Dahi kafalar
New member
Uber bu ay hacklendi. Şirket, olayla bağlantılı olması muhtemel bir gencin Londra’da tutuklandığını ve büyük olasılıkla bir Uber yüklenicisinin kurumsal şifresini aldığını söyledi. Bilgisayar korsanı, bu kişinin erişimini kullanarak Uber’in bazı dahili sistemlerine erişim sağladı: dahili Slack mesajları, faturalar için bir finans aracı ve şirketin güvenlik araştırmacılarının hataları ve güvenlik açıklarını bildirdiği pano. Bu büyük bir olay ve şirket için bir utanç.
Uber, saldırganın, üyelerinin çoğu gençlerden oluşan ve son zamanlarda birkaç teknoloji şirketini hedef alan Lapsus$ adlı bir bilgisayar korsanlığı grubuyla bağlantılı olduğuna inandığını söyledi. Uber ayrıca, olay sırasında kullanıcı verilerinin güvenliğinin ihlal edildiğine dair herhangi bir kanıt görmediğini söyledi. Her zaman sonuçlanacak davalarda, ne olduğu hakkında daha fazla şey öğreneceğiz.
Ancak, ister Federal Ticaret Komisyonu gibi devlet kurumları tarafından, isterse hissedarlar ve hatta müşteriler tarafından açılan toplu dava davaları olsun, şirkete karşı açılan herhangi bir dava, saldırının en yakın nedenlerine odaklanacaktır. Güvenlik ihlallerinin altında yatan nedenler daha temeldir: mevcut ekonomik ve politik güçler, şirketleri hem kişisel hem de ulusal güvenlik pahasına güvenlik konusunda cimri davranmaya teşvik etmektedir. Daha iyisini yapma umudumuz varsa, piyasa teşviklerini değiştirmeliyiz.
Yüksek teknolojili bir start-up şirketi olduğunuzda, birçok alanda büyük olasılıkla köşeleri kesersiniz. İş açısından mantıklıdır — birincil odak noktanız müşteri kazanmak ve risk sermayesi finansmanınız bittiğinde işinizde kalabilmek için yeterince hızlı büyümektir. İşi yürütmek için kesinlikle gerekli olmayan her şey daha sonraya bırakılır ve buna güvenlik kültürü ve uygulamaları dahildir. Bu bir kumar: Güvenlikten ziyade hız ve özelliklere para harcamak, güvenli, ancak yetersiz finanse edilmiş, yetersiz özelliklere sahip olmaktan veya – en kötüsü – bir yıl sonra piyasaya çıkmaktan daha olası bir yoldur.
Güvenlik daha sonra iyileştirilebilir, ancak yalnızca gerekliyse. Start-up dünyasından sağ çıktıysanız ve kaçak bir başarıya dönüştüyseniz, müşterilerinizi veya kullanıcılarınızı karşılamak için ölçeklendirmeniz gerekiyordu. Yeni yüksek profilli müşterileriniz daha fazlasını talep ettiğinden, performansı ve güvenilirliği artırmak zorunda kaldınız. İç sistemlerinizi yüzlerce ve belki de binlerce çalışanınız için çalıştırmanız gerekiyordu. Artık köklü bir şirketsiniz ve öyle görünseniz ve öyle davransanız iyi olur.
Ancak tüm bunlarda, güvenliğinizi yükseltmek için hiçbir zaman teşvikiniz olmadı. Başlangıçta kurduğunuz hızlı ve kirli sistemler hala çalışıyor ve müşterileriniz veya kullanıcılarınız perdenin arkasında neler olduğunu bilmiyor. Çalışanlarınızın, şeflerin mutfakta kalmasının söylenmesi gibi, kimseye söylememeleri bekleniyor. Ve gerçeği söylemek gerekirse, her şeyi güvenlik göz önünde bulundurarak sıfırdan yeniden inşa etmek pahalı ve zaman alıcıdır.
Bu, sadece yeni kurulan şirketlerde değil, şirketlerde tekrar tekrar gördüğüm bir şey. Hatta eski Twitter güvenlik şefi Peiter Zatko’nun (daha çok Mudge olarak bilinir) bu şirketi yapmakla suçlamasıyla aynı şey. Piyasa daha iyisini yapmayı ödüllendirmediğinde, büyük ve küçük şirketler güvenlik konusunda eksik kalıyor. Sonuç olarak, bilgisayar korsanlarının ağlara girmeleri daha kolay olur ve daha önce girerler ve her şeye erişmelerini engelleyen birkaç kontrol vardır.
Bazı şirketler değişikliği yapmayı başarıyor. Bunu Microsoft’ta, Bill Gates 2002’de artık ünlü bir notla şirketin yönünü değiştirdiğinde gördük. Google’ın daha sağlam bir güvenlik kültürüne geçişi, Çin’deki saldırganlar tarafından saldırıya uğramasının ardından 2010 yılında gerçekleşti.
Teşvik eksikliğinin, hareketlerimiz ve alışkanlıklarımız hakkında dosyalar toplayan, görünüşte bilinmeyen sayıda farklı şirket tarafından depolanan tüm kişisel verilerimizin güvenliği üzerinde derin etkileri olduğu açıktır. Ulusal güvenlik açısından da etkileri var. Ülkelerin kendi amaçları için mümkün olduğu kadar çok veri çaldığını biliyoruz. Özellikle Çin, genel olarak Amerikalılar hakkında veri toplayan kaynaklarını kullanıyor. Devlet destekli Çinli bilgisayar korsanlarının, 2015 yılında ABD Kişisel Yönetim Ofisi’nden, özellikle güvenlik iznine sahip olanlar olmak üzere, ABD hükümeti çalışanlarının kişisel verilerinin çalınmasının arkasında olduğuna inanılıyor. Ülkenin sivil casus teşkilatı adına çalıştığından şüphelenilen bilgisayar korsanları, saldırıya uğradı. Ayrıca, 2018’de Marriott otel zincirinden 500 milyon misafir ve 2015’te sağlık sigortası şirketi Anthem’den yaklaşık 80 milyon eski ve mevcut hasta ve çalışanın çalınmasının da arkasında görünüyor.
Tüm bu durumlarda, mağdur kuruluşlar verilerimizi daha iyi koruyabilirdi, ancak gerçek şu ki, piyasa sağlıklı güvenliği ödüllendirmiyor. Çoğu zaman müşteriler, kullanıcılarını içeri kilitlemek için “dijital hendekler” kurdukları için, zayıf güvenlik uygulamalarına sahip şirketleri bile terk edemezler. Müşteriler, zayıf güvenlik uygulamalarına sahip şirketleri terk etmezler. Hisse senedi fiyatlarına yapılan isabetler hızla toparlanır. Bu, güçlü bir azınlığın çoğunluktan yararlandığı klasik bir piyasa başarısızlığıdır ve bu başarısızlık, yalnızca düzenleme yoluyla temsilin düzeltebileceği bir başarısızlıktır.
Kuruluşları iyi güvenlik uygulamalarını sürdürmeye zorlayan güçlü düzenlemelere ihtiyacımız var. Şirkete emanet edilen kullanıcı için esnek güvenlik odak noktası olmalıdır. Uber, telefon uygulamalarına veya çalışanı Slack kanalına yönelik kaynak kodunu kaybederse (örneğin) hükümet düzenlemesi dahil edilmemelidir. Uber, 100 milyondan fazla kullanıcısı tarafından yapılan yolculuklarla ilgili verileri kaybederse, hükümet düzenlemesi dahil edilmelidir. (Uber için bu verinin bir riski: eğlence veya şantaj fırsatları için tek gecelik ilişkiler bulmak için kullanılabilir.)
Herhangi bir düzenlemenin yeniliği bir şekilde bastıracağına dair endişeler abartılı. İyi güvenlik, özellikler, çeviklik veya pazara sunma süresi ile uyumsuz değildir. Ancak öyle bile olsa, akıllı bir internet güvenliği düzenleyici rejimi, bankacılık gibi başarılı endüstri düzenlemelerinden bir sayfa alacak ve gereksinimleri organizasyonun boyutuna göre ayarlayacaktır. Tıpkı küçük bir yerel bankanın, büyük bir ulusal bankanın uyguladığı aynı düzeydeki düzenlemeleri takip etmesi gerekmediği gibi veya bir jumbo jet, tek motorlu iki koltuklu bir uçaktan daha kapsamlı bir ön kontrol listesine sahipse, küçük bir başlangıç için hiçbir neden yoktur. sadece birkaç müşteriye sahip olmak, Twitter veya Uber ile aynı kurallara uymak zorundadır. Ve bir şirket büyüdükçe ve daha başarılı oldukça, güvensizliğin etkisi arttığı için güvenlik gereksinimleri de artmalıdır.
