Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED

36,308 views ・ 2021-06-01

TED


Videoyu oynatmak için lütfen aşağıdaki İngilizce altyazılara çift tıklayınız.

00:00
Transcriber:
0
0
7000
Çeviri: Emel Çakır Gözden geçirme: Cihan Ekmekçi
Bugün, utanç verici bir konu ile ilgili konuşacağım.
Bu birçoğumuzun başına geldi ve yüz kızartıcı bir durum
00:13
Today, I'm going to talk about a shameful topic.
1
13063
3667
ama eğer hakkında konuşmazsak hiçbir şey değişmeyecek.
Konumuz hacklenmek.
00:17
This has happened to many of us, and it's embarrassing,
2
17463
4034
Kimimiz tuzak bir linke tıkladık ve bilgisayarımıza virüs indirdik.
00:21
but if we don't talk about it, nothing will ever change.
3
21530
3367
Kimilerimiz kimlik bilgilerini çaldırdı.
00:24
It's about being hacked.
4
24930
2067
Aramızdaki yazılım geliştiriciler,
00:27
Some of us have clicked on a phishing link and downloaded a computer virus.
5
27630
4600
farkında olmadan, güvenlik açıkları olan güvenilmez kodlar yazmış olabilirler.
00:32
Some of us have had our identities stolen.
6
32263
2434
00:34
And those of us who are software developers
7
34730
2000
Bir siber güvenlik uzmanı olarak
sayısız şirketle, siber güvenliklerini geliştirmek üzere çalıştım.
00:36
might have written insecure code with security bugs in it
8
36763
3367
00:40
without realizing it.
9
40163
1400
Benim gibi siber güvenlik uzmanları, şirketlere şu konularda tavsiye verir:
00:42
As a cybersecurity expert,
10
42530
1700
iyi siber güvenlik pratikleri,
00:44
I have worked with countless companies on improving their cybersecurity.
11
44263
4334
gözlem araçları
ve düzgün kullanım alışkanlıkları.
00:49
Cybersecurity experts like me have advised companies
12
49063
3400
Fakat aslında hiçbir aracın çözemeyeceği kadar büyük bir problem görüyorum.
00:52
on good cybersecurity practices,
13
52497
2600
O da yaptığımız hatalarla ilişkilenen utanç.
00:55
monitoring tools
14
55130
1133
00:56
and proper user behaviors.
15
56297
1700
00:58
But I actually see a much bigger problem that no tool can fix:
16
58030
4733
Kendimizi teknolojiyi yakından takip edip iyi kullanıyor diye düşünmek isteriz
ve biz bu kötü etkileri olan hataları yaptığımızda
01:02
the shame associated with the mistakes that we make.
17
62797
3300
hem bizi hem şirketi etkiler,
01:06
We like to think of ourselves as competent and tech savvy,
18
66563
3867
basit bir can sıkıntısından tutun,
çözümü çok uzun süren bir uğraşa,
01:10
and when we make these mistakes that can have a really bad impact
19
70463
3300
işverenimize ve bize pahalıya mal olabilir.
01:13
on us and our companies --
20
73797
1400
01:15
anything from a simple annoyance,
21
75230
1867
Şirketlerin siber güvenliğe harcadıkları milyarlarca dolara rağmen,
01:17
to taking a lot of time to fix,
22
77130
2167
01:19
to costing us and our employers a lot of money.
23
79330
3633
benim gibi uzmanlar aynı problemleri tekrar tekrar görmekte.
01:23
Despite billions of dollars that companies spend on cybersecurity,
24
83630
4467
Size birkaç örnek vereyim.
2015′te Ukrayna hizmetlerin hacklenmesi
01:28
practitioners like me see the same problems over and over again.
25
88130
4500
225.000 müşterinin güç kesintisine sebep oldu
01:32
Let me give you some examples.
26
92663
1800
ve yeniden kurulması aylarca sürdü,
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
her şey tuzak bir linkle başladı.
01:38
that disconnected power for 225,000 customers
28
98397
3766
Bu arada, 225.000 müşteri 225.000 insandan çok daha fazlasıdır.
