Bir siber güvenlik girişimi olan Güven Tüzüğü (Charter of Trust) bir yılını doldurdu...
Bir siber güvenlik girişimi olan Güven Tüzüğü (Charter of Trust) bir yılını doldurdu. Siemens’te COO ve CTO olarak görev yapmakta olan Roland Busch ve Siber Güvenlik Sorumlusu Natalia Oropeza ile siber güvenliğin önemi hakkında bir röportaj yaptık.
- Güven Tüzüğü (Charter of Trust) bir yıl önce başlatıldı. Şu ana kadarki süreci nasıl değerlendiriyorsunuz?
Roland Busch: Çok iyi. Devlet, iş dünyası ve sivil toplum konuya çok ilgi gösterdi. Sürekli olarak devam eden saldırılar ve sızdırılan veriler, siber güvenlik konusunda eyleme geçmek için sağlam bir çerçeveye ihtiyacımız olduğunu gösterdi. Kamusal merciler ve iş dünyası bu konu üzerinde birlikte çalışmak zorunda. Güven Tüzüğü, ülkenin G7 başkanlığı sırasında Fransa’dan konuyu ele almasını istedi. Cumhurbaşkanı Emmanuel Macron’un siber güvenlik stratejisinin içinde yer alan çalışmalardan biri de uluslararası siber güvenlik standartları üzerine. Böylece konu çok üst seviyelere ulaştı ve sınır ötesi işbirliğine duyulan ihtiyaç da burada kendini gösteriyor.
Natalia Oropeza: İçerikte de gelişme yaşandı. 16 ortak, yalnızca Güven Tüzüğü’nün on ilkesini imzalayıp onaylamakla kalmadı, aynı zamanda gelecekte birlikte çalışmaya devam etme hususunda da mutabık kaldı. Bu işbirliği neticesinde ortaya çıkan önemli sonuçlardan biri de, geçtiğimiz Ekim ayında, dijital tedarik zinciri için 17 asgari koşulu benimsememiz. Bunlara göre tedarikçiler ürün ve hizmetlerindeki güvenlik açıklarını, kötü amaçlı kodları ve güvenlikle ilgili terslikleri önlemek için belirli standartlar, prosedürler ve yöntemler uygulamak zorunda kalacak. Ek olarak bir dizi şirket bize başvurdu ve Tüzüğe katılmak istediklerini belirtti, yani yakında yeni ortakların ismini açıklayabileceğiz. Ayrıca bu yılki Münih Güvenlik Konferansı’nda da konuşma yapacağız.
Roland Busch: Münih Güvenlik Konferansı, güvenlik politikası alanında önde gelen küresel bir düşünce kuruluşu ve aynı zamanda Güven Tüzüğü’nün hazırlanmasına önayak olan taraflardan biri ve siber güvenliğin, çok iyi bilinen bu güvenlik konferansındaki en önemli konulardan biri olması da çok şey anlatıyor.
Natalia Oropeza: Bunun yanında, yeni ortaklar için stratejik bir yapı oluşturmaya çalışıyoruz. Ana odak, içerik üzerine. Temel olarak, herkese açığız. Ancak, Tüzüğün on ilkesine başıboş bir bağlılık gösterilmesini istemiyoruz. Aksine onları şekillendirecek şekilde aktif bir katkı bekliyoruz. Bu yüzden, tüm kurucu üyelerin üzerinde anlaşmaya vardığı bir seçim sürecimiz mevcut.
Siemens niçin öncü bir konumda?
