Microsoft ve Oracle, Cisco Systems ve Nortel Networks gibi birbirlerine rakip olan şirketler de IT-ISAC’de (Information Technology Sharing and Analysis Center – Bilgi Teknolojileri Paylaşım ve Analiz Merkezi) aynı masayı paylaşacaklar.
IT-ISAC’ın ilk toplantısı geçtiğimiz salı günü yapıldı. IT-ISAC üyeleri merkezin yürütülmesi görevini Internet Security Systems’e verdiler.
Bankacılık, telekom ve elektrik endüstrisinde İnternet güvenliği boşluklarına karşı koruma sağlaması için kurulmuş çeşitli ittifaklar bulunuyor. Ayrıca nakliye ve petrol alanında hizmet veren bazı şirketlerin de benzer ittifak planları bulunuyor.
ABD Ticaret Bakanı Norman Minetta, geçen salı günü yapılan bir basın toplantısı ile IT-ISAC organizasyonunu duyurdu. Minetta toplantıda şunları söyledi: “IT-ISAC ülkemizin bilgi ağlarını siber saldırılardan korumak için atılmış en önemli adımlardan birisi. Değerli varlıklarımız korsan ve teröristlerin baş hedefi olurken boş boş oturamazdık. Bu gün saldırganlara bir mesaj gönderiyoruz. Siber terörizmin bizi etkilemesine izin vermeyeceğiz. Hepimiz bir arada dimdik ayaktayız”
İttifakın kurulmasının en önemli nedenlerinden birisi geçtiğimiz yıl tanınmış e-ticaret sitelerine yapılan “denial of service” saldırıları. 1998 yılının Mayıs ayında Bill Clinton bu tarz ittifakların kurulması için bizzat emir vermişti.
Biraz daha geriye doğru baktığımızda FBI’ın (Federal Bureau of Investigation) 1996 yılında bilgisayar suçları, ulusal güvenlik ve ulusal altyapı siber terörist saldırıları soruşturmalarını yönetmek ve koordine etmek amacıyla Computer Investigations and Inrastructure Assessment Center’ı (Bilgisayar Soruşturmaları ve Altyapı Değerlendirme Merkezi) kurduğunu görüyoruz. Bu girişimin bir parçası olarak 1999 yılında akademik kurumlar, iş çevreleri, FBI ve diğer devlet daireleri arasındaki bilgilerin değişimini amaçlayan InfraGard ortaya çıkmış.
InfraGard 50 eyalette 518 şirketin desteğini kazanmış. Ohio Supercomputer Center Ağ Güvenliği Uzmanı ve InfraGard’ın kurucularından birisi olan William Yang IT-ISAC’ın InfraGard için herhangi bir sorun teşkil etmeyeceğine inandığını belirtiyor ve sözlerine şöyle devam ediyor: “Eğer bilgilerin paylaşımı için daha iyi bir yöntem bulurlarsa ve meydana gelen olaylarla daha iyi uğraşılabilmesini sağlayacaklarsa daha da güçlenmelerini isterim. Bu şirketlerin kendi sektörlerine özel sorunları bulunuyor. Her şeyden önce onlar göğüslerinde hedef tahtası bulunan birer hedefler. Onların sorunları çok daha farklı. Belki de bu şirketler sorunlarına yardım edebilecek özel bir gruba ihtiyaç duydular. Bu ittifakın InfraGard’la rekabet edeceğini tahmin etmiyorum. Daha ziyade InfraGard’la birlikte çalışabilecek bir grup olduğuna inanıyorum”.
IT-ISAC üyeleri en azından başlangıçta bilgileri kanun uygulayıcıları ile değil sadece kendi aralarında paylaşacaklar. Virüs ya da bir başka güvenlik boşluğu olsun, herhangi bir güvenlik tehlikesi bulan bir üye grubun geri kalan üyelerine bu konu hakkındaki detaylı bilgileri gönderecek. Ardından grup bu bilgilerin ne kadarının hükümet ya da diğer endüstrilerle paylaşılacağını belirleyecek.
Minetta çoğu birbirine rakip olmasına rağmen gizli bilgileri birbirleriyle paylaşma kararlarından dolayı IT-ISAC üyelerini takdir ettiğini belirtti.
Bu grubun kurulması güvenlik verilerini halka, hükümet düzenleyicilerine ya da kanun uygulayıcılara açmaları anlamına gelmiyor. Diğer ISAC gruplarında olduğu gibi IT-ISAC üyeleri de bilgileri gizlilik anlaşmaları ile koruyacaklar.
İnternet güvenliği alanında danışmanlık hizmetleri veren bir şirket olan @Stake’in Araştırma ve Geliştirme Müdürü Weld Pond IT-ISAC üyelerinin isteklerinin birçok güvenlik profesyonelinin benimsediği açıklık felsefesi ile tartıştıkları problemlerin herhangi bir soruna yol açmamasını sağlamak olduğunu belirtti ve sözlerine şöyle devam etti: “Aslına bakarsanız bu süreçte bir yanlışlık var. Bence daha çok üreticilerin dışına çıkan farklı bir yaklaşımla ortaya çıkmaları gerekiyordu. Eğer dikkat ederseniz yeni güvenlik boşlukları bulan ya da saldırıları keşfeden kişilerin gerçekte bu grubun üyeleri olmadığını görürsünüz. Bu grubun üyelerinin herkese açık listelerde olan güvenlik boşluklarından daha fazlasını bulabileceğini tahmin etmiyorum”
Grubun diğer kurucu üyeleri arasında AT&T, IBM; Hewlett Packard, Computer Associates International, Electronic Data Systems, Entrust Technologies, Intel, KPMG International, RSA Security, Securify, Symantec, Titan Systems, Veridian ve VeriSign yer alıyor. Kurucu üyelerden IT-ISAC’ın hayata geçirilmesi için 750.000 dolar toplanmış. Diğer şirketlerin gruba katılmak için yıllık 5.000 dolar ödemeleri gerekiyor.
