Etiket arşivi: kamu özel sektör işbirliği

Uncategorized

Siber Güvenlikte Kamu-Özel Sektör İşbirliği Mümkün mü?

Yorum yapın

Siber güvenlik yalnızca ülkemizin değil tüm dünyanın da gündeminde. Bu çerçevede, 14-17 Şubat tarihlerinde Avusturya’nın başkenti Viyana’da benim de katılma şansı bulduğum “Viyana Siber Güvenlik Haftası” düzenlendi. Etkinlik boyunca, dijital dönüşümün güvenliği gibi popüler ve küresel ölçekteki konular öne çıkarken etkinlikte en yoğun katılımın görüldüğü tematik alanlardan biri ise “Enerji, Kalkınma ve Siber Güvenlik” üzerineydi.

Avusturya Ulusal Güvenlik Akademisinin ev sahipliği yaptığı ve enerjinin siber güvenlik ayağının irdelendiği paneller boyunca, uluslararası işbirliğinin, siber tehditlere karşı kapasite geliştirme metodolojisinin yolları masaya yatırıldı. Ancak çoğu zaman göz ardı edilen ancak bütüncül bir siber güvenlik stratejisinin geliştirilmesi için temel taşlardan birini oluşturan “kamu-özel sektör işbirliği (PPP)” paneli oldukça verimli tartışmalara sahne oldu.

İlgili haber >> ABD memurlarına özel sektöre staja gönderiyor

Enerji sektörünün siber güvenliği dendiği zaman, kamu-özel sektörün kuracağı verimli bir işbirliği gerçekten de stratejinin bölünmez bir parçasını oluşturuyor. Nitekim, enerji sektörü kamu aktörleri, yatırımcılar ve iş camiası, teknoloji tedarikçileri, hizmet sağlayıcılar gibi çok paydaşlı bir kitlenin gözbebeği. Hal böyle olunca da, farklı paydaşların zaman zaman da birbiri ile çakışabilecek çıkarlarının uyuşturulması ya da faydanın maksimize edilmesi önemli bir noktayı teşkil ediyor. Öte yandan, enerji altyapılarının sınır tanımayan doğaları, bu işbirliğine uluslararası aktörlerin dahil edilmesini de şart koşuyor.

Avrupa Birliği ve ABD’deki uygulamalara bakıldığında, kamu-özel sektör işbirliği modellerinin siber güvenlik için uygulamaları gündemi epeyce meşgul eden bir konu. Örneğin Temmuz 2016’da Avrupa Komisyonu siber güvenlik için yeni bir işbirliği modeli ortaya koymak istediğini dile getirirken, AR-GE faaliyetlerinin teşvik edilebilmesi ve rekabetçiliğin sağlanması için yaklaşık 450 milyon dolarlık bir yatırım başlattı. Komisyona göre, kamu ve özel sektörün uyumlaştırmasına yönelik bu yatırımlar 2020 yılında 1,8 milyar dolarlık bir getiri sağlayacak.

İlgili haber >> ‘ABD siber ordu için Silikon Vadisi ile çalışıyor’

ABD’deki uygulamalar ise, oldukça geniş bir yelpazede değişmekle beraber, 2009’da faaliyete başlamış Ulusal Siber Güvenlik İletişim ve Entegrasyon Merkezi gibi çatı kurumlar, kamu-özel sektör arasında siber güvenliğe ilişkin köprülerin güçlendirilmesi anlamında önemli görevler üstleniyor. Benzer şekilde, ülkemizdeki uygulaması USOM (Ulusal Siber Olaylara Müdahale Ekipleri) olan ekiplerin koordine edildiği ve bilgi paylaşımının sağlandığı CERT CC (Computer Emergency Response Team Coordination Center) uzmanlar arasındaki faydalı bir bilgi ağı olarak görülüyor.

