İnsan yorgunluğu, siber güvenlik için karmaşık bilgisayar kodlarından neden çok daha büyük bir tehdit?

Teknik açıklardan sosyal mühendisliğe doğru yaşanan bu kayma, dijital tehdit ortamını temelden değiştirdi. Yıllardır küresel siber güvenlik sektörü, daha yüksek güvenlik duvarları inşa etmeye ve gelişmiş antivirüs yazılımları kullanmaya odaklandı. Oysa IBM'in Veri İhlali Maliyeti Raporu'ndaki veriler, çalınan veya ele geçirilen kimlik bilgilerinin ve kimlik avı (phishing) planlarının en yaygın ilk saldırı yöntemleri olmaya devam ettiğini sürekli olarak ortaya koyuyor. Amerika Birleşik Devletleri'nde Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), fidye yazılımı gruplarının gelişmiş savunmaları aşarak en zayıf ve en insani halkaları hedef aldığı konusunda defalarca uyarıda bulundu. Bunun en net örneğini 2018 yılında Atlanta şehri durma noktasına geldiğinde gördük. Bilgisayar korsanları akıl almaz derecede karmaşık bir dijital silah kullanmadılar; zayıf parolaları ve dışa açık sunucuları istismar etmek için SamSam adlı bilinen bir fidye yazılımı türünü kullandılar. Bu saldırı belediye hizmetlerini felç etti, belediye çalışanlarını raporları elleriyle yazmaya zorladı, yerel mahkeme sistemini kaosa sürükledi ve nihayetinde sorunun çözülmesi vergi mükelleflerine milyonlarca dolara mal oldu.

Bu zafiyetin temelinde yatan neden, toplumların kullandığı araçlar ile bu araçların bakımından sorumlu kişiler arasındaki tehlikeli kopukluktur. Dünya genelinde kritik altyapılar giderek daha fazla oranda yerel yönetimler, bölgesel sağlık ağları ve devlet okulu bölgeleri tarafından yönetiliyor. Bu kurumlar günlük yaşamın dokusuna derinden işlemiş olsa da eski ve modası geçmiş sistemlerle, çok kısıtlı bütçelerle faaliyet gösteriyorlar. Uluslararası bankalar ve çok uluslu teknoloji şirketleri, ağ trafiğini günün her saati izlemek için güvenlik analistlerinden oluşan orduları finanse edebilirken, bir ilçenin su arıtma tesisi veya bölgesel bir hastane bunu yapamıyor. Dahası, yadsınamaz bir insan yorgunluğu unsuru da var. Bu kamu sektörlerindeki çalışanlardan düzenli olarak daha az imkanla daha fazlasını yapmaları, her gün yüzlerce e-posta ve dijital talebi işlemeleri isteniyor. Siber suçlular, güvenilir bir yöneticinin veya tedarikçinin üslubunu taklit eden, kusursuzca yazılmış, son derece kişiselleştirilmiş kimlik avı e-postaları oluşturmak için yapay zekadan yararlandığında, uzun bir mesainin sonundaki yorgun bir çalışanın buna kanması son derece doğaldır. Bu, bireysel zekanın değil, çalışma ortamının bir başarısızlığıdır.

Bu yapısal zafiyetin sonuçları, kilitlenmiş bilgisayar ekranlarının ve gasp edilen kripto paraların çok ötesine uzanıyor. Kamu ve sağlık ağları çöktüğünde, bunun etkileri somut, fiziksel ve son derece endişe verici oluyor. 2022 yılında Kosta Rika hükümeti, ardı ardına gelen fidye yazılımı saldırılarının maliye bakanlığını felç etmesi, sınırlardaki uluslararası ticareti durdurması ve ulusal sağlık sistemini ciddi şekilde sekteye uğratmasının ardından ulusal acil durum ilan etti. Vatandaşlar zamanında tıbbi teşhis alamadı ve malları depolarda çürüyen ihracat şirketleri yıkıcı kayıplar yaşadı. Benzer şekilde Amerika Birleşik Devletleri'nde de sağlık ağlarına yönelik fidye yazılımı saldırıları, hastaneleri rutin olarak ambulansları acil servislerden başka yönlere çevirmeye ve hayat kurtaran ameliyatları ertelemeye mecbur bıraktı. Hasta kayıtları aniden şifrelenip erişilemez hale geldiğinde, doktorlar kör uçuşu yapmak zorunda kalıyor ve bu da hasta güvenliğini temelden tehlikeye atıyor. Dijital alan artık fiziksel dünyaya tamamen sızmış durumda; yani yerel bir hastaneye yapılan siber saldırı artık sadece bir veri ihlali değil, halk sağlığına ve insan hayatına yönelik doğrudan bir tehdit anlamına geliyor.

Bu tehlikeli eğilimi tersine çevirmek, toplumların dijital savunmaya yaklaşımında köklü bir değişim gerektiriyor. Hükümetler ve kurumlar siber güvenliğe sadece bir bilgi teknolojisi masrafı olarak bakmaktan vazgeçmeli ve onu kamu güvenliğinin temel bir direği olarak görmeye başlamalıdır. Bu süreç, sektör uzmanlarının sıfır güven (zero-trust) mimarisi olarak adlandırdığı; tehditlerin ağ içinde zaten var olduğunu varsayan ve hassas verilere erişmeye çalışan her kullanıcı için sürekli doğrulama gerektiren bir çerçeveye doğru paradigma kayması ile başlar. Ancak teknolojik çerçeveler tek başına yeterli değildir. En etkili savunma, insanın direncini merkeze almalıdır. Belediyelerin ve sağlık hizmeti sunucularının, federal veya ulusal hükümetlerden özellikle siber güvenlik eğitimi ve sistem modernizasyonu için ayrılmış güçlü ve sürekli fonlara ihtiyacı vardır. Çalışanları yılda bir kez izlenen sıkıcı uyumluluk videolarına maruz bırakmak yerine, kurumların çalışanların işleyişi yavaşlattıkları için ceza alma korkusu yaşamadan şüpheli talepleri doğrulama konusunda kendilerini yetkin hissettikleri bir güvenlik kültürü oluşturmaları şarttır. Dahası, fidye yazılımı çetelerinin gasp ettikleri fonları cezasız bir şekilde aklamalarına olanak tanıyan finansal ağları izlemek ve çökertmek için uluslararası işbirliği de hayati önem taşımaktadır.

Çok uzun bir süredir dijital savunma etrafındaki kamusal tartışmalar, teknik jargonlar ve teknolojik elitlere yönelik yersiz bir odaklanma nedeniyle gölgede kaldı. En iyi alarmlarla donatılmış dijital kaleler inşa ettik, ancak anahtarları ellerinde tutan insanları desteklemeyi unuttuğumuz için ön kapıyı ardına kadar açık bıraktık. Günlük yaşam; suyumuzu, sağlığımızı ve ekonomilerimizi yöneten ağlardan tamamen ayrılmaz hale geldikçe, dijital savunmanın insan unsurunu göz ardı etmenin bedeli çok daha ağırlaşıyor. Güvenli bir gelecek, sadece daha iyi yazılımlar üreterek garanti altına alınamaz. Güvenli bir gelecek; dijital altyapımızın ancak insan kurumları ve bu altyapıyı ayakta tutmakla görevli yorgun çalışanlar kadar dirençli olabileceğini kabul etmekle sağlanacaktır. Modern siber güvenliğin asıl savaş alanı uzaklardaki bir sunucuda değil, toplumu ayakta tutan insanların günlük rutinlerinde yer almaktadır.