Tüm dünyayı derinden etkileyen Kovid-19 salgını süresince bilgisayar ve internet teknolojilerine duyulan ihtiyaç ve bağımlılık daha da arttı. Öte yandan bu gelişmeler ve artan bağımlılık sayısız faydanın yanı sıra birçok güvenlik açıklarını ve yeni tehdit türlerini beraberinde getirdi.
İletişim ve enerji sektörü başta olmak üzere kritik altyapı sistemlerini hedef alan siber saldırıların sayısı günümüzde hızla yükselirken, saldırılar karşısında güvenlik ve koruma girişimleri yetersiz kaldı.
Peki, kritik altyapı sistemlerinin güvenliği konusunda neler yapılabilir ya da yapılmalıdır?
İşte tam da bu noktada şu an okuduğunuz yazı, bu soruya cevaben gündeme gelen kritik altyapıların siber güvenliklerini sağlanmasında kamu-özel iş birliklerini konu ediniyor. Ancak bu iş birliklerinin önemine ve gerekliliğine yer vermeden önce gelin kritik altyapıların önemine ve neleri kapsadığına kısaca bakalım.
Kritik altyapılar, bir ülkenin ekonomisinin, güvenliğinin ve gelişmesinin temelini oluşturan ve destekleyen öncül hizmetler olarak tanımlanabilir. İletişim, ulaşım, haberleşme, bankacılık ve finans sistemleri, eğitim, sağlık, ulaşım, su, gıda ve tarım hizmetleri, trafik kontrol sistemleri, enerji, savunma ve sanayi sektörleri bu hizmetlerden bazıları.
Kritik altyapı sistemleri kentsel ekonomik faaliyetlerin bel kemiği olarak nitelendirilir. Tüm bu hizmetler doğal afetler, iklim değişikliği, enerji krizleri, siyasi istikrarsızlık, finansal krizler, gıda güvenliği ve terör saldırıları ile yakından ilişkilidir ve bölgesel veya ulusal istikrarın sağlanmasında önemli rol oynar.
Kritik altyapıların her geçen gün dijital teknolojilere daha çok bağımlı hale gelmesi, öngörülemeyen birçok güvenlik sorunlarını ve riskleri de beraberinde getirir. İçerisinde bulunduğumuz Kovid-19 krizi süresince internet ve bilişim teknolojilerinin kullanımının artması kritik altyapılara daha bağımlı bir dünyayı oluşmasına yol açarken, sistemlerin kesintisiz ve güvenli kullanımı gerekliliği kamu-özel iş birliklerinin ne kadar önemli olduğunu bir kez daha gündeme getirdi.
Birçok ülkede telekomünikasyon, petrol ve gaz işletmeleri, elektrik şebekeleri, kamu ve sağlık hizmetleri, iletişim, ulaşım, eğitim, bankacılık ve finans sektörleri dahil olmak üzere kritik altyapının birçoğu özel sektöre aittir ve kamu sektörü tarafından düzenlenir. Kritik altyapıların göz ardı edilemeyecek kadar büyük bir kısmının özel sektörün kontrolünde olduğu düşünülürse devletler için özel sektör iş birliğinin ve kurulacak ortaklıkların önemi oldukça açıktır.
KAMU-ÖZEL İŞ BİRLİKLERİ NEDEN GEREKLİDİR?
Özel sektörün çok daha fazla faaliyet gösterdiği bir alan olmasının yanı sıra kritik altyapıların siber güvenliklerini korumadaki önemli rolü, devletler için kaçınılmaz iş birlikleri süreçlerinin ortaya çıkmasına neden olmaktadır.
Hükümetin ve endüstri liderlerinin olası tehdit ve saldırılar karşısında dayanıklılığı, hazırlığı ve karşılıklı iletişimi kritik altyapıların siber güvenliği için oldukça önemlidir. Hem fiziksel hem de dijital ağlarlarla bağlı olan bu ekosistemde her zaman güvenlik açıkları olacaktır. Ancak kritik altyapı sistemlerinde yaşanabilecek güvenlik açığı veya ihlali ya da olası başarısızlık durumu toplumsal bir krize yol açabilir, devletler ve özel şirketler için felaketle sonuçlanabilir. İşte bu nedenle gelişen tehditleri azaltmak ve ihlallere karşı dirençli olmak kritik altyapı koruması için oldukça önemli olurken, iş birlikleri gerekliliği ortaya çıkarır.