2020’de Rus bilgisayar korsanları internet altyapı şirketi SolarWinds’i ihlal etti. SolarWinds, başlangıçtan kurulu şirkete giden yolu takip etti. Bu özel saldırı bir ulusal güvenlik felaketiydi. Bilgisayar korsanları, erişimlerini İç Güvenlik Bakanlığı ve Dışişleri Bakanlığı gibi ABD devlet kurumları, devlet müteahhitleri, nükleer araştırma laboratuvarları, BT şirketleri ve dünya çapındaki sivil toplum kuruluşları da dahil olmak üzere yaklaşık 18.000 SolarWinds müşterisinin bilgisayar ağlarına sızmak için kullanabildiler. Burada da piyasa, kısa vadeli kârlar adına zayıf güvenlik uygulamalarını ödüllendirdi. Hükümet daha iyilerini görevlendirseydi, işler farklı olabilirdi.
Geçen haftaki Senato Yargı Komitesi’nin “Amerikalıların Özel Bilgilerini Düşman Yabancı Güçlerden Koruma” başlıklı duruşması, kişisel veri gizliliğinin artık bir ulusal güvenlik meselesi olduğunu vurguladı. Düzenleme her derde deva olmasa da – güvenlik dünyasında hiçbir şey yoktur – kurumsal teşvikleri daha geniş toplumsal hedeflerimizle uyumlu hale getirmeye hizmet edecektir. Hepimizi hem bilgisayar korsanlarına hem de yabancı hükümetlere karşı daha güvende tutacak.
Bruce Schneier bir güvenlik teknolojisi uzmanıdır ve yakında çıkacak olan “A Hacker’s Mind: How the Powerful Bend Society’s Rules and How to Bend the Back onları” da dahil olmak üzere 14 kitabın yazarıdır. Harvard Kennedy Okulu’ndaki Belfer Merkezi’nde ve Harvard’daki Berkman Klein İnternet ve Toplum Merkezi’nde öğretim üyesidir.
The Times yayınlamaya kararlı harf çeşitliliği editöre. Bu veya makalelerimizden herhangi biri hakkında ne düşündüğünüzü duymak isteriz. İşte bazıları ipuçları . Ve işte e-postamız: [email protected] .
The New York Times Opinion bölümünü takip edin Facebook , Twitter (@zeynep) ve Instagram .
Uber, saldırganın, üyelerinin çoğu gençlerden oluşan ve son zamanlarda birkaç teknoloji şirketini hedef alan Lapsus$ adlı bir bilgisayar korsanlığı grubuyla bağlantılı olduğuna inandığını söyledi. Uber ayrıca, olay sırasında kullanıcı verilerinin güvenliğinin ihlal edildiğine dair herhangi bir kanıt görmediğini söyledi. Her zaman sonuçlanacak davalarda, ne olduğu hakkında daha fazla şey öğreneceğiz.
Ancak, ister Federal Ticaret Komisyonu gibi devlet kurumları tarafından, isterse hissedarlar ve hatta müşteriler tarafından açılan toplu dava davaları olsun, şirkete karşı açılan herhangi bir dava, saldırının en yakın nedenlerine odaklanacaktır. Güvenlik ihlallerinin altında yatan nedenler daha temeldir: mevcut ekonomik ve politik güçler, şirketleri hem kişisel hem de ulusal güvenlik pahasına güvenlik konusunda cimri davranmaya teşvik etmektedir. Daha iyisini yapma umudumuz varsa, piyasa teşviklerini değiştirmeliyiz.
Yüksek teknolojili bir start-up şirketi olduğunuzda, birçok alanda büyük olasılıkla köşeleri kesersiniz. İş açısından mantıklıdır — birincil odak noktanız müşteri kazanmak ve risk sermayesi finansmanınız bittiğinde işinizde kalabilmek için yeterince hızlı büyümektir. İşi yürütmek için kesinlikle gerekli olmayan her şey daha sonraya bırakılır ve buna güvenlik kültürü ve uygulamaları dahildir. Bu bir kumar: Güvenlikten ziyade hız ve özelliklere para harcamak, güvenli, ancak yetersiz finanse edilmiş, yetersiz özelliklere sahip olmaktan veya – en kötüsü – bir yıl sonra piyasaya çıkmaktan daha olası bir yoldur.