Yine de altını çizmek gerekir ki, yegâne ve her sektör için geçerli bir kamu-özel sektör işbirliği modeli tanımı ya da uygulaması mevcut değil. Bu işbirliğini tanımlayan ifadeler doğru zamanda, doğru insanları, doğru işler yapmak için bir araya getirmek olarak düşünülebilecekken, kamu-özel sektör işbirliği platformları gerçekten de ulusal siber güvenlik stratejisinin güçlenmesinde oldukça işlevsel. “Peki nereden başlamalıyız” sorusu için önerilebilecek güzel bir okuma ENISA (European Network Information Security Agency)’nin yayınladığı, kamu-özel sektör iş birliği yol haritası kılavuzu olarak örneklendirilebilir. Bu kılavuz, var olan işbirliği modelleri üzerinde çalışmış ve bu bağlamda kamu-özel sektör işbirliği mekanizmalarının yaşadığı sorunları ve bu bağlamdaki çözüm önerilerini yansıtmış. Temel olarak bahsedilecek olunursa, aslında siber güvenlik için doğru bir kamu-özel sektör işbirliği modelinin kurulması sırasıyla beş temel sorunun cevaplanmasıyla mümkün: Bu işbirliğine neden ihtiyacımız var (1), bu işbirliğine kimler dâhil olmalı (2), bu işbirliği nasıl yönetilmeli (3), bu işbirliği hangi temel servisleri sunmalı (4) ve işe ne zaman başlamalıyız (5)?

Siber Güvenlik için Kamu-Özel Sektör İşbirliği Methodolojisi

Neden İhtiyacımız Var? Kimler Dâhil Olmalı? Nasıl Yönetilmeli? Hangi Hizmetler Sunulmalı? Ne Zaman Aksiyon Alınmalı?
Tehditlerin tespit edilmesi Ulusal seviye Yönetimin belirlenmesi Araştırma ve analiz Yukarıdan aşağıya yaklaşım (top-down approach)
Tehditlere karşı savunma Sektör düzeyinde Rollerin ve sorumlulukların belirlenmesi Erken uyarı sistemleri İhtiyaçlar üzerine, tabandan gelen talep (bottom-up approach)
Caydırıcılık Tematik Gelir kaynaklarının yaratılması Farkındalık çalışmaları  
Tehditlere cevap vermek Uluslararası İletişim standartlarının belirlenmesi Eğitim ve uygulamalar  
İyileşme ve geri dönüş süreci Bölgesel   Kullanıcı yol haritaları  

 

Her ne kadar doğru soruları sormak ve sistematik bir çalışma yapmak kamu-özel sektör işbirliği modellerinin kurulmasında oldukça faydalı da olsa, bir takım engellerin de aşılması şart görünüyor. Öncelikle meselenin birden fazla paydaşı kapsaması, taraflar arasında güven eksikliğini ortaya çıkarırken bu güvensizlik bilgi paylaşımının ve aksiyon alım sürecinin de önünü tıkamış oluyor.

İkincisi, böyle bir işbirliği modelinin kazan-kazan felsefesine dayandırılması yani tüm paydaşlar açısından ölçülebilir faydalar sağlaması farklı çıkarların uyuşturulması açısından şart. Eylem planlarının muhakkak ortak olarak geliştirilmesi gerekirken, hemen hemen her konuda olduğu gibi üst yönetimin desteği bu platformların yaşaması ve sürdürülebilir olmasında hemen hemen belirleyici faktör olarak öne çıkıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

 

Siber Güvenlik

Ulusal güvenlik şirketleri kapsar mı?

Yorum yapın

Geçtiğimiz aylarda United Airlines, Anthem, Sabre Corp. ve American Airlines gibi büyük şirketlere yapılan siber saldırıların devlet destekli hackerlardan geldiği iddia ediliyor. Bu gibi saldırılar siber sektördeki yeni bir trendi de ortaya koymakta, devletler diğer devletlerin yanı sıra şirketlerin de data güvenliğini tehdit ediyor. Devlet destekli saldırılar genelde şirketin sistemine zarar vermekten çok stratejik üstünlük kazanmak için ticari bilgilerin çalınmasına yönelik, bu durum da saldırının büyüklüğünü tespit etmeyi zorlaştırıyor.