01:42
and took months to restore back to full operations
29
102197
3666
01:45
started with a phishing link.
30
105897
2100
Müşteriler bir apartman da olabiliyor
endüstriyel tesis de,
01:48
By the way, 225,000 customers is a lot more 225,000 people.
31
108030
5567
alışveriş merkezi de.
2017 Equifax veri ihlali
01:53
Customers can be anything from an apartment building
32
113630
2700
140 milyon insanın kişisel olarak tespit edilebilir
01:56
to an industrial facility
33
116363
1400
bilgilerini açığa çıkardı
01:57
to a shopping mall.
34
117797
1433
01:59
The 2017 data breach of Equifax
35
119263
3100
ve sonunda Equifax’a yaklaşık 1,4 milyar dolara mal oldu.
02:02
that exposed personally identifiable information
36
122363
2834
02:05
of 140 million people
37
125230
2433
Bu, şirketin müşteri şikayetleri portalındaki
02:07
and may ultimately cost Equifax something on the order of 1.4 billion dollars:
38
127663
6334
iyi bilenen bir zafiyetin kötüye kullanılmasından kaynaklandı.
Temelde, bu teknoloji ve inovasyon hakkında.
02:14
that was caused by an exploitation of a well-known vulnerability
39
134030
3500
02:17
in the company's customer consumer complaint portal.
40
137563
2934
Inovasyon iyidir; Hayatlarımızı daha iyi hale getirir.
Bugün sürdüğümüz araçların çoğu aslında tekerler üzerindeki bilgisayarlardır.
02:21
Fundamentally, this is about technology and innovation.
41
141563
4100
02:25
Innovation is good; it makes our lives better.
42
145697
3000
Trafiğe takılmamak için doğru yolu, bakım için doğru zamanı bize söylerler.
02:28
Most of the modern cars we drive today are fundamentally computers on wheels.
43
148697
6033
Ve bize tüm modern zamanların kolaylığını sağlarlar.
02:34
They tell us where to go to avoid traffic, when to take them in for maintenance
44
154763
4834
Birçoğumuz kalp pili, insulin pombası, şeker ölçüm monitörü gibi
cihazlar kullanılırız.
02:39
and then give us all kinds of modern-day conveniences.
45
159630
3200
Bu cihazlar insan hayatını daha iyi hale getirir
02:42
Many people use connected medical devices like pacemakers
46
162863
3434
ve bazen ömürlerini bile uzatır.
Fakat bir başka cihazla bağlantısı olan her şey bağlantı kurunca hacklenebilir.
02:46
and glucose monitors with insulin pumps.
47
166330
2300
02:49
These devices make these people's lives better
48
169197
2533
02:51
and sometimes even extend their lives.
49
171763
2534
ABD eski başkan yardımcı Dick Chaney’in kalp nakli olmadan önce
02:54
But anything that can be interconnected can be hacked when it's connected.
50
174297
5533
kalp pilinin Wi-Fi bağlantısının kesildiğini biliyor muydunuz?
Nedenini size açıklayayım.
03:00
Did you know that the former US Vice President Dick Cheney
51
180230
3067
Dijital olarak birbirine bağlı bir dünyada her yerde siber risk var.
03:03
kept his pacemaker disconnected from Wi-Fi before he received a heart transplant?
52
183330
4500
03:07
I will let you figure out why.
53
187863
2134
Yıllarca, iş arkadaşlarım ve ben anlaşılması zor olan
03:10
In a digitally interconnected world, cyber risks are literally everywhere.
54
190830
5033
siber güvenlik kültürü kavramı hakkında konuştuk.
Siber güvenlik kültürü bir şirketteki herkesin siber güvenliğin
03:16
For years, my colleagues and I have been talking about
55
196230
2800
kendi işi olduğuna inanması yapılacakları ve yapılmayacakları bilmesi
03:19
this elusive notion of cybersecurity culture.
56
199063
2467
ve doğru olanı yapmasıdır.