Kritik bilgilerin doğru kanallar aracılığıyla paylaşılması, altyapıların siber güvenliğinin sağlanması için iş birlikleri ihtiyacını ortaya koyan bir diğer unsurdur. Dahası iş birlikleri önemlidir çünkü devletler ulusal kritik altyapı güvenliğini ve dayanıklılığını sağlamak için özel sektörün mali ve siyasi desteğine ihtiyaç duyar, kaynakların sağlanmasına yardımcı faktör olarak sıklıkla başvurulan çözüm kamu-özel iş birlikleridir.
Diğer yandan kurulan kapsamlı iş birlikleri kritik altyapılara yönelik tehdit ve saldırılar karşısında farkındalığını artmasına ve dayanıklılığın sağlanmasında yardımcı olmaktadır. Aksi halde, yani kamu-özel sektör iş birliğinin kapsamlı ve yeterli düzeyde gerçekleşmemesi durumunda, kritik altyapıların siber güvenliklerinin sağlanmasında çeşitli sorunların ortaya çıkmasına ve sistemlere yönelik olası siber saldırılar karşısında devletleri savunmasız kalmasına neden olabilir.
Teröristler, suçlular, bilgisayar korsanları, organize suç grupları, kötü niyetli kişiler ve bazı durumlarda düşman ulus devletlerden oluşan küresel tehdit aktörleri tarafından hedeflenen kritik altyapılara yönelik saldırı ve tehditleri ele almak, kamu-özel iş birlikleri olmaksızın eksik kalacaktır.
Gelişen tehditleri azaltmak ve ihlallere karşı dirençli olmak kritik altyapıların korunması için çok önemlidir. Siber tehdit aktörleri, siber casusluk faaliyetlerinden düşmanca bir çatışma durumunda altyapı sistemlerini bozma girişimine kadar çeşitli amaçlarla tarihte birçok kez kritik sektörleri, özellikle enerji sektörünü, hedef aldığı görülürken bu tehdit günümüz ve gelecek için de devam ediyor.
Hükümetin ve özel sektörün en son ortaya çıkan virüsleri, kötü amaçlı yazılımları, kimlik avı tehditlerini, fidye yazılımlarını, içeriden gelen tehditleri, hizmet reddi saldırıları ve diğer tehdit ve saldırı türlerini takip etmesine yardımcı olan bilgi ve tecrübe paylaşımı bu nedenle önemli.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Tüm bunların yanı sıra tehdit ve saldırıların önlenmesi, tespiti ve yanıtlanması durumlarında veya istihbarat, veri güvenliği ve gizliliği, tarayıcı ve bulut güvenliği vb. konularda ya da siber güvenlik bilinci, farkındalık ve caydırıcılık çalışmaları gibi hususlarda kurulan iş birlikleri güvenliğin sağlanması için hayati önem taşıyor.
İŞ BİRLİKLERİ NASIL GERÇEKLEŞTİRİLMELİ?
Kritik altyapının işletilmesi ve korunmasında kamu ve özel sektör ilişkisi, güçlü bir çalışma ve ortaklığı gerektiriyor. Kritik altyapı, ulusların refahının özüdür ve buna yönelik tehditlerin ele alınması, kamu ve özel sektör ortaklıklarının da yer aldığı sağlam bir güvenlik stratejisinin ile mümkün. Bu nedenle ülkemizde de olduğu gibi birçok devlet strateji belgesinde kamu-özel sektör iş birliklerinin önemine yer verir, kurumlar oluşturur ve çalışmalar yapar. Bu bağlamda oluşturulan iş birliği süreçleri sadece kamu-özel sektörle sınırlı kalmaması, uzman grupların, araştırmacıların ve akademik çalışmalarında içerisinde olduğu çok yönlü bir koordinasyonla desteklenmesi iş birliklerini daha kapsamlı ve yararlı kılacaktır.
