2 Mart’ta Beyaz Saray resmen ilan etti. Ulusal Siber Güvenlik Stratejisi (NCS). Politika belgesi, beş sütun etrafında toplanan çok çeşitli konuları ele almaktadır. Bu belge, kritik altyapıyı koruma ihtiyacından fidye yazılımı çeteleriyle mücadeleye kadar, Amerika Birleşik Devletleri’ndeki siber güvenliğin geleceği için takdire şayan hedefler belirliyor.
NCS sonuçlara odaklanır: daha güçlü uluslararası işbirliği, özel sektörde daha fazla sorumluluk ve artan dayanıklılık. Bununla birlikte, belge süreçler ve ayrıntılar konusunda hafiftir. Bu politikaların uygulamada başarılı olabilmesi için hükümetin odak noktasını değiştirmesi ve ulusumuzun dijital ve fiziksel varlıklarını güvence altına alma konusundaki düşüncelerini yeniden gözden geçirmesi gerekiyor. NCS’de ortaya konan vizyonu gerçekleştirmek için sonuçlara daha az, süreçlere daha çok odaklanmalıyız. Kapsamlı siber güvenlik, kuruluşların yalnızca bulut ve şirket içi altyapıya odaklanmak yerine varlıklarını uygulama ve veri düzeyinde nasıl güvence altına alacaklarını düşünmelerini gerektirecektir. İşte nedeni.
Yükü şirketlere yüklemek
NCS’nin en dikkate değer yönü, yeni bir kurumsal yüke odaklanmasıdır. İçinde bilgi formu Beyaz Saray, tüm stratejiyle birlikte yayınlandığını savunuyor, “Siber güvenliğin yükünü bireylerden, küçük işletmelerden ve yerel yönetimlerden alıp hepimiz için riskleri azaltmak için en yetenekli ve en iyi konumlanmış kuruluşlara kaydırarak siber uzayı savunma sorumluluğunu yeniden dengelemeliyiz.” Bu ilke, doğrudan ülkemizin teknoloji şirketlerine, yani inovasyonu ve dijitalleşmeyi yönlendiren kuruluşlara işaret ediyor.
Yine, bu mantıklı ve övgüye değer bir stratejidir. Bununla birlikte, Beyaz Saray’ın kurumsal sorumluluğa yaptığı vurgu, birçok kuruluşun en önemli varlıklarını nasıl güvence altına alacaklarını bilmediği gerçeğini yalanlıyor – nereden başlayacaklarını bile bilmiyor olabilirler. Son Pazar araştırması veri güvenliği konusunda, endüstrinin temel gereksinimleri karşılamak için bile mücadele ettiğini fark eder. Gidecek çok yolumuz var ve bu şirketlerin ortak hedefimize ulaşmalarına yardımcı olmak için federal hükümetin liderliğine ve rehberliğine ihtiyacımız olacak.
Genişleyen Yüzeyler ve Karışık Bağımlılıklar
On yıl önce, kuruluşlar varlıklarını güvence altına alırken sabit bir zorlukla karşılaştı. En değerli kaynakları fiziksel kontrolleri altındaydı, bu nedenle bir çevre oluşturup yetkili kullanıcılara erişimi sınırlayabildiler.
Bulut bilgi işlemin yükselişi ve onunla birlikte gelen uygulama ve mikro hizmetlerin patlaması, bu güvenlik yaklaşımını tamamen alt üst etti. İşletmeler artık çevik ve rekabetçi kalabilmek için bulut tabanlı yazılım kullanmak zorundadır. Bununla birlikte, bulut tabanlı uygulamalar ve uygulama programlama arabirimleri (API’ler), kötü aktörler için potansiyel saldırı yüzeylerini önemli ölçüde genişletti. İşletmeler yeni API’ler ve uygulamalar ekledikçe, varlıkları ve mimarileri kaymaya başlar ve mevcut güvenlik yaklaşımları, gelişen güvenlik açıklarına ayak uyduramaz. 2021’de kimliği doğrulanmamış bir API, kötü bir aktörün kişisel verileri indir binlerce Peloton müşterisinden.
