“There’s two kinds of CIOs: ones who have been hacked and know it, and those who have been hacked and don’t yet realize it. But the reality is, you’ve been hacked”. –Tony Scott, 201
Hatırlarsanız bundan birkaç ay önce ABD yönetimine bağlı Personel Yönetim İdaresi’ne (OPM) Çin tarafından gerçekleştirildiği düşünülen geniş çaplı bir siber saldırı sonucu, federal kurumlarda çalışmak için başvuruda bulunan milyonlarca kişiye ait hassas bilgiler ele geçirilmişti. Hem ABD içinde, hem de dış medyada geniş yankı bulan bu saldırı sonrası Amerikalılar devletin depoladığı bilgilerin güvenliğini ciddi şekilde sorgularken, federal kurumların siber güvenliğinin sağlanması Beyaz Saray’ın yakın dönemde odaklanacağı en önemli konulardan biri haline geleceğinin sinyallerini verdi. Sızan bilginin boyutu nedeniyle büyük baskıya maruz kalan OPM direktörü Katherine Archuleta apar topar görevden ayrıldığını açıklarken, olaydan yalnızca 2 ay önce Obama tarafından özel istekle federal Bilişim Daire Başkanı (CIO) olarak atanan Tony Scott’ın misyonu oldukça önem kazanacaktı.
Haftalık Siber Bülten raporuna abone olmak için formu doldurunuz
[wysija_form id=”2″]35 yılını bilişim sektöründe geçiren, aralarında Microsoft, Walt Disney ve General Motors’un da sayılabileceği iddialı firmalarda CIO, operasyon direktörü (COO) olarak önemli görevler üstlenen Scott, aslında bilişim camiasındaki ününü 2013 yılında CIO olarak göreve başladığı sanallaştırma (virtualization) devi VMware’i buaralar sıkça karşımıza çıkan bulut bilişim konusunda başarıyla ön saflara taşımasına borçlu bir siber lider. Ona devlette ihtiyaç duyulmasını sağlayacak bir başka etken de, San Fransisco Üniversitesi’nde aldığı Bilgi Sistemleri Yönetimi lisans eğitimini takiben Santa Clara Üniversitesi’nde tamamladığı hukuk lisans derecesi (juris doctorate). Siber güvenlik meselesini hem hukuki/sosyal hem de teknik boyutuyla ele alabiliyor olması, Scott’un devlet düzeyinde işleri yürütmek için tercih edilmesini sağlamışa benziyor. Şubat ayında federal CIO olarak işbaşı yaptığında, Obama yönetiminin önümüzdeki dönemde IT başlığı altında ayıracağını belirttiği 84 milyar doları aşkın yüksek bütçenin de kontrolünü devralan Scott’ın öncelikleri arasında siber güvenlik ve e-sağlık hizmetlerini denetlemeye, hem internete erişimi hem de internetin hızını artırmaya yönelik çalışmalar olduğu belirtilmişti.
İLGİLİ HABER >> ABD SİBER BÜTÇESİNİ 14 KAT ARTIRDI
Fakat Nisan ayında patlak veren, 21 milyon kişiyi etkileyen siber saldırıyla tüm odağını kamu servislerinin siber güvenliğini iyileştirme yönüne kaydıran, bu anlamda ilginç bir çalışmaya imza atan Scott, Haziran’da başlattığı ‘30 Günlük Siber Güvenlik Deparı’ (30 Day Cyber Security Sprint) adını verdiği bir hayli kapsamlı çalışmayla federal ve sivil yapılar bünyesindeki tüm birimlerin siber güvenliğini tek tek teftiş ederken, 30 gün sonunda yayınlanacak karnelerde her birimin bu konuda gösterdiği gelişime dair bir notlama yapacağını ve başarılı olan kurumların kamuya açıklanacağını söylemişti. Birimler denetlenirken belirlenen gündemde bilgi güvenliğinin sağlanması, durumsal farkındalığın artırılması, işlemlerin standartlaştırılması ve otomatik hale getirilmesi, siber saldırı savunma kabiliyetlerinin artırılması ve güçlü otorizasyon sistemlerinin geliştirilmesi ön plandaydı. Scott’un Obama’dan aldığı tam destek ve yakın zamanda yaşanan siber saldırının yarattığı baskıyla rutin, göstermelik bir değerlendirme olmaktan uzak olan bu 30 günlük depar sonunda tüm federal ve sivil birimlerin siber güvenlik kabiliyetlerinin %42’den %72’ye çıkarıldığını kaydederken, güçlü şifreler ve şahsi kmlik doğrulama kartlarından oluşan iki aşamalı otorizasyonun, benimsenmesi gereken en ciddi konu olduğu Scott tarafından her fırsatta dile getiriliyor.[1] İlerleyen dönemde Federal/Sivil Siber Güvenlik Stratejisi’ne evrilmesi beklenen bu çalışma, aslında kurumların siber güvenlik meselesine ayırdığı bütçelerin daha detaylı olarak belirlenmesi, kurumları ve kurum çalışanlarını bilginin güvenliği konusunda yasal bir zorunluluğa sokması açısından büyük önem taşıyor. Scott’a maledilebilecek 30 Günlük Siber Güvenlik Deparı fikri özgün olsa da, öne çıkardığı konulara, siber liderler serisine ilk başladığım dönemde hakkında yazdığım Obama’nın siber güvenlik danışmanı Michael Daniel’ın da bir hayli mesai ayırdığı farkediliyor. Daniel’ın üzerinde çalıştığı siber mevzuatın odağında Scott’un sık sık değindiği özel şirketler ve devlet arasındaki bilgi paylaşımını artırma ve tüm kurumları ilgilendirecek güvenlik standartları geliştirme hedefleri yer alıyor. Scott’un çalışmasına belki de doğru yer ve doğru zamanda uygulandığı için bu denli ilgi gösterilirken, Daniel’ın bu alanda geliştirdiği potansiyel vaadeden projelerin (Trusted Identities in Cyberspace, Cybersecurity Capability Model vs. gibi) rafa kaldırıldığı izlenimine kapılmamak elde değil. Bu açıdan bakıldığına, Michael Daniel projelerini yeteri kadar öne çıkarsa milyonları etkileyen bu son saldırı önenebilir miydi sorusu akla gelse de, yaşanan durum bir musibetin bin nasihatten iyi olduğunu kanıtlıyor.
Siber Liderler dizisinin diğer yazılarına ulaşmak için tıklayınız