Eğer önümüzdeki beş sene içinde Pentagon’u bekleyen en büyük sorunun ne olacağı sorusu ile muhatap kalsaydınız, muhtamelen siber güvenlik, şirket satın alımları ve savaş sistemlerinin ekonomisi aklınıza gelmezdi. Ancak bu üçlünün kesişiminde mühim bir zaafiyet yatıyor.
Satın alımlar ve paydaşlar meselesi, ve tabi siber güvenlik, bir çok insanın gözlerinin bulanmasına neden olabilir. Ancak terimler sizi aldatmasın. Bu, ilgi, ve dahası, eylemlilik gerektiren bir konu.
Her ne kadar şeytan ayrıntılarda gizli, ve ayrıntılar da genellikle karmaşık olsa da, meselenin özü basit: Silah platform ve sistemlerinin güvenliğini sağlayamazsak kontrolleri ele geçirilebilir.
Siber güvenliği sistem mimarisinin bir parçası yapmazsak, düşmalarımıza kendi elimizle bir avantaj vermiş oluruz.
Ulus devletlerden, teröristlere ve suçlulara, bize zarar vermek isteyen aktörlerin listesi uzayıp gidiyor. ABD sistemlerini ele geçirmek için bu aktörlerin ellerindeki kaynaklar arasında tedarik zinciri ve üretimi kullanmak da yer alıyor.
Düşmanlarımızın motivasyonu uçak ve uydularımızın tasarımlarını ele geçirerek bunlara karşı etkili siber saldırı strtejileri geliştirmek.
Bu onlar için de mantıklı. Ekonomik casusluk yolu ile ABD silahlarının tasarılarını ele geçirmek, zayıflıkları keşfetmek ve bu zayıflıkları olağan yollardan faydalanma şansı sağlıyor. Bu da düşmanlarımıza para ve emek tasarrufu yapıp, bunları kendi silahlarını geliştirmede harcama imkanı sunarak Amerikan ekonomisine zarar veriyor.
Savunma Bakanlığı, bilgisayar ağlarının korunması konusunda büyük bir uzmanlık birikimi edindi. Şimdi de savaş sistemlerinin korunması konusunda birikim edinmeli.
Kolay Erişim
Savunma Bakanlığı tedarik zincirinin güvenliğini sağlıyor
Yoğun yazılım içeren ağ sistemleri için yüzlerce tedarikçiye bağlı olduğumuz ortada. Ancak ABD güvenlik sistemlerine güvenebilmemiz çok önemli. Bunun için de üretim ve tedarik zincirlerinden kaynaklanabilecek, sistemlerin uzaktan kontrol edilebilmesi potansiyelini en aza indirmemiz gerekiyor.
Bu amaca ulaşmak için çeşitli bakanlıkların direktifleri var.
Savunma Bakanlığı’nın Güvenilir Sistemler ve Ağlar Stratejisi alınan elektronik parçaların siber güvenliği ile ilgili olarak direktifler sunuyor. Direktifler, zaafiyet analizi, risk yönetimi sürecini bilgilendirmek için istihbarat sunulması ve güvenli tasarımlar gibi konuları içeriyor. Yakın zamanda Federal Savunma Satınalımlarının Denetimi ve Tamamlanması adıyla atılan adımlar sahte elektronik parçaların belirlenmesi konusunda doğru yönde gelişmeleri teşvik etti.
Ancak atılan adımların sonuçları uygulama aşamasında belli olacak. Sistemlerimizin mimarisi saldırıları belirlemek ve engellemek için bir bütün olarak ele alınmalı.
Savunma Bakanlığı’nın atması gereken 3 adım
Bu tür siber güvenlik sorunlarına göğüs gerebilmek için, şirket satınalma camiasında özellikle endistüri ile ortaklıklar kurup kritik parçaların güvenliğini inşa etmek gerekli. Basit bir çözüm olmasa da bu üç adım ilerleme sağlamak için önemli:
Eğitim: İşyeri eğitimleri ile konunun aciliyeti hakkında farkındalık sağlanmalı. Üniversitelere ulaşılmalı ve gelecek için sağlam bir temel atmak için güvenli mimari ve güvenli kodlama gibi konulara ağırlık verilmeli.
Yaymak: Sağlam bir siber güvenlik kültürü inşa etmek için, sürekli bir liderlik sağlanmalı.
Mühendislik: Güvenlik gereksinimlerinin analizi ve bu gereksinimlerin karşılanması tasarım sürecinin merkezi bir parçası olmalı. Mesela, ihlal belirleme sistemleri, sistemin ön kısmına entegre edilmeli. Dahası, daha genel anlamda mühendislik yaratıcılık ve tarasım olarak düşünülmeli, ve güvenlik sonradan eklenen bir düşünce değil, ana fikir olmalı.
Siber bir olayın yaşanmasıyle ilgili ancak ‘’ne zaman’’ sorusunu sorabiliriz, ‘’olacak mı’’ sorusunu değil. Bu nedenle en ihtiyatlı yaklaşım direnç ve saldırı anında işlevselliğin sağlanmasını odak almalı.
Bu bir parça da bizim riskleri daha iyi yönetebilmek için tehditlere ilişkin anlayışımızı geliştirmemiz gerektiği anlamına geliyor. Savunma Bakanlığı siber güvenlik verimliliği için, kritik silah ve güvenlik sistemlerini gözden geçirmeli.
Güvenlik ve kapasite tercihlerinin bedelleri analiz edilmeli
Savunma Bakanlığı’nın atabileceği bir diğer değerli adım, güvenlik ve kapasiteye ilişkin tercihlerin ne tür bedelleri olduğunun analiz edilmesi. Bu güvenlik ve kapasite arasında ne tür bir denge gerektiğini belirlemek için Savunma Bilim Kurulu tarafından tasarlanıp yürütülebilir.
Eğer doğru yapılırsa, böyle bir analiz siber güvenlik politikalarının şirket satınalma süreçlerine bilimsel bir şekilde dahil edilmesini sağlar.
Ulusal Standartlar ve Teknoloji Enstitüsü’nün siber güvenlik çerçevesinin kabul edilmesi, satın alma çevrelerine güvenlik kontrollerinin öneminin belirtilmesinde yardımcı olabilir.
Ancak, eğitim ve kültür değişimi zaman alır. Yeterince emek ile, güvenlikli teknolojilerin üretilmesi ve bu teknolojilerin kullanılması, ve dahası, risk temelli siber güvenlik anlayışının yaygınlaşması, ‘’havalı’’ bir davranış olarak kabul görebilir.
Bu aşamaya ne kadar hızlı erişirsek, ülkemiz için o kadar iyi olacaktır.
* Bu yazının orjinali www.nextgov.com adlı site için Michael Papay , Frank J. Cilluffo ve Sharon Cardash tarafından kaleme alınmıştır.