İnternet, 90’lı yılların başında onu sıradan insanlar olarak hepimiz kullanmaya ve ona bağlı hale gelmeye başlayana kadar, sadece bu işin uzmanlarının ilgilendiği bir alan olarak görüldü. Fakat daha bu senenin başında bir Beyaz Saray yetkilisi günümüzde siber güvenliğe bakışı tarif ederken “uzmanları için bir alan” ifadesini kullandı. İşte problem ve gereken çözüm bu ifadede yatıyor.
Hayattaki rolümüz ne olursa olsun her birimiz siber güvenlik hakkında geleceğin bilgisayar dünyasını şekillendirecek kararlar alıyoruz.
Bu kararları meseleyi sadece “bilgi teknolojisi kalabalığı” içinmiş gibi görerek uygun araçlar olmadan alıyoruz. Neyin mümkün ve uygun olduğunu tanımlayan temel terimler ve asıl kavramlar anlaşılamamış; daha da kötüsü bazen saptırılmış durumda. Bazı tehditler abartılıyor ve bu tehditlere aşırı tepki tepki gösteriliyorken, bazıları görmezden geliniyor.
Internet bize neredeyse her sorunun cevabını bulmak gibi bir güç vermişken, siber güvenliğin geçmişte kalan efsaneler ile geleceğe dair aldatmacaların sarmalandığı bir alan olarak, aslında ne olmuş olduğunu ve şu anda ne konumda bulunduğumuzu belirsizleştirmesi muhtemelen en büyük problem. Eğer internet dünyasını güvence altına almak konusunda etkili herhangi bir şey elde etmek istiyorsak öncelikle onu açıklığa kavuşturmalıyız.
1. Efsane: Siber Güvenlik Daha Önce Karşılaştığımız Hiçbir Zorluğa Benzemiyor
Işıktan da hızlı küresel bilgi ağlarıyla çepeçevre sarılmış hissetmek çok doğal. Victoria dönemi insanlarının, haberleşme ve ticaretin atlardan rüzgarla çalışan telli telegraflara ve daha sonra kablosuz radyolara nasıl geçtiğini ve bunları nasıl düzenleyecekleri konusundaki endişelerinin nasıl hissettirdiğini düşünürsek henüz hiçbir şey tam olarak yeni değil.
Tarih bilincine sahip olmak çağımızın yeniliklerine nasıl tepki vereceğimiz konusunda bizi yönlendirebilir. Bu sadece internet tarihini ve buralara kadar nasıl geldiğimizi öğrenmek değil, aynı zamanda bilgi teknolojileri alanı dışındaki alanlar hakkında öğrenmekle de ilgili. Mesela hükümetin üstlenmesi gereken rolü düşünürken ,Hastalık Kontrol Merkezleri gibi dünyadaki en başarılı kuruluşlara ve halk sağlığının tedbirin önemi hakkında bize ne öğretebileceğine, farkındalığın ve eğitimin derecesine ve bilgi paylaşımının güvenilir yöntemlerine bakabiliriz. Benzer şekilde suç tehdidiyle ve küresel alandaki devletle bağlantılı olduğu iddia edilen gruplarla boğuşurken denizlerin nasıl düzenlendiğine, korsanlar ile hükümet izniyle çalışan korsan gemilerinin hangi adımlarla devre dışı bırakıldığına ve uluslararası normların oluşturulmasına bakabiliriz. Bireysel aktörler ve paylaşılan ortak alan (kamu) açısından imajları düşünüldüğünde, çevre kirliliği ile savaşan hukuki ve ekonomik araçlara yönelebiliriz.
Siber güvenlikte sorunun tam karşılığı olan çözümler olmamasına rağmen sorunlar tamamen yeni sayılmaz.
2. Efsane: Her Gün Milyonlarca Siber Saldırı ile Karşı Karşıya Kalıyoruz
Yakın bir zamanda emekli olan NSA ve Siber Komutanlığın başındaki General Keith Alexander, 2010’da Mecliste her gün sayısız siber saldırıyla muhatap olduklarını söyledi. bu ifadeyi verdi. Çinli liderler de kendi hackerları hakkında ithamda bulunulduğunda Amerika için benzer iddialarla karşılık verdiler. Bu rakamlar doğru ama tamamıyle işe yaramaz.
Bireysel saldırı teşebbüslerini veya hedefli kötü amaçlı yazılımları saymak bakteri saymak gibidir, büyük rakamlar kolayca elde edilebilir fakat asıl önemli olan etki ve kaynaktır. Öyle ki bu rakamlar, eşek şakasından, siyasi protestolara, ekonomi ve güvenlik ilişkili casusluklara kadarbir zarar veremeden once ilkel savunma yöntemleri tarafından yakalanan tarama ve izlemelerden karşılaştığımız tehdit çeşitlerini bir noktada bağlar ve ayırt edilemez hale getirir.
Bu, hepsi aynı barut teknolojisine dahil olduğu için, maytaplı çocuklardan sis bombalı göstericilere, tabancalı ajanlardan el bombalı teröristlere ve füzeli ordulara kadar her şeyi aynı kategoriye sokmaya benziyor.
Basın açıklamalarındaki rakamları ve birbiriyle ilgisiz şeyleri bir araya getirmeyi bir kenara bırakmalı ve online tehditleri karmaşıklaştırmamalıyız. Riskleri tartmalı, meselenin nasıl ve kim tarafından çözüleceğini bulmalıyız.
