Siber Strateji

Siber Strateji ve İlgili Kavramlar

Teknolojik alandaki gelişmeler, makro-ekonomik bazda ülke ekonomiklerini, mikro-ekonomik bazda şirketlerin stratejilerini önemli ölçüde etkilerler. Faaliyetlerini bu gelişmelerle uyumlu olarak sürdüren işletmeler, büyüklüklerini ve karlarını arttırırlar. Bir başka ifadeyle, bu şirketler, bilgi ve iletişim teknolojilerini (BİT), iş süreçlerinde kullanırlar, internet üzerinde yeni ürün ve hizmetler geliştirirler, iş yapma biçimlerini yeniden yapılandırırlar, süreçlerini iyileştirirler. Ayrıca, bu işletmeler, sistemlerinin ve bilgilerinin güvenliğini sağlamak için; digital analiz, zararlı yazılım analizi, siber tehdit ve analiz gibi çalışmaları yürütürler. Veri gizliliği ve sistem güvenliği üzerine odaklanırlar; ar-ge yi etkin kullanırlar; güçlü bilgi-sistem alt yapısını kurarlar. İnsan, bilgisayar ve telekominikasyon sistemlerini stratejik (güvenlik gücünün kullanılması, temel/öz güvenlik yeteneğin belirlenmesi, davranışlara yansıması), yönetsel ve operasyonel yönetim düzeylerinde, stratejilerini belirlemede önemli ölçüde kullanırlar. Özellikle, bu tür düzenlemelere firmaların, yabancı ülkelerde büyümeleri ve hatta ülkelerüstü bir büyüklüğe erişmeleri ya da coğrafi çeşitlendirmeye gitmeleri veya rekabetin yoğun olduğu sektörlerde faaliyet gösterilmeleri gibi durumlarda ihtiyaçları çok daha fazladır.

Bu noktada, siber strateji ile ilgili bazı kavramlar üzerinde durulmalıdır. Siber, bilgisayar veya bilgisayar ağlarını ilgilendiren veya içeren varlıkları tanımlamak; siber alan birbiriyle bağlantılı donanım, yazılım, sistem ve insanların iletişim ve etkileşimde bulundukları soyut veya somut alanı tarif etmek için kullanılır. BİT leri yoğun kullanan ve sektör lideri olan firmaların bilgilerine sahip olmak, kullanmak ve bilgilerini bir daha ulaşamayacakları biçimde yok etmek, bu suretle, pazarı ele geçirmek ve rakibi piyasadan silmek için; teknolojiyi kullanarak siber suç işleyen firmalar da vardır. Siber suçlar bilişim sistemine yönelik suçlar anlamındadır. Bu suçların bir kısmı sosyal içeriklidir. Gelişmiş kötü amaçlı yazılımlarla belirli insanları hedef alır ve bu insanlara saldırı şeklinde gerçekleşir. Suçların bir kısmı karmaşıktır. Zayıflıklardan yararlanarak, arka kapı kontrollerini kullanarak ve geçerli kimlik bilgilerini çalarak, bu bilgilerin kullanmasını amaçlar. Bir kısmı ise, sinsidir. Bu saldırılar, standart güvenlik tarafından algılanmayan bir dizi düşük profilli hamle ile yürütülürler. Siber suçların işlenmesiyle birlikte, siber güvenlik ön plana çıkışmıştır. Siber güvenlik bilgi güvenliği ve bilgisayar güvenliği ile benzer manalarda kullanılır. Siber güvenlik, saldırılardan, hasarlardan, yetkilendirilmemiş girişlerden; ağları, bilgisayarları, programları ve verileri korumak için, teknolojiyi, süreçleri, uygulamaları kapsayan sistemdir. Yani siber güvenlik, matematiksel modellemelerden ya da bilgisayar bilimindeki gelişmelerden ziyade; bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaya yönelik tüm sistemleri, teknolojileri, yönetimi ve politikaları kapsayan bir yönetim modelidir. Tanımdaki, gizlilikten kasıt, bilgiye sadece ilgili kişiler tarafından erişilebilmesidir. Burada erişim kavramı yazılı bir bilginin okunması anlamına gelebileceği gibi, bilişim sistemlerinde saklanan bilginin sadece yetkili kişilerce görüntülenmesi, çıktı olarak alınabilmesi hatta bazı kritik bilgilerin varlığından, sadece yetkililerin haberdar olması gibi anlamları da ifade eder. Bilginin bütünlüğü ise, bilişim sistemleri vasıtasıyla depolanan bilginin değiştirilmeden, kısmen veya tamamen de olsa silinmeden, yok edilmeden saklanmasıdır. Son olarak erişilebilirlik, saklanan bilginin gerekli durumlarda yetkili kişilerce ulaşılabilir olmasının gerekliliğini anlatır. Özellikle erişilebilirlik ile, gizlilik ve bilgi bütünlüğü arasında ters orantılı bir ilişki vardır. Bilginin gizliliğini veya bütünlüğünü geliştirmeye yönelik tedbirler, erişilebilirliği ters yönde etkiler. Aynı şekilde, erişilebilirliğin geliştirilmesiyse de gizlilik ve bütünlüğü tehlikeye girer. 

