ABD de yaşanan Siber Güvenlik Uzmanı Açığının nedenleri sıralanmış ve örnek teşkil etmesi bakımından sizlere sunulmuştur.
İçerik
ABD Siber Güvenliğinde Kurumsal Kapasite Oluşturma
Özel ve kamu sektörü kuruluşları güvenlik uzmanlarının ruh sağlığını bir öncelik haline getirene ve politika belirleyiciler kötü hazırlanmış Bilgisayar Dolandırıcılığı ve Suistimal Yasası’nı ele alana kadar siber güvenlik alanında işe alım sorunları devam edecektir.
2024 yılında hala siber güvenlik alanında çok fazla açık pozisyon bulunmaktadır. Devlette ve özel sektörde herhangi bir yerde hizmet veren siber güvenlik uzmanlarının eksikliği bir ulusal güvenlik tehdidi olarak tanımlanmıştır. Siber güvenlik alanındaki bu ciddi insan açığının iki nedeni var: kötü yasalar ve eksik mental destek.
Yetersiz Yasal Altyapı: Schrödinger’in Hukuku
İlk olarak, bilgisayar güvenliği uzmanı olmayı öğrenmeyi tartışmalı bir şekilde yasadışı hale getiren bu kötü yasanın arka planında kötü bir hikaye var. 1986 yılında, Matthew Broderick’in başrolünde oynadığı 1983 yapımı Wargames adlı kurgusal bir filmden aşırı derecede korkan politika yapıcılar sayesinde (dürüst olmak gerekirse, bu film 1992 yapımı Sneakers ve 1995 yapımı Hackers ile birlikte siber güvenlik camiasında çok sevilir), Amerika Birleşik Devletleri Bilgisayar Sahtekarlığı ve Suistimali Yasası (CFAA) adlı gerçekten korkunç bir yasaya saplanıp kaldı. Ve o günden bu yana, ABD hükümeti tarafından siber savaşçı olarak görevlendirilen kişilerin fiilen pek çok suçu işleyip işlemedikleri konusunda hiçbir fikirleri yok. Neredeyse tüm teknolojileri kullanarak bilgisayarlarda çalışıyorsanız, bir CFAA ihlalinin gerçekleşip gerçekleşmediğini ya da gerçekleşip gerçekleşmeyeceğini belirlemenin gerçek bir yolu yoktur, çünkü bu yasanın yorumlanması herhangi bir yerel savcının bireysel anlayışına bağlıdır ve yerel ceza savcıları, bilgisayar ağına erişimin ince noktaları hakkında bilgi sahibi değildir.
Dolayısıyla yargının bu teknik bilgi eksikliği CFAA’yı oldukça sorunlu hale getirmektedir. Çoğu savcı ve jüri saldırı, uyuşturucu ve hırsızlık gibi konuları sezgisel olarak anlayabilir, ancak savcılar teknolojinin bizzat kendisini anlamadıklarında, birçok savcının CFAA kapsamında birini kovuşturup kovuşturmayacağına karar vermek için duygularına ve politikalarına güvenmesi anlamına gelir. CFAA ve savcıların teknik bilgi eksikliği, onlara sunduğu takdir yetkisiyle birleşince, saldırgan siber teknikleri öğrenmeyi bir tür Schrödinger’in suçu haline getiriyor.
Eğer politika yapıcılar Jaws filmini izledikten sonra sörf yapmayı yasaklayarak ve uygulamayı yüzme bilmeyen savcılara bırakarak tepki vermiş olsalardı, Bilgisayar Dolandırıcılığı ve Suistimali Yasası’nın denizcilikteki eşdeğerine sahip olurdunuz. Sonunda, dalgalara göğüs germek için yasaları çiğnemeye hazır olanlardan başka okyanus tehditleriyle baş edebilecek kimse kalmazdı. Bir de Amerika Birleşik Devletleri’nin halihazırda yüzebilen, balık tutabilen, kasırgalarda hayatta kalabilen ve derin deniz kurtarma faaliyetlerinde bulunabilen Sahil Güvenlik adayları konusunda ciddi bir eksiklik yaşadığını ve bu eksikliğin neden kaynaklandığı konusunda tamamen şaşkın olduğunu düşünün.
Amerika Birleşik Devletleri’ndeki en iyi siber suç avukatları çoğu zaman, bir Nmap taraması yapmak kadar basit bir şey yaparak yasayı çiğneyip çiğnemediğinizi ya da çiğneyip çiğneyemeyeceğinizi söyleyemezler; bu, bir mahalle sokağında yürürken, evde kimse yokmuş gibi görünse de komşunuzun kapısının açık olduğunu kaldırımdan fark edip komşunuza bir güvenlik sorunu olabileceğini söylemek için mesaj atmanın siber eşdeğeridir.
