Etiket arşivi: ENISA

Dijital Güvenlik

Pegasus veri sızıntısı AB’nin siber güvenlik raporuna girdi!

Yorum yapın

Pegasus veri sızıntısı AB’nin siber güvenlik raporuna girdi!Avrupa Birliği, Pegasus Hava Yolları müşterilerinin geçen Mayıs ayında verilerinin açığa çıktığı bilgi güvenliği olayını büyük bir siber güvenlik olayı olarak niteledi.

Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENİSA), ulaştırma sektörüne ilişkin hazırladığı siber tehdit raporuna göre Pegasus Hava Yollarına yönelik geçtiğimiz Mayıs ayında gerçekleşen 6,5 terabaytlık veri ihlali büyük siber güvenlik olayları arasında yer aldı.

Araştırma, ENİSA’nın Avrupa’da ulaştırma sektöründeki siber tehditlere dair ilk kez hazırladığı rapor olarak kayıtlara geçti.

Raporda 2021 Ocak ayından 2022 Ekim ayına kadar meydana gelen siber güvenlik olaylarını taranarak sektöre ilişkin yeni iç görüler ortaya koymayı hedefliyor.

2022’ye damga vuran en kritik 5 siber tehdit!

Hava, deniz, demir yolu ve kara yolu taşımacılığını hedef alan siber saldırılar temel alınarak hazırlanan rapor temel tehditler, trendler ve tehdit aktörleri ortaya konuyor.

FİDYE YAZILIM SALDIRILARI ÖN PLANDA

Söz konusu periyotta saldırıların yüzde 38’inin fidye yazılım tarafından geldiği belirlendi. Veriye ilişkin tehditler yüzde 30’u  oluştururken, zararlı yazılımın yüzde 17, DoS ve DDoS saldırılarının yüzde 16, oltalama ataklarının yüzde 10 ve tedarik zinciri saldırılarının yüzde 10 oranında gerçekleştiği görüldü.

Ulaştırma sektörüne en büyük zararın veren saldırganların, devlet destekli tehdit aktörleri, siber suçluları ve hacktivisitler  olduğu gözlemlendi.

Siber suçların fidye yazılım saldırılarını sadece ekonomik amaçlarla gerçekleştirmediği ve hactivistlerin de artan oranlarda saldırılar düzenlediği tespit edildi.

DDoS saldırılarının ise özellikle Avrupa’daki hava limanlarını, demir yollarını ve ulaştırma yetkililerini hedef aldığı ortaya çıktı.

Saldırıların çoğunun firmaların IT sistemlerine yöneldiği ve fidye yazılım gruplarının gelecekte operasyonel teknolojiye yönelik saldırılar da gerçekleştirebileceği ön görüldü.

 

Sektörel

“Avrupanın daha fazla siber güvenlik mezununa ihtiyacı var”

Yorum yapın

Avrupa Birliği Siber Güvenlik Ajansı (ENISA), birliğin siber güvenlik alanında yetişmiş kişilerin istihdamına gerek duyduğunu vurguladı.

ENISA’nın yayımladığı bir raporda, AB’nin, siyasi kanatta yetenekli bilgi güvenliği çalışan eksiğini gidermek adına daha fazla siber güvenlik mezununa ihtiyaç olduğu belirtildi.

Raporda, AB ülkelerindeki kamu kurumlarının bilgi güvenliği odaklı yükseköğretime “bütünlüklü bir yaklaşımı desteklemesi” gerektiği ifade edildi.

Akademisyenler Jason Nurse ve Konstantinos Adamos, ENISA’DAN Athanasios Grammatopoulos ve Fabio Di Franco ile birlikte hazırladığı “AB Siber Güvenlik Becerileri Eksikliğini ve Açığını Yüksek Öğrenim Yoluyla Ele Almak” başlıklı yeni bir raporda, AB’nin daha fazla öğrenciyi siber güvenlik bölümlerine kaydolmaya teşvik etmesi gerektiği ifade edildi.

Raporda, 27 üye ülkede sunulan siber güvenlik programlarının çoğunun (yüzde 77) master düzeyinde olduğu tespit edildi. Beşte birinin (yüzde 17) biraz altında lisans derecesi bulunurken, yüzde 6’sını ise “lisansüstü” düzeyinde olduğu tespit edildi.

