YORUM
Konuyla ilgili son açıklamalar Salt Typhoon siber casusluk grubu Verizon, AT&T ve Lumen Technologies dahil olmak üzere büyük ABD telekomünikasyon şirketlerinin ihlal edilmesi, Amerika’nın siber güvenliğe yaklaşımındaki sistemik bir güvenlik açığını ortaya koyuyor. Bu olay sadece münferit bir saldırı değil; bu, ABD hükümetinin Çin gibi devlet destekli kuruluşların oluşturduğu artan siber tehditlere karşı yetersiz tepki vermesine yönelik bir suçlamadır. Yıllardır süren uyarılara ve çok sayıda yüksek profilli ihlale rağmen hükümetin siber güvenlik duruşu gerici, parçalı ve yetersiz olmaya devam ediyor.
ABD Siber Güvenlik Stratejisindeki Kritik Başarısızlıklar
Salt Typhoon’un hükümete ait istihbarat toplamak için kullanılan sistemleri hedeflemesi, gözetim ve telefon dinleme yeteneklerine entegre olanlar dahilAmerika’nın en hassas dijital altyapısına yönelik küstah bir saldırıdır. Kritik bir kusuru ortaya çıkarıyor: Bu tür hayati sistemleri güvence altına alacak sağlam, proaktif önlemlerin eksikliği. Yabancı devlet destekli bir grup nasıl bu sistemlere sızdı ve muhtemelen aylarca tespit edilmeden kaldı? Bunun cevabı yetersiz federal gözetimde, son teknoloji savunmalara yetersiz yatırımda ve öz denetim konusunda özel şirketlere aşırı güvenmede yatmaktadır.
ABD telekomünikasyon devleri, tarihsel olarak daha az yükümlülük ve sorumluluk için lobi faaliyetleri yürüterek, tarihsel olarak hafif düzenleyici denetimden yararlandı. Hükümet ise, siber güvenliklerini yönetme konusunda bu şirketlere güvenerek, bırakınız yapsınlar yaklaşımını benimsedi. Bu model temelde kusurludur. Özel kuruluşların sağlam güvenlik önlemleri yerine karlarına öncelik vermesi, Salt Typhoon gibi rakiplerin zayıf noktalardan yararlanmasına kapı açıyor. Verizon, AT&T ve Lumen Technologies’in ele geçirilen sistemleri, bu kadar büyük ulusal güvenlik etkileri olan şirketlerin sıkı ve uygulanabilir siber güvenlik standartları olmadan faaliyet göstermesine izin vermenin risklerini gösteriyor.
Milletvekillerinin Öfkesi: Çok Az, Çok Geç
Salt Tayfunu ihlalinin ardından ABD’li yasa yapıcılar, etkilenen şirketlerden yanıtlar talep etmeye, daha fazla hesap verebilirlik çağrısında bulunmaya ve federal düzenleyicileri daha katı standartlar uygulamaya çağırmaya başladı. İhlal sonrası yaşanan bu öfke güçlü bir tepki gibi görünse de, Amerikan siber güvenlik politikasını tanımlayan tepkisel döngünün başka bir bölümüdür. Federal kurumlar ve yasa yapıcılar, sistemik güvenlik açıklarını istismar edilmeden önce ele almak yerine, yine arayı kapatmaya çalışıyor.
Gerçek şu ki, Salt Typhoon gibi gelişmiş devlet destekli aktörler, muhtemelen yıllardır fark edilmeden ve karşı çıkılmadan kritik ABD altyapısını araştırıyor ve tehlikeye atıyor. Soru, yalnızca bu ihlalin neden gerçekleştiği değil, aynı zamanda ABD hükümetinin neden sürekli olarak kendisini olaydan sonra yanıt verirken bulduğudur. Sorun, ihlal edilen bireysel şirketlerin ötesine geçiyor; bu model, Washington’un proaktif, uyumlu ve iyi kaynaklara sahip bir siber güvenlik stratejisi geliştirme konusundaki daha önemli başarısızlığını yansıtıyor.