Bir yasanın ihlal edilip edilmediğinin anlaşılamaması sadece Belirsizlik Doktrini uyarınca anayasaya aykırı olmakla kalmaz, aynı zamanda siber güvenlik alanında çeşitlilik eksikliğinin ortaya çıkmasına neden olur ve siber güvenlik yeteneklerinin gelişimindeki yetersizliğe daha da fazla etki eder. Eğer beyaz olmayan biriyseniz, CFAA’yı ihlal etmenin sonuçları açıkça ve trajik bir şekilde çok daha kötüdür, kariyer başarısızlıkları ve yanlış adımlar kadınlarda çok daha sert bir şekilde cezalandırılır.
Adalet Bakanlığının Siber Güvenlik Uzmanlarını Korumak Adına Attığı iddia edilen adımlar
Geçtiğimiz yıl Adalet Bakanlığı, güvenlik açıklarını bildiren iyi niyetli bilgisayar korsanlarını artık kovuşturmayacağını açıkladı (neden böyle bir şey yapıyorlardı ki?) ve birçok manşet yanıltıcı bir şekilde CFAA’nın artık onlar için geçerli olmayacağını ima etti. Ne yazık ki, hiçbir gerçek yasa değişmedi ve gerçekten elde edilen tek şey çok güzel bir niyet beyanı oldu. Ne yazık ki Adalet Bakanlığı, iyi niyetli bir araştırmacı ile bir bilgisayar suçlusu arasındaki farkı anlayamayan ya da umursamayan savcılarla dolu. Yüksek Mahkeme’nin Van Buren v. United States (bir polis memuru suç faaliyetine yardımcı olmak için çevrimiçi kayıtları aradı ve Mahkeme, yetkili erişimini aşmadığı için CFAA kapsamında mahkumiyetini bozdu) kararıyla yapılan açıklama CFAA etrafındaki emsalleri biraz iyileştirmiş olsa da, hakimlerin onu onaylamak için kişisel bir çıkarı olmadığı veya onu görmezden gelmek için çok politik bir motivasyona sahip olduğu durumlarda emsalin çok önemli olmayabileceğini öğreniyoruz.
İkinci ve hayati olarak, hem devlette hem de özel sektörde bilgi güvenliği alanında çalışan insanları ruh sağlığı ve stres açısından destekleme konusunda ciddi sorunlarımız var.
Siber güvenlik sektörü
Siber güvenlik sektörünün büyük bir kısmı Dijital Adli Tıp ve Olay Müdahalesi (DFIR) adı verilen bir alana adanmıştır. Bu kişilerin yaptığı şeylerin çoğu (biz onlara mavi ekip diyoruz) intikam pornosu, çocuk cinsel istismarı materyalleri, fidye yazılımları, şantaj, hırsızlık, siber taciz ve takip vakaları ile fiziksel saldırı ve şiddet olaylarında kanıt bulmak, incelemek ve kanıt sağlamaktır. Benim sektörüm, ordu ve polisin bomba imha ve cinsel saldırı vakaları da dahil olmak üzere yüksek şiddet ve istismar turlarında yaptığı gibi her iki yılda bir rollerine girip çıkması gereken insanların binlerce bakışıyla doludur.
Bunun yerine, bilgi güvenliği profesyonellerinin içki, memler ve 1970’lerin rock yıldızı otel partilerini örgü çemberlerine benzeten konferans partileriyle kendi kendilerini tedavi ettikleri biliniyor. Sektörün umutsuzluğa kapıldığı, insanlığın en kötüsünü gördüğü ve çoğu insanın güvenlik ekibinin en basit talebini bile, eğer üretkenlik zamanına mal olacaksa ya da satışların başlamasını engelleyecekse dinlemediği bir gerçek. Siber güvenlik uzmanları yorgun ve tükenmiş durumda ve uyarıları genellikle bir kenara atılıyor ya da hisse senedi fiyatlarını veya patronu korumak için kasıtlı olarak gömülüyor. Siber savaşta ordu harekete geçmeden önce sivillerin tahliye edilmesi gibi bir kavram yoktur; siviller savaş alanınıterk edemezler çünkü siviller her açıdan savaş alanıdır. Bu sorun çözülene kadar, ulusal güvenlik süreci siber güvenlik uzmanlarıyla iyi bir uyum içinde olmayacaktır.
