

Van der Gaast 1998 sonbaharında Avrupa'dan ABD'ye yeni taşınmıştı ki, ABD Savunma Bakanlığı'na bağlı bir ajanstan takım elbiseli bir grup adam kapısını çaldı. "Aslında göçmenlik bürosundan geldiklerini sanıyordum," diyor, "çünkü 90 günlük vizemi aşmıştım."

Neyse ki genç hacker için ajans, sanal yeraltından yükselen yıldızları kovuşturmak değil, işe almak istiyordu. O anda hızla taraf değiştirdi ve sonraki üç yıl boyunca FBI ile ortak bir operasyonda Savunma Bakanlığı ile çalışmaya başladı. Bu çalışma, bilgisayar korsanları ve çevredeki suç faaliyetleri hakkında istihbarat toplamanın yanı sıra ulusal çıkarları ilgilendiren veri ihlallerini araştırmayı da içeriyordu.

Bu alışılmışın dışındaki eğitim, bir siber güvenlik uzmanı, açılış konuşmacısı ve kurumsal danışman olarak 25 yıllık bir kariyer için fırlatma rampası görevi gördü ve yönetici liderlere ve küresel kuruluşlara "daha az siber güvenlik ve daha güvenli iş yapma" konusunda yardımcı olduğu Sequioa Consulting'in kurucusu ve genel müdürü olarak şu anki rolüne yol açtı.

"Hackerların kullandığı yöntemler, taktikler ve yetenekler hakkında dersler alarak işe başladım" diyor. "Ama geriye dönüp baktığımızda? Bence öğrendiğim daha çok, kuruluşların BT temellerini ele almaları ve süreçlerini aktif bir şekilde olgunlaştırmaya özen göstermeleri halinde bu ihlallerin neredeyse tamamının nasıl önlenebileceğiydi."

Şirketinin savunduğu yaklaşım da bu. Aslında şirket, BT süreçlerini iyileştirmek için teknoloji bağlamında yönetim danışmanlığı, yalın düşünce ve diğer disiplinlerden metodolojiler uyguluyor, böylece tehdit aktörlerinin yararlanabileceği daha az hata noktası var.

Basit bir benzetme yapmak gerekirse, üretilen her arabanın kusurlu olduğu bir araba fabrikası düşünülebilir - direksiyon simidi merkezden çıkmış, süspansiyon kollarında cıvatalar eksik, fren hatları hava dolu ve diğer kusurlar. Bitmiş araçlardaki tüm bu kusurları düzeltmek için daha fazla insan çalıştırmanın saçma olacağını söylüyor. Bunun yerine, bu kusurların meydana geldiği montaj hattı istasyonunda, muhtemelen süreç içinde sorunu ele alırsınız - kusurların sayısını azaltır ve maliyetleri de düşürürsünüz.

Yine de van der Gaast, siber güvenlik alanındaki yaklaşımın büyük ölçüde eski yaklaşım olduğunu ve bu nedenle sektörün proaktif olmak yerine büyük ölçüde reaktif kaldığını ve altta yatan nedenlere çoğunlukla dokunulmadığını söylüyor.

"Temelde bir silahlanma yarışı içindeyiz [bilgisayar korsanlarını güvenlik açıklarımızdan uzak tutuyoruz], ancak kendimize neden bu kadar çok zorlukla karşı karşıya olduğumuzu sormamız gerekiyor" diyor. "Yani, en başta neden bu güvenlik açıklarına sahibiz?"

Eski hacker, son otuz yıldır bu tür geniş sorular soruyor ve bu, işletmeler ve genel olarak toplum için hiç bu kadar önemli olmamış bir sorgulama hattı.

Güvenliğe bakmanın en basit yolunun, güvenlik açıklarının istismar edilmesi olduğunu ve bu açıkların etkili bir şekilde kalite sorunları olduğunu söylüyor - koddaki kusurlar, yapılandırma, kontroldeki boşluklar, tasarım, planlama ve hatta kültür.

Bu sorunların ele alınmasının güvenlik açıklarının sayısını azalttığını, dolayısıyla bu güvenlik açıklarının önüne geçmek için savunmayı daha da artırmak zorunda kalmaktansa bu açıklardan daha az yararlanılabileceğini söylüyor. Bunun sadece daha az güvenlik harcamasıyla sonuçlanmadığını, iş ve BT süreçlerini de daha verimli hale getirme eğiliminde olduğunu ve böylece maliyetlerini de azalttığını ekliyor.