03:22
Cybersecurity culture is when everybody in the organization
57
202030
3367
Maalesef, size bunu hangi şirketlerin iyi yaptığını söyleyemiyorum,
03:25
believes that cybersecurity is their job,
58
205430
2733
çünkü eğer söylersem, onları hırslı saldırganlara yem olarak sunmuş olurum.
03:28
knows what to do and what not to do
59
208197
1900
03:30
and does the right thing.
60
210097
1333
03:32
Unfortunately, I can't tell you which companies do this well,
61
212063
3500
Fakat benim yapabileceğim, siber güvenlik hakkında açıkca konuşarak,
03:35
because by doing so, I would put a juicy target on their backs
62
215597
3500
onu daha az gizemli hale getirmektir.
03:39
for ambitious attackers.
63
219097
1933
Bir şirketin içinde gizem veya sır olmamalıdır.
03:41
But what I can do is make cybersecurity less mysterious,
64
221030
4267
03:45
bring it out into the open and talk about it.
65
225297
2900
Bir şey görünmez ve çalışıyor olduğunda
03:48
There should be no mystery or secrecy within an organization.
66
228763
4600
o şey yok olana kadar varlığından haberdar olmayız.
Tuvalet kağıdı misali.
03:54
When something is invisible and it's working,
67
234197
3800
COVID-19 pandemisi başladığında
03:58
we don't know that it's there until it's not there.
68
238030
3467
çoktandır orada olan şey birden bire aşırı önemli oldu
04:01
Kind of like toilet paper.
69
241530
2333
çünkü hiçbir yerde bulamadık.
04:04
When the COVID-19 pandemic began,
70
244663
2734
Siber güvenlik de onun gibi:
Çalışırken bilmeyiz ve umrumuzda olmaz.
04:07
what has been there all of a sudden became super important
71
247430
3167
Ama çalışmıyorken,
04:10
because we couldn't find it anywhere.
72
250597
1800
gerçekten çok ama çok kötü olabilir.
04:12
Cybersecurity is just like that:
73
252830
2167
Tuvalet kağıdı oldukça basit.
04:15
when it's working, we don't know, and we don't care.
74
255030
3067
Siber güvenlik ise gizemli ve karmaşık
04:18
But when it's not working,
75
258130
1533
04:19
it can be really, really bad.
76
259697
2600
ve bence psikolojik güvenlik kavramı ile başlar.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
Bu kavramı popüler hale getiren örgütsel davranışı inceleyen bilim insanı
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
04:28
And I actually think it starts with the notion of psychological safety.
79
268630
3867
Amy Edmondson’dur.
Amy, sağlık ekiplerinin hataların ölümcül olabileceği riskli durumlardaki
04:33
This notion was popularized by an organizational behavior scientist,
80
273297
3900
04:37
Amy Edmondson.
81
277230
1733
davranışlarını çalıştı. Hemşirelerin hekimlere öneri vermede otoriteyi
04:38
Amy studied behavior of medical teams in high-stakes situations like hospitals,
82
278963
5167
sorgulama riskinden rahatsız olduklarını gördü.
04:44
where mistakes could be fatal.
83
284163
1734
04:45
And she found out that nurses were not comfortable
84
285930
2700
Amy, doktorlarca azarlanma ya da aşağılanma korkusu olmadan
04:48
bringing up suggestions to the doctors
85
288630
2267
öneride bulunmaları için sağlık ekiplerinin gelişimine yardım etti.
04:50
because of the fear of questioning authority.
86
290897
2233
04:53
Amy helped improve medical teams
87
293797
2600
Bunun olması için doktorların yargılamadan dinlemesi ve anlayışlı olması gerekiyordu.
04:56
to make nurses more comfortable bringing up suggestions to the doctors
88
296430
3700
05:00
for patient treatment
89
300130
1200
05:01
without the fear of being scolded or demeaned.
90
301330
3067
Psikolojik güvenlik, herkesin rahatça konuşabildiği
05:04
For that to happen, doctors needed to listen and be receptive --
91
304397
3566
ve konuları işaret edebildikleri zaman gerçekleşir.
05:07
without judging.
92
307997
1200
Ben siber güvenliğin de aynı şekilde olmasını istiyorum.
