Biraz da Kiber/Nüvə Müqayisəsi aparaq| O, niyə bütün dünyanı risk altında saxlayır?

Birləşmiş Ştatlar kiber eskalasiya və mövcudluğunu saxlama qabiliyyəti ilə bağlı suallara naməlum cavablar verməsinə baxmayaraq, davamlı əlaqə və kiberməkanda irəliləyişi qabaqlayıcı şəkildə müdafiə etmək qabiliyyətinin həyati əhəmiyyət kəsb etdiyi mövqeyi saxlayır. İdeya real hücumdan əvvəl potensial təhlükələri məhdudlaşdırmaq və azaltmaqdır. Eyni zamanda, kibertəhlükəsizlik məhsulları və həlləri üçün inkişaf edən qlobal özəl sektor var, bu da getdikcə daha çox gəlir gətirir və əsasən tənzimlənmir. Texnologiyaya əsaslanan hər şeydə olduğu kimi, hər ikisi üçün ən böyük maneə miqyaslılıqdır.

Özlüyündə kiber imkanlar fərdlərə və milli dövlətlərə əsas fayda-xərc təhlili təqdim edir. Fərdlər üçün yaxşı, pis və ya motivasiyalı hakerliyin faydaları xərclərdən və ya nəticələrdən üstün ola bilər. Tam spektrli hücum imkanlarına və çoxlu resurslara malik olan milli dövlətlər üçün təhdid subyektləri və düşmənlərin mülki infrastrukturu və özəl sektor şirkətlərini risk altında saxlama potensialı hələ ki, onların faydasını şübhə altına alan nəticələrlə yekunlaşmalı və ya nəticə verməməlidir.

Bu günə qədər kiber sahəsində ən qədim analogiyalardan biri düşmənlərin tam spektrli kiber silahlarının nüvə silahları və digər kütləvi qırğın silahları kimi dağıdıcı olduğunu hesab etməkdir. Nəzəriyyəçilər kodun və məlumat ötürülməsinin görünməzliyi, onun transmilli, sərhədsiz teatrı və cəlb olunan aktorların spektri və kraudsorsinqinə baxmayaraq, kiber münaqişənin təbiəti daxilində qarşılıqlı təminatlı məhvetmə və çəkindirmənin tətbiq oluna biləcəyini irəli sürürlər. Bununla belə, kiber nüvə silahının istifadəsindən daha çox nüvə enerjisinin tənzimlənməsinə yaxındır.

Kiber/Nüvə Müqayisələri

İnternet və rəqəmsal infrastruktur – vebsaytlar, ödənişlər, proqramlar, məlumat mərkəzləri və s. enerji xidmətləri və nüvə reaktorlarının şəhərləri gücləndirməsi kimi dünyaya fayda verir. Kiberməkanda müəyyən taktika, alətlər və prosedurlar tədqiqat, kəşfiyyat, qəsb və məhv etmək üçün kompüter və informasiya sistemlərinə əsassız giriş imkanı verə bilər. Eynilə, nüvə reaktorları elektrik enerjisi istehsal etmək üçün geniş şəkildə istifadə olunur, həmçinin plutonium və uranı silah dərəcəli parçalanan materiala zənginləşdirmək üçün istifadə edilə bilər.

Hər iki halda texnologiya demək olar ki, eynidir, lakin həyata keçirilən taktika, alətlər və prosedurlarla birlikdə niyyət gecə yarısı və günorta kimi praktikada fərqlidir. Bununla belə, nüvədə silah yaratmaq qərarı və niyyəti izlənilə bilər, burada uran və plutoniumun ötürülməsi və idarə edilməsi inventarlaşdırılır, aşkar edilir, hesablanır və monitorinq edilir, habelə reaktorların və silah qurğularının tikintisini gizlətmək olduqca çətindir. Kiber sahədə kibersilah hazırlamaq və ötürmək, real kiber “silah”a qarşı dağıdıcı faydalı yükün nədən ibarət olduğuna dair fikir formalaşdırmaq çətindir.

Nüvə silahları siyasəti “həmişə, heç vaxt” doktrinasına sadiqdir, burada silahlar hər ilin hər gününün hər saatında işə düşə bilən və effektiv olmalıdır, lakin heç vaxt təsadüfən və ya səhv hesablama nəticəsində işə salınmamalıdır. Nüvə silahlarının Yer kürəsində ən yaxşı qorunan texnologiya olmasının səbəbi onların ən asan təminatlı olmaları deyil, onların qəzalara ən az dözümlü olmalarıdır. Tarix boyu qəzalara açarın silosdan aşağı düşməsi, döyüş başlığının təyyarədən düşməsi və erkən xəbərdarlıq sensorları ilə günəş işığının bir-birinə qarışması daxildir.

Nüvə enerjisi isə əksinə, çox az vaxta dözür və əməliyyatlarda məlumatların məxfiliyi, bütövlüyü və əlçatanlığı ilə müqayisədə daimi məhsuldarlığa, dayanıqlığa və fiziki proseslərin artıqlığına üstünlük verir. Bu əməliyyatlar, bir çox bitişik kritik infrastruktur və sənaye sektorları kimi, yeni anlayışlar və səmərəliliklər əldə etmək, habelə məhsuldarlığı artırmaq üçün əməliyyatlar və “back-ofis” fəaliyyətləri üçün şəbəkə bağlantısı, artan rəqəmsallaşdırma və internet bağlantısı təqdim etmək üçün zamanla təkamül edib. Onlar hərbi hədəf olmadığı üçün hamısı kiber silahlar üçün potensial hədəfə çevrilib.

Hər şey Kiberdir və Kiber Hər şeydir

Bu gün kibersiyasət elə bir dünya yaradıb ki, burada qeyri-hərbi xarakterli görünən hər şey – xəstəxanalar, qatarlar, bəndlər, enerji, su – risk altında saxlanıla bilər və heç bir məhdudiyyət yoxdur. Texnologiyanın, cihazların və məlumatların hər yerdə olması kiberhücumun axıcı və çoxagentlik xarakteri ilə birləşərək, münaqişənin tarixi sərhədlərindən kənarda sektorların hədəflənməsinə səbəb olub.

Birləşmiş Ştatlardakı 16 kritik infrastruktur maliyyədən rabitəyə, nəqliyyatdan səhiyyəyə, elektrik enerjisinə, istehsalata, qida istehsalına, əczaçılıq məhsullarına və s. qədər hər şeyi təmsil edir. Bu mühüm sektorların hər biri üzrə rəqəmsal komponentlərdə qəza potensialı mövcuddur. Buraya milyonlarla aparat və proqram təminatı komponentləri ilə risk altında olan yüz minlərlə yer və müəssisə daxildir.

Hər şeyin kiber hədəfə çevrilməsi ilə bağlı risklərin təbiəti sadədir. Avadanlıq və proqram təminatı zəiflikləri özünü göstərməkdə davam edir. Kritik aktivlərin, idarəetmə sistemlərinin və cihazların idarə olunmayan və ya təhlükəsiz olmayan şəbəkələrə qoşulması dayanmadan davam edir. Təhdid mənzərəsi və köhnəlmiş və ya statik təhlükəsizlik siyasətləri haqqında məhdud anlayış istisna deyil, qaydadır. Təhlükəsizliyə nəzarət vasitələri olmadan uzaqdan girişin, o cümlədən son istifadəçilər üçün aparat və proqram təminatının üçüncü tərəf təminatçıları tərəfindən tətbiqi getdikcə artır. Aparat və proqram təminatı sistemlərini birbaşa və ya qismən onların təchizat zəncirinə hücum edərək effektiv şəkildə hədəfə almaq və istismar etmək üçün gizli biliklərin geniş yayılması genişdir.

Bu reallığı nəzərə alsaq, fəlakətin mümkün ssenariləri tez eksponensiallaşır. Və kritik infrastrukturun kiber-fiziki təbiətini nəzərə alsaq (burada məlumat daxiletmələri və rəqəmsal əmrlər real dünyada fiziki təsirlər yaradır) mallar, resurslar və xidmətlər istehsal etmək üçün istifadə edilən sənaye sahələrinin kibertəhlükəsizliyi kəskin şəkildə nəzərə çarpır. İndi sual təhlükə mənzərəsini necə azaltmaqda deyil, əksinə, düşmənlərin texnologiyaları istifadə edəcəyi yerlərdə əks-tədbirlər tətbiq etmək və texniki cəhətdən tipik hökumət nəzarəti sahəsindən kənarda olan əməliyyatları fəal şəkildə gücləndirməkdir.

Mesajlaşma və Siqnallaşdırma

Son iki onillikdə Amerika siyasətinin üzləşdiyi etibarlılıq böhranı kiberməkanda mesajlaşmaya qarşı siqnalizasiyaya da çatıb. Mesajlaşma düşmənləri və təhdid aktorlarını kiberməkanda xəyali qırmızı xətti keçməkdən çəkindirmək və güclü ritorika ilə irəlini müdafiə etmək üçün hər yerdə mövcud olan iradə və kapital haqqında həyatdan daha geniş bir doktrina qəbul etdi. Bank işi və səhiyyə üçün rabitə və rəqəmsal əməliyyatlardan, yaxud ticarət və tranzit üçün hava limanlarından və dəniz limanlarından böyük dərəcədə asılı olan iqtisadiyyatlar kibertəhlükəsizlik doktrinalarını təhdidlər və müdafiə ilə bağlı qətiyyətli ritorika ilə gücləndirməyə davam edirlər.

Siqnalizasiya, bütün dünyada rəqəmsal ekosistemlərin və infrastrukturların yaxşı başa düşüldüyü və ədalətli oyunun, hətta nəzarətsiz olsa belə, kritik infrastrukturun növbəti pusqusunu gözlədiyi hissini ötürməyə davam edir. Etibarlı tərifin və izahın olmaması təhdidlərin çox az dərk edilməsinə, heç bir real yanaşmanın olmamasına və özəl sektorun hücumların ağır yükünü daşımasına gətirib çıxarır. Eyni zamanda, yüksək profilli hücumların maddi təsirləri (NotPetya, SolarWinds, TRISIS, Colonial Pipeline) hər sektor üzrə ən real və ən pis vəziyyət ssenarilərindən geri dönmək əvəzinə, hipotetik daha pis hücumlardan qorxmağa vadar edən qırmızı siyənəklərə çevrildilər. Təcrübədə kibertəhlükəsizlik indi qurban olma ehtimalı ilə bağlı söhbətlərdən bir dəfə hücuma məruz qalan şiddətin azaldılmasına keçir.

Hədəf Təcrübəsi

Kibertəhlükəsizlik cəmiyyətində yaxşı başa düşülür ki, siz hər zaman hər bir aparat, proqram təminatı, kodu, əlaqəni, imtiyazı və girişi qoruya bilməyəcəksiniz. Əvəzində təhlükəsizlik, ümumi məqsədləri və məsrəf/fayda hesablamalarına uyğun olaraq təhdid subyektlərinin səylərini əngəlləmək üçün lazımsız kompensasiya nəzarətlərinə çevrilir. Texnologiyaların, proseslərin və siyasətlərin inventarları boşluqları müəyyən etmək, əməliyyat və funksional riskləri həll etmək üçün maşın və platformalardan daxil olan kommunikasiyalar və təhlükəsizlik məlumatlarına qarşı təhlil edilir, bəzən avtomatlaşdırılır.

Xoşbəxtlikdən kiberməkanda heç bir faydalı yük atom bombası qədər dağıdıcı deyil. Təəssüf ki, yerli resursları alt-üst edən və/və ya böyük ictimai çaxnaşmaya səbəb olan potensial dağıdıcı qəzaların və ya bədbəxt hadisələrin siyahısı ölçülməzdir. Nüvə silahlarının hədəfə alınması son dərəcə strateji, dəqiq və yaxşı başa düşülür. Mütəxəssislər iddia edirlər ki, raket siloslarının işlək vəziyyətdə saxlanması faydalıdır, çünki rəqib əks hücumdan qorunmaq üçün hücum zamanı həmin silosu hədəf almalıdır və hədəfləmə potensial olaraq bir şəhəri xilas edə bilər.

Kiberməkanda, hədəf praktikası üçün daimi araşdırma və kəşfiyyat var, lakin idarə olunmayan giriş əldə etmək zərərli niyyət və ya hücumla birbaşa əlaqəli deyil. Kiberməkandakı düşmənlər növbəti hədəflərini tapmaq və onlara hücum etmək üçün sadəcə olaraq divara dart atmırlar, həm də qəsbkarlığa və pozulmaya daim fürsətçi şəkildə yanaşırlar. Yeganə həll, müəyyən bir hədəfin növbəti qurban olması potensialını anlamaq deyil, ən kritik hədəfləri davamlı olaraq daha az cəlbedici etməkdir.

Ümid edilir ki, kiberalimlərin və ekspertlərin növbəti dalğası kibergigiyenaya, kütləvi kibertəhlükə mənzərəsindəki boşluqları və vektorları kompensasiya etmək üçün istifadə olunan kibertəhlükəsizlik mexanizminin subyektiv təbiətinə diqqət yetirəcək. Kibersiyasəti həll etməyin yeganə yolu hər hansı kiberhücumun uğurunu və ya faydasını azaltmaq üçün ümumi səy göstərməkdir və hökumət bunu təkbaşına edə bilməz. Bu, tərəfdaş və satıcı ekosistemləri arasında açıq şəkildə paylaşılan bir məsuliyyətdir və olmalıdır. Daha az cəlbedici və gəlirli hədəflərin yaradılması, texnoloji inkişaf etdiricilər və müştərilər və ya operatorlar arasında məsuliyyət və günahı dəyişdirməkdənsə, tədarük zəncirləri və qarşılıqlı asılılıqlar arasında aşağı təsir göstərir. Biz hamımız bu məsuliyyəti çox ciddi qəbul etməliyik.