Pazar, Kasım 24, 2024

Crowdstrike başarısız olamayacak kadar büyük

2008 finansal krizinden öğrenmek ve sistemik olarak önemli teknoloji şirketlerine dikkat etmek lâzım.

Bugün bu köşede geçen hafta sonu meydana gelen ve tüm dünyayı ve tabi ki de ülkemizi de etkileyen bilgisayarlar ile ilgili krizin değerlendirmesini yapan ve ABD’nin araştırmacı kuruluşlarından RAND Corporation’da görevli Jonathan Welburn’ün Wall Street Journal’da da yayınlanan makalesine yer veriyorum.

Sosyal medyamızda Amerika sopayı gösterdi vs gibi yorumlarla değerlendirilen bu olay aslında en başta Amerika’yı etkilemişti. Bizde de tam açıklanmasa da nelerin tam olarak etkilendiği belli değil. Ancak Belediyelerde inşaat ruhsatlarının bile kesilememesi, sistemden özellikle etkilenen Windows programlarının yaygınlığı düşünülürsetüm dünyada dijital iletişim önemli bir zorlukla karşılaştı. Windows’a göre 8,5 milyon bilgisayar etkilenmişti ama artık bilgisayarların entegrasyonu o kadar yaygın ki, bu 8,5 milyon bilgisayara nedeniyle etkilenen diğer sistemlerin de olduğunu varsaymak pek yanlış olmayacaktır. Welburn’ün yazısı aşağıda yer alıyor.

Geçen hafta dizüstü bilgisayarınızı kullanamadıysanız yalnız değildiniz. Cuma günü dünya çapında bir bilgisayar sistemleri kesintisi yaşandı; uçuşları durdurdu, trenleri duraklattı ve işletmeleri durma noktasına getirdi. Daha da kötüsü, küresel bağlantının risklerini vurgulayan özellikle kamu güvenliği, ekonomik istikrar ve ulusal güvenlik açısından kritik olan firmaları etkileyen bu kesintinin tek bir güvenlik güncellemesine dayandığı belirlendi, .

Siyah ekranın sorumlusu CrowdStrike, iddiaya göre 29.000 müşteriye hizmet veren bir güvenlik şirketi. Etkilenenler sadece bu müşteriler değildi; bir CrowdStrike yazılım güncellemesi aksadığında, Microsoft Windows kullanan milyonlarca insanın bilgisayarı ve tabletleri çöktü.

Bu tür bir domino etkisiyle ilk kez karşılaşmıyoruz. 2008 bankacılık krizinin kalıcı dersi, bir pazarın bir köşesindeki başarısızlıkların ekonominin tamamında yayılabilmesidir. Bu yüzden Kongre, belirli bankaları “başarısız olamayacak kadar büyük” olarak kabul etti ve ardından finansal sistemde yeni düzenlemeler ve denetimler benimsedi. Hükümet, “global sistemik öneme sahip bankaları” tanımladı ve bunları sürekli olarak stres testlerinden geçiriyor.

CrowdStrike kesintisi, bu sorunun finansla sınırlı olmadığını ve ilk uyarı olmadığını açıkça ortaya koyuyor. 2017’deki çift siber saldırı, bir Windows güvenlik açığından yararlanarak dünya çapında binlerce kuruluşa fidye yazılımı saldırısı başlattı. Saldırılar işletmeleri, hastaneleri ve okulları çökertti.

Nakliye devi Maersk, müşterilerini, müşterilerinin müşterilerini ve böyle devam eden tedarik zinciri kesintilerini tetiklediği için zararlarının 300 milyon dolara kadar çıktığını bildirdi. 2021’deki bir araştırma makalesinde, Aaron Strong ve ben bu kayıpları modelledik ve sadece Maersk kesintisinin küresel ekonomi genelinde 10 milyar dolardan fazla maliyeti olabileceğini tahmin ettik. 2020 SolarWinds ihlali ve 2021 Colonial Pipeline saldırısı gibi diğer siber saldırılar da bağlantılı firmalar üzerindeki etkilerinin ne kadar yıkıcı zincir reaksiyonlarına yol açabileceğini gösterdi.

Neyse ki ABD tehlikeye karşı uyanık. 2020’de Kongre’ye sunulan bir raporda, tarafsız bir kurum olan Cyberspace Solarium Komisyonu, siber saldırılara karşı ABD savunmasını güçlendirmek için önlemler önerdi. Hükümet bu önerilerden bazılarını zaten uygulamaya başladı, örneğin yeni bir ulusal siber direktör ve işbirlikçi bir siber savunma oluşturdu.

Cybersecurity and Infrastructure Security Agency (CISA) ekonominin çeşitli sektörlerinde sistemik öneme sahip kuruluşların bir listesini oluşturmak amaçlı bir öneriyi uygulamaya koymaya çalışıyor: Sürekli evrilen jeopolitik ve ekonomik ortamımız göz önüne alındığında, bu son derece önemli. Bugünün listesi teknoloji, iletişim, enerji ve finans alanlarında yoğunlaşmış ve bağlantılı firmaları içerebilir. Yarının listesi, ileri teknoloji yapay zeka modelleri ve sistemlerinin arkasındaki daha da küçük bir gruba odaklanabilir. Ajans ilerledikçe, güncellenmiş listesini kamuoyuna açıklamalıdır.

Geçen yıl RAND, bu kuruluşları tanımlamak ve önceliklendirmek için bir yaklaşım belirledi. Bir firmanın büyüklüğünü, küresel tedarik zincirindeki rolünü ve pazar payını ölçerek “sistemik önem”i nasıl belirleyebileceğimizi araştırdık.

CrowdStrike kesintisi, küresel ekonominin ve ABD ulusal güvenliğinin saldırıya açık olduğunu açıkça ortaya koyuyor. Sektörler ve yargı alanları boyunca binlerce firma faaliyet gösteriyor. Risklerini yönetmek, hükümet içi ve belki de uluslararası koordinasyon gerektirecektir.

Bu çalışma, endişe verici endüstrileri tanımlamakla başlar, bilgi paylaşımı için iletişim kanalları açar ve gerekli olduğunda açıklamaları gerektirir. Politika oluşturanlar, potansiyel başarısızlık kaynaklarını belirlemek için stres testleri gibi araçları kullanmalı, kesintilere karşı plan yapmalı ve herhangi bir düzenlemenin piyasayı bozmadığından emin olmalıdır.

Dünya 2008’den beri değişti. Washington’un sadece bankalara değil, ekonomiyi alt üst edecek ve güvenliğimizi tehdit edecek çeşitli organizasyonlara da dikkat etmesi gerekiyor. Bugün bu olasılıklar için plan yapmak, direncimizi güçlendirebilir ve tekrar karanlıkta kalmamamızı sağlayabilir.

Ahmet Sükûti Tükel

Diğer Yazarlar