Roland Busch: Endüstriyel dijitalleşmede lider konumda olmamız, siber güvenliğin dijital devrimin ayrılmaz bir parçası olduğunu çok hızlı bir şekilde idrak etmemizi sağladı. Endüstriyel Nesnelerin İnterneti (IoT) siber güvenlikten ayrı düşünülemez. Onlarla beraber çalıştığımız her gün bunun müşterilerimiz için ne kadar önemli olduğunu görüyoruz. Hepsi dijitalleşme konusunda aşama kaydetmek istiyor. Ama güven sağlanmadan aşama kaydetmek mümkün değil. IoT'deki MindSphere’in tüm aşamalarına yönelik dijital hizmetlerimiz ve ürünlerimizin başarısı, veri hırsızlığı ve siber saldırılara karşı mümkün olan en iyi korumayı sağlamamıza bağlı olacak. Bu da, kendi başımıza tam anlamıyla garanti edemeyeceğimiz bir şey. Bu yüzden de ortaklarımızla güç birliği yapmak bu kadar önemli.
Roland Busch: Hiç şüphesiz, sorumluluk almak ve buna göre hareket etmek. Bu sadece bizim için değil, ortaklarımız için de geçerli. Tüzüğün devreye girmesiyle eş zamanlı olarak, şimdiye kadar dağınık durumda olan dünyanın her yanına yayılmış yaklaşık 1.300 çalışanımızla kendi siber güvenlik ekosistemimizi oluşturduk. Natalia çekirdek birime başkanlık ediyor ve Siber güvenlik sorumlusu olarak doğrudan yönetim kuruluna bağlı olarak çalışıyor. Bugün siber tehditlere karşı daha hızlı reaksiyon verebilecek durumdayız ve gelecekte kendimizi çok daha iyi koruyabileceğiz. Natalia’nın görevlerinden bir diğeri de kendi ürünlerimizi daha güvenli hale getirmek ve iş birimlerimizle birlikte müşterilerimiz için yeni çözümler geliştirmek. Bu da Siemens’in tedarikçilerini işin içine dahil ediyor. Gelecekte, yapılacak tüm yeni sözleşmelerde bağlayıcı minimum siber güvenlik koşulları adım adım devreye giriyor olacak. Bu koşullar; yazılımlar, işlemciler ve kontrol üniteleri için elektrikli bileşenler benzeri güvenlik açısından kritik önem taşıyan bileşenler gibi yeni nesil ürünlerin – yani IoT ortamından gelen her şeyin tedarikçileri için geçerli olacak. Söz konusu koşullar mevcut tedarikçiler içinse kademeli olarak devreye alınacak. Tüzüğe taraf olan tüm ortaklar bu önlemleri devreye aldıktan sonra çarpan etkisiyle global seviyede hızlı bir yayılmaya tanıklık edeceğiz - çünkü toplam rakam dikkate alındığında ortakların dünya çapındaki tedarikçi adedi bir milyondan fazla.
Natalia Oropeza: Gördüğüm kadarıyla, en önemli nokta her seviyede verilecek olan eğitim. Siber güvenlik herkesi etkileyen bir konu- bu, yalnızca benim ve ekibimin tüm Siemens için kendi kendimize üstesinden gelebileceğimiz bir görev değil. Şifrelerin 123456 olmadığı ve mümkün olan en yüksek standartları karşılayacak şekilde belirlendiği seviyeye ulaşabilirsek Siemens’i gerçekten güvenli bir yer haline getirmiş olacağız. Bu nedenle, çalışanlarımızın farkındalığını arttırmak ve müşteriler için olanlar dahil olmak üzere eğitimleri de geliştirmek zorundayız. Bu, tam da güven tüzüğü vasıtasıyla ulaşmayı hedeflediğimiz şey. Bununla, siber güvenlikle ilgili kavramların okullarda veya üniversitelerde veya mesleki ve profesyonel eğitimin her kademesinde olmak üzere her yerde iyice anlaşılmış olmasını kast ediyorum. Güvenlik teknolojilerinin uygulanmasına fayda sağlayacak bir diğer önemli nokta da kullanıcı dostu olma vasfı. Müşterilerimiz ve iş arkadaşlarımız için işleri mümkün olduğunca kolaylaştırma konusunda da çaba sarf ediyoruz. Güvenlik mekanizmaları, kullanıcıyla zorlayıcı bir etkileşime ihtiyaç duyulmaksızın, mümkün olduğu kadar doğrudan sisteme entegre edilmiş olmalı.
