Siber bağışıklığa evet, korkulara hayır!

Ağustos 8, 2019

15 yılı aşkın süredir siber güvenlik sektöründe çalışıyorum. Bu süre içinde, bilgi güvenliği alanında çalışan diğer meslektaşlarımızla birlikte FUD (korku, belirsizlik, endişe) dalgasının yayılmasına doğrudan şahit olduk. Bu yöntemin işe yaradığını kabul etmeliyim. Nöropazarlama bilimi bu konuda yanılmadı. Korku, gerçekten güvenlik ürünlerinin satışına yardımcı oldu. Ancak tüm güçlü ilaçlar gibi FUD kavramının da bir yan etkisi var. Aslında sadece bir değil, pek çok yan etkisi var.

Artık sektör olarak FUD kavramına bağımlı hale geldiğimiz için ondan kaçamıyoruz. Bazı müşterilerimiz anlatılanların yalnızca potansiyel bir sızıntı riski değil, gerçek bir tehlike olduğuna dair kanıtlar isteyince FUD stratejisine yöneliyoruz. Ancak tehlikenin en büyük kanıtı, gerçekten kötü bir şeyler olmasıdır. Medyanın FUD stratejisine bağımlı olmasının nedenlerinden biri de budur. Birileri ne kadar çok para kaybederse haber de o kadar ilgi çekici olur.

Bu noktada da devreye düzenleyici kurumlar girer ve her zamanki aşırı tepki gösterme ve sıkı uyum düzenlemeleri ve cezaları uygulama eğilimlerini gösterirler. Bu döngü güvenlik araştırmacılarını, ürün geliştiricilerini, pazarlama uzmanlarını, medyayı ve düzenleyici kurumları oyun teorisinde tutsak ikilemi olarak adlandırılan stratejik bir tuzağa düşürür: Bu ikilemde tüm oyuncular en iyi stratejileri değil, ortalama fayda sağlayan stratejiyi uygulamak zorundadır çünkü aksini yapmaları kaybetmelerine neden olur. Bilgi güvenliği sektörü açısından ortalama fayda sağlayan stratejiyi kullanmak demek FUD korkularını beslemek anlamına gelir.

Bu tuzaktan kurtulmak için şunu anlamamız gerekir: Geleceği korku üzerine inşa edemeyiz.

Gelecek kavramıyla uzak bir gelecekten değil, zaten içinde olduğumuz zaman diliminden bahsediyorum. Robotlar, kamyon sürmeye ve Mars’ta dolaşmaya başladı. Besteler yapıyor ve yeni yemek tarifleri hazırlıyorlar. Bu gelecek, siber güvenlik de dahil birçok açıdan mükemmelliğe çok uzak bir noktada. Ancak bizim amacımız siber güvenliğe engel olmak değil, onu güçlendirmek.

Yakın zaman önce Eugene Kaspersky, gelecekle ilgili şu öngörülerde bulundu: “Yakında siber güvenlik kavramının tamamen ortadan kalkarak yerini siber bağışıklık kavramına bırakacağına inanıyorum.” Bu cümle ilk bakışta biraz tuhaf gelebilir ama çok daha derin ve önemli bir anlam taşıyor. Önce siber bağışıklık kavramını daha ayrıntılı olarak açıklayalım:

Siber bağışıklık, daha güvenli gelecek vizyonumuzu açıklamak için mükemmel bir terim. Gerçek hayatta organizmaların bağışıklık sistemi hiçbir zaman mükemmel değildir. Virüsler ve diğer kötü huylu mikrobiyolojik varlıklar bu sistemi kandırmanın, hatta doğrudan sistemin kendisine saldırmanın yollarını bulur. Ancak tüm bağışıklık sistemlerinin çok önemli bir ortak özelliği vardır: Bu sistemler öğrenir ve kendilerini uyarlar. Aşılar sayesinde olası tehlikelere karşı “eğitilebilirler”. Tehlikeli dönemlerde ise hazır antikorlarla bağışıklık sistemlerini destekleyebiliriz.

Olaya bir de siber güvenlik açısından bakalım: Geçmişte çoğunlukla “antikorlarla destekleme” stratejisini kullanıyorduk. Müşterilerimizin BT sistemleri virüslere yenik düştüğünde çözümlerimizle onlara yardım etmeye hazır olmak zorundaydık. Ancak güvenlik satıcılarının can yakıcı felaketler karşısında hazır çözümler sunması FUD bağımlılığının da başlangıcı oldu. Bu “süper güç” hissi, bilgi güvenliği satıcılarını bağımlı hale getirdi. Genellikle müşterilerimize “Evet, şimdi güçlü antibiyotikler kullanmanın zamanı geldi çünkü sorun gerçekten çok ciddi.” algısıyla yaklaştık. Ancak bu güçlü antibiyotiklerin işe yaraması için virüsün çoktan içeriye sızmış olması gerekiyor. Bunun da ideal bir senaryodan çok uzak olduğunu hepimiz biliyoruz. Siber güvenlik ve bağışıklık sistemi benzetmesinden yola çıkarak sistemin enfeksiyon başlamadan önce virüsleri durdurmasının çok daha iyi olduğunu söyleyebiliriz.