Güvenlik daha sonra iyileştirilebilir, ancak yalnızca gerekliyse. Start-up dünyasından sağ çıktıysanız ve kaçak bir başarıya dönüştüyseniz, müşterilerinizi veya kullanıcılarınızı karşılamak için ölçeklendirmeniz gerekiyordu. Yeni yüksek profilli müşterileriniz daha fazlasını talep ettiğinden, performansı ve güvenilirliği artırmak zorunda kaldınız. İç sistemlerinizi yüzlerce ve belki de binlerce çalışanınız için çalıştırmanız gerekiyordu. Artık köklü bir şirketsiniz ve öyle görünseniz ve öyle davransanız iyi olur.
Ancak tüm bunlarda, güvenliğinizi yükseltmek için hiçbir zaman teşvikiniz olmadı. Başlangıçta kurduğunuz hızlı ve kirli sistemler hala çalışıyor ve müşterileriniz veya kullanıcılarınız perdenin arkasında neler olduğunu bilmiyor. Çalışanlarınızın, şeflerin mutfakta kalmasının söylenmesi gibi, kimseye söylememeleri bekleniyor. Ve gerçeği söylemek gerekirse, her şeyi güvenlik göz önünde bulundurarak sıfırdan yeniden inşa etmek pahalı ve zaman alıcıdır.
Bu, sadece yeni kurulan şirketlerde değil, şirketlerde tekrar tekrar gördüğüm bir şey. Hatta eski Twitter güvenlik şefi Peiter Zatko’nun (daha çok Mudge olarak bilinir) bu şirketi yapmakla suçlamasıyla aynı şey. Piyasa daha iyisini yapmayı ödüllendirmediğinde, büyük ve küçük şirketler güvenlik konusunda eksik kalıyor. Sonuç olarak, bilgisayar korsanlarının ağlara girmeleri daha kolay olur ve daha önce girerler ve her şeye erişmelerini engelleyen birkaç kontrol vardır.
Bazı şirketler değişikliği yapmayı başarıyor. Bunu Microsoft’ta, Bill Gates 2002’de artık ünlü bir notla şirketin yönünü değiştirdiğinde gördük. Google’ın daha sağlam bir güvenlik kültürüne geçişi, Çin’deki saldırganlar tarafından saldırıya uğramasının ardından 2010 yılında gerçekleşti.
Teşvik eksikliğinin, hareketlerimiz ve alışkanlıklarımız hakkında dosyalar toplayan, görünüşte bilinmeyen sayıda farklı şirket tarafından depolanan tüm kişisel verilerimizin güvenliği üzerinde derin etkileri olduğu açıktır. Ulusal güvenlik açısından da etkileri var. Ülkelerin kendi amaçları için mümkün olduğu kadar çok veri çaldığını biliyoruz. Özellikle Çin, genel olarak Amerikalılar hakkında veri toplayan kaynaklarını kullanıyor. Devlet destekli Çinli bilgisayar korsanlarının, 2015 yılında ABD Kişisel Yönetim Ofisi’nden, özellikle güvenlik iznine sahip olanlar olmak üzere, ABD hükümeti çalışanlarının kişisel verilerinin çalınmasının arkasında olduğuna inanılıyor. Ülkenin sivil casus teşkilatı adına çalıştığından şüphelenilen bilgisayar korsanları, saldırıya uğradı. Ayrıca, 2018’de Marriott otel zincirinden 500 milyon misafir ve 2015’te sağlık sigortası şirketi Anthem’den yaklaşık 80 milyon eski ve mevcut hasta ve çalışanın çalınmasının da arkasında görünüyor.
Tüm bu durumlarda, mağdur kuruluşlar verilerimizi daha iyi koruyabilirdi, ancak gerçek şu ki, piyasa sağlıklı güvenliği ödüllendirmiyor. Çoğu zaman müşteriler, kullanıcılarını içeri kilitlemek için “dijital hendekler” kurdukları için, zayıf güvenlik uygulamalarına sahip şirketleri bile terk edemezler. Müşteriler, zayıf güvenlik uygulamalarına sahip şirketleri terk etmezler. Hisse senedi fiyatlarına yapılan isabetler hızla toparlanır. Bu, güçlü bir azınlığın çoğunluktan yararlandığı klasik bir piyasa başarısızlığıdır ve bu başarısızlık, yalnızca düzenleme yoluyla temsilin düzeltebileceği bir başarısızlıktır.
