Teşekkürler. Burada olmaktan memnuniyet duyuyorum. Gerçek bir belirsizlik anında bir araya geliyoruz. Dünya genelinde güvenlik ortamı istikrarsız. Jeopolitik gerilimler daha yüksek. Çatışmalar sınırların çok ötesinde hissediliyor. Teknoloji ise olağanüstü fırsatlar sunarken giderek bir aksama aracı olarak kullanılıyor. Bu bağlamda, iyi bir siber güvenlik artık 'olsa iyi olur' değil. Ulusal güvenliğimizin, ekonomik dayanıklılığımızın ve güvenle büyüme yeteneğimizin temelidir. İster küresel bir firma ister büyüyen bir KOBİ işletin, siber dayanıklılık artık işletmelerin giderek daha düşmanca bir dijital ortamda faaliyet gösterme, yenilik yapma ve hayatta kalma yeteneğini şekillendiriyor. Bugün çok net olmak istediğim mesaj şu: Siber tehdit kötüleşiyor ve şimdi harekete geçmeyen işletmeler kendilerini riske atıyor.
Yükselen Siber Tehdit
Gerçek şu ki, siber olaylar daha sık, daha yıkıcı ve daha maliyetli hale geliyor. Bir zamanlar yalnızca bir avuç kuruluşu hedef alan saldırılar, artık tüm tedarik zincirlerinde hızla yayılarak operasyonel aksama, finansal kayıp ve itibar hasarına yol açabiliyor. Geçtiğimiz hafta yayınladığımız en son Siber Güvenlik İhlalleri Anketi, zorluğun boyutunu bir kez daha gözler önüne seriyor. Ankete göre, işletmelerin %43'ü son 12 ayda bir siber ihlal veya saldırı yaşadı. Büyük firmalarda bu oran %69'a yükseliyor ve firmaların %29'u haftada en az bir kez saldırıya uğradıklarını belirtti. Bu rakamlar önemli. Ancak bunların arkasında kesintiye uğrayan hizmetler, hayal kırıklığına uğrayan müşteriler, kaybedilen zaman ve para ile bozulan güven var; en kötü durumda ise asla tam olarak toparlanamayan işletmeler. Bu nedenle bu hükümet şunu açıkça belirtiyor: Siber dayanıklılık isteğe bağlı değildir.
Yapay Zeka Siber Tehdidi Hızlandırıyor
Bu anı daha da acil kılan şey, yapay zekanın hızlı ilerlemesi. Yapay zeka, nasıl çalıştığımızı, nasıl büyüdüğümüzü ve nasıl rekabet ettiğimizi dönüştürüyor. Ancak aynı zamanda siber tehdit ortamını da dönüştürüyor. Güvenlik Bakanı'nın yakın zamanda CyberUK konferansında belirttiği gibi, öncü yapay zeka yetenekleri halihazırda zafiyetleri büyük ölçekte tespit etmek, keşif sürecini otomatikleştirmek ve karmaşık saldırılar için giriş engelini düşürmek için kullanılıyor. Açıkçası, yapay zeka temel korumaları uygulamayan kuruluşları sömürmeyi kolaylaştırıyor ve hızlandırıyor. Ve giderek, yama yönetimi, erişim kontrolleri, yedekleme ve izleme gibi temel önlemlerin basitçe yapılmadığı durumları ortaya çıkaracak. Bu gerçek, keskin bir ayrım çizgisi yaratıyor: Siber dayanıklılığa yatırım yapan kuruluşlar ile şansa güvenenler arasında. Çözüm, yeniliği yavaşlatmak değil, onu düzgün bir şekilde güvence altına almaktır.
Güvenli Tasarım Varsayılan Olmalı
Bu nedenle teknolojinin güvenli tasarım ile geliştirilmesi gerektiğini açıkça belirtiyoruz. Yazılımlar, sistemler ve bağlı cihazlar bilinen zafiyetlerle piyasaya sürülmemelidir. Güvenlik sonradan eklenmemeli veya kullanıcıların düzeltmesine bırakılmamalıdır. Hükümetin Yazılım Satıcıları için Uygulama Kodu ve endüstri ve uzmanlarla geliştirilen Yapay Zeka Siber Güvenliği için Uygulama Kodu aracılığıyla beklentileri şimdiden belirliyoruz. Bu kodlar pragmatik, uygulanabilir ve işe yarayana odaklanmıştır: güvenliği geliştirmenin her aşamasına yerleştirmek. Teknoloji liderlerine bugünkü mesajım basit: Güvenli teknoloji inşa etmek büyümenin önünde bir engel değildir; güven, benimseme ve uzun vadeli başarıyı sağlayan şeydir.
