Birleşik Krallık'ın önde gelen siber güvenlik kurumu NCSC (Ulusal Siber Güvenlik Merkezi), Infosecurity Europe 2024 etkinliğinde yaptığı açıklamalarla sektöre önemli uyarılarda bulundu. NCSC Operasyon Direktörü Paul Chichester, 2 Haziran'da yaptığı konuşmada, artan jeopolitik belirsizlikler, teknolojik dönüşüm ve tehdit ortamındaki evrim nedeniyle siber güvenlik profesyonellerinin en zor dönemlerinden birini yaşadığını belirtti. Chichester, '30 yılı aşkın süredir siber güvenlik alanındayım, ancak ilk kez 'sırada ne var?' sorusuna net bir yanıt veremiyorum' diyerek mevcut durumun karmaşıklığına dikkat çekti.
Chichester'ın uyarıları, ManageEngine tarafından yayınlanan yeni verilerle de destekleniyor. Araştırmaya göre, Birleşik Krallık'taki kuruluşların %77'si son bir yıl içinde bir siber olay yaşadı. Bu oran, Avrupa ortalamasının %11 üzerinde. Bu istatistik, siber tehditlerin ne denli yaygın ve ciddi boyutlara ulaştığını gösteriyor. Chichester, bu bağlamda kuruluşların yalnızca mevcut tehditlere değil, aynı zamanda gelecekte ortaya çıkabilecek belirsizliklere karşı da hazırlıklı olması gerektiğini vurguladı.
Chichester, tehdit manzarasını analiz ederken birkaç kritik alana odaklandı. Bunlardan ilki, 'hiper bağlantılılık' olarak adlandırdığı, cihaz ve sistemler arasındaki bağlantıların hızla artması. Bu durum, güvenlik ekiplerinin tüm BT altyapısını izlemesini ve yönetmesini giderek zorlaştırıyor. İkinci olarak, teknolojik dönüşümün hızına dikkat çeken Chichester, yapay zeka gibi yeniliklerin 'toplumsal ve medeniyetsel değişimlere' yol açacağını ve beraberinde büyük belirsizlikler getireceğini ifade etti. Ayrıca, siber araçların devletler tarafından 'açık ve gizli devlet yönetimi' amacıyla kullanılmasının arttığına dikkat çekti; Rusya'nın Ukrayna'da uyguladığı hibrit savaştan, Çin'in diasporasına yönelik baskılarına kadar çeşitli örnekler verdi.
Chichester, kurumsal BT sistemlerinin giderek karmaşıklaştığını da vurguladı. Kod tabanlarının ömrünün haftalar veya aylarla sınırlı olduğunu, uygulamaların kendini sürekli yeniden yazdığını ve yapay zekanın her şeyi altüst ettiğini belirtti. 'Kaç kişi, uygulamalardan donanıma kadar tüm teknoloji yığınını gerçekten anlıyor?' diye soran Chichester, bu belirsizlikle başa çıkmak için yeni stratejiler geliştirilmesi gerektiğini söyledi.
Ancak Chichester'ın mesajı yalnızca uyarılardan ibaret değildi. Olumlu gelişmelere de değinen konuşmacı, hükümetlerin saldırgan teknikler kullanarak rakiplere 'maliyet yükleme' konusunda giderek daha istekli hale geldiğini belirtti. Ayrıca, yakında çıkması beklenen Siber Güvenlik ve Dayanıklılık Yasası'na (CSRB) olumlu yaklaştıklarını ifade eden Chichester, 'Yasanın güçlü standartlar belirleyeceğine inanıyoruz' dedi. Bununla birlikte, kamu-özel sektör iş birliğinin kritik önem taşıdığını vurguladı: 'Hükümet tek başına yeterli değil. Bu kolektif bir çaba. Şimdi harekete geçme zamanı. Birlikte çalışmalıyız.'
Önemli Gelişmeler
NCSC direktörü, kuruluşların uygulayabileceği temel en iyi uygulamaları da sıraladı. Bunlar arasında saldırı yüzeyini azaltmak (örneğin, bir düşmanın platforma erişemediği sürece yapay zeka modellerini kullanması zordur), eski sistemler ve gölge BT ile başa çıkmak (burada yapay zeka, sızma testlerini demokratikleştirerek yardımcı olabilir), erişim kontrolleri (sıfır güven yaklaşımları ve kimlik yönetimi kritik; Chichester 'kimlik, gelecekte her şeyin temelidir' dedi) ve olay öncesi hazırlık (olay müdahale tatbikatları, özellikle yönetim kurulu düzeyinde dönüştürücü etki yaratabilir) yer alıyor. Chichester, 'Belirsizlik sizi felç edebilir ve kesinlik beklemenize neden olabilir. Ancak şimdi harekete geçme zamanı. Maça hazır olmalısınız. Savunmacılar olarak tamamen farklı bir dünyada yaşayacağız. Kesinliği beklemeyin, çünkü asla gelmeyecek' diyerek sözlerini tamamladı.
Kaynak: infosecurity-magazine.com