Dayanıklılık, aksaklıkları öngörme, tanımlama, bunlara yanıt verme, absorbe etme ve bunlardan kurtulma becerisi olarak tanımlanabilir. Bu, insanlarda olumlu bir özellik olarak aşina olduğumuz bir niteliktir, ancak artık toplum ve ekonomilerin işleyişi için hayati önem taşıyan hizmet ve kaynakları sağlayan kuruluşlardan yasalar gereği talep edilmektedir. Bu yazıda, dayanıklılığın neden kritik kuruluşların operasyonlarına ve tüm değer zincirlerine yerleştirilmesi gerektiğine bakıyoruz.
Herhangi bir kuruluşun faaliyetlerinin kesintiye uğrayabileceği yollar sayısız olup her geçen gün artmaktadır.
Fidye yazılımlarının "ticarileştirilmesi" nedeniyle siber saldırıların yaygınlaşması, bir başka belirgin örnektir. Ancak tüm potansiyel kesintiler suç niyetinden kaynaklanmamaktadır. İnsan hatası ve kazalar, operasyonel kesintinin en yaygın nedenleri olmaya devam etmektedir.
Hammadde sıkıntısı ve küresel olarak birbirine bağlı tedarik zincirlerinin kesintiye uğraması da ani bir etki yaratabilir. Eminim hepimiz 2021 yılında Ever Given kargo gemisinin Süveyş Kanalı'nda altı gün boyunca mahsur kalmasının yol açtığı kaosu hatırlıyoruzdur. Liste, kilit makine ve süreçlerdeki arızalardan jeopolitik çatışmalara, ticaret savaşlarına ve daha fazlasına kadar uzanan geniş bir yelpazede devam etmektedir.
Bu nedenle dayanıklılık ihtiyacı tüm kuruluşlar için bir öncelik haline gelmiştir. Bununla birlikte, bir ülkenin kritik altyapısının herhangi bir yönünü sağlayanlar için dayanıklılık o kadar önemli hale geldi ki, düzenleyici bir zorunluluk haline geldi.
Bu nedenle, odak noktası "kritik altyapı"dan "kritik kuruluşlar"a doğru genişlemiş ve böylece bir ülkenin ekonomik veya toplumsal refahı için merkezi olarak tanımlanan, giderek büyüyen bir endüstri listesini desteklemede, ne kadar küçük olursa olsun bir rol oynayan tüm kuruluşları kapsamıştır.
Kritik kuruluşlar için artan mevzuat talepleri
Avrupa'da siber güvenlik odaklı NIS2 Direktifi ve daha geniş kapsamlı Kritik Kuruluş Dayanıklılık Direktifi (CER), artık AB üye ülkelerinde kanun olarak yürürlüğe girmektedir. Her ikisi de "kritik kuruluşlar" olarak tanımlanan organizasyonlar üzerinde önemli talepler getirmektedir. Bunlar, temel toplumsal işlevlerin sürdürülmesinde, ekonominin desteklenmesinde, kamu sağlığı ve güvenliğinin sağlanmasında ve çevrenin korunmasında temel hizmetler olarak kabul edilen hizmetlerin sağlanmasına herhangi bir şekilde dahil olan kuruluşlardır.
Bu iki direktif birbiriyle derinden bağlantılıdır. İlk kez, iki direktif aynı ve açıkça tanımlanmış kritik kuruluşlar listesini etkiliyor. Sadece bu da değil, yasalar aynı zamanda bu kuruluşların tüm tedarik zincirleri için de geçerli olup, direktiflerin etkisini önemli ölçüde artırmaktadır.
"Dayanıklılığın" tanımlanması (ve kanıtlanması)
Avrupa Komisyonu'nun CER Direktifi dayanıklılığı "Kritik Kuruluşun bir olayı önleme, ona karşı korunma, yanıt verme, direnme, hafifletme, absorbe etme, uyum sağlama ve ondan kurtulma yeteneği" olarak tanımlamaktadır.
Tanımın kendisi, gerekliliklerin genişliğini vurgulamaktadır. Ayrıca, bir kuruluşun tedarik zincirinin bu dayanıklılık tanımını desteklemesini sağlama ihtiyacına ek olarak, faaliyetlerin aksamasına yol açabilecek nedenlerin çeşitliliği ve sayısı da göz önünde bulundurulduğunda, karşılaşılan zorluğun boyutu daha net anlaşılmaktadır.
Temel düzeyde, kritik kuruluşlar maruz kaldıkları tüm potansiyel risklere ilişkin kapsamlı bir anlayışa sahip olduklarını göstermelidir. Bu riskler, altyapıya yönelik fiziksel bir saldırıdan kritik bir makine parçasının veya bileşenin arızalanmasına ve bunların arasındaki her şeye kadar uzanmaktadır.