"Güvenliğe daha çok süreç ve kalitenin bir fonksiyonu olarak odaklanmaya başladığınızda, işleri doğru yapmaya başladığınızda, yalnızca altta yatan sorunları çözmekle kalmaz, aynı zamanda bir işletmenin olumlu bir değişim yaratmasına ve paradan tasarruf etmesine de yardımcı olabilirsiniz."

Van der Gaast, kurumların güvenliğini sağlamaya her zaman sorunlarının kökenine inerek başlar ve teknoloji odaklı güvenlik danışmanlarından çok daha derinlere iner. "Çoğu şirket siber güvenlik konusunda sürekli yangın söndürmeye çalıştıkları bir yaklaşım benimseme eğilimindedir" diyor. "Bunun yerine, BT endişelerine neyin neden olduğuna bakmaya çalışıyorum.

"Uygulamaların tasarımından kaynaklanan zorluklar var mı? Farklı iş departmanları farklı BT süreçleri ve satıcıları mı kullanıyor?" diye ekliyor. "Endişelerin temel nedenini anladıktan sonra, bunları sistematik olarak optimize etmeye ve ortadan kaldırmaya başlayabilirsiniz."

Van der Gaast, siber suç sorunuyla nasıl mücadele ettiğimize dair odağımızı değiştirmemiz gerektiğine inanıyor. Suçlulara bakmak yerine, suçun neden bu kadar kolay olduğuna odaklanmamız gerekiyor.

Neredeyse tüm ihlallerin, düzeltmeleri mevcut olan bilinen güvenlik açıklarını içerdiğini ve vakaların çoğunda bu düzeltmelerin bir yıldan uzun süredir mevcut olduğunu belirtiyor.

"Bahçenize bir torba tahıl koyarsam, bir hafta sonra binlerce fareniz olduğunu görürseniz şaşırmazsınız. İdeal çözüm binlerce fare kapanı yerleştirmek ve yönetmek değil, tahılı daha iyi depolamak ya da neden buna ihtiyaç duyduğunuza dair süreci değiştirmektir."

Sonuç: Gezegendeki en iyi siber güvenlik sistemini kurabilirsiniz, ancak uygun kimlik yönetimi araçlarına sahip değilseniz, çalışanlarınız yeterince eğitilmemişse ve sistemlerinizi, cihazlarınızı veya uygulamalarınızı yamalayıp yükseltmediyseniz, bilgisayar korsanları dijital veya başka türlü savunmalarınızı kolayca atlatabilir, diyor. 

Sonuç olarak, otomatik saldırılar ve deepfake videolar gibi yapay zeka destekli tehditlerin arttığı bir çağda van der Gaast, modern bir kuruluşu siber suçlulara karşı başarılı bir şekilde savunmanın eğitim, öğretim ve reaktif değil proaktif bir yaklaşım içermesi gerektiğini söylüyor.

Bu tehditler, bir kez anlaşıldıktan sonra, sağlam temellerin uygulanmasıyla (eğer savunmasız değilseniz bir saldırının ne kadar hızlı olduğu önemli değildir) ve fon transferlerinin her zaman deepfaked'e açık olmayan tanımlanmış bir süreç aracılığıyla yapılması gibi süreçlerle etkisiz hale getirilebilir.

Ona göre, kurumunuza yardımcı olmak için yapabileceğiniz en iyi şey, güvenlik açıklarınıza neden olan sorunları belirlemek ve bunları mümkün olduğunca yukarıdan, hatta kurumsal ve kültürel sorunlara bakarak ele almaktır. Ardından, güvenlik ekiplerinin tüm iş ve BT süreçlerini anlamak için kurumun tüm bölümleriyle birlikte çalışmasını sağlayın ve ortaya çıkabilecek riskleri azaltmak ve kalanların farkında olmak için gerektiğinde bunları yeniden tanımlamaya yardımcı olun.

Kuruluşlar ancak bunu yaptıktan ve altta yatan sorunları anladıktan sonra daha iyi bir yere ulaşmak için bir strateji ve yol haritası oluşturabilirler.

Tıpkı onlarca yıl önce bilgisayar kitaplarını karıştırdığı gibi, van der Gaast'ın bugünkü ilgi alanları da hala bir sürü bilgiyi özümsemeyi içeriyor. Bugün hobileri arasında araba tamir etmek ve en iyi iş uygulamaları hakkında eline geçen her şeyi okumak olan eski siber suçlu, siber güvenlikte başarının yazılımdan çok daha fazlasıyla ilgili olduğunu söylüyor: "Karşılaştığım pek çok zorluk, yüksek teknoloji çözümlerinden çok kültüre dayanıyor."