Kritik altyapılara yönelik siber saldırılarda kıran kırana bir mücadeleye tanıklık ediliyor. Anlık ve habersiz girişimlere hazırlıklı olmak için koruma çerçevesinin öncelikle kavramsal tasarımını tamamlamasına dikkat çekiliyor. Tetikte bulunmamanın bedelinin yıkıcı olmasını tahmin etmek de zor değildir. Başarılı ve etkin kurcalamanın örnekleri arasında finansal hizmetler, savunma sistemleri, sanayi tesisleri, enerji üretim iletim ve dağıtım ile ulaşım altyapıları öncelikli olarak sıralanmaktadır.

Altyapılara doğru yönelen siber rahatsız edici eylemlerin genel olarak kontrol sistemlerini ele geçirmeye yönelik olarak başlatıldığı bilinmektedir. Farklı olarak kurumsal ve bireysel müdahale ise ağırlıklı olarak veri toplama bulgusu içermektedir.

Altyapı BT sistemlerinin diğerlerine kıyasla devreye aldıkları (SCADA – Supervisory Control & Data Acquisition) Merkezi Kontrol ve Veri Toplama Sistemleri, Araştırma ve Geliştirme faaliyetleri bağlantı ve iletişim yedekliliği, yapay zekâ ve siber güvenlik temalarına odaklanmaktadır. Ayrıca çarçabuk yaşamımızda yer almaya devam eden (IOT) Nesnelerin Internet’in de manzaranın yeni bir rengi olarak karşımıza çıkması benzersiz görüntüye katkı vermeye başlamıştır.

Sessizce biriken gerilimin ne zaman eyleme geçeceğini kestirmek neredeyse imkânsızı yaşamak gibi olacağı beklenmektedir. Dolayısıyla kurumsal tutum ve davranış tedirginliğini bir yana bırakılıp konunun irdelemesi ve en uç noktalara kadar uzanan zayıflıkların tespitinde aranmaktadır. Uzmanların durum tespitlerinin ardından aşamalı olarak karşılık gelen yöntemler uygulamaya konulmaktadır. Beklemek kesinlikle bir çözüm değildir.

Kritik altyapı işletmelerinde başarı kıstaslarının (KPI) biçimli olarak belirlenmesi alışılmış bir yönetim sistemine dayanmaktadır. Öte yandan aynı kuruluşta siber güvenlik hedeflerinin oluşturulması kuşkusuz daha bilimsel çalışmaya gereksinim duymaktadır. Asıl mesele üst yönetimin konunun hassasiyetine inancının sağlanması ve kaynak dağılımında ve ayrılmasında önceliğin belirlenmesidir. Üzerine düşeni fazlasıyla yerine getirdiği kanaatine varılmış olmasına karşı, olay gerçekleştikten sonra hasara ve daha da olumsuzu yıkıma akıl erdirmenin, karmaşıklığı neticesinde sorumluluk ilk olarak teknik birimlerde aranacaktır.

Ünlü atasözümüz “Başa gelen çekilir” hükümsüz olacaktır, çünkü işletmenin yüzleştiği kahredici zarar sadece süreçlerde aranmayacak, onun güvenilirliğini sarsacaktır.

Peki, nasıl olur da siber farkındalık gün yüzüne çıkarılarak açıklanabilir?

1-Siber güvenliğin kurumsal risklerinin ilki olarak adlandırılması. Savunma kademelerin saldırı karşılığı planlanan seçeneklerinin test edilerek gözetimin sürekliliğin sağlanması. Olay anının yürütülmesinde takip edilecek sürecin önceden bilinirliliği kıymetli bir bilgi olduğunun kavranması. Bütünleşik uygulama haritasının üzerine titreyerek ve onay sürecini tamamlayarak üst yönetimin ilgisinin diri tutulması, başarının sırları arasında sayılmaktadır.

