Günlük hayatımızı kolaylaştıran çok sayıda teknoloji sisteminde Log4j yazılım hatasıyla boğuştuğumuz için, siber güvenlik alanında çalışan herkes için tatil sezonu pek de huzurlu geçmedi. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, Log4j’yi “onlarca yıllık kariyerimde gördüğüm en ciddi güvenlik açığı” olarak nitelendirdi. Ve biz bu tür siber saldırıların tırmanmasına hazırlanırken, 2022’ye başlarken siber güvenliğin artık kriz modunda olduğuna dair uyarıları okuduğumda şaşırmadım. Pek çok açıdan öyle.
Bununla birlikte, iyimserlik için nedenler de görüyorum. Log4j’ye yanıt verme deneyimimiz, tedarik zincirimiz ve Amerika’nın kritik altyapısı boyunca güven, izlenebilirlik, şeffaflık ve güvenliği sağlamak için gereken değişikliği daha iyi bir perspektife oturtmaya şimdiden yardımcı oluyor.
Ayrıca, kritik altyapı söz konusu olduğunda, konuşlandırılması iki partili altyapı yasası Kasım 2021’de imzalanan anlaşma, demiryolu, toplu taşıma, elektrik şebekesi ve üretim genelinde yeni proje finansmanı da yeni bağlantı seviyeleri getirdiğinden siber güvenliği geliştirmek için yeni eylemleri tetikleyecek.
Bununla birlikte, 2022 için siber güvenlik tahminlerim.
Siber Yetenek ve Çeşitlilik: 2022’de Bilişsel Çeşitliliğe İhtiyaç Artacak
ABD siber güvenliğinde 300.000’den fazla açık görevimiz var ve ne kadar çok makine ve bina birbirine bağlanırsa, o kadar fazla siber güvenlik yeteneğine ihtiyacımız olacak. Bence bu, hem yetenek eksikliğini gidermek hem de güvenlik duruşumuzu iyileştirmek için siber güvenlikte çeşitliliği, eşitliği ve katılımı (DEI) gerçekten artıracağımız yıl.
Siber güvenlik, gerçekten yaratıcı çözümlere ve mümkünse bilgisayar korsanlarından bir veya iki adım ilerisini düşünme yeteneğine gerçekten ihtiyaç duyduğunuz alanlardan biridir. Bu, entelektüel yetenek gerektirir – hem yaratıcı hem de analitik düşünme yeteneğine sahip insanlar.
Heterojen takımlar, homojen takımlardan daha üretkendir ve daha iyi sonuçlar elde eder. Siber güvenlik alanında, DEI, şu anda ülke için önemli bir konu olan ağ bağlantılı altyapıyı birleştiren sistemler için daha iyi korumaya dönüşüyor. Tüm formlarda çeşitliliğiniz varsa, daha iyi içgörü, daha iyi analiz ve yeni yaklaşımlar potansiyelini en üst düzeye çıkarıyorsunuz.
Tedarik Zinciri Karmaşıklığı: Aşağı Yönde Siber Güvenlik, Yukarı Yönde Giderek Etkilenecek
Tedarik zincirleri, 2022 ve sonrasında siber güvenlik için önemli bir konu olacak. Halihazırda her zamankinden daha karmaşık ve birbirine bağlı hale geliyorlardı ve Log4j ve benzeri tedarik zinciriyle ilgili güvenlik açıkları, tedarik zincirimizin ne kadar hassas olabileceğini gösteriyor. Siber suçlular, tedarik zincirinin derinliklerinde daha küçük bir tedarikçiyi tehlikeye atabilirse, tedarik zinciri boyunca diğer tüm şirketler için büyük alıcıları etkileyen ciddi kademeli etki olasılığı vardır.
Bu, bağlantılı tedarikçileri ve üst düzey alıcıları, bilgi paylaşımı da dahil olmak üzere tek tip bir siber güvenlik protokolü seti ile çalışmaya ve ayrıca siber güvenliğe sözleşme taahhütleri sunmaya istekli olmaya motive etmelidir. Bu, operasyonel ve bilgi teknolojileri genelinde siber korumanın uygulanmasında tutarlılığın kilit önem taşıyacağı altyapı için de kritik önem taşıyor.
