En başından açık konuşayım: Bu, yükseltmeye karşı bir argüman değil. İlerleme önemlidir. Yeni yetenekler önemlidir. Güvenlik iyileştirmeler önemlidir. Tehlikeli olan yükseltme değil, hareketin güvenliğe eşit olduğu umuduyla başka birinin zaman çizelgesinde refleks olarak yükseltme yapmaktır.
Bu ayrım önemlidir, çünkü son olaylar seçim, görünürlük ve muhakeme yeteneğinin sessizce ortadan kalkması durumunda neler olabileceğini göstermiştir.
Origina’nın Kurucu Ortağı ve Baş İnovasyon Sorumlusu.
Airbus, A320 ailesi jetlerini güneş ışınımına bağlı bir uçuş kontrol arızası nedeniyle yere indirdiğinde, bu bir niş havacılık sorunu gibi görünüyordu. Değildi. Bu, takıntılı güvenlik mühendisliği ve değişiklik kontrolü üzerine kurulu endüstrilerin bile kritik bağımlılıkların içine gömülü yazılım riskine maruz kalabileceğini hatırlatıyordu.
Ve eğer bu, fazlalığı, sertifikasyonu ve disipliniyle havacılıkta olabiliyorsa, her CIO’ya bir duraklama nedeni vermelidir.
Aynı modelin başka yerlerde de uygulandığını gördük. Milyonlarca Windows makinesini kullanılamaz hale getiren CrowdStrike güncellemesi. İnternetin büyük bir kısmına yayılan Cloudflare kesintisi.
Her durumda, yukarı yönde meydana gelen bir değişiklik veya başarısızlık, aşağı yönde doğrudan sonuçları tetikledi. Ancak daha derindeki sorun yalnızca güncelleme değildi. Bağımlılık ve onunla birlikte gelen varsayımlardı.
Gizli bağımlılıklar ve devralınan risk
Airbus örneğinde, modern kablolu uçuş uçakları doğası gereği sıkı bir şekilde entegre edilmiş yazılım sistemlerine bağımlıdır. Bu sistemler, yeterince dayanıklı olmadıkları bir arıza moduyla karşılaştıklarında, basit bir operasyonel kaçış kapısı yoktu.
Uçaklar, mühendislerin dikkatsizliği nedeniyle değil, güvenliğin kesinlik gerektirmesi ve kesinliğin uçuşa devam etmeden önce değişiklik gerektirmesi nedeniyle yere indirildi. Cloudflare de benzer bir hikayeyi internet ölçeğinde anlatıyor.
Cloudflare güçlü bir operasyon yürütüyor ve kritik hizmetler sağlıyor. Buradaki kötü adam onlar değil. Ancak artık internetin büyük bir kısmı az sayıda paylaşılan bilgiye bağlı altyapı için sağlayıcılar DNSyönlendirme, güvenlik ve kullanılabilirlik.
Hizmetlerini tamamen bu platformlara dayanacak şekilde tasarlayan kuruluşlar, başarısızlık türlerini miras alırlar. Bir çekirdek hizmet aksadığında, genellikle hafif bir bozulma olmaz, sadece çok sert bir duruş olur.
Bu, modern BT sitelerinin rahatsız edici gerçeğidir. Bağımlılık özgür değildir. Yetenek dışarıdan temin edildiğinde kontrol seyreltilir. Sistemler esneklik, çeşitlilik ve geri dönüş göz önünde bulundurularak kasıtlı olarak tasarlanmadığı sürece kuruluşlar, tam olarak anlayamayabilecekleri riskleri sessizce üstlenirler.
Teknik liderler neye bağlı oldukları, bu bağımlılıkların nasıl başarısız olduğu ve başarısız olduklarında ne olacağı konusunda açık olmalıdır.
Güvenliğe giden çizgiyi aşan aksama
İşte bu noktada aksaklıklar artık rahatsızlık olmaktan çıkıyor ve bir güvenlik sorunu haline geliyor. Hastaneler, acil servisler, kamu hizmetleri ve mali Pazarlar, onlarca yıldır bir araya getirilen yazılım katmanları üzerinde giderek daha fazla faaliyet gösteriyor.