Siber Güvenlik Uzmanlarının Zihinsel Yorgunluk Problemi
Akıl hastalığı, tükenmişlik ve savaş yorgunluğu olarak adlandırılabilecek durum sektörümde o kadar yaygın ki, her zaman görünür olmasa da kabul edilmiş bir şirkete girip çıkma ve akıl sağlığı bakımı için izin alma döngüsü var. Her altı bilgi güvenliği yöneticisinden biri stresle başa çıkmak için içki içtiğini belirtiyor. Diğerlerinden birkaçının ya yalan söylediğinden ya da iyileşme sürecinde olduğundan eminim. Aynı şekilde kendi kendini tedavi etmeyen bizler için, sektörümüz helikopter kayağı, motosiklet yarışı, paraşütle atlama, dublör pilotluğu, avcılık ve hedef vurma gibi hobilere, yani yanlış yaptığınızda sizi öldürebilecek zihinsel ve fiziksel aktivitelere büyük önem veriyor. Ben bir pilot ve motosikletçiyim, çünkü uçağı uçurmaktan ya da motorumla bir sonraki virajı almaktan başka bir şey düşünemiyorum, yoksa öleceğim. Bunu oldukça rahatlatıcı buluyorum.
Bu akıl sağlığı krizi ve bunun yol açtığı her zaman sağlıklı olmayan tepkiler, özellikle kamuda işe alımlar açısından önem taşıyor. Bond Değişikliği, esrar da dahil olmak üzere herhangi bir tür uyuşturucuyu yasadışı olarak kullanmış bir kişiye herhangi bir düzeyde güvenlik izni verilmesini açıkça yasa dışı kılmaktadır.
Diğer Sorunlar
Ayrıca, güvenlik izni müfettişleri genellikle alkol bağımlılığı belirtileri ararlar ve sorunlu alkol kullanımı sizi süreçten diskalifiye edebilir. Siber güvenlik alanında çalışan pek çok kişi esrarı ya doktor reçetesiyle ya da sadece hafif bir sarhoş edici veya anksiyete giderici olarak kullanmaktadır ve yönetmeliklere göre birisi esrar kullanırken odada bile olmadığınızdan emin olma fikri pek çok kişi için külfetli ve anlamsızdır. Eski FBI başkanı James Comey neredeyse on yıl önce siber yetenekleri işe almanın zor olduğundan, çünkü gençlerin esrardan uzak durmaları gerektiği takdirde başvurmamayı tercih edeceklerinden yakınmıştı. Bu gençler aradan geçen on yıl içinde şeytanın maruluna karşı sihirli bir şekilde hoşgörüsüz hale gelmediler; bunun yerine on yaş daha büyüdüler ve yirmi üç eyalette tamamen yasal olan ve on dört eyalette daha reçeteyle satılan yasal sigara veya alkolden kat kat daha az zararlı bir maddenin görünüşte anlamsız bir şekilde yasaklanmasına karşı giderek daha sabırsız hale geldiler.
Ulusal güvenlik siber alanında işe alım yapan biriyle yaptığım harika bir sohbeti hatırlıyorum; bana esrar ve izinler söz konusu olduğunda kurallara uyabilmenin işe alımda bir hata değil bir özellik olduğunu belirtmişti. Bununla birlikte, önemli devlet varlıklarını korumak için yeterince suçlu gibi düşünebilen bir siber güvenlik uzmanı olmak, genellikle kurallara pek bağlı olmayan bir kişiliği de beraberinde getirir. Ne yazık ki ABD hükümeti işe alımlarda hayatları boyunca kurallara uymayı tercih etmiş kişileri ön elemeden geçiriyor ve bu da doğal olarak çok sayıda siber güvenlik uzmanını eğilim olarak dışarıda bırakıyor. Bu sorunun çözümünün ne olduğunu bilmiyorum, ancak esrarın suç olmaktan çıkarılmasının bu işi yapacağından emin değilim.
Siber güvenlik boru hattını düzeltmek için CFAA’nın yürürlükten kaldırılması, ruh sağlığı hizmetlerinin doğal olarak sağlanması ve bilgi güvenliği profesyonellerinin ulusal siber güvenliğimize yönelik tehditlere yanıt verebilmeleri için yüksek stresli bir işte öz bakım konusunda modern bir tutum sergilemeleri gerekmektedir. Siber güvenlik alanında bir boru hattı sorunundan ziyade, kötü yasalar ve destek sistemleri sorunu nedeniyle bir işe alım sorunumuz var.
Dünyanın en karmaşık teknik sorunlarını üstlenmelerini beklediğimiz daha fazla insanı bu alana ya hazırlıksız ya da tamamen desteksiz bir şekilde tıkıştırmaya devam etmeden önce bu iki sorunun da üstesinden gelmeliyiz.
