NATO liderleri siber savunmaya kaynak sağlamaya öncelik vermişlerdir. 2016’da Varşova’da yapılan NATO Zirvesi’nde Bir Siber Savunma Taahhüdü’nü bulunmuşlar ve ulusal alt yapılar ve ağlarda siber savunmayı geliştirme ve güçlendirme konusundaki taahhütlerinin kendileri için öncelikli bir konu olduğunun altını çizmişlerdir.

Siber Savunma Taahhüdü’nün arka planında giderek karmaşık hale gelen ve etkisi ağırlaşan siber saldırılar bulunmaktadır. Son birkaç yılda önemli enerji altyapılarına, telekomünikasyon şirketlerine, devlet makamlarına ve son olarak da siyasi partilere yöneltilen saldırılar siber saldırıların toplumsal ve ekonomik alandaki etkilerini göstermektedir.

NATO liderleri Temmuz 2016’da Varşova’da yapılan NATO Zirvesi’nde siber savunmaya kaynak sağlanması konusuna öncelik verdiler. ©NATO
)

NATO liderleri Temmuz 2016’da Varşova’da yapılan NATO Zirvesi’nde siber savunmaya kaynak sağlanması konusuna öncelik verdiler. ©NATO

Genel Sekreter’in 2016 Yıllık Raporu NATO bünyesindeki siber savunma çalışanlarının bir önceki yıl ayda 500 saldırı olayı ile uğraştıklarını belirtmektedir – 2015’e kıyasla bu sayı %60 artış göstermiştir.

Siber saldırılar siber uzaya duyulan güveni zayıflatmayı amaçlar. İletişimin yanı sıra, gelecekteki ekonomik gelişmemiz ve sosyal modelimizde birbiriyle bağlantılı teknolojilere ne kadar bağımlı olduğumuz düşünülürse, bu son derece önemli bir konudur.

Kaynakları en etkili şekilde nasıl tahsis edebiliriz?

İttifak’ın üst makamları bu tehlikelerle baş edebilmek için ileri düzeyde yeteneklere, eğitime ve öğretime ihtiyaç olacağının bilincindedir.

Bunu gerçekleştirmek için başkentlerdeki politika belirleyiciler önemli sorularla boğuşmak durumunda kalacaklardır. Bu sorular arasında şunlar bulunmaktadır: ne kadar harcamalıyız? En az düzeyde yatırım nedir? Özellikle önümüzdeki tehdidin dinamik doğasında bakıldığında en temel düzeyde siber güvenlik sağlayabilmek için nelere harcama yapmalıyız?

Herkese açık bilgilere baktığımızda bazı Müttefiklerin bu soruları cevaplamakta ilerleme kaydettiklerini görebiliriz. Örneğin, 2014 yılında Fransız Pacte Défense Cyber (Siber Savunma Paktı) siber savunma için 1 milyar Avro ayırmış; 2016’da Birleşik Krallık ulusal siber güvenlik programını desteklemek için 1.9 milyar Sterlin tutarında yatırım yaptığını açıklamıştı.

Savunma harcaması basit bir maliyet/yarar analizi ile halledilemeyecek kadar karışık bir alandır. Ancak siber güvenlik/güvensizliğin maliyetinin önemli olduğu unutulmamalıdır. Örneğin, 2015 yılında Atlantik Konseyi ve Denver Üniversitesi tarafından yapılan bir çalışma, en kötü durumda, 2030’a kadar güvensizlik maliyetinin global GSYİH’den 90 trilyon ABD doları düşürme potansiyeline sahiptir. Daha da endişe verici olanı, bu çalışma gelecekte siber güvensizliğin yaratacağı maliyetinin siber uzayın getirdiği yararlardan daha ağır olabileceğinin altını çizmektedir. Bu nedenle, yukarıda söz edilen harcama miktarı güvensizliğin getirebileceği toplam maliyet ile karşılaştırıldığında oldukça küçük kalacaktır.

Siber savunma bütçesi nelere harcanmalıdır?

Bu soruya cevap vermeden önce bazı noktalar üzerinde durmakta yarar vardır.

İlk olarak, ulusların siber savunma için harcadıkları miktarı siber uzaya güvenli ve engelsiz erişimleri ve siber risklere ne kadar açık oldukları belirleyecektir. Veya, eğer bir devlet komünikasyon ve bilişim teknolojileri kullanmıyorsa herhangi bir harcama yapılmasına gerek olmadığı yönünde de bir tez vardır. Ayrıca, tehdit ortamının dinamik yapısı ve herhangi bir durumda uzmanların “saldırı yüzeyi” (attack surface) dedikleri siber risklere açık olma özelliği yapılacak harcamanın miktarı konusunda karar vermeyi zorlaştırmaktadır. Bu da kaynakların en fazla hasar verecek tehditlere karşı önceliklendirilmesini sağlamak için risklerin değerlendirilmesi ve yönetilmesine dayalı bir siber uzay yaklaşımına duyulan ihtiyaca işaret etmektedir.

İkincisi, teorik açıdan bakılırsa, belirli miktarda bir siber savunma bütçesi diğer türdeki savunma yeteneklerinden daha fazlasını satın alabilir. “Firewall” (İnternet Güvenlik Duvarı) veya kullanıcı bilinci için harcanacak bir bütçe, para çalmayı veya altyapıyı bozmayı amaçlayanlar dâhil, bir dizi siber saldırıya karşı koruma sağlar. Bu da gösteriyor ki, siber savunma için harcanacak küçük bir miktar çok büyük işlerin gerçekleşmesini sağlayabilir.

Son yıllarda önemli enerji altyapısı, telekomünikasyon şirketleri, resmi makamlar ve çok yakın zamanda gördüğümüz gibi, siyasi partileri hedef alan saldırılar, siber saldırıların toplumsal ve ekonomik etkilerini gözler önüne sermektedir.
)

Son yıllarda önemli enerji altyapısı, telekomünikasyon şirketleri, resmi makamlar ve çok yakın zamanda gördüğümüz gibi, siyasi partileri hedef alan saldırılar, siber saldırıların toplumsal ve ekonomik etkilerini gözler önüne sermektedir.

Son olarak, siber savunma bütçelerini hazırlayanların siber savunmanın sadece doğru teknolojiyi kullanmaktan değil, istenen düzeyde eğitilmiş doğru insanları bir araya getirmek ve iyi politikaları uygulamaktan geçtiğini göz önünde bulundurmalıdırlar. Genel olarak, maddi teçhizata ağırlık veren geleneksel savunma yetenekleri için yapılan alımların tersine, etkili bir siber savunmayı belirleyen unsurlar bilgi paylaşımı, işbirliği ve eşgüdümdür. Bunların hepsi bir anlamda maddi olmayan şeylerdir.

Ayrıca, bu tür faaliyetlerin karmaşık yapısından dolayı siber savunma bilmecesinin diğer parçalarının maliyetini anlamak da zorlaşır - örneğin, temel siber temizlik çalışmaları yapan kullanıcıların harcadığı zamanın getirdiği ilave maliyetler veya askeri yazılımlara siber savunma donanımı uygulanması için gereken ilave çabalar.

Ve nihayet, siber savunmada yapılan güncellemeler diğer savunma yeteneklerinde yapılan çalışmalara oranla daha sık olabilir. Anti-virüs donanımları buna iyi bir örnektir: siber uzayın giderek her yerde bulunabilme özelliği anti-virüs donanımlarında kullanılan farklı virüslerin parmak izleri listesinin gerçek zamanlı olarak güncellenebileceği anlamına gelmektedir. Buna karşılık, belli başlı savunma teçhizatı yıllarca kullanılmak amacıyla yapılmıştır – örneğin, ilk uçuşunu 1954’te yapan Hercules C-130’lar ve farklı türleri hâlâ kullanılmaktadır.


Siber savunmanın maddi ve maddi olmayan maliyetleri


Tüm bunların ışığında, siber savunma harcamaları çok çeşitli şeyler için yapılabilir. Bunlar maddi olabildiği gibi maddi olmayan harcamalar olabilir, bir kerelik yatırımlar olabilir, aylık, yıllık veya düzensiz yapılan harcamalar olabilir.

Doğal olarak harcamaların çoğu insan için yapılan harcamalardır. Bunlar maaş ve emeklilik gibi doğrudan yapılan ödemeler olabildiği gibi eğitim, kurslar ve tatbikatlar için yapılan harcamalar da olabilir. Devletin siber güvenlik uzmanlarını işe alması ve o işte kalmalarını sağlayabilmesi çok zor olduğu için (özel sektördeki cazip maaşlar nedeniyle), bu maliyetler hayli yüksek olabilir: nitekim uzmanlar siber savunma harcamalarının bu kadar yüksek olmasının ana nedeninin bu olduğu görüşündedirler.

Öncelikle Güvenlik Operasyonları Merkezlerine daha fazla yatırım yapılmalıdır
)

Öncelikle Güvenlik Operasyonları Merkezlerine daha fazla yatırım yapılmalıdır

Aynı zamanda iş gücü maliyeti de göz önünde bulundurulmalıdır. İş gücü maliyetine siber savunmanın tasarımı, uygulanması ve sürdürülmesi, güvenlik sistemlerinin güncellenmesi, kötü amaçlı kodların geri derlenmesi, ve sertifikasyon işlemleri için harcanan zaman da dahil olabilir.

Son olarak, siber savunmanın niteliğinden kaynaklanan bir başka maddi olmayan maliyet de koordinasyon, bilgi paylaşımı ve işbirliğinin oluşturulması için harcanan zaman ve emektir. Siber savunmanın bir “takım oyunu” olduğu, bu konuda “temeli güvenin oluşturduğu” sık sık söylenir. Güvenilir bir ağın yaratılması ve kurulması ve bilgi alışverişi için ne kadar zaman harcandığı göz önüne alındığında bu ilkelerin önemi iyice ortaya çıkar. İçinde bulunduğumuz video telekonferans devrinde bile güven oluşturmada yüz yüze yapılan bir görüşmenin yerini hiçbir şey alamaz.