Federal Gözetim Yanılsaması
Aralarında FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) da bulunduğu federal yetkililerin bu ihlallerin boyutunu araştırdığı bildiriliyor. Ancak bu araştırmalar çoğu zaman gerçek değişimi gerçekleştirmek için gerekli olan dişlere ve erişime sahip değildir. CISA gibi kurumların kaynakları ve uzmanlığı olmasına rağmen, siber güvenlik kriterlerini karşılayamayan şirketlere uyumluluk sağlama veya önemli cezalar verme yetkileri sınırlıdır. Bu müdahalesiz yaklaşım, yalnızca Amerikan şirketlerinin yeterince korunmadığını ve hükümetin müdahale mekanizmalarının sınırlı olduğunu bilen düşmanları cesaretlendiriyor.
Dahası, federal gözetimin parçalı yapısı kapsamlı bir savunma stratejisini karmaşık hale getiriyor. Birden fazla kurumun sorumluluğu paylaşması ancak birleşik ve koordineli bir yaklaşımın bulunmaması nedeniyle müdahale yeteneklerinde boşluklar olması kaçınılmazdır. Verizon, AT&T ve Lumen Technologies’deki ihlaller bir uyandırma çağrısı işlevi görmelidir: Mevcut gözetim modeli, devlet destekli siber tehditlerin karmaşıklığına ayak uyduramıyor.
Paradigma Değişimi İhtiyacı
ABD’nin bu güvenlik açıklarını ele almak için siber güvenlik düzenlemelerine yönelik eski ve etkisiz yaklaşımından vazgeçmesi gerekiyor. İşte hükümetin atması gereken önemli adımlar:
-
Zorunlu federal standartlar ve cezalar: Telekom şirketleri ulusal güvenlik açısından kritik öneme sahiptir. Bunlar, yalnızca tavsiye niteliğinde olmayıp aynı zamanda yasal zorunluluk olan ve uyulmaması durumunda anlamlı cezalar içeren federal standartlara tabi tutulmalıdır. Hükümet, bu kadar hayati bir altyapının korunmasını kâr amacı güden kuruluşların takdirine bırakamaz.
-
Birleşik bir siber savunma ajansı: ABD müdahalesini kolaylaştırmalı merkezi bir ajans oluşturarak kamu ve özel sektör genelinde siber güvenlik önlemlerini koordine etme ve uygulama yetkisine sahiptir. Siber tehditlerin sınır veya yetki alanı tanımadığı bir çağda, kurumların mevcut yapısı yetersiz kalıyor.
-
Gelişmiş tespit ve müdahale yeteneklerine yatırım: Hükümet, gerçek zamanlı izleme ve otomatik müdahale yetenekleri sağlayan ileri teknolojilere büyük yatırım yapmalıdır. Saldırganların saniyeler içinde yıkıcı hasara neden olabileceği bir ortamda, ihlalleri meydana geldikten aylar sonra tespit etme ve bildirme konusunda şirketlere güvenmek kabul edilemez.
-
Aktif siber caydırıcılık: ABD’nin daha agresif bir siber caydırıcılık stratejisi benimsemesi gerekiyor. İhlallerin yalnızca olay gerçekleştikten sonra soruşturulmasına yönelik mevcut yaklaşım, karşıtları caydırmıyor. Hükümetin, ABD sistemlerine sızmaya yönelik herhangi bir girişimin açık ve mevcut maliyetini işaret eden saldırgan siber yetenekler geliştirmesinin ve uygulamaya koymasının zamanı geldi.
Kayıtsızlığın Maliyeti
Salt Typhoon ihlali, ABD siber güvenlik çerçevesinin yetersizliklerini ortaya çıkaran bir dizi siber casusluk olayının yalnızca son bölümüdür. Bu kayıtsızlık ve gerici politika modeli devam ederse, başka bir saldırının yalnızca istihbarat toplama yeteneklerini tehlikeye atmakla kalmayıp, aynı zamanda kritik altyapıyı da potansiyel olarak felce uğratması çok uzun sürmeyecek. Yasa koyucuların ve federal kurumların aynı miktarda atalet ve ihmalle çalışmaya devam etmelerinin riski çok yüksek.
Washington gerçekten ülkenin en hayati varlıklarını korumak istiyorsa siber güvenlik politikalarını yeniden düşünmeli ve proaktif, koordineli ve uygulanabilir önlemlere öncelik vermelidir. Aksi takdirde ABD, ulusal güvenliğini ve küresel konumunu zayıflatan saldırılara engellemek yerine tepki vermeye devam edecek.
Ücretsiz fırsatı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!