Polonya'da siber güvenlik: Koruma yanılsaması mı yoksa gerçek bir strateji mi? Uzmandan güçlü sözler

• Polonya'da siber güvenlik çoğu zaman yanıltıcıdır çünkü gerçek sistemsel çözümler yerine, kesin olmayan tanımlara, dağınık yatırımlara ve insan hatalarına dayanmaktadır. Bunlar, Evercom'un kurucusu Paweł Nogowicz'in vardığı sonuçlardır. Avrupa Ekonomi Kongresi'nde bunlardan bahsetti.
• Girişimcilerin kullanıcı güvenliğinden çok kâr odaklı olması nedeniyle, güvencesiz ürünlerin müşterilere ulaştığı konusunda uyardı. Ona göre sorun, dijital güvenliği sağlamaya yönelik yazılımlar için de geçerli.
• Nogowicz, kalifiye uzman sıkıntısı yaşandığını kaydetti. Ona göre bugün bir eğitim yanılsaması yaratılıyor; siber güvenlik alanında diplomalar, bilişimle hiçbir ilgisi olmayan lisansüstü eğitim almış kişilere veriliyor.

Polonya siber uzayda güvende mi? - Bu soruyu basit bir şekilde cevaplayamayız - dedi Evercom'un sahibi ve Polonya Bilgi İşleme Topluluğu üyesi Paweł Nogowicz, Avrupa Ekonomi Kongresi sırasında yapılan AET Görüşmeleri sırasında. Otuz yıldır bu konuyla ilgilenen uzman, dijital koruma konusuna devlet kurumları ve özel sektörün yaklaşımını eleştirmekten de geri kalmadı.

Bir tanımı yok, peki saldırının ne olduğunu nasıl anlarsınız?

Nogowicz, siber tehditlere ilişkin raporlama metodolojisi sorununa da dikkat çekti. "Saldırı" teriminin net bir tanımı yapılmadan istatistiksel verilerin yanıltıcı olabileceğine dikkat çekti.

- Herkes kendi bildiği gibi sayacak. Bin tane aynı kimlik avı e-postası bin saldırı mıdır yoksa sadece bir saldırı mıdır? - diye sordu. Ona göre, belirsizlik aynı zamanda tehdit imajının kasıtlı olarak -çoğu zaman pazarlama veya politik amaçlarla- karartılmasından da kaynaklanıyor .

Uzman, siber saldırıların yalnızca dış etkenlere bağlanmasının eleştirilmesini eleştirdi. Nogowicz, sözde olayların çoğunun kullanıcı dikkatsizliğinden kaynaklandığını belirtti. - Birisi kapıyı kilitlemezse, suçlunun bazı kaynaklara ulaşmasını kolaylaştırdığı için suçlanamaz. Söz konusu olanın siber güvenlik değil, siber güvenliği sağlayanların güvenliğini sağlamak olduğunu kaydeden Çavuşoğlu, şunları kaydetti:

Bu şekilde oluşan açığı bilgisayar güvenliği açığı olarak adlandırmayalım.

Uzmanlara göre siber güvenlik, çoğu durumda eksik olan temel alışkanlıklar ve prosedürlerle başlıyor.

Kullanıcılar yazılım testçisi oluyor

Nogowicz, günümüz piyasa gerçeklerini keskin bir şekilde değerlendirerek, teknoloji şirketlerinin önceliğinin güvenlik değil, karı maksimize etmek olduğunu söyledi. Sorunun bilişim güvenlik sistemlerini de ilgilendirdiğini kaydetti.

- Şirketlerin görevi, mümkün olduğunca çok, mümkün olduğunca ucuza üretim yapmak ve böylece gelir ve kârda mümkün olan en yüksek artışı sağlamaktır. Şirketin güvenli çözümler üretmesini zorlayan bir durum yok” dedi. Ayrıca şunları da savundu:

Kullanıcıların yazılım testçisi olması mümkün değil. Bir yazılımın bazı açıkları ortadan kaldıran ama aynı zamanda yenilerini yaratan sürekli yamalar gerektirmesi söz konusu olamaz.

Nogowicz'e göre, üreticilerin şu anda düzenlemeler gereği güvenli yazılım veya cihaz sağlama zorunluluğu bulunmuyor.

Görüşmede ayrıca dijital korumaya yönelik yatırımlar konusunda devletlerin attığı adımlara yönelik eleştiriler de yer aldı. Uzman, "Güvenli Belediye" veya "Güvenli Ofis" gibi programların pratikte gerçek sorunları çözmediğini belirtiyor.

- 50 bini buraya gidiyor, 100 bini oraya gidiyor ve başarılı ilan ediliyor. Yeterlik? Hiçbiri. Uzman, yerel yönetimlerin hala elek gibi sızdırdığını söyledi.

Nogowicz, halkı hedef alan sembolik eylemlerden ziyade merkezileşme ve fonların rasyonel kullanımı çağrısında bulundu.

Uzman ayrıca gerçek siber güvenlik uzmanlarının eksikliğine de dikkat çekti. Hızlı lisansüstü eğitimlerde yeterli hazırlık yapılmadan önemli pozisyonlara getirilen "uzmanlar yetiştirme" olgusunu eleştirdi.

Bir siber güvenlik uzmanını hafta sonu kursuyla yetiştiremezsiniz.

Bu arada, şu anki deneyimli uzmanlar emeklilik yaşına yaklaşıyor ve yerlerine gerçek bir halef gelmiyor.