İLGİLİ YAZI>> ŞİRKETLER DE SİBER SİLAHA SARILIRSA

Devletlerin şirketlere saldırması modern dünyada iş yapmanın bedeli olarak yorumlanabilir, firmalar saldırının maliyetini siber güvenlik için harcadıkları paraya göre ölçebilirdi. Fakat Amerikan devletinin özel sektörle bağlantısı olması, şirketlere yapılan bu saldırıların Amerika devletini hedeflemesinin de mümkün olabileceğini gösteriyor. Saldırganlar en zayıf güvenlikli bölgeyi seçerek saldırıp asıl hedeflerine doğru kendilerine yol açıyor olabilirler.

İLGİLİ HABER>> İNGİLTERE VE ABD KASPERSKY’E SALDIRMIŞ

Firmaların herhangi bir saldırıyla karşılaştıklarında durumu bildirmeleri için teşvik edilmesi durumun daha kötüye gidebileceğini gösteriyor. Ancak devlet tarafından yapılan bu teşvik yeterli değil. Şirketler tüketici güvenini yitirmemek ve medyadaki ters tepkiye maruz kalmamak için siber saldırıları kamuya açıklamayı en son seçenek olarak görüyor. Bu sebeple yabancı devletlerin yaptıkları saldırıların kamuya açıklanandan sayıca çok daha fazla olduğu tahmin ediliyor.

Mayıs 2014’te Amerika Adalet Bakanlığı Çin ordusundan 5 kişinin lider çelik, nükleer santral ve güneş enerjisi firmalarından önemli bilgileri çalmak için siber saldırı yaptığını açıkladı. Bunun öncesinde Amerika başka bir devlete bu gibi bir suçlamada bulunmamıştı.

İLGİLİ HABER >> ÇİNLİ HACKER KORKUSU OBAMA’YA OTEL DEĞİŞTİRTTİ 

Zamanın başsavcısı Eric Holder, bu hassas bilgilerin çalınmasının sert bir karşılığı hakettiğini, küresel piyasada başarının şirketlerin inovasyon ve rekabet kabiliyeti ile ilgili olması gerektiğini, devletlerin bu gibi ticari bilgileri çalmasıya ilişkisi olmaması gerektiğini belirtti.

Amerikanın kara hava ve deniz alanında güçlü ve etkili bir savunması var fakat siber savunma Amerika’nın hala gelişmekte olduğu alanlardan birisi. Amerikalı şirketler, yabancı bir devletten gelen siber saldırılar konusunda Amerika’ya gereken yardımı nasıl sağlayacağı konusunu sorgulamaya devam ediyor.  Firmalar modern tehditlerle başa çıkabilecek hukuki korumaya ihtiyaç duyuyorlar. Gizliliği ve temel hakları dengeleyecek şekilde politikalar oluşturulmaz ve  şirketlere bu saldırıları açıklaması için gerekli teşvik verilmez ise en sonunda milli güvenlik ve stratejik çıkarların tehlikeye düşmesi kaçınılmaz olacak.

İLGİLİ HABER>> SONY SALDIRISI BOMBALI SALDIRI İLE EŞDEĞER

Şirketlerin büyük bir kısmı önemli miktarda para ve zaman harcanarak üretilmiş ürünler ya da servisler sunuyor, bunlar ekonominin ve günlük yaşamın büyük bir parçasını olusturuyor. Gizli bilgilerin siber saldırılar aracılığıyla çalınması devletleri olduğu kadar vatandaşları da etkiliyor. Çalınan bilgilerin şirketler tarafından açıklanması sektördeki diğer şirketleri bu saldırılara karşı korumak açısından önemli. Rakibini olası bir tehdite karşı uyarmak, rakip şirketin bu saldırılara hazırlıklı olmasını sağlamasına karşın güvenlik için servet harcayan firmalar rakiplerine bu gibi tehdit bilgilerini ücretsiz vermeye isteksizler.

