Siber Güvenlikte Devlet Kuruluşlarına 7 Öneri

Siber Güvenlik günümüzde, özellikle devletlerin en önemli gündem maddeleri arasında. Çünkü artık hackerlar sadece bilgisayar ya da sunucu çöktürmekle ya da bilgi çalmakla yetinmiyorlar. Bazıları devlet hackerları olarak da tanımlanan hackerlar artık elektrik, gaz gibi hayati şebekelerin işleyişine de müdahele edebiliyorlar. Bu açıdan, konuyla ilgili olarak dünyada neler oluyor takip etmek ve belki de örnek almak yararlı olacak.

ABD’nın “Ulusal Valiler Birliği” kış toplantısı sırasında “Eyaletler ve Siber Güvenlik” konulu panel sunumunda Michigan Eyaletinin ilk Baş Güvenlik Yöneticisi (Chief Security Officer, CSO) Dan Lohrmann siber güvenlik tehditinin gerçek olduğuna parmak basarak,

“2012 yılı sırasında Michigan Eyaletine ait sunucularda barınan web sayfalara düzenlenen 142 milyon tane saldırı durdurulmuştur, virüslü oldukları tespit edilen 31 milyon tane email arındırılmıştır, ve 24 milyonu aşkın bilgi ağa taraması durdurulmuştur. Siber güvenlik tehditi gerçektir ve zaman geçtikçe artmaktadır”

dedi. Devam eden siber güvenlik tehditine karşı, 7 tane öneride bulunuldu. 7 önerinin 4’ü, var olan siber riski bertaraf etmek (siber defans) amacıyla sunuldu; 3’ü de olası vakaların neticesinde olası kayıpları asgari düzeyde tutabilme (siber cevap verme) amacıyla sunuldu. Bu önerileri aşağıda sunuyoruz :

Siber Defans Önerileri

1. Valiler Siber Güvenliği Önceliklendirmelidirler: Michigan eyaletinde Vali Snyder tarafından BT ile ilgili yetkilendirme, hesap verme, şefaflık ve yönetişim alanları belirlenmiştir. Eyaletin tüm BT operasyonları, 17 tane ayrı kurumun çalışanları dahil olmak üzere, tek çatı altında toplanmıştır. Bu değişimden dolayı 47,000 eyalet çalışanı etkilenmiştir. Fiziksel ve mantıksal güvenlik tek bir programda toplanmıştır ve başına Michigan’ın CSO’su atanmıştır. CSO eyaletin tüm varlıklarının (menkul, gayri-menkul, bilgi, ve BT dahil olmak üzere) korunmasından sorumludur. İlgili, organizasyon eyaletin güvenlik stratejisini geliştirip, uygulamaktadır.
2. Her Eyaletin Kendi Siber Güvenlik Stratejik Planı Olmalıdır: 2011 Ekim ayında Michigan’da gerçekleşen “Michigan Cyber Initiative” sırasında eyaletin Güvenli Siber Eyalet (Devlet) (Secure Cyber State) olması için uygulanacak strateji sunuldu. Strateji Michigan Eyaleti sınırları içinde iş yapan veya oturan tüm bireylerin, şirketlerin ve kamu kurumların fiziksel ve mantıksal tehditlerinden korunmasını ön görmektedir.
3. Güncel Siber Güvenlik Eğitimi Sunulmalıdır: Ne yazık ki Michigan’da gerçekleşen siber saldırların en büyük nedeni kullanıcı hatalarıdır. Bu tür hataları önlemenin en kolay yolu eğitimdir. Geliştirilen bir çok online eğitimin desteğiyle bu konuya uygun maliyetli, kullanıcı beğenisini kazanmış siber güvenlik (örneğin: sosyal mühendislik ve phishing) konulu eğitimler sunulmuştur.
4. Bilgi Varlıkları Sürekli Olarak (7×24) İzlenmeli ve Korunmalıdır: Küresel siber tehditler meçhul kaynaklardan, her zaman gerçekleşebilmektedir. Bu tür tehditlere karşı koyabilmek için güncel sistemlerin ve eğitilmiş ekiplerin hiç durmadan çalışmaları gerekmektedir. Michigan’da inşaatı süren Güvenlik Operasyon Merkezi’nin 7×24 olarak Eyaletin hizmetine girmesiyle BT ve bilgi varlıkların sürekli korunması amaçlanmaktadır.

Diğer yandan “Siber Vakanın Oluşması” durumunda yapılacakların önceden hazırlanmış olması, vakanın olumsuz etkilerinin en düşük düzeyde tutulmasını sağlayacaktır.

Siber Vaka Cevap ve Altyapı Güçlendirme Önerileri

1. Siber Vaka Cevap Verme Planları Geliştirilmelidir: Eyaletlerin sel, yangın, veya fırtına gibi doğal felaketlere karşı geliştirdikleri eylem planlarının siber vakaları kapsayacak şekilde geliştirilmeleri gerekmektedir. Michigan’ın, kritik BT altyapısını işleten özel sektör firmalarla birlikte geliştirmekte olduğu Acil Siber Vaka Eylem Planı olası bir siber vaka akabinde iletişim stratejisini ve eylem planını belirtmektedir. Söz konusu eylem planı, (Presidential Executive Order on Cybersecurity and Presidential Policy Directive-21’e) uygun olarak geliştirilmektedir.
2. Geliştirilen Siber Vaka Cevap Verme Planları Test Edilmelidirler: Başarıyla tamamlanan testlerin hiç bir değeri yoktur. Yapılan testlerin neticesinde Planların yenilenmeleri ve ilgili zafiyetlerinin giderilmeleri gerekmektedir. Michigan geçmişte yapılan tüm küresel Siber Fırtına çalışmalarına katılmıştır ve sonuçlarında var olan planlarını yenilemiştir. 2013 yılında özel sektör iş ortaklarının bu testlere dahil olmalarını planlamaktadır.
3. Güvenli İşbirlikleri Geliştirilmelidir: Siber Güvenlik ancak bir çok karmaşık teknoloji ve ileri seviyede eğitilmiş ekipler tarafından gerçekleştirebilmektedir. Herhangi bir kurumun tek başına başarabileceği bir husus değildir. Özel sektör, vatandaş, kamu, emniyet güçleri ve silahlı kuvvetler dahil olmak üzere tüm ilgili grupların etkin bilgi ve beceri paylaşımı neticesinde ancak siber güvenlik sağlamak mümkün olmaktadır. Nasrettin Hoca’nın türbesindeki kocaman kapı ilk bakışta güvenli bir bölgenin izlenimini verse de yanındaki boş alanın kolay geçiş sağlaması, aslında türbenin güvenliğinin olmadığı gösterir. Siber Güvenliğin sağlanması için işbirliği içinde bulunan kurumların ortak yaklaşımları benimsemeleri ve boşluk bırakmamaları gerekmektedir.