MESLEKİ SERTİFİKALAR DEĞERLİ FAKAT YETERLİ DEĞİL

Kent Üniversitesi Profesörü Nurse, The Register’a bilgi güvenliği programlarının sektöre yeni profesyoneller katma noktasında değerli bir yöntem olduğunu söyledi ve ekledi: “Çok katmanlı bir yaklaşım, uzun ömürlü bir çözümde çok daha iyi bir şansa sahip. Mesleki sertifikalar değerli, ancak bunlar genellikle halihazırda sektörde olan profesyoneller için işlev görmekte. Yükseköğretimdeki öğrencilerin becerilerini artırmak, gelecekteki profesyonellerin temel seviyesini yükseltir ve bilgi güvenliği sektöründe çalışabilecek kişilerden oluşan daha sürdürülebilir bir havuz geliştirilmesine yol açar”

Birleşik Krallık’ın küçük ama büyümekte olan bir bilgi güvenliği lisans programı bulunmakta ve Ulusal Siber Güvenlik Merkezi de benzer akademik seviyelerde lisans programlarına sponsorluk yapıyor. Bu programların listesine web sitesinden ulaşmak mümkün.

Nurse, AB üniversitelerindeki lisans programlarının AB bilgi güvenliği sektörünün ihtiyaçlarını geniş ölçüde karşılamasına rağmen, siber güvenliğin “daha az teknik” taraflarına daha fazla odaklanılması gerektiğini söyledi ve ekledi: “Gerçek şu ki, siber tamamen teknik bir mesele değil ve yönetişim, risk, uyumluluk ve hukuk gibi konular gelecekte daha önemli hale gelecektir.”

Women4Cyber, siber güvenlik alanında kadınlar için mentorluk programı başlattı

SİBER GÜVENLİK EĞİTİMİ BATIDA ÖNEMLİ BİR GÜNDEM MADDESİ

Siber güvenlik eğitimi, kamu ve özel sektöre yönelik saldırılar dolayısıyla nitelikli bilgi güvenliği personeline olan talebin giderek artmasıyla Batı’da oldukça önemli bir gündem maddesi durumunda.

Sektör, bilgi güvenliği personeline yönelik şaşırtıcı düzeyde çok sertifika eğitimi sunuyor olsa da, bunların birçoğunun zaten mesleki deneyime sahip kişilere yönelik olduğu belirtiliyor. Bununla birlikte, siber güvenlik programları vasıtasıyla sunulan eğitimin kalitesi, her zaman en asgari teknoloji becerisine sahip insanlar için sektöre girmenin bir yöntemi olmasa bile hayati öneme sahip.

Nurse ekliyor: “Benim düşünceme göre, yüksek lisans programlarının lisans derecelerine kıyasla öne çıkması, büyük bir bilgi işlem becerisine sahip olma ön koşulundan dolayı değil. Bu, mevcut yüksek lisans derslerinin çoğunluğunun nasıl geliştirildiğinin sonucu olabilir– ve  gerçek şu ki, ne yazık ki, birçok insan hala siber güvenliği bilgi işlemin bir uzantısı olarak görüyor.”

Eylül ayında İngiltere’nin Bilgi Güvenliği Enstitüsü,  teşvik için mevcut personele profesyonel akreditasyonlar verilmesini önerdi. Birkaç yıl önce de İngiltere hükümeti, İngilizleri siber güvenlik becerileri kazanmaya teşvik etme çalışmaları yapan Siber Beceriler Acil Etki Fonu adlı bir program başlattı. Ancak bu, temel akademik eğitimden ziyade mesleki beceri kurslarını ve sertifikalarını finanse etmeye odaklanıyor.

Uncategorized

Siber Güvenlikte Kamu-Özel Sektör İşbirliği Mümkün mü?

Yorum yapın

Siber güvenlik yalnızca ülkemizin değil tüm dünyanın da gündeminde. Bu çerçevede, 14-17 Şubat tarihlerinde Avusturya’nın başkenti Viyana’da benim de katılma şansı bulduğum “Viyana Siber Güvenlik Haftası” düzenlendi. Etkinlik boyunca, dijital dönüşümün güvenliği gibi popüler ve küresel ölçekteki konular öne çıkarken etkinlikte en yoğun katılımın görüldüğü tematik alanlardan biri ise “Enerji, Kalkınma ve Siber Güvenlik” üzerineydi.