Entegrasyonlar birikiyor, sorumluluk parçalarına ayrılıyor ve hiç kimse uçtan uca etkiyi tam olarak göremiyor. Böyle bir ortamda “rutin” değişiklikler bile gerçek risk taşıyabilir.
Bir tedarikçi güncellemesi veya harici kesinti, hasta kayıtlarına erişimi geciktirebilir, sevk sistemlerini bozabilir veya önemli anlarda insanların güvendiği hizmetleri kesintiye uğratabilir. Havacılık, aksi kanıtlanana kadar değişimin tehlikeli olduğunu varsayar. Pek çok dijital site, bir şeyler bozuluncaya kadar değişimin hala güvenli olduğunu varsayıyor.
Ancak hakim anlatı değişmeden kalıyor: Güncel kalın, hızlı hareket edin, satıcıya güvenin.
Bu anlatı teşviklerle güçlendiriliyor. Satıcılar yükseltme ivmesi için ödüllendirilir. Destek modelleri, gelir ve ürün stratejileri buna bağlıdır. Aşağı yöndeki operasyonel etki, güvenlik vakalarının yeniden test edilmesi ve personelin yeniden eğitilmesi tamamen müşteri.
Açgözlülüğün ortaya çıktığı yer burasıdır. Kötü niyet olarak değil, iş modeline eklenen kayıtsızlık olarak. Değişimi zorlayan insanlar, işler ters gittiğinde sonuçlarını hissetmezler.
İtaat değil seçim, yükseltmeleri teşvik etmelidir
Yükseltmeler isteğe bağlıdır. Bunlar, satıcının bir sürümü “desteklenmediğini” bildirmesi nedeniyle değil, yalnızca kuruluş sunduğu yeni yeteneği istediğinde gerçekleşmelidir. Yazılım son kullanma tarihi taşımaz.
Modern güvenlik uygulamalarında, en son yama uygulandığında riskin giderildiği ve işin tamamlandığı yönünde tehlikeli bir inanış vardır. Gerçekte yama uygulamak, riske verilecek olası yanıtlardan yalnızca biridir ve bazen yanlıştır.
Bir yama maruz kalmayı azaltabilir, ancak aynı zamanda istikrarsızlık, yeni güvenlik açıkları veya tamamen yeni hata modları da ortaya çıkarabilir.
En güçlü savunma şekli hız değil anlayıştır. Neye maruz kaldığınızı, bu maruziyetin ortamınızda nasıl ortaya çıktığını ve hangi kontrollerin veya hafifletici önlemlerin gerçekte pratikte riski azalttığını bilmek. Bu varsayım değil kanıt gerektirir. Çoğu zaman yama yapmak bir karardan ziyade bir ritüel haline gelir.
Düzenleyici baskılar istemeden de olsa bu davranışı güçlendirebilir. Dayanıklılığı artırmak için tasarlanan çerçeveler bazen “en son düzeltmeyi uygulayıp devam etmeye” indirgenir. Uyumluluk bir onay kutusu haline gelir.
Güvence, performansa dönüşür. Yeni yamalı bir sistem hâlâ yeterince anlaşılmayabilir, yeterince izlenemez ve yeterince savunulamaz.
Risk, mimariniz ve işletim modeliniz için anlamlı olan kontroller kullanılarak bilinçli bir şekilde yönetilmelidir. Bazen buna yükseltme de dahildir. Genellikle izolasyon, telafi etme, sertleştirme veya izleme yerine. Kararı korku veya satıcı baskısı değil, kanıtlar yönlendirmelidir.
CIO’lar satıcı teşviklerini değiştiremeyebilir ancak kendi duruşlarını değiştirebilirler. Sektörün ihtiyaç duyduğu gerçek yükseltme, yeni bir yazılım sürümü değildir. Bu, uyumluluktan kavramaya, hızdan içerikliliğe ve “yamalı”dan “esnek”e doğru bir zihniyet değişimidir. Çünkü yılan yağı ile kritik sistemler hâlâ birbirine karışmıyor.
En iyi çevrimiçi siber güvenlik kursunu sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro