CISO Konuşmaları: Tarah Wheeler, Siber Güvenlik Lideri, Düşünce Lideri ve Orijinal Düşünür Yazılım

CISO Konuşmaları: Tarah Wheeler, Siber Güvenlik Lideri, Düşünce Lideri ve Orijinal Düşünür

Tarah Wheeler, TPO Group'ta CISO'dur. TPO, teknoloji, politika ve operasyonların kısaltmasıdır ve firma, kritik endüstriler ve federal kurumlar gibi y...

Tarah Wheeler, TPO Group'ta CISO'dur. TPO, teknoloji, politika ve operasyonların kısaltmasıdır ve firma, kritik endüstriler ve federal kurumlar gibi yüksek riskli kuruluşlar için siber güvenlik danışmanlığı sağlamaktadır. Ancak bu yüksek konumuna rağmen yolculuğu tipik olmaktan çok uzaktı.

Bu mesleği kesinlikle bilerek seçmedim” dedi. "Hayır, ters düştüm. Bu kariyerin beni bir ara sokağa sürüklediğini, kafama vurduğunu ve 'Artık bizden birisin evlat' dediğini hissediyorum."

İngiliz argosuna aşina olmayan Amerikalılar için 'cosh' tabiri 'kafama beysbol sopasıyla vur' şeklinde daha iyi anlaşılır - ve Wheeler'ın Washington'da doğmuş olmasına rağmen şu anda Birleşik Krallık'ta Oxford'da eğitim gördüğünü belirtmekte fayda var.

"Özünde kendimi bir sosyal bilimci ve yazar olarak görüyorum. İnsanların gözlemlenmediklerini düşündüklerinde nasıl davrandıklarını görmek ve ardından bu konuda veri toplamak için siber güvenlikten daha iyi bir yer olamaz." Sanki siber güvenliği kişilerarası ilişkiler (dost-düşman, işbirliği, uluslararası ilişkiler, liderlik vb.) için bir arena olarak görüyordu ve arenaya bir kere girdi mi ya oradan ayrılmadı ya da çıkamadı.

Bu alanda siber güvenlik konusunda kapsamlı bir temel aldı. "Kırmızı takımdaydım, mor takımdaydım, SecOps'taydım ve fiziksel, dijital ve sosyal siber güvenlik alanında görev aldım. Artık kendimi giderek daha fazla risk ve uyumluluk konusuna doğru ilerlerken buluyorum çünkü bu, insanların eylemlerinin etkisini geniş ölçekte ve benim bunları değiştirme yeteneğimi tanımlıyor. Bence bu eğlenceli. Kolektif davranışı görmeyi seviyorum ve uyumluluk politikası, konu güvenlik olduğunda 50.000 kişinin biraz daha iyi davranmasını sağlar."

Sistem Güvenliği

Sosyal bilimlere olan sevgisinin siber güvenlik yolculuğuna ve bu alandaki kariyerine etkisi açıktır. Sosyal bilimleri yazıyla birleştiren ikinci aşkı da göz ardı edilemez. 2018'de bir Dış Politika makalesi yazmaktan duyduğu gururdan bahsetti: Siber Savaşta Kural Yok. Ama çok daha fazlası var. Teknolojide Kadınlar: Pratik Tavsiyeler ve İlham Veren Hikayelerle Kariyerinizi Bir Sonraki Seviyeye Taşıyın kitabını yazdı ve Dış İlişkiler Konseyi ve Harvard Belfer Merkezi gibi kurumlar için çok sayıda politika belgesi yazdı.

Reklamcılık. Okumaya devam etmek için kaydırın.

Gelecekte Ne Bekleniyor?

Siber güvenlik konusunda giderek artan bilgisi (Microsoft, Silent Circle, Symantec ve Splunk ile olan deneyimleri dahil) onu liderliğe yöneltti. Red Queen Technologies'de CISO oldu ve öyle kalmaya devam ediyor ve şu anda aynı zamanda geçen yıl kurulan TPO Group'ta CISO (teknik olarak CSO) olarak görev yapıyor. Kendisi, en gurur duyduğu anının, 2024'te Siber Güvenlik İnceleme Kurulu ile ilgili bir duruşma sırasında ABD Senatosu İç Güvenlik ve Hükümet İşleri Komitesi'ne ifade vermesi olduğunu söyledi.