Dijital İkizler ve Simülasyonlar: Gerçek Zamanlı Doğru ve Yanlışı Karşılaştırmada Artan Değer
Dijital ikizlerin kullanımı pandemi sırasında arttı. kanıtlıyorlar altyapı ve endüstrinin planlanması, devreye alınması ve iyileştirilmesi için oyunun kurallarını değiştiren biri olmak. Ancak henüz bu kadar dikkat çekmeyen başka bir alan daha var: dijital ikizler altyapı siber güvenliği için de önemli bir varlık olabilir.
Diyelim ki ızgara kenarına oturan akıllı bir binamız var. Şimdi bu binanın BT’den personele ve kapı sensörlerine kadar her şeyi kapsayan dijital bir ikizini üretiyoruz. Dijital ikiz, o binanın her zaman nasıl çalışması gerektiğine dair sürekli bir simülasyonun temelidir. Bu simülasyonun farklı versiyonlarını binanın gerçek zamanlı işleyişiyle karşılaştırdığımızda, bir sorun olup olmadığını anlayabiliriz, bu bir mühendislik sorunu mu, bir yazılım sorunu mu ya da birisi gerçekten binayı fiziksel veya dijital olarak tehlikeye atmaya çalışıyorsa. Güvenliği artırmak için dijital ikizlerin kullanımının 2022’de artmasını bekliyorum.
Kamu-Özel Ortaklıkları ve Siber Normlar: Üst Düzey Ekip Çalışması Kalıcı Etki Yaratacak
Siber güvenlik için kamu-özel sektör ortaklıkları 2022’de kritik olmaya devam edecek. Hiç kimse artan siber tehditlerle tek başına yüzleşemez. Kurumsal bilgisayar acil durum müdahale ekiplerinden CISA ve Ulusal Standartlar ve Teknoloji Enstitüsü gibi federal kurumlara kadar, kamu-özel ekosistemi genelinde işbirliği yaptığımızda, risk azaltma ve müdahalemiz daha güçlü hale gelir.
Daha fazla siber düzenleme yürürlüğe girerken, öngörülebilirlik için çabalayan birçok şirket siber normlar oluşturmak için birlikte çalıştıkça, kendi ülkelerindeki yasalara bakılmaksızın siber güvenliği geliştirmek için kendi başlarına hareket eden daha fazla şirket göreceğiz. Bunu uluslararası sınırlar ötesinde yapan daha fazla şirketimiz varsa, bu kendi kendine organize olan siber normlar, düzenleyici politikaları bilgilendirmeye başlayacak ve işletmelerin gelişmesi gereken öngörülebilirliği daha da güçlendirecektir.
Siber normlar aracılığıyla siber güvenliği iyileştirmeyi amaçlayan küresel bir ittifaka iyi bir örnek, Güven Sözleşmesi. Siemens tarafından başlatılan, dünya altyapısının güvenli dijitalleştirilmesi için bağlayıcı kurallar ve standartlar oluşturmak üzere şirketleri ve endüstri ortaklarını bir araya getiriyor.
Çığır Açan Yıl
Kriz müdahalesi siber güvenliği önümüzdeki yıllarda güçlendirebilir, bu yüzden son tahminim basit: 2022 bir atılım yılı olacak. bu yeni Biz altyapı hukuku Ulusal Siber Direktör’ün ofisine 21 milyon dolar ve Siber Müdahale ve Kurtarma Fonu için 100 milyon dolarlık beş yıllık bir tahsisat içerir. Bu gelişme, diğerlerinin yanı sıra, ortaklıkları güçlendirecek ve yeni yetenekler için daha fazla kapı açacak ve ihtiyaç duyduğumuz yeni, çeşitli zihniyetlere sahip yeni nesil siber güvenlik profesyonellerini cezbedecek.