Siber Yasa Tasarısı
Elbette, yaklaşımımızın çoğu kuruluşları doğru olanı yapmaları için teşvik etmek ve desteklemek olsa da, hükümetin düzenleme yapması gereken alanlar var ve bu nedenle Siber Güvenlik ve Dayanıklılık Yasa Tasarısı'nı ilerletiyoruz. Tasarı, enerji, ulaşım, su, sağlık ve dijital altyapı gibi kamuoyunun her gün güvendiği en temel hizmetleri daha iyi korumak için mevcut siber çerçevemizi güçlendiriyor. Düzenlemeyi risklerin ve etkinin en yüksek olduğu yere odaklıyor ve ulusal dayanıklılığımızın temelini oluşturan kuruluşların orantılı güvenlik önlemleri almasını ve ciddi olayları bildirmesini gerektiriyor, böylece bir şeyler ters gittiğinde daha hızlı yanıt verebiliyoruz. Ancak bu hedefli, riske dayalı bir yaklaşımdır. Tüm ekonomiyi düzenlemeye çalışmıyoruz. İşletmelerin büyük çoğunluğu için yaklaşımımız kasıtlı olarak gönüllüdür: net beklentiler belirlemek, pratik rehberlik ve araçlar sağlamak ve kuruluşları kendileri için uygun olan yollarla siber dayanıklılıklarını artırmaları için desteklemek. Ancak sonuçta hükümet bunu tek başına yapamaz. İşletmeler sorumluluk almalı ve mevcut rehberliğe göre hareket etmelidir, çünkü dayanıklılık ancak uygulamaya konulduğunda gerçektir.
Siber Dayanıklılık Taahhüdü ve Yeni Fon
Ancak güvenlik yalnızca teknoloji sağlayıcıları ve düzenlemeyle ilgili değildir. Aynı zamanda kuruluşların her gün yaptığı seçimlerle de ilgilidir. Bu nedenle yakın zamanda Siber Dayanıklılık Taahhüdü'nü duyurduk. Bu, büyük ve küçük İngiliz işletmeleri için gerçek bir fark yarattığını bildiğimiz 3 şeye taahhüt etmeye yönelik net, pratik bir eylem çağrısıdır: Birincisi, siber riski yönetim kurulu düzeyinde bir sorumluluk olarak ele almak; çünkü dayanıklılık liderlik ve hesap verebilirlikle başlar. İkincisi, Erken Uyarı sistemine kaydolmak. Ulusal Siber Güvenlik Merkezi'mizden gelen bu hizmet, kuruluşunuzu tehdit eden kötü niyetli faaliyetler konusunda sizi bilgilendirecektir. Üçüncüsü, tedarik zincirinizde Siber Temel (Cyber Essentials) programını kullanmak; bunun siz ve tedarikçileriniz üzerindeki başarılı saldırı olasılığını önemli ölçüde azalttığı kanıtlanmıştır. Bunlar soyut ilkeler değil, geçmiş saldırılardan alınan derslere dayanan, işe yaradığı kanıtlanmış pratik eylemlerdir. Burada temsil edilen her kuruluşu taahhüdü imzalamaya teşvik ediyorum. Ve siber dayanıklılığın iş yapış şeklinizin bir parçası olduğunu açıkça belirtmeye. Çalışanlarınıza, müşterilerinize ve yatırımcılarınıza, yönetim kurulunuzun ve üst yönetim ekibinizin bu konuyu ciddiye aldığını göstermeye. Hükümetin ayrıca işletmeleri harekete geçmeleri için destekleme sorumluluğu var. Bu nedenle, özellikle ekonomimizin bel kemiği olan küçük ve orta ölçekli işletmelere ve NHS'e kritik tedarikçiler gibi önemli gruplara odaklanan, pratik ve hedefli destek için 90 milyon sterlinlik bir siber dayanıklılık fonu duyurduk. Bu yatırım, kuruluşların siber güvenlik taban çizgilerini yükseltmek için rehberlik, araçlar ve yeteneklere erişmelerine yardımcı olacak; çünkü İngiltere ekonomisindeki dayanıklılık ancak en zayıf halkaları kadar güçlüdür.
Müdahale ve Kurtarma
Vurgulamak istediğim bir nokta şu: İyi bir siber dayanıklılık sadece saldırıları önlemekle ilgili değildir; bir şeyler ters gittiğinde nasıl müdahale ettiğiniz ve kurtarıldığınızla da ilgilidir. Gerçek şu ki, iyi hazırlanmış kuruluşlar bile saldırıya uğrayabilir. Önemli olan, faaliyetlerinize devam edip edemeyeceğiniz, müşterileri koruyup koruyamayacağınız ve hızlı bir şekilde ayağa kalkıp kalkamayacağınızdır. Bu, önceden planlama yapmak, kriz anında kimin karar vereceğini bilmek, güvenli, test edilmiş ve geri yüklenebilir yedeklere sahip olmak, bir yangın tatbikatı veya büyük kesinti için yapacağınız gibi nasıl yanıt vereceğinizi uygulamak ve ekiplerinizin ilk kritik saatlerde ne yapacağını bildiğinden emin olmak anlamına gelir. Ulusal Siber Güvenlik Merkezi'nin rehberliği çok açıktır: Plan yapan, uygulama yapan ve hazırlanan kuruluşlar daha hızlı, daha düşük maliyetle ve çok daha az aksaklıkla kurtarılır. Kurtarma bir BT sorunu değil, bir liderlik sorumluluğudur ve her yönetim kurulunun buna hazır olduğundan emin olması gerekir.
Siber Sigorta
Siber sigorta da önemli bir rol oynayabilir. Kuruluşların bir olayın finansal etkisini yönetmelerine, kurtarma sürecini desteklemelerine ve en kritik anda uzmanlığa erişmelerine yardımcı olabilir. Ancak sigorta, iyi bir siber güvenliğin yerine geçmez. Kötü uygulamaları sigortalayamazsınız. Teminat arayan kuruluşlar, öncelikle riski azaltmak için makul adımlar atmalıdır. Siber sigorta en iyi şekilde, güçlü yönetişim, Siber Temel gibi temel korumalar ve etkili olay müdahale planlamasının yanında, daha geniş bir dayanıklılık stratejisinin parçası olarak çalışır. Doğru şekilde kullanıldığında değerli bir güvenlik ağı olabilir. Tek başına kullanıldığında yeterli değildir.
Siber Güvenlik Becerileri
Tüm bunlar doğru beceriler olmadan mümkün değildir. Siber güvenlik ve yapay zeka becerileri yalnızca güvenlik ekipleri için değil, ekonominin genelinde yönetim kurulları, liderler ve iş gücü için de gereklidir. 187 milyon sterlinlik TechFirst programımız aracılığıyla, iş gücüne yeni katılan gençlerden yeniden eğitim almak veya becerilerini geliştirmek isteyen yetişkinlere kadar siber, dijital ve yapay zeka becerilerine yatırım yapıyoruz. Ayrıca KOBİ'ler için ücretsiz siber güvenlik personel eğitimi ve şirket yönetim kurulları için özel eğitim sunuyoruz. Yeni Devlet Siber Mesleği aracılığıyla hükümet içinde de siber beceriler geliştiriyoruz. Çünkü dayanıklılık inşa etmek sadece teknolojiyle değil, insanlarla ilgilidir.
Devlet Siber Güvenliği
Son olarak, hükümetin kendisinin de örnek olması gerektiğinden bahsetmek istiyorum. Kamu sektörünün siber dayanıklılığını iyileştirmek, vatandaşları, hizmetleri ve daha geniş ekonomiyi korumanın kritik bir parçasıdır. Kamu sektöründe bir adım değişikliği gerektiğinin farkındayız, ancak mevzuatı beklememize gerek yok. Hükümet genelinde eylem zorunlu kılma yeteneğine zaten sahibiz. Bu nedenle Ocak ayında Devlet Siber Eylem Planı'nı yayınladık. Bu plan, bakanlıkların savunmalarını nasıl güçlendirdiğini, olay müdahalesini nasıl iyileştirdiğini ve zafiyetleri tespit etme ve düzeltme süresini nasıl kısalttığını ortaya koyuyor. Eylem Planı'nı, daha geniş ekonomiden beklediğimiz standartların aynısını sağlamak için kullanacağız. Ve bu nedenle Eylem Planı'nı Siber Güvenlik ve Dayanıklılık Yasa Tasarısı yürürlüğe girmeden önce başlattık; hükümet, başkalarından istediğiyle aynı veya daha yüksek standardı kendine uygulamalıdır. Halihazırda, bilinen sorunların daha hızlı düzeltilmesi ve hükümet kuruluşlarında daha iyi hazırlıklı olunması gibi sonuçlar görüyoruz. Ancak bu tek seferlik bir çalışma değil. Tehdit gelişmeye devam ediyor ve hükümet, endüstrinin standartlarını yükseltmesini istediği gibi kendi standartlarını da yükseltmeye devam etmelidir. Siber dayanıklılık 'bitirdiğiniz' bir şey değil, sürekli iyileştirdiğiniz bir şeydir.
Sonuç
Sözlerimi bitirirken, bu yazın sonlarında Ulusal Siber Eylem Planı'nı yayınlayacağımızı belirtmek istiyorum. Bu plan, hükümet ve endüstrinin standartları yükseltmek, işletmeleri desteklemek ve gelişen tehdide yanıt vermek için kolektif savunmalarımızı nasıl güçlendireceğini ortaya koyacak. Ancak hiçbir plan, düzenleme veya fon bunu tek başına yapamaz. Siber dayanıklılık ortak bir sorumluluktur. Hükümet beklentileri belirleyebilir ve destek sağlayabilir. Endüstri acil ve kararlı bir şekilde hareket etmelidir. Bunu doğru yaparsak, sadece sistemleri değil, güveni de koruruz. Sadece işletmeleri değil, işleri de. Ve sadece bugünün ekonomisini değil, yarının büyümesini de. Bu nedenle bugünkü mesajım açıktır: Tehditler artıyor. Harekete geçme araçları mevcut. Ve şimdi, güvenliği birlikte inşa etme anıdır. Teşekkür ederim.
