Güvenlik uzmanı Chris Krebs TikTok, yapay zeka ve hayatta kalmanın anahtarı hakkında konuşuyor

Bu iki bölümlük bir serinin birinci kısmı.

VentureBeat kısa bir süre önce ABD İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın eski açılış müdürü Chris Krebs ile (neredeyse) görüştü (CISA) ve en son Kamu Politikası Baş Sorumlusu olarak görev yaptı. SentinelOne. SentinelOne tarafından satın alınan Krebs Stamos Grubunun kurucu ortağıydı. Krebs aynı zamanda Aspen Enstitüsü’nün ABD Siber Güvenlik Çalışma Grubu’nun eş başkanıdır.

Krebs’in ulusal siber güvenlik savunması alanındaki liderliği ve siber tehditlerin küresel dinamikleri, ABD’nin modern dijital tehditlere yaklaşımını şekillendirdi. CISA’daki görev süresi boyunca, pandemi sırasında ulusal siber güvenlik savunmasında önemli ilerlemeler kaydeden 2.500 üyeli bir kuruluşa liderlik etti. Krebs, karmaşık siber güvenlik sorunlarını anlaşılır terimlere ayırma becerisiyle tanınıyor.

VentureBeat, Krebs ile son TikTok mevzuatı, yapay zeka ve şirketlerin siber güvenlik konusunda tetikte olmak için neler yapabilecekleri hakkında konuştu.

VentureBeat’in Chris Krebs ile bugün yaptığı röportajdan öne çıkanlar:

VentureBeat: ABD Senatosunun tasarıyı onaylamadığını varsayarsak, TikTok mevzuatının uzun vadede ulusal siber güvenlik stratejimize ilişkin sonucu nedir?

Chris Krebs: Demek istediğim, ilginç bir soru, değil mi? Çünkü Senato genellikle Meclis gazetesinin zorla beslenmesinden hoşlanmaz. Kendi işlerini yapmayı severler ve ayarlamalar yapacaklarına şüphe yoktur. Yani, her yasa gibi tasarı da mükemmel değil. Muhtemelen bazı kusurları var ve geliştirilebilir ve Senato olaylara kendi katkısını koymayı seviyor. Ve bir dili açıklığa kavuşturacaklarından şüpheleniyorum.

Asıl sorun olan güvenlik konularını düşünüyorum ama aynı zamanda daha geniş bir dış etki sorunu da var. Ve eğer onu ayırırsanız, bence konuyu biraz bulandıran kısım, TikTok ve onun gibi diğer uygulamaların Çin dışında gerçek risklerinin neler olduğudur. Ve bence bu tasarıda gözden kaçırılan başka bir şey de, bunun sadece ByteDance ve TikTok ile ilgili olmaması, her ne kadar TikTok stratejilerinden bunun olmasını istese de. Çok daha geniştir ve bence WeChat ve Çin’den ve aynı zamanda Rusya’dan gelen diğer bazı uygulamalar gibi şeyleri ayrı ayrı ele alabilir. Demek istediğim, Telegram da potansiyel olarak bu duruma sürüklenebilir.

Eğer başarılı olmazsa, yabancı propaganda ve nüfuz potansiyelinin yanı sıra olağanüstü bir veri güvenliği ve veri mahremiyeti sorunuyla karşı karşıya olduğumuzu düşünüyorum. Bu yüzden hâlâ ulusal veya federal bir gizlilik yasasına gerçekten ihtiyacımız olduğunu düşünüyorum ve on yıldır da bunu düşünüyorum.

Artık her Kongrede yarım düzineden fazla kongre oturumu boyunca mahremiyete önem verdik. Ve bu arada, olup bitenler eyalet eyalet olarak değişiyor, yani California, Illinois, New York ve gerçekten bireysel eyalet gizlilik yasalarını belirleyen diğerleri var, ancak bir de Genel Veri Koruma Yönetmeliği (GDPR) olan Avrupa var. bu tempoyu belirlemeye başlıyor ve şimdi GDPR 2’ye geçiyorlar.

En azından AB’de küresel bazda işlem yapan hemen hemen herkes, GDPR’nin gerektirdiği şekilde kendi iç stratejilerini belirlemeye başlıyor. Burada, ABD’de bu tür akışlar yaşanıyor ve istediğimiz yaklaşımın bu olduğunu düşünmüyorum. Kongrenin istemesi gereken yaklaşım bu değil. Avrupa’nın ABD Teknoloji politikasını bir tür varsayılan olarak belirlemesiyle ilgili pek çok şikayet olduğunu biliyorum. Sanırım TikTok’ta olup bitenlere ilk tepkim bu. Bu, bizim adım atmamız gerekecek, yoksa Avrupalılar işlerimizin nasıl yürüyeceğini dikte etmeye devam edecek.

Kaynak: SentinelOne

VB: Ulus devlet saldırganları hiper ölçekleyiciler ve bulut güvenliğindeki boşlukları gördükçe, bu boşlukları istismar edebilecekleri zayıflıklar olarak mı görüyorlar ve bu günlerde Microsoft, Google ve Amazon’un, özellikle de Microsoft’un peşinden bu kadar titizlikle gelmelerinin nedeni bu mu?