Avusturya Ulusal Güvenlik Akademisinin ev sahipliği yaptığı ve enerjinin siber güvenlik ayağının irdelendiği paneller boyunca, uluslararası işbirliğinin, siber tehditlere karşı kapasite geliştirme metodolojisinin yolları masaya yatırıldı. Ancak çoğu zaman göz ardı edilen ancak bütüncül bir siber güvenlik stratejisinin geliştirilmesi için temel taşlardan birini oluşturan “kamu-özel sektör işbirliği (PPP)” paneli oldukça verimli tartışmalara sahne oldu.

İlgili haber >> ABD memurlarına özel sektöre staja gönderiyor

Enerji sektörünün siber güvenliği dendiği zaman, kamu-özel sektörün kuracağı verimli bir işbirliği gerçekten de stratejinin bölünmez bir parçasını oluşturuyor. Nitekim, enerji sektörü kamu aktörleri, yatırımcılar ve iş camiası, teknoloji tedarikçileri, hizmet sağlayıcılar gibi çok paydaşlı bir kitlenin gözbebeği. Hal böyle olunca da, farklı paydaşların zaman zaman da birbiri ile çakışabilecek çıkarlarının uyuşturulması ya da faydanın maksimize edilmesi önemli bir noktayı teşkil ediyor. Öte yandan, enerji altyapılarının sınır tanımayan doğaları, bu işbirliğine uluslararası aktörlerin dahil edilmesini de şart koşuyor.

Avrupa Birliği ve ABD’deki uygulamalara bakıldığında, kamu-özel sektör işbirliği modellerinin siber güvenlik için uygulamaları gündemi epeyce meşgul eden bir konu. Örneğin Temmuz 2016’da Avrupa Komisyonu siber güvenlik için yeni bir işbirliği modeli ortaya koymak istediğini dile getirirken, AR-GE faaliyetlerinin teşvik edilebilmesi ve rekabetçiliğin sağlanması için yaklaşık 450 milyon dolarlık bir yatırım başlattı. Komisyona göre, kamu ve özel sektörün uyumlaştırmasına yönelik bu yatırımlar 2020 yılında 1,8 milyar dolarlık bir getiri sağlayacak.

İlgili haber >> ‘ABD siber ordu için Silikon Vadisi ile çalışıyor’

ABD’deki uygulamalar ise, oldukça geniş bir yelpazede değişmekle beraber, 2009’da faaliyete başlamış Ulusal Siber Güvenlik İletişim ve Entegrasyon Merkezi gibi çatı kurumlar, kamu-özel sektör arasında siber güvenliğe ilişkin köprülerin güçlendirilmesi anlamında önemli görevler üstleniyor. Benzer şekilde, ülkemizdeki uygulaması USOM (Ulusal Siber Olaylara Müdahale Ekipleri) olan ekiplerin koordine edildiği ve bilgi paylaşımının sağlandığı CERT CC (Computer Emergency Response Team Coordination Center) uzmanlar arasındaki faydalı bir bilgi ağı olarak görülüyor.

Yine de altını çizmek gerekir ki, yegâne ve her sektör için geçerli bir kamu-özel sektör işbirliği modeli tanımı ya da uygulaması mevcut değil. Bu işbirliğini tanımlayan ifadeler doğru zamanda, doğru insanları, doğru işler yapmak için bir araya getirmek olarak düşünülebilecekken, kamu-özel sektör işbirliği platformları gerçekten de ulusal siber güvenlik stratejisinin güçlenmesinde oldukça işlevsel. “Peki nereden başlamalıyız” sorusu için önerilebilecek güzel bir okuma ENISA (European Network Information Security Agency)’nin yayınladığı, kamu-özel sektör iş birliği yol haritası kılavuzu olarak örneklendirilebilir. Bu kılavuz, var olan işbirliği modelleri üzerinde çalışmış ve bu bağlamda kamu-özel sektör işbirliği mekanizmalarının yaşadığı sorunları ve bu bağlamdaki çözüm önerilerini yansıtmış. Temel olarak bahsedilecek olunursa, aslında siber güvenlik için doğru bir kamu-özel sektör işbirliği modelinin kurulması sırasıyla beş temel sorunun cevaplanmasıyla mümkün: Bu işbirliğine neden ihtiyacımız var (1), bu işbirliğine kimler dâhil olmalı (2), bu işbirliği nasıl yönetilmeli (3), bu işbirliği hangi temel servisleri sunmalı (4) ve işe ne zaman başlamalıyız (5)?

