Akıllı şehir esnekliği: Dijital olarak şehirleri ayakta tutmak, adapte etmek ve geliştirmek

Dünyanın dört bir yanındaki şehir liderleri, akıllı teknolojileri, ulaşım altyapısından su sistemlerine, güç kaynağına ve tabii ki, devlet hizmetlerine kadar her şeye dahil etme potansiyeliyle dolu. Gerçekten de akıllı şehirler çeşitli biçimlerde yaşamaya başlıyor. Ancak, şehirler dijital bağımlılıklarını arttırdıkça, potansiyel bilgi ve iletişim teknolojileri ((ICT), (BİT)) saldırı yüzeyleri önemli ölçüde genişler. Şehirler daha akıllı olabilir, ancak siber esnekliği tam olarak anlamadan, fiziksel ve dijital krizler her zamankinden daha fazla şiddetli ve kesintili olabilir.

Siber güvenlik, verilerin ve verilerin etkinleştirilmiş altyapısının gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyarak şokları ve stresleri azaltmada kritik bir rol oynamaktadır. 

Ancak, tek başına güvenlik yeterli değildir. Siber esneklik, bir güvenlik ihlali durumunda ICT sistemlerinin hizmet vermeye devam etmesini sağlayarak bir adım daha ileri gider. Kentler için, siber esneklik, hazır bulunma, tepki verme ve yeniden keşfetme kapasiteleriyle anlaşılabilir. Siber esnekliği inşa etme çabaları hem siber saldırıların hem de fiziksel felaketlerin karşısında hem hayatta kalmak hem de potansiyel olarak başarılı olmak için çok önemlidir.
 
Gerçekten de esneklik bir siber saldırı sonrasında büyük bir fark yaratabilir; Geçen yıl bir fidye yazılımı saldırısına uğrayan UK National Health Service'ni (İngiltere Ulusal Sağlık Servisi) düşünün.  Hastane sisteminde veriler yedeklenmişti ve yazılım güncellemeleri yapıldığı için, sistem tamamen devre dışı kalmadan sadece hafif bir gecikmeyle çalışmaya devam edebildiler. 

Esnek veri ve güvenlik uygulamaları (değişime uyum sağlayabilme), saldırı karşısında bile operasyonlarına devam edebilmelerini sağladı. [1] Diğer taraftan madalyonun diğer yüzüne bakıldığında, dünya genelinde birçok şirkete yapılan benzer bir saldırılarda önemli iş kesintileri nedeniyle milyonlarca dolarlık zararlar meydana geldi. 

Ancak, hemen hemen her şehir nakit ve mal varlığına bağlanıyor ve dünyanın dört bir yanındaki şehir yöneticileri, çok çeşitli diğer acil ihtiyaçlarla siber esneklik yatırımlarını dengelemeye çalışıyor. Şehir liderlerinin yatırımları dengelemeye daha doğru   yatırımları yaptıklarından emin olmak için daha çok odaklanmaları gerekmektedir. 

Siber esnekliğe doğru ilk adımlar

Şehirler asla yüzde 100 “güvenli” olmayacak, ne de tehlikeyi tamamen ortadan kaldıramayacaklar. Ancak hem fiziksel hem de siber alanda doğru yatırımları yaparak, krizlere hazırlanmak, normale dönmeye tepki vermek ve yeni statükoyu öğrenmek ve bunlara uyum sağlamak suretiyle çok çeşitli stresler ve şoklar karşısında esnek olabilirler.

Şehir liderleri, kendilerini depremlerden terörizme karşı tehdit eden fiziksel tehditlere dair sağlam bir kavrayışa sahip olma eğiliminde olmalarına rağmen, siber riske karşı nasıl bir etki yaratacağı konusundaki anlayışları genellikle daha belirgindir. Siber dayanıklılık oluşturmak, siber tehditlerin ele alınış biçiminde ve varlıkların korunmasında, siber güvenlik arızalarının gerçekleşeceğine ve hızlı ve verimli kurtarma özelliklerine ihtiyaç duyulduğundan emin olmak için, ihlal önlemeye odaklanmadan derin bir değişiklik gerektirmektedir. Dünyanın dört bir yanındaki şehirler ve hükümetler ile birlikte çalışarak, kamu sektörü kurumlarına ve özel sektör satıcılarından sivil toplum kuruluşlarına bağımlı oldukları pek çok ortağa kriz ve sonrasında yardım etmek için aşağıdaki adımları dikkate almak önemlidir. 

