“We haven’t fully confronted cybersecurity as a human behavior and motivation problem, as opposed to a technical problem(…) Until we understand the human factors … we will continue to fail at solving this problem.” –Michael Daniel, 2014
Michael Daniel, 41 yaşında 2012 Mayıs’ında Beyaz Saray’ın nam-ı diğer ‘siber çarı’ Howard Schmidt’in yerine yeni siber güvenlik koordinatörü olarak geldiğinde ne IT dünyasının profesyonelleri, ne de siber güvenlikçiler adından haberdardı. Her ne kadar 11 yılını Amerika’nın IT güvenliği ve istihbarat politikalarının bütçelendirilmesinden sorumlu kişi olarak geçirmiş olsa da, Daniel hiçbir zaman çalıştığı birimin siber güvenlik ve teknoloji alanlarında dışa açılan yüzü olmamıştı. Princeton ve Harvard üniversitelerinde eğitimini tamamlayan Daniel, yerini devraldığı Schmidt’e çarlık lakabını veren FBI, ordu ya da hava kuvvetleri saha tecrübelerine sahip değildi, ancak siber güvenlik politikalarının gerek maddi, gerek hukuki, gerekse bürokratik işleyişine dair yetkinliği muhtemelen Obama’nın o dönemki tercihini netleştirdi.
Michael Daniel, ilk bakışta askeri ve istihbarat tabanlı diğer siber liderlerle karşılaştırıldığında daha sessiz, sakin ve hatta sıkıcı bir karaktere sahip gibi gözükse de (gerçekten de Daniel’e dair en ilgi çekici bilgi dövüş sanatlarında siyah kuşak sahibi olması), göreve geldikten sonra yaptığı çoğu açıklama bu kanıyı değiştirdi. IT güvenliğinin sağlanmasını zorlaştıran asıl faktörleri ‘teknik’ veya taktiksel değil, siber güvenliğin ekonomisi, psikolojisi ve ‘insan’ boyutuna dair sorunların anlaşılamaması olarak tespit eden Daniel, mevcut siber güvenlik algısının değişmesi gerektiğini savunuyordu. Ona göre yeni siber güvenlik yaklaşımı, olayın teknik tarafını soyutlayarak ‘insan faktörü’ etrafında şekillendirilmeliydi. Bir başka tepki çeken konu, Daniel’ın siber güvenlik çerçevesinin nasıl belirlenmesi gerektiğinden bahsederken öne sürdüğü ‘siber alan sınırsız/ hudutsuz değildir’ yorumu oldu. Şimdiye kadar çoğu siber liderin siber alanı fiziksel dünyadan ayıran en büyük ve aynı zamanda en sıkıntılı özelliğin ‘sınırsızlık’ olduğunu belirtmesi, bu nedenle de siber alanı asimetrik tehditlere en açık sistem olarak nitelendirmesi Daniel’ın bu anlamda aykırı bir duruş sergilediğini gösterdi. Fakat tepkilerin en şiddetlisi, Gov Info Security’nin Michael Daniel ile bu yaz yaptığı bir röportaj esnasında Daniel’ın teknik deneyim ve bilgi eksikliğini, siber güvenlik politikalarına yön verirken artıya dönüştürdüğünü söylediğinde yaşandı. IT dünyasının önemli isimleri tarafından bloglar ve Twitter üzerinden ağır eleştiriye uğrayan Daniel, devletin bilgi güvenliğini tüm boyutlarıyla değerlendiremeyen siber güvenlikçileri göreve getirmesini doğru bulmayanların hedefi oldu.
İşin magazin kısmın bir kenara bırakırsak, ABD’nin siber mevzuat oluşturması yolunda önemli adımlar atmasına ön ayak olan Daniel, çektiği tepkilere rağmen aslında kısa dönemde çok şey başarmış bir isim. Daniel’ın öncülüğünde şekillenen ve ABD’nin önümüzdeki siber politikalarını gerek içte gerek dışta şekillendirecek olan siber mevzuatın odağında şuan için özel şirketler ve devlet arasındaki bilgi paylaşımını artırmak, mahremiyete saygı ve tüm kurumları ilgilendirecek güvenlik standartları geliştirmek yer alıyor. Daniel’ın insiyatifiyle hazırlanan siber gündemde, özel şirketler, devlet kurumları ve sivil ağlar için daha güvenli bilgi paylaşımını esas alan ‘Trusted Identities in Cyberspace’ projesi; kritik altyapıların korunmasında devlet-özel sektör işbirliğini artırmayı amaçlayan ve her birimin neyi ne şekilde yapması gerektiğini standardize etmeyi amaçlayan ‘Defense Industrial Base Cybersecurity/ Info Assurance’ projesi; ve elektrik üreticilerini siber tehditlere karşı daha güvenli hale getirecek olan ‘Cybersecurity Capability Model’ de öne çıkıyor. Bu projelerin ne zaman tam işlerlik kazanacağı her ne kadar merak konusu olsa da, Michael Daniel ‘siber çar’ olarak kaldığı sürece, ABD değişen bir siber güvenlik algısı ve kaçınılmaz bir siber güvenlik reformu deneyimleyecek gibi gözüküyor.