İş birliklerinin oluşumu kurumlar arası sağlanan bilgi paylaşımına, plan ve organizasyona, yeni teknolojilere yatırım yapmaya ve siber güvenliğe ilişkin ortaklıklarda hem kamu hem de özel sektör tarafından koordine edilen kaynakların ve sorumlulukların sağlanmasına bağlı.
İş birlikleri, altyapı sistemlerine yönelik olası tehdit durumunda direnci gerçekleştirme ve koruyucu önlemler alma, saldırılar karşısında engelleme, doğru ve kesintisiz bilgi paylaşımını sağlama, olay sonrası durum analizi ve geri dönüş kabiliyeti gibi konulardan etkin çalışmayı gerektiriyor.
FAYDALAR VE ZORLUKLAR NELER?
Gelişen tehditleri azaltmak ve ihlallere karşı dirençli olmak, kritik altyapı koruması için önceliktir ve iş birlikleri bunda önemli rol oynuyor. Devlet ve özel sektörün kendi rollerini belirleme, siber uzaydaki kritik alt yapıyı koruma ve bilgi paylaşımını artırma konusunda kaydettiği ilerleme, kritik altyapı siber güvenliğini geliştirmek için büyük verilerden yararlanma imkânı sunar. Böylelikle siber ihlallerle ilgili daha büyük hacimli verilere erişim sağlanır, kurumlar tehdit profillerini belirlemek ve tahmine dayalı modeller oluşturmak için kurulan iş birlikleri sayesinde elde edilen büyük veri analitiğini kullanabilirler.
Diğer yandan özel sektör ve hükümet kaygılar konusunda her zaman uyumlu değil. Devletler öncelikle altyapı sistemlerinin güvenliğine odaklanırken, onları işleten şirketler piyasa güçleri tarafından yönlendirilmekte ve markalarının değeri, hissedarlarına karşı sorumlulukları ve mevzuata uygunluk konusunda kaygı güderler.
Dahası her sektöre uygun kamu-özel iş birliği modeli bulunuyor. Ayrıca, hükümetin herhangi bir ticari ortakla çalışma şekli, çalıştıkları sektöre bağlı olarak da farklılık gösterir. Örneğin, Hazine ve Maliye Bakanlığı ile özel sektör ve finans kurumları arasındaki ilişki, Enerji Bakanlığı ya da Ulaştırma ve Altyapı Bakanlığının kurduğu ilişkilerden çok daha farklı. Ancak unutulmamalıdır ki karşılaşılan tüm bu zorluklar, özel sektörün veya kamu kuruluşunun kendi başına ele alamayacağı kadar kapsamlı ve önemli.
Görüldüğü üzere tüm zorluklarına karşın kritik altyapıların çok aktörlü ve çok boyutlu yapısı, bu altyapıların siber güvenliği söz konusu olduğunda iş birliklerini zorunlu kılıyor.
KAYNAK:
Clark, Robert M. ve Hakim, Simon. (2019). Public–Private Partnerships and Their Use in Protecting Critical Infrastructure. [Elektronik Sürüm]. 1-17. Switzerland: Springer. https://doi.org/10.1007/978-3-030-24600-6
Karabacak, B. (2011a). Kritik Altyapılar: Dünya ve Türkiye Özeti [Elektronik Sürüm]. BİLGEM. 3(5), 19-31.
Karabacak, B. (2011b). Kritik Altyapılara Yönelik Siber Tehditler Ve Türkiye İçin Siber Güvenlik Önerileri [Elektronik Sürüm]. Siber Güvenlik Çalıştayı. Bilgi Güvenliği Derneği, 1-11.
http://cdn.govexec.com/media/gbc/docs/gbc_boozallen_smartdata_ib_designed_final.pdf
https://www.eetasia.com/critical-infrastructure-cyber-attacks-on-the-rise/