Şirketler büyüyüp uluslararasılaşmaya ve ardından da uluslarüstüleşmeye başladıkça, artan karlarıyla birlikte, siber tehlikelere de açık hale gelirler. Bu şirketlerden biri de Suudi Arabistan kökenli Aramco Petrol Şirketidir. Şirket, Ağustos 2012 de, Shamoon isimli bir bilgisayar programıyla büyük zarara uğradı. Siber saldırının amacı, ulusal ve uluslararası düzeyde petrol akışını durdurmaktı. Bunun için, Aramco Petrol Şirketinin 30.000 adet Windows işletim sistemli bilgisayarındaki, tüm belgeler, Program aracılığyla bir daha geri gelmeyecek şekilde silindi ve yerine yanan Amerikan bayrağının resmi konuldu. PC World, 2011 yılında gelişmiş, hedefe yönelik bilgisayar saldırılarında %81 artış olduğunu rapor etti. Verizon'un 2012 yılında yaptığı araştırma bulgularına göre, 855 adet sarsıcı siber güvenlik olayı gerçekleşti ve 174 milyon adet virüs bulaştı. 2012 yılında Ponemon'un ABD'deki 56 büyük işletmede yaptığı çalışmada, bir hafta içinde her bir işletmenin, 1,8 başarılı saldırıya maruz kaldığı tespit edildi. Finansal ve ekonomik sistemlere yapılan saldırılar nedeniyle, günümüzde, ticari faaliyetlerin güvenliği büyük önem kazandı. Siber güvenlik konusu artık, sadece hükümetlerin ve dev şirketlerin değil, günümüz iş dünyasının üzerinde hassasiyetle durduğu önemli konulardan biri haline geldi. 1969 yılında, British Communications’ın merkezindeki üç kişinin asimetrik anahtar algoritmalarını keşfetmesi ve bu keşfin şifrelenmede kullanılmasıyla siber güvenlik alanında hızlanan çalışamalar, 1970 de, bilgisayar sistemleri için güvenlik kontrolü konusundaki RAND Report R-609’un yayınlanması; 1983 de, Güvenilir Bilgisayar Güvenlik Değerleme Kriterler olarak bilinen “Turuncu Kitabın” yayınlanması, 1987 de, Bilgisayar Güvenlik Hareketlerinin, Amerika Birleşik Devletleri Kongresinden geçmesiyle daha da hız kazandı. 2013 de, Başkan Obama’nın sibergüvenlikle ilgili çalışmaları imzalaması ve NIST (National Insititute od Standards and Technology) tarafından federal hükümet için sibergüvenlikle ilgili yüksek bütçeli çalışmaların yapılması, gerek hükümetlerin gerekse şirketlerin konuya verdikleri önemi açıkça gösterdi.