Maddi harcamalar en bariz harcama şekli olmakla birlikte, yukarıda sözü edilen faaliyetlere kıyasla siber savunma için yapılan toplam harcamaların sadece küçük bir bölümünü oluştururlar. Bunlar donanım, yazılım, yazılım lisansları (genellikle binlerce, hatta milyonlarca Dolar veya Avroya kadar çıkabilir) ve kullanılacak ortama göre uyarlanmaları ve entegrasyonları için yapılan harcamalardır. Tekrar tekrar yapılan harcamalar genellikle Yönetilebilir Güvenlik Hizmeti Sağlayıcıları tarafından sağlanan, örneğin müşterileri adına tehdit analizi yürütmek gibi, dışarıdan alınan siber savunma gibi hizmetler için yapılır. Teknoloji için yapılan diğer harcamalar arasında henüz ortaya çıkmamış yazılım zafiyetlerinin (“sıfırıncı gün açığı”) satın alınarak diğerleri tarafından satın alınıp kullanılmalarının önlenmesi için yapılan harcamalar da sayılabilir.

Son olarak, yeni buluşları teşvik etmek amacıyla da harcama yapılabilir – giderek önem kazanan bu konuda siber savunmayı iyileştirme konusundaki mevcut araştırma ve geliştirmeden yararlanılabilir. Bu da sanayiye veya ARGE faaliyetlerine destek sağlayarak gerçekleştirilebilir.

Hiçbir şey yapmamanın maliyeti

Siber savunmanın bütçe üzerindeki pek fark edilmeyen sonuçlarını anlayabilmek de en az sanal dünyadan gelen hayalet saldırıları araştırmak kadar zor olabilir.

Bununla beraber, siber güvensizliğin getirebileceği maliyet ve birçok ülkenin siber tehlikelere verdiği önem konusundaki tahminlere bakıldığında, siber savunmaya harcanan paraya gerçekten değdiği görülür. Örneğin, Bangladeş Merkez Bankasının Swift sistemine yapılan siber saldırı, yaklaşık 81 milyon Amerikan Dolarına mal olmuştu – bu Bangladeş için çok büyük bir meblağ idi.

Yeniliklere harcama yapmak giderek daha da önemli olacak ve siber savunmanın geliştirilmesinde mevcut araştırma ve geliştirmeden yararlanılabilecektir.
)

Yeniliklere harcama yapmak giderek daha da önemli olacak ve siber savunmanın geliştirilmesinde mevcut araştırma ve geliştirmeden yararlanılabilecektir.

Özel sektörde, 2015 yılında İngiliz telekomünikasyon şirketi TalkTalk’a yapılan siber saldırı sonucunda şirket 40-45 milyon Sterlin gibi büyük bir zarara uğramış, ayrıca yüzbinlerce müşteri kaybetmesinin yanı sıra ticaret gelirlerinde de 15 milyon Sterlin kadar zarar etmişti.

Harcamalarda öncelikler

Bu tür ekonomik zararlara uğramamak için harcamaların sadece ne kadar olduğuna değil nerelere yapıldığına da dikkat edilmelidir.

İyi sonuçlar almanın anahtarı istihdam, işte kalmayı sağlama, eğitim ve öğretim gibi insan sermayesine yapılan harcamalardır. Bu nedenle, harcamanın doğru hedefe yönelik olması gereklidir – özellikle de yetenekli insanların küresel çapta arandığı, özel sektörün üstün yeteneklere sahip, bilgili uzmanları kolayca cezbedebildiği bu ortamda. Harcamalar konusunda yapılan hesaplar aynı zamanda siber savunma harcamalarının büyük bir çoğunluğunun aynı bir buzdağı gibi “suyun altında” kaldığını, güven oluşturabilmek için sürdürülebilir koordinasyon, işbirliği ve bilgi alış verişi için zamana (ve dolayısıyla bütçeye) ihtiyaç olduğunu göz ardı etmemelidir.

Siber Savunma Taahhüdü

Bu konuların NATO içerisinde savunma harcamaları ile ilgili daha geniş siyasi tartışmalar kapsamında müttefikler arasında çözümlenmesi gerekir. Siber Savunma Taahhüdü, İttifak içinde siber savunma ve önceliklendirme konusunda yapılacak tartışmalar için bir platform oluşturabilir. Müttefiklerin Siber Savunma Taahhüdü uygulamalarıyla ilgili raporlardan öğrendikleri bilgiler vasıtasıyla siber savunma ile ilgili deneyimlerin ve en iyi uygulamaların paylaşılması mümkün olacak ve İttifak’ın bütünü için daha etkili ve verimli bir siber savunma sağlanmasına katkısı olacaktır.