Pek çok farklı güvenlik fonksiyonundaki uygulamalı pratik deneyimin derinliğinin ve kapsamının, mevcut seviyesine ulaşmak için temel olduğunu düşünüyor. "Güvenlik konusunda, daha önce yaptığınız her şeyden edindiğiniz bilgi birikimi zaman içinde gelişir. Uyumluluğa adım attığınızda kırmızı takım üyesi olarak edindiğiniz bakış açısını, bilgi ve becerileri kaybetmezsiniz. Bunun yerine, insanların uyumluluk politikasını nasıl çözebileceklerini, bozabileceklerini ve kötüye kullanabileceklerini düşünmeye başlarsınız ve bu da sizi uyumluluk konusunda gerçekten çok iyi yapar."

Siber güvenlikte geçirdiği tüm süre boyunca, sosyal bilimlere olan odağını hiç kaybetmedi ve iki konunun örtüştüğünü ve birbirine fayda sağladığını gördü. "Üniversitedeyken yaptığım ilk vaka çalışmaları Çin, Rusya ve Kuzey Kore ile olan çatışmaların tarihiydi. Şimdi tekrar geri döndüm ve Çin, Rusya ve Kuzey Kore ile olan çatışmalarla ilgileniyorum."

Teknik Analiz

Dış ilişkilere olan ilgisini hiçbir zaman kaybetmedi ancak artık siber güvenlik merceğini de ekliyor. New America'da güvenlik görevlisiydi ve "Güney Asya ve Orta Doğu'ya, IŞİD, El Kaide gibi aşırı gruplara ve müttefik gruplara, insansız hava araçlarının yayılmasına, yurt güvenliğine ve ABD Özel Kuvvetleri ile CIA'nın faaliyetlerine odaklanıyordu."

Nasıl Önlem Alınmalı?

Kendisi küresel siber politika alanında kıdemli üyedir ve Dış İlişkiler Konseyi'nin ömür boyu üyesidir. EFF'de yönetim kurulu üyesidir.

Sosyal bilimlere ve yazılara bir özellik daha eklemeliyiz: Eğlenme sevgisini. Bir örnek, CFR'deyken bir CISO'nun rolünü anlatan politika makalelerinden birinin başlığında görülebilir: 'Yürüyün ve sakız çiğneyin...'. Bir başkası da EFF'deyken görülebilir. DEF CON'da yıllık EFF Benefit Poker Turnuvasını kurdu ve ev sahipliği yaptı. "Bu bir patlama" söz konusu. "Her yıl büyüyor."

Detaylar ve Etkileri

Bahsetmediği şey, Hendon Mob Poker Veritabanında yer alan profesyonel turnuvalardan elde ettiği kazançlarla kendisinin çok yetenekli bir poker oyuncusu olduğuydu.

EFF'de geçirdiği zaman hakkında daha çok konuştu. "Eva Galperin'in bir keresinde bilgisayar korsanlarının sahip olduğu dine en yakın şeyin EFF olduğunu söylediğini hatırlıyorum. Onun yanıldığını düşünmüyorum. Bu dünyadaki en eski dijital haklar örgütü. Bu bir keyif ve ayrıcalık."

Sonuç ve Değerlendirme

Bilgisayar korsanı nedir?

Önemli Gelişmeler

Bu ilginç bir soruyu gündeme getiriyor. 'Hacker'ın evrensel olarak kabul edilmiş bir tanımını bulmak çok zordur; Peki Wheeler bu sıfatla ne demek istiyor?

"Hacker, belirli becerilere sahip kişidir. Hacker Manifestosu'ndaki (McKenzie Wark tarafından yazılan) beceriler listesi, bunun hakkında düşünmenin iyi bir yoludur."

