Siemens, Şubat 2018’de Münih Güvenlik Konferansı’nda kamu ve özel sektördeki iş ortaklarıyla biraraya gelerek Güven Tüzüğü (Charter of Trust) inisiyatifini kamuoyuna sundu...
Dijital dünyaya her geçen gün daha fazla güven duyuyoruz. Süpermarketlerden satın aldıklarımızın ödemesini yapmak için banka kartlarını kullanabilmeyi doğal karşılıyoruz, sağlığımızla ilgili verilerin doktorların muayenehanelerinde bulunan bilgisayarlarda sıkı koruma altında olduğunu varsayıyoruz, akıllı telefonları hiç çekinmeden kullanabileceğimizi düşünüyoruz ve rüzgar türbinleri tarafından üretilen enerjinin dağıtım şebekesine tam da olması gereken miktarda verildiği bir sistemden yararlanarak elektrik tüketiyor olmamızı normal buluyoruz. Nereye gidersek gidelim, bir bit ve bayt ağıyla çevrilmiş durumdayız. Ancak tehlike pusuda bekliyor. Güvenlik açıklarına yönelik suç teşkil eden saldırılar ciddi anlamda zararlı olabilir. Örneğin hastanelerde veri hırsızlığıyla sonuçlanabilir ya da fabrikalarda üretimin durmasına ve elektrik kesintilerine sebep olabilir veya endüstriyel casusluk yapılabilir. Bu nedenle dijital dünyamızın çevresine koruyucu duvarlar inşa edilmesi gerekiyor. Kritik önem taşıyan sistemlere erişmesi gereken kişilerin, kendilerini biyometrik yöntemlerle tanımlaması veya ilgili PIN kodlarını bilmesi gerekiyor. Ayrıca, verilerin şifrelenmiş biçimde iletilmesi ve verilerin güvenlik duvarları vasıtasıyla korunması da şart. Bu arada, virüsten korunma programlarının sürekli olarak kötü amaçlı yazılımları tespit edebilecek şekilde çalışması gerekir ve otomasyonla işleyen tesislerin BT güvenliğini belirleyen IEC 62443 gibi standartların kritik sistemlerin korunmasına yönelik yönergeler ortaya koyması da lazım.
İhtiyaç: Tüm değer zinciri için gereken minimum standartlar Bu engellere rağmen tüm değer zinciri için gereken zorunlu temel siber güvenlik kriterlerinden hala yoksunuz. Bu nedenle Siemens 2018 yılının Şubat ayında, Güven Tüzüğü’nü (Charter of Trust) ortaya çıkarabilmek için Münih Güvenlik Konferansı (MSC) ile kamu ve özel sektördeki diğer altı iş ortağıyla biraraya geldi. Tüzüğün amaçlarından biri, siber güvenlik alanında en ileri teknolojinin gerekliliklerine uygun asgari genel standartları belirlemek. Dönemin Münih Güvenlik Konferansı Başkanı Wolfgang Ischinger, “Bu aşamada devletlerin öncü bir rol üstlenmesi gerekiyor. Ancak standartların oluşturulması ve uygulanması, siber alemin geleceğini görselleştirme ve şekillendirme konusunda ön planda olan şirketler tarafından gerçekleştirilmeli. Tüzüğün bu kadar önem taşıyor olmasının nedeni de budur” diyor ve ekliyor: “Bu konuyu ön planda tutmak ve konunun içini doldurmak için ortaklarımızla iş birliği yapacağız.” Harekete geçmenin zamanı geldi. Bunu tetikleyen sadece 2010 yılındaki Stuxnet isimli kötü niyetli yazılım değildi, 2017’deki WannaCry ve NotPetya fidye yazılımları ile Meltdown ve Spectre olarak bilinen işlemci kaynaklı güvenlik açıkları da önemli rol oynadı. Siber güvenliğe yönelik tehditlerin 2016’da dünyada 500 milyar Euro’dan fazla zarara sebep olduğu tahmin ediliyor. Üstelik siber saldırıların yol açtığı riskler giderek yayılıyor. 2017’de 8,4 milyar ağ bağlantılı cihaz kullanımdayken, uzmanlar 2020’da bu rakamın 20,4 milyar adede ulaşacağını tahmin ediyor. Bu cihazlara yönelik tehditler hayati önemdedir. Örneğin şoförsüz araçlarda bulunan emniyetle ilgili sistemler üretim aşamasında manuel olarak devreye sokulur, böylece acil durumlarda çalışamazlar. Daha güvenlikli bir dünya yolunda atılacak on adım 2018 yılının Şubat ayında gerçekleştirilen Münih Güvenlik Konferansı, Tüzüğün içerdiği temel kavramları küresel bir izleyici kitlesinin önünde tartışmak için ideal bir platform oluşturdu. Çalışmaya sadece sektörün önde gelen şirketleri değil, aynı zamanda siyasi karar mercileri,uzmanlar ve sivil toplum örgütleri de katkı sağladı. Siber güvenlik herkesi ilgilendiren bir konu olduğu için sunulan bu katkı büyük önem taşıyor. Siemens’in bu Tüzüğün ortaya çıkarılmasında inisiyatif alan taraflardan biri olarak öne çıkması tesadüf eseri