Özetle, kitle imha amacıyla web spamların sıklıkla kullanıldığı günümüzde, işletmelerin ürettikleri bilgilerin güvenliği ciddi tehdit altındadır. Geleneksel araçları kullananlarak, operasyonlarını yürüten ve bilgilerini koruyan şirketler, rakipleri tarafından kolaylıkla yönetilir hale geldiler. Bu nedenle, günümüzün güçlü şirketleri, oluşturdukları siber stratejileri sayesinde, ancak siber operasyonlara karşı kendilerini koruyabilirler. Bu ise, oldukça maliyetli ve zaman alıcı bir çalışmadır. Ayrıca, işletmeler açısından, bu çalışmaları yapacak birimin oluşturulması, organizasyon şeması üzerinde yerleştirilmesi ve iş tanımının belirlenmesi de bir başka kritik konudur. Atrık, pazarlama, finans, insan kaynakları gibi birimlerin yanında “Teknoloji Direktörlüğü” nün de oluşturulması gerekmektedir. Bu birim; teknoloji ve risk yönetimi (yönetim raporları, politika yönetimi, güvenlik bilinci ve eğitim, risk değerlendirme); tehdit ve güvenlik açığı yönetimi (tehdit değerlendirme ve izleme, virüs yönetimi, güvenlik açığı değerlendirme ve izleme); varlık yöntemi (hesap yönetimi, kaynak yönetimi, varlıkları sınıflandırma ve değişim kontrolu) gibi konulardan sorumlu olmalıdır. Yine bu birim, CIO / CTO / CISO / CEO / Başkan (finans / muhasebe, operasyon iş birimleri, teknoloji direktörü, denetim komitesi, hukuki işlemler komitesi, kurumsal iletişim) ile birlikte uluslararası ve kurumsal stratejilerin uygulanmasını sağlamalı; bu amaçla rekabet ve işlevsel stratejileri oluşturmalı ve kritik başarı faktörlerini (iş geliştirme, proje yönetimi, nitelikli kaynakları, fonksiyonel ayırma, bölünmüş bilgi vb.) belirlemelidir.

Siber Stratejiler

Siber stratejiler, analize dayalı strateji, önlem alma stratejisi ve ifade etme stratejisi başlıkları altında ele alınabilir. Analize dayalı strateji; istatistiksel analiz, risk değerleme, fayda maliyet analizi gibi işletmenin daha çok operasyonel işlemlerinin yapıldığı ilk kademe yönetim düzeyi ile ilgili verilerin korunması stratetejisidir. Önlem alma stratejisi; belirsizliğin yoğun olduğu pazarlarda yeni bir bilgi üretildiğinde, bu bilginin yaşanarak uygulanmasını, öğrenilmesini, risklerinin tahmin edilerek, önlem alınmasını sağlamak için kullanılan; orta kademe yönetim düzeyinde yer alan; rekabet stratejileri ile birlikte değerlendirilen stratejidir. Bu strateji kapsamında en çok kullanılan teknikler arasında, kontrol teknolojisi; risk değerleme; belirsizliği ölçme yer alır. İfade etme stratejisi; üst kademe yönetimin sorumluğunda belirlenen, kurumsal bilgi güvenliğinin sağlanması amacıyla, bilişim, iletişim ve telekominikasyon teknolojileri alt yapısı, siber tehdit ve siber güvenlik konularını kapsayan stratejidir. Bu stratejide, risk değerleme için tolerans, opsiyon seçimleri, hissedar yatırımlarının entegrasyonu, sosyal söylev ve iletişim tekniklerinden yararlanılır.

Siber Stratejide Dikkat Edilmesi Gereken Hususlar

Siber stratejide dikkat edilmesi gereken bazı hususlar mevcuttur. Bu stratejinin başarıyla uygulanması için, hazırlık aşamasında, tüm yönetsel düzeyleri kapsayan teknolojik ve beşeri alt yapı kurulmalıdır. Uygulama aşamasında, beklenen ve gerçekleşen sonuçlar arasında büyük sapmaya sebep olan olaylar ya da saldırılar değerlendirilmeli; mühendislik yönü ve teknik bilgisi kuvvetli kişiler istihdam edilmeli; faaliyet gösterilen sektörün teknoloji uygulamaları yakından takip edilmeli; fayda maliyet analizi yapılmalı; uygulamaların, çalışanlar tarafından özümsenmesine yardımcı olunmalı; bu alanda firmada bilimsel bilgi birikimi arttırılmalı; kritik alt yapı güvenliği sağlanmalı; siber krizler yönetilebilmelidir. Ayrıca, işletim sistemleri güncel tutulmalı; bir güvenlik duvarı ve virüs, casus yazılım ve dolandırıcılık sitelerine karşı koruma sağlayan bir yazılım bulundurulmalıdır. Kontrol aşamasında sermaye maliyeti, tüketim maliyeti incelenmeli; güvenlik ve kontrol sistemleri güncellenmeli ve bu sistem, standart savunmalar tarafından algılanmayan kötü amaçlı yazılımları, iletişimleri ve davranışları algılamalı; saldırı ve saldırgan riskini ve özellikleri analiz etmeli; koruma sağlamak için güvenliği otomatik olarak uyarlamalıdır.