Krebs: Bu benim dünyadaki en sevdiğim soru çünkü pazar dinamiklerini tehdit istihbaratı ve siber güvenlikle harmanlıyor. Geriye dönüp son beş yılda dijital dönüşümde yaşanan değişimlere baktığımızda, buluta geçişin on yılı aşkın bir süredir devam ettiğini görüyoruz. COVID gerçekten de birçok kuruluşu şirket içi çözümlerden bulut tabanlı çözümlere geçiş yapmaya zorladı.

Yalnızca CISA’da, bir hafta sonunda aniden evden çalışma düzenine geçen yaklaşık 2.500 kişilik bir iş gücümüz vardı. 2.500 kişi için kuruluş genelinde yalnızca 1.200 VPN lisansımız vardı çünkü… herkesin birdenbire dışarı çıkması için asla yükleme testi yapmıyoruz. Uzaktan çalışma politikamız vardı ancak DC bölgesinde bu çok sınırlıydı. Ama birdenbire herkes evinde oldu. İşe yaramadı.

Tüm yaklaşımımız çöktü ve çöktü, bu yüzden Office 365 ile hizmet olarak işyeri modeline geçmek zorunda kaldık ve bu bizim için gerçekten birçok sorunu çözdü. Önceki dijital stratejinin bizi başarıya ve üretkenliğe götürmeyeceğinin farkına varan tek kuruluş biz değildik. Yani bulutta gerçek bir patlama yaşandı.

Bunu iş tarafında görüyoruz, tahmin edin bunu başka kim görüyor? Kötu adamlar. Kötü adamlar tüm bu trafiğin değiştiğini görüyor ve “Peki, burada neler oluyor?” diyorlar. Çok daha küçük hedeflenebilir kuruluşlar kümesine ve hiper ölçekli buluta, Microsoft, GCP, AWS ve diğerlerine gidiyorlar ve bu da onlara hedefleyebilecekleri çok daha küçük kuruluş kümesi sağlıyor. Ve onlara ulaşıp dokunabiliyorlar çünkü BT bağlantısının doğası gereği bir çeşit şey var.

Başta Çin olmak üzere Rusya da, uzun süredir bu bulut sağlayıcılarının delinmesine karşı kaynak ayırıyor ve öncelik veriyor. Böylece Tianfu Kupası Çin’de bulut güvenlik açıkları, Hyper-V kaçışları ve bunun gibi şeyler için oldukça önemli ödüller sağlıyor. Yani bulutun peşinden gitme konusunda gerçekten bir strateji organize ettiklerini görüyoruz.

VB: Altyapının temel bir parçası olarak hiper ölçekleyicilere ve buluta daha fazla güvenmemizle birlikte, güvenlik açıklarını belirlemek için kırmızı ekip oluşturma yeteneğimiz nasıl değişti?

Krebs: Tarihsel olarak (Microsoft) Exchange veya herhangi bir şirket içi çözümle, hükümetin kırmızı ekipleri Exchange’i ele geçirebilir, onu Fort Mead’deki yedek kulübesine koyabilir ve onu alt edip tüm bu güvenlik açıklarını bulabilirler. ve nasıl saldırılacağı, ama esas olarak nasıl savunulacağı. Ve sonra bunu Microsoft’la paylaşabilirler ve şöyle diyebilirler: “Hey, bu şeyi bulduk, sorunu çözmeniz gerekiyor çünkü eğer biz bulabilirsek, bu başka birinin de bulabileceği anlamına gelir.”

Redmond’da veya başka bir genel bulut sisteminde bulunan bulutta barındırılan bir çözümde bu yeteneğe sahip değilsiniz. Bu yasal. Hükümet bunu yapamaz. Bulut sağlayıcılarının Fort’a ya da istihbarat topluluğuna verdiği özel bulut örneklerinin bazı yeni ortaya çıkan yetenekleri var, ancak bunlar o kadar yaygın değil ve kesinlikle erişilmesi de o kadar kolay değil. Dolayısıyla, ticari bulut sağlayıcıları bir dereceye kadar ulusal güvenlik topluluğundan, işlerin yürüme şekli, sözleşmeler ve kanunlar nedeniyle bir zamanlar aldıkları destek ve faydanın aynısını alamıyorlar. Dolayısıyla, farklı bir teknolojik dağıtım olsaydı vereceğimiz mücadeleyle mücadele eden aynı takıma sahip olmamız gerekmez.

Ve sanki bulut sağlayıcıları bu sorunla tek başlarına mücadele ediyormuş gibi. Biraz fikir sahibi oluyorlar ama teknolojik veya teknik açıdan bakıldığında durum eskisi kadar iyi değil.

Ve beni ulusal güvenlik camiasındaki insanlarla yaptığım bu konuşmalara yönlendiren şey de bu; sanki burada pamuk ipliğine bağlıymışız gibi. Bunlardan mümkün olduğunca çok sayıda elde etmemiz gereken bir kriz noktası haline geliyor, ister kamu-özel ortaklıkları olsun, ister… Açıkçası, büyük resimde bunun esas olarak kamu-özel ortaklıkları olduğunu düşünüyorum.

Röportajımızın II. Bölümünde Chris Krebs, özellikle Rusya ve Çin’den gelen siber tehditleri önceden tahmin etmenin önemini ve gelişen tehditlere karşı kritik altyapıyı güvence altına almak için proaktif siber güvenlik önlemlerinin gerekliliğini vurguluyor. Krebs, gelecekteki riskleri ve güvenlik açıklarını etkili bir şekilde ele almak için siber güvenliğe yönelik ileriyi düşünen bir yaklaşımı savunuyor.