Kapsamlı risk değerlendirmeleri ve ihlallerin olası maliyeti
Kritik kuruluşların, her dört yılda bir bu risklerin gelişimine yönelik risk değerlendirmeleri yapmaları ve temel hizmetlerinin sağlanmasını kesintiye uğratabilecek tüm ilgili riskleri yeniden değerlendirmeleri gerekmektedir.
Kaçınılmaz olarak, kritik kuruluşların kendileri tarafından yapılan risk değerlendirmeleri de kendi tedarik zincirlerinin dayanıklılıktaki rolünü vurgulayacaktır. Bu durum, risk değerlendirmelerinde bir "şelale etkisi" yaratacaktır; çünkü kritik kuruluşların dayanıklılıkla ilgili direktiflerin taleplerini karşılama çabaları, tedarikçilerinin de benzer şekilde sağlam bir yaklaşım sergilemelerini gerektirecektir.
Temel hizmetlerin sağlanmasını kesintiye uğratan bir olayın meydana gelmesi halinde, kritik kuruluşların olayı önlemek, olaya müdahale etmek ve olaydan kurtulmak için uygun adımları attıklarını kanıtlamaları gerekir.
Bu tür temel kuruluşların ihlalde bulundukları veya tüm riskleri gerektiği gibi değerlendirip hazırlık yapmadıkları tespit edilirse, olası cezalar önemlidir. NIS2, 10 milyon avroya veya kritik kuruluşun bağlı olduğu ana şirket veya grubun bir önceki mali yıla ait dünya çapındaki toplam yıllık gelirinin %2'sine kadar (hangisi daha yüksekse) potansiyel para cezalarını öngörmektedir. CER'in ihlaline yönelik cezalar ulus devletler tarafından belirlenecektir ancak NIS2'dekine benzer büyüklükte olabilir.
İletişimde açıklık, direktiflerin bir diğer talebidir. Her türlü olay rapor edilmeli ve raporlar olayın niteliği, müdahale ve çözümle ilgili olarak açık ve şeffaf bir şekilde paylaşılmalıdır. Bu, diğer kuruluşların bu deneyimden ders çıkarması ve riskleri azaltmaya yönelik kendi yaklaşımlarını uyarlayabilmeleri içindir.
Dayanıklılık ihtiyacının ağ teknolojileri ile desteklenmesi
Kritik kuruluşlar, dayanıklılık ihtiyacını karşılarken, giderek daha gelişmiş analitik yeteneklerin yanı sıra video gözetim kameraları, ses cihazları, erişim kontrol çözümleri, interkomlar, çevresel sensörler ve daha fazlası dahil olmak üzere halihazırda sahip oldukları IP tabanlı teknolojilerin kullanımını yeniden düşünüyorlar.
Dayanıklılık tanımının neredeyse her yönü, ilk risk değerlendirmeleri de dahil olmak üzere bu tür teknolojiler tarafından desteklenebilir. Ağ videosu ve diğer bağlı cihazlar ve sensörler tarafından oluşturulan veriler ve meta verileri, risk oluşturabilecek hemen hemen her durum hakkında farkındalık oluşturmak için analiz edilebilir; bu, düzenlemelerin talep ettiği dayanıklılık kanıtını sağlamada önemli bir faktördür.
Görüntü kalitesindeki ve yapay zeka destekli analitikteki gelişmeler sayesinde, her türlü sorunu önceden daha doğru bir şekilde tespit etme yeteneği büyük ölçüde geliştirilmiştir. Uygun şekilde yönetildiğinde, oluşturulan dijital bilgi akışı, sorunları öngörmenin ve bunlardan kaçınmanın anahtarı olan genel farkındalığı artırır. Otomatik uyarılar hızlı müdahale ve odaklanmış eylem sağlar, yani tehditler ve potansiyel sorunlar olay haline gelmeden önce ele alınabilir.
Tüm risk ortamını azaltma
Geleneksel güvenlik kullanım durumları, kameralı güvenlik sistemlerinin merkezi bir rol oynadığı bariz bir örnek olsa da, çevreyi daha iyi anlama ve analiz etme yeteneği, sağlık ve güvenlik ile operasyonel verimlilik alanlarında çok sayıda kullanım senaryosunu desteklemektedir.