2-Sürekli izleme ve ölçü noktalarının verilerine güvenme. Kolay olmamakla birlikte kaba sayısal çıkarımlar hesaplanabilir. Sürekli çekilen resmin çözünürlüğünün düşük olmasına rağmen, şekilsel olarak gidişat hakkında bilgi verebilecek seviyede olduğu ifade edilmektedir. Ayrıca algılayıcıların güncel donanım ve yazılım yetkinliklerinin, toz duman içinde, sezgilerinin ve uyarılarının berraklığı ile doğru orantılı olduğudur.

3-Olayın oluşmasının süratle farkına varılması ve zaman olarak erken tespiti. (MTTD - Mean Time to Detect). İsabetli kararların çevrim içi alınmasında alakalı planların en ince ayrıntısına kadar tartışılması kayda değer olmaktadır. Bununla birlikte gidişatın öngörülmesi ve benzerleri ile kıyaslanması, tehlikeye dayanma ve temizleme çabasına katkıda bulunmaktadır.

4-Vakanın bertaraf edilmesi süresinin en hızlı ve doğru olarak uygulanması. (MTTR – Mean Time to Resolve). Bütün boyutlarıyla ele alınması gereken zarar verme anı otomasyon sistemlerine tamamen bırakılmayacak kadar nazik bir mesele konumundadır. Bütün evre ve adımlar tatbikatlar ile etraflıca ve ne kadar sıkıcı olursa olsun defalarca denemeler yapılarak doğrulanmalıdır.

5-Uzaklaştırılan her etkileşim sonrası. Erişilen özgüven, hayal kırıklığının yerini kazanma tutkusuna çevirmektedir. Elbette mükemmelliği yakalamak her denemede mümkün olamayacaktır. Ancak öğrenmeye katkısının, kusursuzluk yönünde olanak sağladığının memnuniyeti de işletmeye verimlilik ve canlılık kazandırmaktadır. Kanıtlanmış deneyimlerin ortak paydaşlarla iletişimi, top yekûn siber saldırılarla mücadeleye imkân verecektir. Zincirleme uyum, rastgele önlemlerin yerini, becerikli uzmanların bilgeliğinde yürütülecek bağışıklığa bırakmaktadır. Direnç artarak kapı zararlı hamlelere kilitli olacaktır.

Günümüz çevrimiçi internet bağlantılı iş dünyasında yapay zekâ siber güvenliğin merkezine yerleşmiş görünüyor. Kod yazabiliyor, açıkları tespit edebiliyor nereye ne zaman sınırsız girişim yapabileceğini öğrenebiliyor. Kurumları bereketsizleştiriyor neredeyse çöle çeviriyor. Milyarlarca Dolar üretim kaybı ve sigorta maliyeti oluşmasının yanı sıra duygusal çöküşün geri dönüşü olamayabiliyor.

Dolayısıyla yine o çok anlamlı ve inandırıcı bir başka atasözümüzden alıntı yapacak olursak… Ne kadar mantıklı uyarmış atalarımız…

“Balık ağa girdikten sonra aklı başına gelir”

Ağa takılmayı sezinlemek için maharetli, tecrübeli takım arkadaşlarımızın seslenişlerine kulak vermeliyiz. Kaynaklarının kısıtlı ve önceliklerin farklı olması dayanıklı işletmeler için riskleri beraberinde getirmektedir. Rekabetçilik kuşkusuz ticari amacın kaçınılmaz önceliğidir. Böylesi bir kovalamaca içinde günlük yükümlülüklerimizden bir an olsun fedakârlık ederek siber güvenliği umursamaya zaman ayırmalıyız. Karşı tedbirlerle ilgilemek, özen göstermek ileride oluşabilecek karmaşıklığın kördüğüme dönüşmesine izin vermeyecektir. Dahası Hacker toplumuna zahmet çıkarmanın dolambaçsız etkisi, varlık maliyetlerinin kaçınılmaz olarak artacağıdır.

Her zaman ve mekânda hatırlayalım.

İcrayı San’at Eyle.

Kalın sağlıcakla.