Günümüzde son derece heterojen bir hal alan BT sistemlerini, cihazları kullanan ve bunlarla etkileşim kuran insan bağlamı dışında değerlendirmek mümkün değil. “Bağışıklık sistemini eğitme” talebi o kadar arttı ki bu hizmeti sağlamanın geçmişte birincil konumda olan ürünlerden bile daha öncelikle hale geldiğini görüyoruz. (Günümüzde “ürün”, kullanılacağı BT sisteminin özelliklerine göre uyarlanan özelleştirilmiş bir çözüm haline geldi.)

Bu vizyon anlayışı, tek seferde benimsenmedi. Tıpkı aşılar da olduğu gibi bu anlayış da tek seferlik bir yaklaşımı değil, amaca yönelik bir dizi aşılama denemesini içeriyor. Bu denemelerle daha güvenli bir gelecek için daha güçlü bir siber bağışıklık sistemi oluşturmayı amaçlıyoruz.

Her şeyden önce, daha güvenli bir gelecek güvenli bir temel üzerine inşa edebilir. Bunun için sistemler tasarlanırken güvenliğin ilk andan itibaren göz önünde bulundurulması gerekir. Telekomünikasyon ve otomotiv endüstrilerindeki uygulamalar, bu vizyoner yaklaşımımızı test etmeye başladı. Özellikle emniyet konusunda çok hassas olan araba üreticileri için misyon bildirimiz olan “daha güvenli bir dünya” ifadesi büyük önem taşıyor. Otomotiv dünyasında insanların emniyette kalması için güvenliğe dikkat edilmesi gerekir.

Biyolojik aşılarda olduğu gibi siber bağışıklık konseptine de şüpheyle yaklaşılabileceğini öngörüyoruz. Bu konsepti duyanlardan ilk olarak şu tepkiyi bekliyorum: “Bu aşıya ve satıcısına güvenebilir miyiz?” İnsanların siber güvenlik kavramına güvenmesi bizim için büyük önem taşıyor ve bunun için yalnızca bizim sözümüzü esas almanızın yeterli olmayacağının farkındayız. Bir siber güvenlik firmasının müşterileri yazılımın güvenliğini ve sağlamlığını görmek istediğinde kaynak kodları inceleme hakkına sahip olmalıdır. Müşterilerimizin kaynak kodlarımıza erişim sağlamasına izin veriyoruz. Bunun için müşterilerimizin yalnızca bir bilgisayara ve kodu dikkatli bir şekilde inceleyecek insanlara ihtiyacı var. Ancak gözlemcilerin koda müdahale edememesi için bu inceleme sırasında temiz bir bilgisayar kullanılması gerekiyor. Nasıl ki teşhis için farklı doktorlara danışıyorsak, güvenliğimiz için de saygın bir üçüncü taraftan kodu incelemesini talep edebilmeliyiz. BT çözümleri için dış gözlemci olarak Big Four denetim firmalarının temsilcilerine başvurulabilir. Gözlemciler, yazılımla ilgili ayrıntıların işletmeniz için ne anlama geldiğini açıklayacaktır.

Bu vizyonun bir diğer önemli unsuru da bağışıklık sisteminin saldırılara dayanma becerisidir. Siber güvenlik yazılımları ne kadar gelişmiş olsalar da birer yazılımdır ve bu nedenle hatalar barındırabilirler. Bu hataları öğrenmenin en iyi yolu, sistemi beyaz şapkalı hacker’larla karşı karşıya bırakmak ve bu hacker’ların hataları bulup satıcılara bildirmesini sağlamaktır. Yazılımlarda hata bulanları ödüllendirme fikri, ilk kez 1983 yılında ortaya atıldı. Bu harika fikir, bulunan hataları inceleyen veya bunları siber suçlulara satan siyah şapkalı hacker’lara sunulan mali teşvikleri önemli ölçüde azaltmaya da yaradı. Ancak artık beyaz şapkalı hacker’lar araştırdıkları şirketin kendilerine sırt çevirip dava açmayacağına dair bir güvence talep ediyor.

Talep varsa arz da vardır. Yakın zaman önce araştırmacılar ve şirketler arasında yapılabilecek bazı sözleşme önerileri sunuldu. Bu önerilere göre araştırmacılar, kuralları takip ettiği sürece hiçbir suçla itham edilme korkusu yaşamadan güvenli bir şekilde şirketlerin hatalarını bulmaya çalışabilir. Bu yönde atılacak adımların, bizi daha güvenli ve korkusuz bir geleceğe taşıyacağına inanıyorum. Ancak bu yolculuk, biraz uzun süreceğe benziyor.