05:10
Psychological safety is when everybody is comfortable speaking up
93
310363
4134
Siber güvenlik uygulayıcılarının korkular ve hatalar hakkında konuşmaya devam eden
05:14
and pointing things out.
94
314530
1700
üst düzey yöneticilere veya yazılım geliştiricilere,
05:17
I want cybersecurity to be the same.
95
317097
2733
önerilerde bulunurken görevden alınma
05:19
And I want cybersecurity practitioners to be comfortable bringing suggestions up
96
319863
4034
korkusu olmadan
05:23
to senior executives or software developers,
97
323930
2867
rahat hissetmelerini istiyorum.
Dijital ürünlerin tasarımından sorumlu kişiler için
05:26
without being dismissed as those people who continue to talk about
98
326830
3900
böyle davranmamak cidden zor
05:30
horrors and errors,
99
330763
1334
05:32
and say no.
100
332130
1267
çünkü temelde tasarım neşe ve gururla ilgili.
05:33
Not doing so is really hard
101
333963
3100
05:37
for the individuals who are responsible for the creation of digital products
102
337097
4100
Bir seferinde üst düzey bir yazılım geliştiricisiyle
daha iyi güvenlik ihtiyacı hakkında konuşmaya çalıştım.
05:41
because fundamentally, it's about their pride and joy in their creations.
103
341230
4800
Ne dedi biliyor musunuz?
“Güvensiz kodlar geliştirdiğimizi mi söylüyorsun?”
05:46
I once tried talking to a senior software development executive
104
346597
3433
Diğer bir söyleyişle, duyduğu şey, “Bebeğin çirkin.” idi.
05:50
about the need to do better security.
105
350063
2034
Peki ya yapmamamız gereken şeylere odaklanmak yerine
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me we're developing insecure code?"
107
353363
2534
05:56
In other words, what he heard was, "Your baby is ugly."
108
356263
3434
yapmamız gereken şeylere odaklandıysak?
Mesela, nasıl daha iyi yazılımlar geliştirebilir
06:00
What if instead of focusing on what not to do,
109
360330
4400
ve aynı zamanda müşterilerimizin bilgilerini koruyabiliriz?
06:04
we focused on what to do?
110
364763
2267
Ya da kurumumuzun kriz, saldırı altında ya da acil durumda çalışabileceğinden
06:07
Like, how do we develop better software
111
367063
3567
06:10
and protect our customer information at the same time?
112
370663
3534
nasıl emin olabiliriz?
Veya insanların bir şekilde siber güvenlik alanında yaptıkları iyi şeyleri
06:14
Or how do we make sure that our organization is able to operate
113
374230
4433
ödüllendirsek ve cesaretlendirsek
06:18
in crisis, under attack or in an emergency?
114
378697
2766
mesela güvenlik vakalarını rapor etmeleri
06:21
And what if we reward good things that people do in cybersecurity in some way
115
381863
4067
riskli kimlik hırsızlığı epostalarını rapor etmeleri
veya gelişirdikleri yazılımdaki güvenlik hatalarını
06:25
and encourage them to do so,
116
385963
1600
06:27
like reporting security incidents,
117
387597
2166
bulmak ve onarmak gibi.
06:29
reporting potential phishing emails,
118
389797
2566
Bu iyi güvenlik örneklerini performans değerlendirme sistemine koyarak
06:32
or finding and fixing software security bugs
119
392363
3500
önemsemek gibi?
06:35
in the software that they develop?
120
395897
1866
Bu iyi güvenlik örneklerini konuşmamızı ve şirket kapsamında yaygınlaştırarak
06:37
And what if we tied these good security actions to performance evaluations
121
397797
3800
öne çıkarmamızı çok arzu ederim
06:41
to make it really matter?
122
401630
1633
gazete, blog, internet sitesi gibi
06:43
I would love for us to communicate these good cybersecurity things
123
403763
4267
artık her ne şekilde şirket içinde iletişim kuruyorsak.