Ancak şunu ekledi: "Eğer bir hacker'ı tanımlayacak olsaydım, 1995 yapımı Hackers filmindeki Razor and Blade'e geri dönebilirdim. Hacking suç değildir. Bu, bir dizi hayatta kalma özelliğidir; dünyayı dikey olarak görebilme, onun ne kadar kırılgan olduğunu görebilme, kırılgan fiziksel, insan ve dijital sistemlerden nasıl yararlanabileceğinizi görebilme ve o anda onlardan faydalanmak ya da başkalarının onlardan zarar görmemesi için onları daha güvenli hale getirebilmek arasında bir seçim yapabilmektir" dedi.

Uzmanların Görüşleri

"Bu becerileri iyilik için kullanan insanlar bilgisayar korsanlarıdır. Aynı becerileri zarar vermek için kullananlar ise yalnızca suçludur." Bu da Wheeler'ın karakterinin bir başka özelliği; çekirdeği bulmak için gürültüyü yarıp geçme eğilimi.

Eğer bu beceriler bir hacker'ı tanımlıyorsa, onun dönüştüğü lider olmak için hangi beceriler gereklidir?

"Sanırım insanların bireysel katkıda bulunandan yöneticiye, oradan da lidere geçişini sağlayan tek bir tutum gördüm: Bu, kendi egonuzu kapsama yeteneğidir. Başkalarının eskiden yaptığınız işi yapmalarına yardımcı olmak, ancak bunu sizin yaptığınızdan daha iyi yapmalarına yardımcı olmak - üstelik bu konuda hiçbir kredi almamak. Kendi zaferlerinin diğer insanların başarısı olmasını kabul eden herkes lider olabilir."

Wheeler'ın siber güvenliğin basit tanımının ötesinde pek çok ilgi alanı olduğu açıktır. Bu tür dış ilgi alanları daha iyi bir siber güvenlik lideri olmaya yardımcı olur mu?

"Nasıl bunu yapamadıklarını anlamıyorum," dedi, "bu, ister entelektüel bulmacalarla uğraşarak, ister tamamen farklı bir şey yaparak zihninizi tazeleyerek olsun. Yeni bakış açıları getirebilir ve güvenlikte olmayan ancak anlaması gereken insanlar için teknik sorunları açıklamak için analojiler kurma yeteneğinizi geliştirebilir."

Bu noktaya vurgu yaptı. "Bence disiplinler arası ilgi alanlarınız arttıkça, siber güvenliğin daha iyi kıdemli uygulayıcısı olursunuz. İşimiz genellikle güvenlikte neler olup bittiğini teknik olmayan iş liderlerine analojiler kullanarak açıklamayı gerektirir. Bunu yapmanın en iyi yolu, güvenliğin ne olduğunu değil, nasıl bir şey olduğunu açıklamaktır. Güvenliği, iş liderlerine, kendi kafamızda sahip olduğumuz çeyrek asırlık teknik bilgiye sahip olmadan, iyi, riske dayalı kararlar almalarına yardımcı olacak şekilde açıklayabilmemiz gerekir. Dışarıdan gelen çıkarların bu şekilde olması mümkün değildir. bunu yapmana yardım etme."

Kişisel bir örnek verdi. Daha önce belirttiğimiz dış ilgi alanlarının dışında “Ben de öğrenci pilotum” dedi. İki avantaj sunuyor. “İlk kez bir uçağı uçurduğunuzda aklınızdaki son şeyin günlük işiniz olacağını garanti ederim.” Yani bu çok canlandırıcı ve güvenlik benzetmesi de basit: "Doğru yap ya da öl." Bu arada, aynı prensip onun başka bir hobisi için de geçerli: motosiklet sürmek.

Bu kadar geniş bir ek ilgi alanına sahip olmanın, siber güvenliğin günümüzün belası olan tükenmişlik üzerinde önleyici bir etkisi olup olmadığını merak etmeye değer. Muhtemelen, ama yalnızca dolaylı olarak. "Bence tükenmişlik, insanların içinde bulundukları durum içinde sıkışıp kaldıklarını hissettiklerinde meydana gelen bir şey" dedi. “Ve pek çok şey kendinizi kapana kısılmış ve güçsüz hissetmenize neden olabilir.”