Natalia Oropeza: Sıfırdan yeni bir birimin kurulması insanüstü bir çaba gerektiriyordu. Fakat ekipteki herkesin tam bir takım ruhuyla çalıştığını görmek harika bir tecrübe oldu. Şimdi önümüze bakabiliriz ve Siemens’in de bu yönde ilerlemesini sağlayabilir ve şirketi bir üst seviyeye taşıyabiliriz. Bununla; altyapı, BT, ağ bağlantılı ürünler, hizmetler ve çözümleri içeren tüm siber güvenlik değer zincirinin tamamında koruma, saptama ve savunmaya dayanan bütünsel yaklaşımımızı ve ayrıca müşterilerimize sunmak zorunda olduklarımızı kastediyorum.
Roland Busch: Kesinlikle çelişmiyor. Faaliyet gösteren iş birimlerinin merkezi ve merkezi olmayan tarafları var. Her şey sonuçta CEO prensibi tarafından yönlendirilir yani faal bir şirketteki siber güvenlik de dahil olmak üzere tüm sorumluluk o şirketin CEO'suna aittir.Tıpkı Güven Tüzüğü‘nde olduğu gibi, bu da ortaklık kavramıyla ilgilidir . Başka bir deyişle, güçlü merkezi organizasyon iş birimlerine, kendi bünyeleri dahilinde vermeye ihtiyaç duymadıkları erişim veya şifreleme teknolojileri, siber saldırı testleri ve izleme gibi hizmetleri vererek destek olur. Merkezden verilen ve uzmanlık gerektiren hizmetler, herkes için makul seviyedeki bir maliyetle erişilen maksimum kalite demektir. Ayrıca, Siemens markasını taşıyan tüm birimlerde siber güvenliğin son durumu hakkındaki verilere hızla ve tam anlamıyla şeffaf biçimde erişebilmemiz gerekir.
Natalia Oropeza: İş birimlerine müşterileri için yüksek kaliteli siber güvenlik çözümleri sunma konusunda destek olacağız. Tüm birimlerimizin faydalanabileceği merkezi bir irtibat noktası konumundayız. Bu şekilde hepsi aynı yüksek güvenlik seviyesine ulaşabilecek durumda.
Roland Busch: Bunun yanı sıra, teknolojik içeriğimizi Şirket İçi Merkezi Güvenlik Teknolojisi bölümümüzde topladık. Bu bölüm, iş birimlerimizde ve Kurumsal Teknoloji bölümünde görev yapan uzmanların tüm şirket için geleceğin çözümlerini geliştirdiği yerdir.
Önümüzdeki yıllarda ne gibi zorluklarla karşılaşacağız?
Natalia Oropeza: Siber saldırılar artmaya devam edecek, çünkü giderek daha fazla sayıda cihaz ağa bağlanacak. Bu, günlük hayatlarımızı doğrudan etkileyecek ve burada tehlike altında olacak olan sadece kişisel verilerimiz değil, evdeki ve işyerindeki yaşam biçimimiz. Örneğin, şoförsüz arabaları, hastaneleri, enerji üreten şirketleri veya dijital fabrikaları düşünün. Bu yüzden siber tehditlerin büyük çoğunluğunu bertaraf edebilen siber güvenlik çözümlerinin otomatikleştirilmesi üzerinde çalışıyoruz ve bu amaçla, korunmayı sağlamak adına yapay zeka gibi çeşitli teknolojilerden de faydalanacağız.
Türkiye ve dünya ekonomisine yön veren gelişmeleri yorulmadan takip edebilmek için her yeni güne haber bültenimiz “Sabah Kahvesi” ile başlamak ister misiniz?