Siber Güvenlik için Kamu-Özel Sektör İşbirliği Methodolojisi

Neden İhtiyacımız Var? Kimler Dâhil Olmalı? Nasıl Yönetilmeli? Hangi Hizmetler Sunulmalı? Ne Zaman Aksiyon Alınmalı?
Tehditlerin tespit edilmesi Ulusal seviye Yönetimin belirlenmesi Araştırma ve analiz Yukarıdan aşağıya yaklaşım (top-down approach)
Tehditlere karşı savunma Sektör düzeyinde Rollerin ve sorumlulukların belirlenmesi Erken uyarı sistemleri İhtiyaçlar üzerine, tabandan gelen talep (bottom-up approach)
Caydırıcılık Tematik Gelir kaynaklarının yaratılması Farkındalık çalışmaları  
Tehditlere cevap vermek Uluslararası İletişim standartlarının belirlenmesi Eğitim ve uygulamalar  
İyileşme ve geri dönüş süreci Bölgesel   Kullanıcı yol haritaları  

 

Her ne kadar doğru soruları sormak ve sistematik bir çalışma yapmak kamu-özel sektör işbirliği modellerinin kurulmasında oldukça faydalı da olsa, bir takım engellerin de aşılması şart görünüyor. Öncelikle meselenin birden fazla paydaşı kapsaması, taraflar arasında güven eksikliğini ortaya çıkarırken bu güvensizlik bilgi paylaşımının ve aksiyon alım sürecinin de önünü tıkamış oluyor.

İkincisi, böyle bir işbirliği modelinin kazan-kazan felsefesine dayandırılması yani tüm paydaşlar açısından ölçülebilir faydalar sağlaması farklı çıkarların uyuşturulması açısından şart. Eylem planlarının muhakkak ortak olarak geliştirilmesi gerekirken, hemen hemen her konuda olduğu gibi üst yönetimin desteği bu platformların yaşaması ve sürdürülebilir olmasında hemen hemen belirleyici faktör olarak öne çıkıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

Makale & Analiz

AB’nin siber güvenliği Udo Helmbrecht’e emanet

Yorum yapın

 

Eski yazılarımı derlerken Avrupa Birliği’nin siber güvenlik politikalarını eleştirdiğim 2011 tarihli bir araştırmamı gözden geçirme fırsatım oldu. Bahsi geçen makalede Avrupa Birliği’nin önümüzdeki dönemde siber güvenlik alanında mücade etmesi gereken üç önemli noktaya değinmişim; mevcut ekosistemde siber gücünü artırarak söz sahibi olmak, siber diplomasi ve siber mevzuat geliştirme yolunda etkin adımlar atmak ve ortak bir siber güvenlik politikası geliştirmek. Makalenin sonunda mevcut kaynaklarla, AB’nin yakın vadede ortak ve etkili bir siber güvenlik politikası geliştirmeye hazır olmadığı yönündeydi. Üye ülkelerin bilgi güvenliğini ulusal bir mesele olarak algılaması ve hakim güvensizlik duygusu bu kanıya ulaşmamı pekiştirmişti. Tam da aradan geçen dört yıl, AB’yi işleyen ortak bir siber strateji üretmek anlamında ne derece ileri taşıdı sorusuna cevap ararken, kendimi siber güvenlik adına AB’nin başlattığı belki de en somut girişim olan ENISA’nın (European Network and Information Security Agency) 2009’dan bu yana direktörlüğünü yürüten Profesör Udo Helmbrecht’in özgeçmişini incelerken buldum. Çok göz önünde bir isim  olmamasına rağmen, AB adına siber güvenlik alanında önemli işler üstlendiğini farketmem uzun sürmedi.