Beyaz Saray, kuruluşların güvenlikten sorumlu olması gerektiğini vurgularken, kuruluşlarımızın karmaşık bir uygulama ve mikro hizmet ağıyla birbirine bağlı olduğu gerçeğini gözden kaçırıyor. Büyük bir kuruluş, kendi altyapısını korumak için gerekli her adımı atabilir, ancak üçüncü taraf mikro hizmet ortakları arasındaki zayıf bir bağlantı, aynı olumsuz sonuca neden olabilir.
Güvenlik Sonuçlarına Nasıl Ulaştığımızı Anlamak
İşletmeler, varlıklarını koruma yöntemlerini değiştirdiği gibi, bu varlıkları oluşturma yöntemlerini de değiştirdi. On yıl önce teknoloji şirketleri, önceden belirlenmiş bir programa göre tantanalı büyük yeni ürünler veya güncellemeler yayınlardı. Günümüzde sürekli entegrasyon ve sürekli teslimatın (CI/CD) yükselişi, yeni özelliklerin sürekli olarak piyasaya sürülmesi ve hatta üretimde test edilmesi anlamına gelir. Sonuç olarak, uygulama kodu ve konfigürasyonları değişir 10 kat daha sık bulut altyapısından ve ağın kendisinden daha fazla.
Büyüyen karşılıklı bağımlılık ağımızla birleşen kod değişikliklerinin artan temposu, kuruluşların uygulamalarını ve altyapılarını güvenceye almaya çalışırken imkansız bir görevle karşı karşıya kaldığı anlamına gelir. Buna göre son Gartner araştırmasıuygulamalarda kullanılan üçüncü taraf API’lerin yüzdesi, 2025 yılına kadar ortalama %30 olacaktır. IDC, şirketlerin %40’ı 2024 yılına kadar üretime günlük olarak kod gönderilecek. Mevcut güvenlik testleri, belirli varlıklara veya koddaki değişikliklere odaklanarak, bu hiper karmaşık mimarilerde savunmasız hale gelebilecek bağımlılıkları ve veri akışlarını gözden kaçırmayı kolaylaştırıyor.
Etkili bir siber güvenlik yaklaşımı, uygulamaların kendilerine ve bunlar arasında dolaşan verilere odaklanmalıdır. Bir kuruluşun altyapısına yakınlaştırma yapmak ve onu güvence altına almak için miyop, çevreye dayalı bir yaklaşım benimsemek yerine, tüm uygulamalar, API’ler ve mikro hizmetler ağına bakmak için uzaklaştırmamız gerekir. Kuruluşlar, kod değişikliklerinin sistemlerinde nasıl yankı uyandırdığını izleyebilmeli ve sonuç olarak ortaya çıkan güvenlik açıklarını tespit edebilmelidir.
Gerçekliğe ve İşbirliğine Dayalı Bir Siber Güvenlik Stratejisi
NCS’nin beşinci ve son ayağı, dijital dünyamızın genel güvenliği için birbirimize bağlı olduğumuzu kabul ederek uluslararası müttefikler arasında işbirliği ihtiyacını vurgulamaktadır. NCS ilkelerini uygulamaya çalışırken, bu bağımlılıkların özel sektörde de var olduğunu kabul etmeliyiz. Beyaz Saray, teknoloji sistemlerimizin nasıl çalıştığı ve teknoloji şirketlerinin artık iyisiyle kötüsüyle nasıl sonsuza dek iç içe geçtiği konusunda gerçekçi olmalı.
Amerika Birleşik Devletleri’nin siber varlıklarını gerçekten korumak ve dijital yenilik için güvenli bir ortam oluşturmak için Beyaz Saray, üretimdeki uygulama güvenliğini siber güvenlik stratejisinin merkezine koymalıdır. Kaynaklarımızı 10 yıl önceki güvenlik sorunlarının üstesinden gelmek için kullanırsak, 2023’te karşı karşıya kalacağımız gerçek tehditleri ele almakta başarısız olacağız ve önümüzdeki 10 yılda ortaya çıkabilecek tehditlerle başa çıkma becerimizde umutsuzca geride kalacağız.