3. Efsane: Bu Bir Teknoloji Problemi
Teknoloji dünyasında, PEBCAK (Problem Exists Between the Chair and Keyboard) ile ilgili eski bir şaka vardır. Siber güvenlik tam anlamıyla insanlar ve onları özendirme tehbirleri ile ilgili. Pek çok önemli teknik düzeltme ve kullanılacak yeni araçlar mevcut. Fakat kuruluşlar ve bireyler kendilerini güvence altına almaya yatırım yapmaya istekli değilse, o zaman emniyetsiz kalacaklar.
Yapabileceğimiz en önemli şey, bizi sihirli değneğin gerçekliğine inandırarak boş umutlar beslememizi sağlayan korku ve cehaletten, çalışmaya doğru direncin önemini dikkate alarak zihniyet değişikliğine gitmek. Internet kullandığımız sürece, savunma ne kadar iyi olsa da, suçlular, düşmanlar ve eski moda kötü şans birer risk olarak karşımıza çıkacak. Çözüm ise bunlar aracılığıyla nasıl güç sağlayacağımız ve aksilikleri nasıl hızlıca bertaraf edebileceğimiz. Hem kullandığımız sistemler hem de ruhlarımız için parolamız “sakin ol ve devam et” olmalı. Bu, özellikle liderler ve sürekli, enerji nakil hatları şebekesinin kesilmesi veya Wall Street’in devre dışı kalması gibi senaryolara atıfta bulunarak ateşe körükle giden medya için geçerli. “Sincaplar” her sene yüzlerce güç kesintisine neden olurken, iki kez de NASDAQ’ta ticari faaliyetlerin durmasına sebep oldular. Eğer Rocky ve Bullwinkle’ın gerçek dünya versiyonlarını hayatta tutmayı başarırsak, siber taraftaki korkulan fakat hala kurgulanan tehlikelere karşı daha dirençli olabiliriz.
4. Efsane: En İyi Savunma İyi Bir Saldırıdır
Üst düzey Pentagon yetkilileri, evlerinin bodrumunda Red Bull yudumlayan birkaç ergenin nasıl Kitle İmha Silahı tipi bir saldırı gerçekleştirebileceği hakkında konuşuyor. Dahası bir rapor bu saldırının öngörülebilecek bir gelecekte olabileceğini belirtiyor. Bu da Pentagon’u, siber saldırı araştırmaları için siber savunma araştırmalarına ayırdığı yıllık bütçenin yaklaşık olarak 2.5 katı daha fazla bir meblağ ayırmaya sevk etti.
Fakat gerçek göründüğünden daha karmaşık. İran nükleer programını sabote eden ve dijital bir silah olan Stuxnet, siber tehditlerin yeni nesillerinin tehlikesini gösterirken, bunların şekerli içeceklerin ötesinde uzmanlık ve kaynak gerektirdiğini gösterdi. Red Bull sizi kanatlandırabilir fakat ileri düzey bir saldırı için ivedi bir uzmanlık sağlamaz. Stuxnet’in yaratımında istihbarat analizi ve toplanmasından, mühendislik ile nükleer fizik hakkında ileri düzey bilgiye kadar her şey gerekliydi.
Daha da önemlisi bu doğru bir strateji değil. Bu herhangi bir ikili ilişkinin, sadece benzer yeteneklere sahip diğer bir devleti engellemek zorunda olduğu ve oyunda kazığa diktiği bir soğuk savaşı değil. Dışarıda sayısız ve çeşitli saldırgan varken, saldırı yeniliklerine birincil çözümümüz olarak harcama yapmak, camdan evimizi kasırgalardan veya komşu çocuklarından veya teröristlerden taş bileme takımı ile korumaya çalışmayı düşünmek gibi. Seksi olmayabilir ama Superbowl’da da (Amerikan Futbolu Şampiyonluk Müsabakası) siber güvenlikte de en iyi savunma, gerçekten iyi bir savunmadır.
5. Efsane: Hackerlar Günümüzde İnternet için En Büyük Tehdit
Kötü şeyler yapan ve planlayan kötü çocuklar internette kol geziyor. Fakat dikkatli olmazsak tedavi, hastalıktan daha kötü sonuçlara yol açabilir. İnternet güven ortamına dayanır ancak internetin her türlü yöntemle, üstelik hükümetler tarafından tehdit edildiğine şahitlik ediyoruz. Hepsi, bildiğimiz ve sevdiğimiz haliyle, internetin güvenilirliğine, şeffaflığına ve müşterek yönetimine karşı çalışıyor.
Birçok hükümet, online tehditelere karşı, internetin daha kapsamlı kontrolü ve yönetimindeki reformlar için çağrılarını sıklaştırarak, iç düzeni koruma adına ifade özgürlüğünü ve sivil toplumu sonlandırmayı ve ulusal güvenlik maskesi altında teknik ticari bariyerler inşa etmeyi amaçlıyor. Bizi online tehditlerden korumayı vaad edip hayatlarımızdaki en güçlü siyasi, ekonomik, ve sosyal değişim aracını tahrip edecek önlemlere karşı uyanık olmalıyız.
Yazının orjinali 2 Temmuz 2014 günü www.wired.com adresinde The 5 Biggest Cyber Security Myths, Debunked başlığıyla yayımlanmıştır.