olmadı. Çünkü sektörde hızla önem kazanan dijital katma değer konusu aynı zamanda Siemens’in dayandığı temel ilkelerden biridir. Tüzük, dijital dünyayı daha güvenlikli hale getirme amacı taşıyan on prensip içeriyor ve üç önemli hedef belirliyor: Bireylerin ve şirketlerin verilerini korumak; insanlara, şirketlere ve altyapılara zarar gelmesini önlemek ve ağ bağlantılı, dijital bir dünyaya güven aşılayabilmek için güvenilir bir temel oluşturmak. Dijital dünyada güveni artırmak Bu hedeflere ulaşılması isteniyorsa herkesin katılım göstermesi gerekiyor. Bunun önkoşulu da küresel bir ağ oluşturulması ve bu arada bu ağ da genişlemeye devam ediyor. Siemens ve MSC’nin yanı sıra BT sektörünün önemli aktörlerinden IBM, Daimler, Allianz sigorta grubu, Airbus, Deutsche Telekom, Dell, Cisco, petrol şirketi Total, TÜV Süd, ürün test grubu SGS, yarı iletken üreticisi NXP, enerji arzı alanında faal olan Enel ve AES Corporation ve BT şirketi Atos da üyeler arasında ve liste gitgide büyüyor. Güvenlikli bir dijital dünyanın temel prensipleri hakkında net bir fikir birliği sağlamak artık bu oyuncuların ellerinde. Tüzüğe göre bu fikir birliği, diğer şeylerin yanı sıra varlıkları hayati önem taşıyan kritik konumdaki altyapılar ve cihazlar için zorunlu siber güvenlik sertifikasyonlarını da kapsıyor. Ayrıca siber güvenlik konusunda şirketler, devletler ve yetkili merciler nezdinde açıkça tanımlanmış sorumluluk alanları ve irtibat mercileri belirlenmesi de büyük önem taşıyor. Bu hususta oldukça fazla teşvik gerekecek. Geçtiğimiz yıl içinde Tüzük’te yer alan konuların imza verenlerle politikacılar arasında tartışılabilmesini sağlamak adına Berlin, Brüksel, Paris, Rio de Janeiro, Singapur ve Washington dahil dünyanın pek çok yerinde birçok yuvarlak masa toplantısı düzenlendi ve başarıya ulaşıldı: Fransa Cumhurbaşkanı Emmanuel Macron, Tüzük’te yer alan önerileri 2018 Kasım ayında sunduğu siber güvenlik stratejisi kapsamına aldı. AB’nin AB Siber Güvenlik Yasası ve Alman BT güvenlik yasasının güçlendirilmesine yönelik çalışmalar da Güven Tüzüğü’nün (Charter of Trust) önerileri doğrultusunda tekrar düzenlendi. Mutabakat: Küresel tedarik zincirlerinin her aşamasında bulunacak siber güvenlik ilkeleri Tüzüğün ortaya konmasından sonraki ilk yıl içinde başarıya ulaşılan bir başka konu da katılımcıların, küresel tedarik zincirlerinin her aşamasında kapsamlı siber güvenlik ilkeleri belirlenmesi hususunda mutabık kalması oldu. Katılımcıların her biri kendi bünyesinde bu ilkelerin hayata geçirilmesini sağlayacak. Bu, Siemens açısından şu anlama geliyor: Yeni tedarikçiler siber güvenliğin sağlanması için gereken minimum koşulları yerine getirmekle yükümlü olacak ve ek olarak ürünlerinin, hizmetlerinin ve altyapılarının düzenli olarak izlenmesi ve güvenlik kontrollerinin yapılması gerekecek. Bu, herkes için fayda sağlayacak dev bir adım niteliğinde. Sonuçta, danışmanlık şirketi Accenture’a göre, BT tabanlı saldırıların yüzde 90’ından fazlası küçük şirketlerde gerçekleşiyor. Dahası uzmanlardan oluşan küresel gruplar, tüm tarafların maruz kalabileceği ortak ve büyük ölçekli riskler hakkında daha kapsamlı bir şekilde iletişim kurmaya başlamalı. Ayrıca hızla büyümekte olan nesnelerin interneti için, yetkili erişime ve veri şifrelemeye dair kuralları da içeren bağlayıcı güvenlik standartlarına ihtiyaç duyuluyor. Son olarak Güven Tüzüğü (Charter of Trust), siber güvenliğin okul ve üniversite müfredatının ayrılmaz bir parçası haline getirilmesini amaçlıyor; müfredat adedinin fazlalığı düşünüldüğünde bunu gerçekleştirebilmenin ne kadar büyük bir başarı olacağı aşikar. Ischinger “Bu, üzerinde en fazla durduğumuz konulardan biri” diyor ve ekliyor: “Bu şekilde, yalnızca insanların siber güvenlik konusundaki farkındalıklarını artırmış olmakla kalmıyoruz, aynı zamanda gençlere gelecekte dijital dünyanın güvenliğini şekillendirmek için ihtiyaç duydukları araçları sunuyoruz.”
Türkiye ve dünya ekonomisine yön veren gelişmeleri yorulmadan takip edebilmek için her yeni güne haber bültenimiz “Sabah Kahvesi” ile başlamak ister misiniz?