1. Çabaları yönlendirmek için bilgili bir esneklik uzmanını işe alın

100 Resilient Cities'e göre, şehirleri   daha fazla fiziksel, sosyal ve ekonomik açıdan tehditlere karşı daha esnek daha dayanıklı hale getirebilmek için önemli bir girişim şehirlerde Chief Resilience Officer(CRO) (esneklik[değişime uyum sağlama] görevlisi) görevlendirmek. [2] Bugün çoğu şehirlerde etkili bir strateji oluşturmak için gerekli personel bulunmamaktadır. Bu nedenle, doğru soruları sorabilecek, ajansların şu anda nasıl çalıştığını inceleyebilecek ve şehrin kendine özgü durumunu dikkate alan bir strateji tasarlayabilecek, ilgili deneyime sahip bir yöneticiyi işe almak ilk adım olarak önemlidir.

2. Önemli tehditleri tanımlayın ve kritik siber sistemler ve işlevler üzerindeki potansiyel etkilerini değerlendirin

Her şehir farklıdır. Belirli bir şehre olan önemli ve benzersiz siber güvenlik tehditlerini ve bunların potansiyel etkilerini anlamak ve şehrin bunlara etkili bir şekilde cevap verebilmesini sağlamak için hayati önem taşımaktadır. Örneğin, çıkış için köprülere büyük ölçüde bağımlı olan bir şehir, trafik sistemleri için daha farklı yollardan daha esnek çözümler oluşturmak için sorularla karşı karşıya kalacaktır. Bu vb. Çözüm çabaları, şehrin siber güvenlik çabalarını ve ihtiyaç duyulan yatırım seviyelerini belirlemesine ve planlamasına izin verir.

3. Kritik hizmetleri sınıflandırmak ve önceliklendirmek

Her şehrin temelinde, ele geçirildiğinde, hasar gördüğünde, yok edildiğinde şehrin işlev yeteneğini önemli ölçüde etkileyecek olan kritik hizmetler ve hassas bilgiler vardır. Şehrin krizde etkili bir şekilde yanıt verebilmesi için bunların belirlenmesi ve önceliklendirilmesi zorunludur, (ki bunların belirlenmesinde genellikle zorlu bir birtakım engeller bulunmaktadır). Örneğin, Amerika Birleşik Devletleri'nde United States, the National Institute of Standards and Technology (NIST) (Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)), “Federal Bilgi ve Bilgi Sistemlerinin Güvenlik Kategorizasyonu Standartları” ve “Kritik Altyapı Siber Güvenliğinin Korunması” çerçevesi dahil olmak üzere, şehirlerin risk bazlı güvenlik kararları almasına yardımcı olabilecek kaynaklar sunmaktadır. [3]

4. Siber esneklik hedeflerini ayarlayın

Tehditler ve kritik hizmetler belirlendikten sonra, şehrin siber esnekliğe yönelik vizyonunu belirlemesi gerekiyor. Bu temelde, elde etmek istedikleri belirli hedefleri tanımlayan hedefler belirlemek için işbirlikçi bir çaba gösterebilir. Bu hedefler arasında, şehrin acil durumlarda ilk müdahaleye (akut şoklar) bilgi sağlayabilen veya kar amacı gütmeyen kuruluşların günlük olarak kent sakinlerinin ihtiyaçlarını daha iyi karşılayabilmelerine yardımcı olabilecek etkin bir açık veri platformunun sağlanması da dahil olabilir (sürekli stres oluşturucu).

5. Bir kriz için arzu edilen siber esneklik sonuçlarını geliştirin

Ne yazık ki, bu olayların gerçekleşip gerçekleşmeyeceği meselesi olmayan bir dünyada yaşıyoruz. Bu nedenle, şehirlerin bir kriz sonrasında şehir için istenen sonuçları belirlemesi ve ardından bu olaylara cevap vermek için gerekli olan yetenekleri belirlemesi önemlidir. Fiziksel dünyada, yüksek deprem riski taşıyan şehirler, vatandaşlarıyla hizmet seviyesinde anlaşmalar yapmışlardır. 

Örneğin, binaların yüzde kaçının kurtarıcılar tarafından 24 saat içinde temizlenebileceğini biliyorlar. Bu tür sonuçlar ve anlaşmalar siber riskler için oluşturulmalıdır.

6. Gerekli kaynakları belirleyin ve rolleri ve sorumlulukları tanımlayın

Son olarak, kentin kilit tehditlerine, önceliklerine, hedeflerine ve sonuçlarına bakması ve siber esneklik vizyonunu sunmak için hangi kaynakların gerektiğini belirlemesi gerekiyor. Bu çaba, insanlara, becerilere, teknolojiye ve finansmana bakmalı ve hem siber güvenlik ihlali durumunda hem de tabiî olarak yapılması gereken eylemlerin sorumluluklarını eşleştirmelidir.

Rotterdam, siber esneklik konusunda nasıl bir liderlik yapıyor?