Anahtar faktör olarak 'geç aşama kapitalizminden' bahsetti. Bu terim, Werner Sombart'ın 20. yüzyılın başlarında, Birinci Dünya Savaşı'ndan sonra ortaya çıkan kapitalizme dair fikrinin başlangıcı oldu. Ancak kapitalizmin doğası geliştikçe, Sombart'ın teriminin kullanımı da gelişti - 'geç kapitalizm'den 'geç aşama kapitalizme' ve akademik olmaktan az ya da çok aşağılayıcı hale geldi. Bu terim artık modern piyasa ekonomilerinin saçmalıklarına dair neredeyse hicivsel bir yorum olarak kullanılıyor.

"Sanırım kariyerimin başlarında tükenmişliği daha çok kendini yönetmedeki başarısızlık olarak tanımlardım. Şimdi ise insanların yorucu ve kaçınılmaz durumların içinde sıkışıp kaldığını görüyorum." Modern küresel ticaretteki saçmalıklar nedeniyle yorucu ve taahhütler, borçlar ve hatta göçmenlik durumu gibi kişisel durumlar nedeniyle kaçınılmazdır.

"Tükenmişlik içinde," diye devam etti, "tuzağa düşmüş insanlar görüyorum. Çözüm, onlara eve gidip banyo bombası kullanmak gibi kişisel bakım talimatları vermek değil; çözüm, onların neden tuzağa düştüklerini anlamak ve tuzaktan kaçmalarına yardım etmektir. Siz tuzağı görmeseniz bile, onu hissederler ve bir tuzağın sizin için görünmez olması onu daha az gerçek yapmaz."

Wheeler'ın hem siber güvenlik hem de düşünce lideri olarak mevcut konumuna ulaşmasına ne yardımcı oldu? Yolculuğu sırasında ne gibi tavsiyeler aldı?

"Kişisel düzeyde" diye yanıtladı, "O zamanlar aldığım en iyi tavsiye patronumdan geldi. Büyük bir siber güvenlik krizinin ortasındaydım ve o şöyle dedi: "İki yıl içinde bu, bir zamanlar başınıza gelen bir şey hakkında kendinize anlatacağınız bir hikaye olacak."

Bu, geniş bir olası yorum ve uygulama yelpazesine sahip basit ifadelerden biridir. Mevcut bir kriz hakkında çok fazla endişelenmeyin çünkü öncelikle onu aşacaksınız ve bu tarih olacak ve ikinci olarak, iyi ya da kötü tek bir olayla tanımlanmıyorsunuz. "Gerçekten harika bir liderin yanında çıraklık yapmak" diye ekledi, "kendi başınıza lider olmayı öğrenmenin gördüğüm en iyi yolu. Ve bu şimdiye kadar aldığım en iyi kişisel tavsiye."

Teknik düzeyde şöyle devam etti: "Şimdiye kadar aldığım en iyi tavsiye Jon Callas'tandı." Callas, PGP Corporation'ın kurucu ortağı oldu ve Phil Zimmerman'ın orijinal PGP'yi geliştirmesinden sonra OpenPGP ve DKIM dahil IETF standartlarını geliştirdi. İkisi ve Mike Janke birlikte, Wheeler'ın sistem mimarı olduğu Silent Circle'ı kurdular.

“Konferans sunumu yapmadan sadece 15 dakika önce Kubuntu için bazı NVIDIA sürücülerini çılgınca yeniden oluşturuyordum çünkü dizüstü bilgisayarım görüntülemesini istediğim slaytların çıktısını vermiyordu. Jon, 'Senin işin bu teknolojiyi diğer insanlara anlatmak. İşiniz bu sürücüyü yazmak değil. İnsanların siber güvenliği anlamasını sağlama konusunda yeteneğiniz varken bilgisayarınızı her altı haftada bir yeniden inşa etmeye devam etmek zaman kaybıdır.'"

Ders: işi yapmak için gerçekten zaman açısından verimli ve gerekli olana odaklanın.

Peki şimdi başkalarına aktaracağı tavsiye?

"Çok başarısız olun ve sık sık başarısız olun" diye önerdi. “Muhtemelen denediğim her on şeyden yedisinde başarısız oldum. Bunu kabul ediyorum. Ben başarısızlıklarımdan utanmıyorum ve siz de kendi başarısızlıklarınızdan korkmamalısınız. Aslında, daha fazla başarısızlığa uğrayın, çünkü denemelerinizin sayısını ve kabul edilebilir başarısızlıklarınızın başarıya oranını artırmak, müthiş başarıya ulaşmanın yoludur. Ve bu kabul edilebilir bir fiyat.”