06:48
and encourage them in some sort of company-wide communications
124
408063
2934
Mesela şirket en çok güvenlik tehdidini bulan ve bunları iki hafta içinde onaran
06:51
like newsletters, blogs, websites, microsites --
125
411030
2700
06:53
whatever we use to communicate to our organization.
126
413763
3267
kişiyi ödüllendirmek için yarışma açsa
06:57
What if a company announced a competition for who finds the most security bugs
127
417063
5467
ve her çeyrekte büyük bir sanal toplantıda kazanını açıklasa
kazanan kişileri ödüllendirse
07:02
and fixes them in a two-week development sprint
128
422530
3267
tabii anlamlı bir ödülle,
07:05
and then announces the winner of the competition for the quarter
129
425830
3333
bir haftalık tatil veya bonus gibi.
07:09
at a large company virtual town hall,
130
429197
2766
Diğerleri bu ödüllendirme ve kutlamayı görse
07:11
and then rewards these people, these winners, with something meaningful,
131
431963
4234
onlar da aynı şeyi yapmak isteyeceklerdir.
Enerji sektöründe,
07:16
like a week's vacation or a bonus.
132
436230
2167
gerçekten güçlü bir güvenlik kültürü var.
07:18
Others will see the celebration and recognition,
133
438763
2834
İnsanlar bu kültürü önemsiyor ve onunla gurur duyuyorlar
07:21
and they'll want to do the same.
134
441630
1933
ve kimsenin zarar görmediğinden emin olmak için
07:23
In the energy industry,
135
443563
1400
07:24
there is a really strong culture of safety.
136
444997
2833
bu kültüre toplu bir destek var.
07:27
People care about this culture, are proud of it,
137
447830
2967
Bu güvenlik bilincini sergileyip devam ettirmek için yaptıkları şeylerden
07:30
and there is a collective reinforcement of this culture
138
450797
3466
biri son güvenlik olayından itibaren geçen gün sayısını saymak ve göstermek.
07:34
to make sure that nobody gets hurt.
139
454297
1933
07:36
One of the ways they exhibit and keep this safety conscious culture going
140
456230
4533
Böylece herkes bu sayıma yeniden başlamamak için gerçekten sıkı çalışıyor
07:40
is by counting and visibly displaying days since the last safety incident.
141
460797
6233
çünkü baştan başlamak birşeyler ters gitti demektir.
Siber güvenlik de güvenlik ile aynı.
07:47
And then everybody works really hard not to have that count go back to zero
142
467663
4367
Eğer hepimiz
son siber güvenlik vakasından sonra sayılan günleri
07:52
because that means that somebody did get hurt.
143
472063
2500
07:54
Cybersecurity is the same as safety.
144
474597
3133
sonsuza dek tutsaydık
ve bir daha sıfırlanmamasını sağlasaydık ne olurdu?
07:57
What if we all agree
145
477763
1634
07:59
to keep that count of days since the last cybersecurity incident
146
479430
3267
Ve belirli şeyler kırmızı çizgimiz
ve şirketimizde açık bir iletişimle bu kırmızı çizgileri anlatsak
08:02
going on forever
147
482730
1333
08:04
and then work really hard not to have it reset to zero?
148
484097
3200
kolayca sindirilebilecek ve hatta eğlenilebilecek yollarla,
08:08
And then certain things are a no-no,
149
488097
2033
mesela oyunlaştırma ve simülasyon gibi,
08:10
and we need to clearly communicate to our organizations what they are
150
490163
3434
herkesin bunu hatırlayabileceğine emin olmak için.
08:13
in an easily digestible and maybe even fun way,
151
493630
2867
Ve birileri yapmamaları gereken bir şey yaptıklarında
08:16
like gamification or simulations,
152
496530
2667
sonuçlarına katlanmaları gerekir.
Mesela, eğer bir çalışan Amazon veya eBay’den bir ürün alırlarsa
08:19
to make sure that people can remember this.
153
499230
2467
08:21
And if somebody does something they're not supposed to do,
154
501730
2833
veya kişisel Dropbox’larını şirket için kullanırlarsa
08:24
they should face some sort of consequences.