1955 Almanya doğumlu Helmbrecht, fizik, matematik ve bilgisayar alanında lisans ve üzeri çalışmalar yapmış, Münih Bundeswehr Üniversitesi tarafından onursal profesör sıfatına layık görülmüş, Deutsche Aerospace AG (DASA), Federal Bilgi Güvenliği Ofisi gibi kurumlarda önemli pozisyonlarda bulunmuş. Neredeyse 1981 yılından itibaren bu alanda hem akademik hem de idari faaliyetler yürütmüş deneyimli bir yönetici olsa da, 2005 yılında kurulan ENISA’nın başına 2009’da geldiğinde kurumun işbirliği, tek seslilik, yetki ve bütçe konularında yaşadığı sıkıntıların bir çırpıda çözülemeyeceğini fark ettiğini itiraf ediyor. AB bünyesinde kararların ağır bir bürokrasi izleyerek alındığının bilincinde olan Helmbrecht’in o yıllarda verdiği mülakatlarda çok iddialı ve radikal bir gündemden bahsetmemesi, şimdiye kadar incelediğim diğer siber liderlere kıyasla çok daha yavaş ve sabırlı hareket etmesi işe yaramış olacak ki, 2013 yılında Avrupa Parlementosu’nun aldığı kararla ENISA’ya yeni bir yol haritası çizildi.

Bu çerçevede,

  • ENISA’nın genişletilen yetkileri arasında siber riskleri üye devletler adına en aza indirmeyi hedefleyen ve işin savunma boyutuna da değinen AB Siber Güvenlik Stratejisi’nin desteklenmesi,
  • Kullanılan elektronik ürünlerin, sistemlerin ve servislerinin standardize edilmesi,
  • Siber mevzuat çalışmalarının yapılması,
  • Europol, European External Action Service gibi global açılımları olan diğer AB kurumlarıyla yakın çalışmalar yürütülmesi,
  • AB kurumlarına ve üye devletlere danışmanlık sağlanması gibi yeni hareket alanları tanımlandı.

Aslında bu yeni kapsam, ENISA’yı NATO bünyesindeki CCDCOE’ye benzer, hem stratejik hem de akademik çalışmalar yürüten, uzman bir kuruma dönüştürme çabasının sonucuydu.

Her ne kadar kurumun merkezi olarak Yunanistan’daki Girit adasının seçilmesi, AB’nin ana organlarına olan uzaklığı da göz önünde bulundurulduğunda, hala siber tehditlerin AB bünyesinde üst düzey karşılığının olmadığını düşündürse de, Helmbrecht önderliğinde ENISA’nın çok yol katettiğine değinmemek elde değil. Helmbrecht’in The Cloud Security Alliance (CSA) tarafından geçtiğimiz yıl CSA Sanayi Liderliği ödülüne layık görülmesi bu başarıların bir göstergesi olarak sayılabilir. Güvenli bulut bilişim alanında ENISA çatısı altında yürütülmesine ön ayak olduğu akademik çalışmalar, sertifikalı eğitimler ve sanayi kuruluşlarını bu alanda önlemler almaya iten girişimleri, Helmbrecht’in bulut bilişimi güvenliğine önemli katkıları arasında kabul ediliyor.

Helmbrecht aynı zamanda AB üye ülkeleri arasındaki işbirliğini artırma ve olası bir siber kriz anında karmaşanın önlenmesi adına 2010’dan bu yana her sene düzenlenen Cyber Europe tatbikatının hayata geçirilmesinde rol almış kilit isimlerin başında geliyor. 29 ülkenin ve 200 kuruluşun katılımıyla gerçekleşen ve kritik altyapılara yönelik siber tehditleri ele alan Cyber Europe, kapsamı nedeniyle iddialı bir uygulama olarak öne çıkıyor. Fakat, AB’nin bir bütün olarak siber güvenlikte öncü olma, tek çatı altında yürütülecek etkili bir siber strateji oluşturma ve üye devletler arası bilgi paylaşımını üst düzeye taşıyacak güven ve işbirliği kavramlarını aşılama adına yapacağı çok iş var gibi gözüküyor.

Siber tehditlerin her bir AB üyesini etkileyecek sonuçlar doğrulabileceğinin anlaşılması, özellikle Estonya saldırıları sırasında AB’nin yaşadığı şaşkınlık ve hareketsizlik halinin iyi yorumlanıp, kriz yönetimi ve işbirliği konularında adımlar atılması yakın vadede hem Helmbrecht liderliğindeki ENISA, hem de büyük resme bakması gereken AB için büyük önem arz ediyor.