Kuruluşları iyi güvenlik uygulamalarını sürdürmeye zorlayan güçlü düzenlemelere ihtiyacımız var. Şirkete emanet edilen kullanıcı için esnek güvenlik odak noktası olmalıdır. Uber, telefon uygulamalarına veya çalışanı Slack kanalına yönelik kaynak kodunu kaybederse (örneğin) hükümet düzenlemesi dahil edilmemelidir. Uber, 100 milyondan fazla kullanıcısı tarafından yapılan yolculuklarla ilgili verileri kaybederse, hükümet düzenlemesi dahil edilmelidir. (Uber için bu verinin bir riski: eğlence veya şantaj fırsatları için tek gecelik ilişkiler bulmak için kullanılabilir.)
Herhangi bir düzenlemenin yeniliği bir şekilde bastıracağına dair endişeler abartılı. İyi güvenlik, özellikler, çeviklik veya pazara sunma süresi ile uyumsuz değildir. Ancak öyle bile olsa, akıllı bir internet güvenliği düzenleyici rejimi, bankacılık gibi başarılı endüstri düzenlemelerinden bir sayfa alacak ve gereksinimleri organizasyonun boyutuna göre ayarlayacaktır. Tıpkı küçük bir yerel bankanın, büyük bir ulusal bankanın uyguladığı aynı düzeydeki düzenlemeleri takip etmesi gerekmediği gibi veya bir jumbo jet, tek motorlu iki koltuklu bir uçaktan daha kapsamlı bir ön kontrol listesine sahipse, küçük bir başlangıç için hiçbir neden yoktur. sadece birkaç müşteriye sahip olmak, Twitter veya Uber ile aynı kurallara uymak zorundadır. Ve bir şirket büyüdükçe ve daha başarılı oldukça, güvensizliğin etkisi arttığı için güvenlik gereksinimleri de artmalıdır.
2020’de Rus bilgisayar korsanları internet altyapı şirketi SolarWinds’i ihlal etti. SolarWinds, başlangıçtan kurulu şirkete giden yolu takip etti. Bu özel saldırı bir ulusal güvenlik felaketiydi. Bilgisayar korsanları, erişimlerini İç Güvenlik Bakanlığı ve Dışişleri Bakanlığı gibi ABD devlet kurumları, devlet müteahhitleri, nükleer araştırma laboratuvarları, BT şirketleri ve dünya çapındaki sivil toplum kuruluşları da dahil olmak üzere yaklaşık 18.000 SolarWinds müşterisinin bilgisayar ağlarına sızmak için kullanabildiler. Burada da piyasa, kısa vadeli kârlar adına zayıf güvenlik uygulamalarını ödüllendirdi. Hükümet daha iyilerini görevlendirseydi, işler farklı olabilirdi.
Geçen haftaki Senato Yargı Komitesi’nin “Amerikalıların Özel Bilgilerini Düşman Yabancı Güçlerden Koruma” başlıklı duruşması, kişisel veri gizliliğinin artık bir ulusal güvenlik meselesi olduğunu vurguladı. Düzenleme her derde deva olmasa da – güvenlik dünyasında hiçbir şey yoktur – kurumsal teşvikleri daha geniş toplumsal hedeflerimizle uyumlu hale getirmeye hizmet edecektir. Hepimizi hem bilgisayar korsanlarına hem de yabancı hükümetlere karşı daha güvende tutacak.
Bruce Schneier bir güvenlik teknolojisi uzmanıdır ve yakında çıkacak olan “A Hacker’s Mind: How the Powerful Bend Society’s Rules and How to Bend the Back onları” da dahil olmak üzere 14 kitabın yazarıdır. Harvard Kennedy Okulu’ndaki Belfer Merkezi’nde ve Harvard’daki Berkman Klein İnternet ve Toplum Merkezi’nde öğretim üyesidir.
The Times yayınlamaya kararlı harf çeşitliliği editöre. Bu veya makalelerimizden herhangi biri hakkında ne düşündüğünüzü duymak isteriz. İşte bazıları ipuçları . Ve işte e-postamız: [email protected] .
The New York Times Opinion bölümünü takip edin Facebook , Twitter (@zeynep) ve Instagram .