155
504597
2133
08:26
So, for example, if an employee buys equipment on Amazon or eBay
156
506763
4734
bunun sonuçlarıyla yüzleşmeleri gerekir.
Aynı şey, üst düzey yöneticiler için de geçerli,
08:31
or uses personal Dropbox for their company business,
157
511530
3400
tıpkı sıradan çalışanlar gibi,
yoksa insanlar kuralların gerçekliğine inanmazlar
08:34
then they should face some sort of consequences.
158
514963
2467
ve eski davranışlarına geri dönerler.
08:37
And when this happens, executives should get the same treatment
159
517463
3134
Hatalar hakkında konuşmanın kötü bir tarafı yok
08:40
as regular employees,
160
520630
1667
ama bir ergen kuralları ihlal ettiğinde bize söyler
08:42
because if they don't, then people won't believe that it's real
161
522297
3000
08:45
and will go back to their old behaviors.
162
525330
1933
ve biz de bu iletişimi takdir ederiz
08:47
It's OK to talk about mistakes,
163
527297
2500
ama yine de bir çeşit sonucu olmalıdır.
08:49
but just like a teenager who violates the rules tells us about it,
164
529830
4033
Siber güvenlik bir serüven.
08:53
we appreciate that they told us about it,
165
533897
2066
Bir varış yeri değil
08:55
but there should still be some sort of consequences.
166
535997
2433
ve üzerinde çalışmaya devam etmeliyiz.
Siber güvenlik çalışanlarını tebrik etmeliyiz
09:00
Cybersecurity is a journey.
167
540263
2134
çünkü adeta kahramanlar.
09:02
It's not a destination,
168
542430
1500
Eğer derin düşünürsek aslında itifaiye personeli gibiler,
09:03
and we need to keep working on it.
169
543930
1933
acil servisteki doktor ve hemşireler,
09:06
I would love for us to celebrate cybersecurity people
170
546297
3133
polis memurları, iş stratejistleri gibi
09:09
like the heroes that they are.
171
549430
1933
09:11
If we think about it, they are firefighters,
172
551363
2967
aynı kişilik özellikleri gerektirir.
Ve bize çok sevdiğimiz modern hayatımızı korumak için yardımcı olurlar.
09:14
emergency room doctors and nurses,
173
554330
1833
09:16
law enforcement, risk executives and business strategists
174
556197
3766
Kimliklerimizi, buluş ve eserlerimizi korurlar.
09:19
all in the same persona.
175
559963
1900
09:21
And they help us protect our modern life that we like so much.
176
561897
3800
elektrik hatlarını, tıbbi cihazları,
bağlantılı arabaları ve sayısız diğer şeyleri.
09:25
They protect our identities, our inventions, our intellectual property,
177
565697
4333
Ben bu ekipte olmak istiyorum.
İtiraf edelim ki bu uzun bir birliktelik,
09:30
our electric grid, medical devices,
178
570063
2400
09:32
connected cars and myriad other things.
179
572497
3500
hep birlikte güvenli bir alan oluşturup hatalarımızdan öğrenelim
09:35
And I'd like to be on that team.
180
575997
1600
ve herşeyi daha iyi yapmak için söz verelim.
09:38
So let's agree that this thing is with us to stay,
181
578097
4266
Teşekkürler.
09:42
let's create a safe environment to learn from our mistakes,
182
582363
3600
09:45
and let's commit to making things better.
183
585963
2367
09:48
Thank you.
184
588363
1267
Bu web sitesi hakkında

Bu site size İngilizce öğrenmek için yararlı olan YouTube videolarını tanıtacaktır. Dünyanın dört bir yanından birinci sınıf öğretmenler tarafından verilen İngilizce derslerini göreceksiniz. Videoyu oradan oynatmak için her video sayfasında görüntülenen İngilizce altyazılara çift tıklayın. Altyazılar video oynatımı ile senkronize olarak kayar. Herhangi bir yorumunuz veya isteğiniz varsa, lütfen bu iletişim formunu kullanarak bizimle iletişime geçin.

https://forms.gle/WvT1wiN1qDtmnspy7