Üretim alanlarında ekstra bir şeffaflık katmanı eklemek için kullanılan sensörlerin (video, ses ve termal) kombinasyonu, kilit makineler veya süreçler gibi kritik varlıklardaki sorunlar hakkında erken uyarı verebilir. Bu, potansiyel arızalardan önce müdahale edilmesine olanak tanır ve zamanla toplanan veriler, kritik varlıkların öngörücü bakımını destekleyecektir.
İlgili sağlık ve güvenlik süreçlerine uyulmaması da önemli bir risk teşkil etmekte olup, herhangi bir olayın operasyonlarda kesintiye yol açması muhtemeldir. Sağlam erişim kontrolü (bir tesisin hassas alanlarına yalnızca yetkili personelin kabul edilmesini sağlamak) ve uygun sağlık ve güvenlik önlemlerine uyulmasını sağlamak için analitik, ağ teknolojisinin dahili riskleri azaltmaya nasıl yardımcı olabileceğinin sadece iki örneğidir.
Dışarıdan gelen fiziksel saldırılar genellikle manşetlerde yer alır; ancak operasyonlarda kesintiye neden olan olayların çoğu, genellikle masum ama bazen de kasıtlı olan içsel eylemler veya hatalardan kaynaklanır. Örneğin, araştırmalar sürekli olarak siber saldırıların büyük çoğunluğunun insan hatasından kaynaklandığını göstermiştir ve aynı durum sağlık ve güvenlik olayları, makine arızaları veya tedarik zinciri darboğazları için de sıklıkla geçerlidir.
Siber güvenlik önemli bir risk alanı olmaya devam ediyor
Kritik kurumlar tarafından kullanılan tüm teknolojilerin kurumun genel güvenlik duruşunu desteklemesi ve siber saldırı riskini azaltmaya yardımcı olması çok önemlidir. Kritik bir kuruluşun faaliyetlerinin bir yönünü güvence altına almak için tasarlanmış bir cihazın kendisi bir risk veya güvenlik açığı oluşturmamalıdır. Cihazlar hem tasarım olarak güvenli olmalı hem de kullanım ömürleri boyunca mümkün olduğunca güvenli kalmalarını sağlayacak süreçlere sahip olmalı, satıcı ve kritik kuruluş yakın işbirliği içinde çalışmalıdır.
Bu, hem genel hem de özel düzenlemelerle giderek daha fazla zorunlu hale getirilmektedir. Bunlar arasında, evdeki akıllı hoparlörlerden veri merkezindeki sunuculara kadar bir ağa doğrudan veya dolaylı olarak bağlı olan her türlü elektronik cihaz için geçerli olan Avrupa Siber Dayanıklılık Yasası ile kritik kuruluşlarla daha spesifik bir bağlantısı olan CER ve NIS2 gibi yasalar yer almaktadır. Siber güvenlik konusunda şeffaflık gösteren tedarikçilerle çalışmak son derece önemlidir.
Dayanıklılık artık bir seçenek değil, bir zorunluluk
Her kuruluşun dayanıklılığı artırmaya yönelik bir ilgi duyması gerekir. En iyi ihtimalle, operasyonlardaki herhangi bir kesintinin karlılık üzerinde kısa vadeli bir etkisi olabilir. En kötü ihtimalle, kuruluşun tüm işini tehdit edebilir. Maliyetler doğrudan ve dolaylı, somut ve soyut, öngörülebilir ve öngörülemeyen olabilir. Bir kuruluşun uzun vadede itibarına olan maliyeti, kısa vadeli mali etkisinden çok daha ağır basabilir.
Sağlıktan finansa, su arıtmadan enerjiye kadar kritik kuruluşlarla ilgili olarak düzenleyici kurumlar, bu hizmetlerin tedarikindeki kesintilerin potansiyel etkisinin ciddiyetinin farkına varmışlardır. Kârlılığa yönelik bir tehdit, başka bir meseledir: halk sağlığına tehdit oluşturması tamamen başka bir şeydir.
Yeni direktifler olumlu bir gelişme olarak değerlendirilmelidir, ancak bunlara uyum sağlamak için gereken çabanın küçümsenmemesi gerekir. Daha büyük kritik kuruluşlar bu yolculuğa başlamış olsa da, kritik altyapı tedarik zincirindeki birçok diğer kuruluş henüz başlamamıştır. Direktifler çok sayıda küçük ve orta ölçekli işletmeyi kapsamaktadır ve bunların birçoğu bu direktiflere uyum sağlamak için gerekli bilgi, uzmanlık ve kabiliyetten yoksun olabilir. Üçüncü taraf uzmanlık ve becerileri yardımcı olabilir, ancak bu hizmetlere olan talep yakında arzı aşabilir. Şimdi harekete geçme zamanı.