Şirketlerin büyük bir kısmı önemli miktarda para ve zaman harcanarak yaratılmış ürünler ya da servisler sunuyor, bunlar ekonominin ve günlük yaşamın bir parçası durumunda. Gizli bilgilerin siber saldırılar aracılığıyla çalınması devletleri olduğu kadar vatandaşları da etkiliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

ABD, Siber Güvenlik

Sony saldırısı bombalı bir saldırı ile eşdeğer

Yorum yapın

 

Sony’e karşı yapılan Kuzey Kore kaynaklı saldırının yankıları devam ediyor. ABD Temsilciler Meclisi’nin İç Güvenlik Komitesi Başkanı Michael McCaul, hükümet ile özel şirketlerin ortak hareket etmesiyle siber tehdide karşı koyabileceklerini savundu.

 

“Siber ‘Pearl Harbor’u engellemek” isimli yazısında Teksaslı temsilci McCaul, Hollywood’a yapılan siber saldırıyla bu tehdidin öneminin Amerikalıların bilinçlerine kazındığını belirterek, “Ancak biz bu tehdide karşı yıllardır mücadele ediyoruz” dedi. Sıradan pek çok Amerikalının, siber saldırıları sadece kimliklerine ya da banka hesaplarına yönelik zannettiğini belirten Amerikalı vekil, Sony’ye yapılan saldırının bombalı bir saldırı kadar zarar verebileceğini ortaya koyduğunun altını çizdi.

 

Son saldırının getirdiği ekonomik zararın şirketi huzursuz edebileceğini ancak esas dikkat edilmesi gereken noktanın, bu siber saldırının ABD topraklarındaki bir şirkete düzenlenmiş olması olduğunu belirtti. Benzer bir saldırı ile elektrik hatlarının çökebileceğini, hava veya tren ulaşımında sorunlar yaşanabileceğine dikkat çekti.

 

Amerikalı vetkili McCaul, siber saldırının Kuzey Kore kaynaklı olduğunun göründüğünü ancak bu tür saldırıların cezasız kaldığı için Rusya, Çin ve İran gibi ülkelerin de benzer saldırılar düzenlediğini belirtti. Amerika Güvenlik Ajansı’nın eski direktörü General Keith Alexander’in bu tür saldırılarla büyük oranda fikri mülkiyet kaybı yaşandığını ifade ettiğini ve bunun da ülke tarihindeki “en büyük varlık transferi olduğunu” söylediğini aktardı. McCaul, “Bunu engellemek için etkili bir stratejimiz yok,” diye de ekledi.

 

Teksaslı temsilci, son 2 yıl süresince ülkeyi tehdit eden siber saldırılara karşı kanun maddeleri hazırladıklarını belirtti. “Siber tehdit karşısında hükümet ile özel şirketler arasındaki bilgi paylaşımının nasıl olacağının altyapısını hazırlayan kanunlar yaptık,” diyen McCaul, bu sayede kritik öneme sahip 16 altyapı sektörü ile özel şirketler arasında federal bağlantının hazırlandığını, İç Güvenlik Bakanlığı’ndaki siber tehditle mücadele edecek çalışan sayısının arttığını, bakanlığın federal ağı koruma yetkisinin ve Ar-Ge çalışmalarının arttığına dikkat çekti.

 

Bu adımların önemli olduğunu ancak daha fazlasının yapılması gerektiğini savunan McCaul, 21. yüzyılın tehditlerine karşı Washington ile özel şirketlerin daha yakından işbirliği yapması gerektiğinin altını çizdi. Amerikalı vekil, “Bürokrasiyi aradan çıkarmamız lazım. Özel şirketler, siber tehditleri hükümete bildirmeli. Bunun için yasal engelleri kaldırmamız lazım,” dedi. Ayrıca McCaul, ABD Senatosu’nun özel şirketlerin siber güvenliklerini arttırması için de teşvikler vermesi gerektiğini savundu.