İki yıl önce Harp Akademileri’nin düzenlediği bir savaş simülasyonuna siber güvenlik ile ilgili senaryo danışmanlığı vermek için katılma fırsatı yakalamıştım. Penceresiz ve geniş bir odada kurmaylara çeşitli siber güvenlik hatalarının nasıl ulusal problemler oluşturacağına dair senaryolar üretirken, böyle bir imkan yakaladığım için kendimi fazlasıyla şanslı hissediyordum.

Bu ayrıcalığın uzun süreceğini sanmıştım fakat fena halde yanıldığımı geçen hafta anladım.

Dünyanın önde gelen denetim ve danışmanlık şirketlerinden PwC bu zamana kadar ulusal ve uluslararası düzeyde kalan ‘siber savaş simülasyonunu’ kurumsal seviyeye çekerek bir siber krizde şirket tepe yönetiminin karar süreçlerini şekillendirmeye katkı sağlayacak önemli bir adım attı.

“Game of Threats” adı verilen ve PwC Amerika tarafından geliştirilen siber kriz simülasyonunda bir saldıran ve saldırgan bulunuyor. Fakat saldırgan deyip geçmeyin, saldırgan nasıl bir saldırgan olduğunu kendisi seçebiliyor. Örneğin bugünlerde ismini daha sık duyduğumuz Anonymous gibi ‘hacktivist’ olabilirken, devlet destekli hacker olmayı da seçebiliyor. Taraflar hamle yaptıkça galibi belirleyecek olan ibre hacker ve şirket arasında sürekli gelip gidiyor. Bir siber satranca benzeyen manevralar bütününün 12 raunt olarak oynanması tavsiye ediliyor çünkü ondan sonra saldırganın kazanma ihtimali gittikçe güçleniyor.

İLGİLİ HABER >> NATO’NUN EN KAPSAMLI SİBER TATBİKATI LOCKEDSHIELDS

PwC yetkilileri Game of Threats’in lansmanında kendi aralarında bize küçük bir demo sundular. Hacktivist olan saldırganlar şirketin web sitesini erişime kapatıyorlar, şirket network trafiğini monitör etmeye ve IP bloklamaya karar veriyor. Bu sırada hackerlar kumanda kontrol sunucularına rootkit yerleştirmeyi planlarken, tahmin ettiğinden daha geniş bir saldırıyla karşılaşan şirket yönetimi güvenlik konusunda         outsource  almaya karar veriyor. Saldırganlar şirket yöneticilerinin gizli yazışmalarını ele geçirip network diagramlarını diğer hacker gruplarıyla paylaşırken, şirket DLP sistemi alıp bir itibarını kurtarması için bir PR şirketiyle anlaşıyor.

Kabaca anlatmaya çalıştığım bu senaryo güvenlik camiası içinde bulunanlara çok ama çok tanıdık gelecektir. Fakat PwC’den Burak Sadıç’ın da üzerinde durduğu gibi bu çalışmanın asıl amacı stratejik seviyede bulunan üst düzey yöneticilerde siber güvenlik farkındalığı oluşturmak ve bir siber krizde atılması gereken adımlara aşinalık sağlamak.

Oyunun geliştirilmesi gereken yanları bulunsa da, özellikle medya ve sosyal medyaya verdiği yer ve kurumsal süreçleri –bütçe onayının alınması için geçen süre gibi…- mümkün olduğu kadar gerçeğe yakın şekilde anlattığından dolayı kurumların siber kriz çözümlerine önemli katkı sağlayacağa benziyor.

Güvenlik yetkilileri ve üst yönetim arasındaki ilişki liseli aşkına benzetilir. Lisedeyken aşık olduğu kıza açılamayan çocuğun ‘ahh bir konuşabilsem…’ deyip kızın etrafında konuşma fırsatı yakalamaya çalıştığı gibi, yöneticilerine iki dakika güvenlik anlatabilmek için ciddi çaba sarf eden güvenlikçiler Game of Threats ile bu fırsatı yakalayacaklar. Artık belirli bir yaşın üstündeki CFO’ların sohbetlerinde IPS ve IDS’lere atıf yapmalarına şaşırmayacağımız bir dönem başlayabilir.

Bu tür çalışmaların yaygınlaşması ‘saldırgan her zaman savunanın önündedir’ algısını değiştirecektir demek şu an için çok erken. Fakat aradaki mesafeyi fark edilir şekilde kapatmasını beklemek umuttan öte bir beklenti.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