Geçtiğimiz cuma günü tüm dünyayı etkisi altına alan bir bilgisayar kesintisi uçuşları ve trenleri durdurdu, işletmeleri çalışamaz hale getirdi. Daha da kötüsü, kesinti tek bir güvenlik güncellemesinden kaynaklandı ve özellikle kamu güvenliği, ekonomik istikrar ve ulusal güvenlik açısından kritik öneme sahip firmalar arasında küresel bağlantı riskini vurguladı.
Kesinti, yaklaşık 29.000 müşteriye hizmet verdiği bildirilen bir siber güvenlik şirketi olan CrowdStrike'ın izniyle gerçekleşti. Etkilenenler sadece onlar değildi; CrowdStrike yazılım güncellemesi ters gittiğinde, Microsoft Windows kullanan milyonlarca kişinin bilgisayar ve tabletleri bozuldu.
2008 krizi
Bu tür bir domino etkisini ilk kez yaşamıyoruz. 2008'deki bankacılık krizinin kalıcı dersi, bir piyasanın bir köşesindeki başarısızlıkların tüm ekonomiye yayılabileceğiydi. Bu nedenle Kongre bazı bankaları “batmak için çok büyük” olarak nitelendirdi ve ardından finansal sistemde yeni düzenlemeler ve gözetim benimsedi. Hükümet, stres testleri aracılığıyla sürekli olarak izlediği “küresel sistemik öneme sahip bankaları” belirledi. CrowdStrike kesintisi, bu sorunun finans sektörüne özgü olmadığını ve bu türden ilk uyarı olmadığını açıkça ortaya koyuyor. 2017'deki ikili siber saldırılar bir Windows açığından yararlanmış ve dünya çapında binlerce kuruluşa fidye yazılımları salmıştı. Saldırılar işletmeleri, hastaneleri ve okulları çökertti.
Milyon dolarları bulan zarar
Denizcilik devi Maersk olayın müşterilerini, müşterilerinin müşterilerini ve benzerlerini etkileyen tedarik zinciri aksaklıklarını tetiklemesi nedeniyle 300 milyon dolara varan zarar bildirdi. Aaron Strong ve ben 2021 yılında yayınladığımız bir araştırma makalesinde bu kayıpları modelledik ve sadece Maersk'teki aksaklığın küresel ekonomiye maliyetinin 10 milyar dolardan fazla olabileceğini tahmin ettik. 2020'deki SolarWinds ihlali ve 2021'deki Colonial Pipeline saldırısı gibi diğer siber saldırılar da birbirine bağlı firmalara yönelik saldırıların nasıl yıkıcı zincirleme reaksiyonlara yol açabileceğini ortaya koydu.
Neyse ki ABD tehlikeye karşı tetikte. İki partili bir kurumlar arası ekip olan Siber Uzay Solaryum Komisyonu, Kongre'ye sunduğu 2020 raporunda ABD'nin siber saldırılara karşı savunmasını güçlendirecek tedbirler önerdi. Hükümet, yeni bir ulusal siber direktör ve işbirliğine dayalı bir siber savunma işbirliği kurulması gibi bunlardan birkaçını halihazırda uygulamaya koydu.
Tavsiye: Önemli kuruluşların listesini yapmak
Siber Güvenlik ve Altyapı Güvenliği Ajansı bir başka tavsiyenin peşinde: ekonomi genelinde sistemik olarak önemli kuruluşların bir listesini yapmak. Sürekli gelişen jeopolitik ve ekonomik ortamımız göz önüne alındığında bu çok önemli. Bugünün listesi teknoloji, iletişim, enerji ve finans alanlarında yoğunlaşmış ve birbiriyle bağlantılı firmaları içerebilir. Yarının listesi ise son teknoloji yapay zeka modelleri ve sistemlerinin arkasındaki daha da küçük bir gruba odaklanabilir. Ajans ilerledikçe güncellenmiş listesini kamuoyuna açıklamalı.
Birinin başarısızlığı hepsini etkiliyor
Geçen yıl RAND (RAND: Kar amacı gütmeyen bir Amerikan küresel politika düşünce kuruluşu, araştırma enstitüsü ve danışmanlık firmasıdır), bu kuruluşların belirlenmesi ve önceliklendirilmesine yönelik bir yaklaşımın ana hatlarını çizdi. O kadar büyük, birbiriyle bağlantılı veya ikame edilmesi zor olan firmalar bulduk ki, birinin başarısızlığı dünya için olmasa bile ABD için önemli, geniş kapsamlı ve potansiyel olarak uzun süreli sonuçlar yaratacaktır. Raporumuz, hükümetin bir şirketin büyüklüğünü, küresel tedarik zincirlerindeki rolünü ve pazar payını ölçerek “sistemik önemi” nasıl ayırt edebileceğini vurguladı.
Küresel ekonominin savunmasız olduğunu gösteriyor
CrowdStrike kesintisi, küresel ekonominin ve ABD ulusal güvenliğinin saldırılara karşı savunmasız olduğunun altını çiziyor. Riskleri yönetmek için hükümetler arası ve belki de uluslararası koordinasyon gerekecektir. Bu çalışma, endişe duyulan sektörlerin belirlenmesi, bilgi paylaşımı için iletişim kanallarının açılması ve gerektiğinde ifşaların zorunlu kılınması ile başlayacaktır. Siyasiler potansiyel başarısızlık kaynaklarını belirlemek, aksaklıkları planlamak ve herhangi bir düzenlemenin piyasayı bozmamasını sağlamak için stres testi gibi araçları kullanmalı.
Dünya 2008'den bu yana değişti. Washington sadece bankalara değil, çöküşü ekonomiyi sekteye uğratacak ve güvenliğimizi tehdit edecek çeşitli kuruluşlara karşı da tetikte olmalı. Bu tür olasılıklar için bugünden planlama yapmak dayanıklılığımızı güçlendirebilir ve tekrar karanlığa gömülmememizi sağlayabilir.
Jonathan Welburn’ün WSJ’deki bu yazısının orijinal başlığı CrowdStrike Is Too Big to Fail'deki “Too big to fail” yani “batamayacak kadar büyük” ifadesi, bir finansal sistem içinde iflasına izin verilmeyecek kadar önemli yer tutan, dolayısıyla riske girdiklerinde hükümet tarafından kurtarılmaları garanti olan şirketler için kullanıyor. Bir örnek vermek gerekirse, bu söz 2008 mali krizinde Citibank’in kurtarılması için kullanılmıştı. Geçtiğimiz günlerde Reuters köşe yazarı Robert Cyran bu ifadeyi “Boeing is just too big to jail (Hapse atılamayacak kadar büyük)” şeklinde bir kelime oyunuyla Boeing davası haberinde kullandı.