Siber esnekliği genel esneklik için bir öncelik olarak düşünmek için sadece birkaç şehir seçilmeye başlandı. Bunlardan biri, Hollanda'nın en büyük ikinci şehri olan Rotterdam'dır. İlham kaynağını “daha güçlü mücadele yoluyla” belediye sloganından alan Rotterdam, ilk kez şehirdeki siber esneklik stratejisini geliştirdi. Limanın kentin ekonomik refahı için merkezi önemi göz önüne alındığında, strateji, limanla ilgili BİT varlıklarının güvenliğini ve uzun vadeli esneklik hedefleri elde etmek için kamu ve özel sektörler arasındaki iş birliğini vurgulamaktadır. Ancak plan, kritik altyapıyı korumaya yönelik geleneksel bir yaklaşımın ötesine geçmekte ve özellikle vatandaşları, şirketleri ve kurumları, bilgi birikimlerini ve teknolojiyi dayanıklılığı artırmak için kullanmaları için teşvik ederek daha fazla siber temelli yeniliği teşvik etmeye çalışmaktadır. [4]

Gerçekten de şehirler esneklik kabiliyetleri geliştirdikçe, esneklik çabalarının kaçının iyi işleyen BİT'e ((Bilgi ve İletişim Teknolojileri) (ICT)) bağlı olduğunun daha fazla farkına varırlar. Rotterdam ve diğer şehirlerde, yöneticiler politika kararlarını vermekten günlük operasyonların sorunsuz bir şekilde yürümesine kadar her gün BİT'e güveniyorlar. Bu bir krizde doğrudur.

Çevrimiçi hizmetler şehir yönetiminde kritik bir rol oynamaktadır, ancak kendi esneklik çabalarına ihtiyaç duyarlar ve bu da siber esnekliğin devreye girdiği yerdir. Henüz bir saldırı tarafından test edilmemesine rağmen, Rotterdam stratejisi türünün ilkidir ve sonunda bir sadece hayatta kalmak değil, 21. yüzyılın zorlukları karşısında gelişmek isteyen şehirler için model.

Siber esneklik bir yolculuktur, bir varış noktası değildir.

Bugün Rotterdam, siber esnekliği (siber saldırılara karşı koyma dayanıklılığını) benimsemiş birkaç şehirden biridir; diğerleri yolculuğa başladı ama hala gitmek için uzun bir yol var. Kentlerin siber saldırıya karşı hazırlığını artırmaya yönelik yeni yaklaşım, sadece son teknolojik yenilikler sayesinde mümkün olmuştur. 

Ancak şehirlerin farklı düşünmelerini, organize olmalarını ve işletmelerini gerektirdiği için uygulanması kolay değildir. Bir kriz anında krize odaklanıldığında krizin boyutlarının ölçülmesinin daha da zor olduğu   bu durumlarda çözüm kimsenin kurallarına uymayacaktır. Ancak siber esneklik akıllı şehir geleceğinde mutlaka gerekli olmalıdır.

Siber esnekliği kucaklamak sadece şehirlerin daha güvenli olmasını sağlamakla kalmayacak, aynı zamanda şehirlere dijital dönüşüme giden yolda yer alan kapsamlı, uzun vadeli stratejiler oluşturma fırsatları yaratacaktır. Bunlar, bir inovasyon kültürünü teşvik edecek, yatırım için yeni yollar oluşturacak ve canlı ve ekonomik olarak rekabetçi şehirlere katkıda bulunacaktır.

Siber Esneklik konusunun Paul Nicholas tarafından bir yorum olarak ele alındığı bu yazı göz önüne alınarak Türkiye'de de siber saldırılara karşı siber güvenlikle ilgili esneklik, dayanıklılık çalışmalarının yapıldığını ve bu konuda önemli aşamalar kaydedilmekte olduğunuda söyleyebiliriz.

Ayrıca bir hafta sonraki yazımızda İSBAK'ı (İstanbul Bilişim ve Akıllı Kent Teknolojileri A.Ş.) anlatacağız.



[1.] Joseph Cox, “Ransomware targets UK hospitals, but NHS won't pay up,” Motherboard,
August 30, 2016, motherboard web sitesi.

[2.] Michael Berkowitz, “What a chief resilience officer does,” 100 Resilient Cities, March 18,
2015, 100resilientcities web sitesi.

[3.] Both the standards and the framework are available at nist web site.

[4.] Rotterdam resilience strategy: Ready for the 21st century, Gemeente Rotterdam and 100
Resilient Cities, 2016, resilientrotterdam web sitesi.

Kaynak:
McKinsey&Company
Capital Projects & Infrastructure
Commentary January 2018,Paul Nicholas
Photo Credit: JC Gellidon

Katkıları için Hüsnü Baysal'a teşekkürler.
OGÜNhaber