Peki şimdi ne olacak? Siber güvenlik alanında bu kadar ileri gitmiş ve bu kadar çok şey yapmış olan Tarah Wheeler'ı bugün siber güvenlik konusunda en çok endişelendiren şey nedir?

"Gerçek" diye yanıtladı. “Siber güvenlik konusunda temel gerçeğin eksikliğinden endişeleniyorum. Gerçeği ve gerçekleri bize söylenenlerden ayrıştıramama konusunda endişeliyim. Siber güvenlikteki sorun, sektör kriterlerimizin ve sektör istatistiklerimizin olmamasıdır. Bana sürekli olarak yapılacak kimlik avı testi sayısı nedir diye soruluyor? Kimliğimizi nasıl yönetmeliyiz? Bunları ortadan kaldırmak için para ödemek yerine her yıl kaç saldırıyı beklemeli ve kabul etmeliyiz? Siber sigorta konusunda yatırım getirimiz nedir?”

Bunun nedeni şöyle devam etti: "İlgili bilgiye sahip değiliz çünkü medya, büyük şirketlerden kurumsal verilerle pazarlama ve hatta hükümetten teknik incelemeler yoluyla bombardımana tutuluyoruz. Bunların hiçbiri bize uluslararası eylemlerin, kullanıcı eylemlerinin, devlet tehditlerinin ve APT'lerin gerçek etkilerini anlatan gerçek bilim değil. Buna sahip değiliz çünkü ABD'de bir Siber İstatistik Büromuz yok, çünkü bir hakikat kaynağı yaratacak siyasi irade eksikliği var."

Bu konuda açıkça tutkulu hissediyor. "Lanet olsun, NIST şu anda saldırı altında ve NIST reddedilemez kanıtların son kalesiydi." Ajansların küçültülmesine yönelik daha geniş bir federal girişimin parçası olarak Ticaret Bakanlığı tarafından NIST'in işgücünde başlatılan büyük küçülmeye değiniyor. Bu süreç, 2025 Baharı civarında, çoğu 'deneme süresinde' olan 70'ten fazla personelin işine son verilmesiyle başladı. Ocak 2026 sonu itibarıyla CyberScoop şunları bildirdi: "Ajans 2025'ten bu yana 700'den fazla kişiyi işten çıkardı; bunların 89'u hükümetin şifrelemesini test etmek ve doğrulamaktan sorumlu bir laboratuvardaydı." Bu, iç yeniden yapılanma değil, hükümetin zorladığı işgücünün küçültülmesidir.

“Merkezi bilgi depolarımız ve gerçek kaynaklarımız yok h ve sonuç olarak kararlarımızı verebileceğimiz sağlam bir temele sahip değiliz. Geceleri beni ayakta tutan şey bu. Siber güvenlikte bu durum, medyada gerçeklerin yerine Gartner kadranlarını koyan kişilerin ortaya çıkmasıyla ortaya çıkıyor; Daha önce saygın bir gazetecilik kanalında okuduğum şeyin gerçekten doğru olup olmadığını veya bir şeyin hariç tutulduğunu veya eklendiğini anlayamadığım şekilde ortaya çıkıyor. Şu anda, gerçekten bilgi tabanımı mı oluşturduğumu yoksa beynimde abartılı abartılı reklamları mı yığdığımı söylemek çok zor ve bu üzücü.

İlgili: Aldatmacanın Ötesinde: Siber Güvenlik Pazarlamasında FUD'u Sorgulamak

İlgili: CISO Konuşmaları: Timothy Youngblood; 4x Fortune 500 CISO/CSO

İlgili: CISO Konuşmaları: Keith McCammon, CSO ve Red Canary Kurucu Ortağı

İlgili: CISO Konuşmaları: John 'Four' Flynn, Google DeepMind Güvenlik ve Gizlilikten Sorumlu Başkan Yardımcısı

Paylaş: