Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
35,920 views ・ 2021-06-01
Videoyu oynatmak için lütfen aşağıdaki İngilizce altyazılara çift tıklayınız.
00:00
Transcriber:
0
0
7000
Çeviri: Emel Çakır
Gözden geçirme: Cihan Ekmekçi
Bugün, utanç verici
bir konu ile ilgili konuşacağım.
Bu birçoğumuzun başına geldi
ve yüz kızartıcı bir durum
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
ama eğer hakkında konuşmazsak
hiçbir şey değişmeyecek.
Konumuz hacklenmek.
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
Kimimiz tuzak bir linke tıkladık
ve bilgisayarımıza virüs indirdik.
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
Kimilerimiz kimlik bilgilerini çaldırdı.
00:24
It's about being hacked.
4
24930
2067
Aramızdaki yazılım geliştiriciler,
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
farkında olmadan, güvenlik açıkları olan
güvenilmez kodlar yazmış olabilirler.
00:32
Some of us have had our identities stolen.
6
32263
2434
00:34
And those of us
who are software developers
7
34730
2000
Bir siber güvenlik uzmanı olarak
sayısız şirketle, siber güvenliklerini
geliştirmek üzere çalıştım.
00:36
might have written insecure code
with security bugs in it
8
36763
3367
00:40
without realizing it.
9
40163
1400
Benim gibi siber güvenlik uzmanları,
şirketlere şu konularda tavsiye verir:
00:42
As a cybersecurity expert,
10
42530
1700
iyi siber güvenlik pratikleri,
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
gözlem araçları
ve düzgün kullanım alışkanlıkları.
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
Fakat aslında hiçbir aracın çözemeyeceği
kadar büyük bir problem görüyorum.
00:52
on good cybersecurity practices,
13
52497
2600
O da yaptığımız hatalarla
ilişkilenen utanç.
00:55
monitoring tools
14
55130
1133
00:56
and proper user behaviors.
15
56297
1700
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
Kendimizi teknolojiyi yakından takip edip
iyi kullanıyor diye düşünmek isteriz
ve biz bu kötü etkileri olan
hataları yaptığımızda
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
hem bizi hem şirketi etkiler,
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
basit bir can sıkıntısından tutun,
çözümü çok uzun süren bir uğraşa,
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
işverenimize ve bize pahalıya
mal olabilir.
01:13
on us and our companies --
20
73797
1400
01:15
anything from a simple annoyance,
21
75230
1867
Şirketlerin siber güvenliğe harcadıkları
milyarlarca dolara rağmen,
01:17
to taking a lot of time to fix,
22
77130
2167
01:19
to costing us and our employers
a lot of money.
23
79330
3633
benim gibi uzmanlar aynı problemleri
tekrar tekrar görmekte.
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
Size birkaç örnek vereyim.
2015′te Ukrayna hizmetlerin hacklenmesi
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
225.000 müşterinin
güç kesintisine sebep oldu
01:32
Let me give you some examples.
26
92663
1800
ve yeniden kurulması aylarca sürdü,
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
her şey tuzak bir linkle başladı.
01:38
that disconnected power
for 225,000 customers
28
98397
3766
Bu arada, 225.000 müşteri
225.000 insandan çok daha fazlasıdır.
01:42
and took months to restore
back to full operations
29
102197
3666
01:45
started with a phishing link.
30
105897
2100
Müşteriler bir apartman da olabiliyor
endüstriyel tesis de,
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
alışveriş merkezi de.
2017 Equifax veri ihlali
01:53
Customers can be anything
from an apartment building
32
113630
2700
140 milyon insanın
kişisel olarak tespit edilebilir
01:56
to an industrial facility
33
116363
1400
bilgilerini açığa çıkardı
01:57
to a shopping mall.
34
117797
1433
01:59
The 2017 data breach of Equifax
35
119263
3100
ve sonunda Equifax’a yaklaşık
1,4 milyar dolara mal oldu.
02:02
that exposed personally
identifiable information
36
122363
2834
02:05
of 140 million people
37
125230
2433
Bu, şirketin müşteri
şikayetleri portalındaki
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
iyi bilenen bir zafiyetin kötüye
kullanılmasından kaynaklandı.
Temelde, bu teknoloji
ve inovasyon hakkında.
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
Inovasyon iyidir;
Hayatlarımızı daha iyi hale getirir.
Bugün sürdüğümüz araçların çoğu aslında
tekerler üzerindeki bilgisayarlardır.
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
Trafiğe takılmamak için doğru yolu,
bakım için doğru zamanı bize söylerler.
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
Ve bize tüm modern zamanların
kolaylığını sağlarlar.
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
Birçoğumuz kalp pili, insulin pombası,
şeker ölçüm monitörü gibi
cihazlar kullanılırız.
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
Bu cihazlar insan hayatını
daha iyi hale getirir
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
ve bazen ömürlerini bile uzatır.
Fakat bir başka cihazla bağlantısı olan
her şey bağlantı kurunca hacklenebilir.
02:46
and glucose monitors with insulin pumps.
47
166330
2300
02:49
These devices make
these people's lives better
48
169197
2533
02:51
and sometimes even extend their lives.
49
171763
2534
ABD eski başkan yardımcı Dick Chaney’in
kalp nakli olmadan önce
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
kalp pilinin Wi-Fi bağlantısının
kesildiğini biliyor muydunuz?
Nedenini size açıklayayım.
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
Dijital olarak birbirine bağlı bir dünyada
her yerde siber risk var.
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
03:07
I will let you figure out why.
53
187863
2134
Yıllarca, iş arkadaşlarım ve ben
anlaşılması zor olan
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
siber güvenlik kültürü
kavramı hakkında konuştuk.
Siber güvenlik kültürü bir şirketteki
herkesin siber güvenliğin
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
kendi işi olduğuna inanması
yapılacakları ve yapılmayacakları bilmesi
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
ve doğru olanı yapmasıdır.
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
Maalesef, size bunu hangi şirketlerin iyi
yaptığını söyleyemiyorum,
03:25
believes that cybersecurity is their job,
58
205430
2733
çünkü eğer söylersem, onları hırslı
saldırganlara yem olarak sunmuş olurum.
03:28
knows what to do and what not to do
59
208197
1900
03:30
and does the right thing.
60
210097
1333
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
Fakat benim yapabileceğim,
siber güvenlik hakkında açıkca konuşarak,
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
onu daha az gizemli hale getirmektir.
03:39
for ambitious attackers.
63
219097
1933
Bir şirketin içinde gizem
veya sır olmamalıdır.
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
03:45
bring it out into the open
and talk about it.
65
225297
2900
Bir şey görünmez ve çalışıyor olduğunda
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
o şey yok olana kadar
varlığından haberdar olmayız.
Tuvalet kağıdı misali.
03:54
When something is invisible
and it's working,
67
234197
3800
COVID-19 pandemisi başladığında
03:58
we don't know that it's there
until it's not there.
68
238030
3467
çoktandır orada olan şey
birden bire aşırı önemli oldu
04:01
Kind of like toilet paper.
69
241530
2333
çünkü hiçbir yerde bulamadık.
04:04
When the COVID-19 pandemic began,
70
244663
2734
Siber güvenlik de onun gibi:
Çalışırken bilmeyiz ve umrumuzda olmaz.
04:07
what has been there all of a sudden
became super important
71
247430
3167
Ama çalışmıyorken,
04:10
because we couldn't find it anywhere.
72
250597
1800
gerçekten çok ama çok kötü olabilir.
04:12
Cybersecurity is just like that:
73
252830
2167
Tuvalet kağıdı oldukça basit.
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
Siber güvenlik ise gizemli ve karmaşık
04:18
But when it's not working,
75
258130
1533
04:19
it can be really, really bad.
76
259697
2600
ve bence psikolojik güvenlik
kavramı ile başlar.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
Bu kavramı popüler hale getiren
örgütsel davranışı inceleyen bilim insanı
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
Amy Edmondson’dur.
Amy, sağlık ekiplerinin hataların ölümcül
olabileceği riskli durumlardaki
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
04:37
Amy Edmondson.
81
277230
1733
davranışlarını çalıştı. Hemşirelerin
hekimlere öneri vermede otoriteyi
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
sorgulama riskinden
rahatsız olduklarını gördü.
04:44
where mistakes could be fatal.
83
284163
1734
04:45
And she found out
that nurses were not comfortable
84
285930
2700
Amy, doktorlarca azarlanma
ya da aşağılanma korkusu olmadan
04:48
bringing up suggestions to the doctors
85
288630
2267
öneride bulunmaları için sağlık
ekiplerinin gelişimine yardım etti.
04:50
because of the fear
of questioning authority.
86
290897
2233
04:53
Amy helped improve medical teams
87
293797
2600
Bunun olması için doktorların yargılamadan
dinlemesi ve anlayışlı olması gerekiyordu.
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
05:00
for patient treatment
89
300130
1200
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
Psikolojik güvenlik,
herkesin rahatça konuşabildiği
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
ve konuları işaret edebildikleri
zaman gerçekleşir.
05:07
without judging.
92
307997
1200
Ben siber güvenliğin de aynı şekilde
olmasını istiyorum.
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
Siber güvenlik uygulayıcılarının korkular
ve hatalar hakkında konuşmaya devam eden
05:14
and pointing things out.
94
314530
1700
üst düzey yöneticilere
veya yazılım geliştiricilere,
05:17
I want cybersecurity to be the same.
95
317097
2733
önerilerde bulunurken görevden alınma
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
korkusu olmadan
05:23
to senior executives
or software developers,
97
323930
2867
rahat hissetmelerini istiyorum.
Dijital ürünlerin tasarımından
sorumlu kişiler için
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
böyle davranmamak cidden zor
05:30
horrors and errors,
99
330763
1334
05:32
and say no.
100
332130
1267
çünkü temelde tasarım
neşe ve gururla ilgili.
05:33
Not doing so is really hard
101
333963
3100
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
Bir seferinde üst düzey
bir yazılım geliştiricisiyle
daha iyi güvenlik ihtiyacı
hakkında konuşmaya çalıştım.
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
Ne dedi biliyor musunuz?
“Güvensiz kodlar
geliştirdiğimizi mi söylüyorsun?”
05:46
I once tried talking to a senior
software development executive
104
346597
3433
Diğer bir söyleyişle, duyduğu şey,
“Bebeğin çirkin.” idi.
05:50
about the need to do better security.
105
350063
2034
Peki ya yapmamamız gereken şeylere
odaklanmak yerine
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
yapmamız gereken şeylere odaklandıysak?
Mesela, nasıl daha iyi yazılımlar
geliştirebilir
06:00
What if instead of focusing on
what not to do,
109
360330
4400
ve aynı zamanda müşterilerimizin
bilgilerini koruyabiliriz?
06:04
we focused on what to do?
110
364763
2267
Ya da kurumumuzun kriz, saldırı altında
ya da acil durumda çalışabileceğinden
06:07
Like, how do we develop better software
111
367063
3567
06:10
and protect our customer
information at the same time?
112
370663
3534
nasıl emin olabiliriz?
Veya insanların bir şekilde siber güvenlik
alanında yaptıkları iyi şeyleri
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
ödüllendirsek ve cesaretlendirsek
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
mesela güvenlik vakalarını rapor etmeleri
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
riskli kimlik hırsızlığı epostalarını
rapor etmeleri
veya gelişirdikleri yazılımdaki
güvenlik hatalarını
06:25
and encourage them to do so,
116
385963
1600
06:27
like reporting security incidents,
117
387597
2166
bulmak ve onarmak gibi.
06:29
reporting potential phishing emails,
118
389797
2566
Bu iyi güvenlik örneklerini
performans değerlendirme sistemine koyarak
06:32
or finding and fixing
software security bugs
119
392363
3500
önemsemek gibi?
06:35
in the software that they develop?
120
395897
1866
Bu iyi güvenlik örneklerini konuşmamızı
ve şirket kapsamında yaygınlaştırarak
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
öne çıkarmamızı çok arzu ederim
06:41
to make it really matter?
122
401630
1633
gazete, blog, internet sitesi gibi
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
artık her ne şekilde şirket içinde
iletişim kuruyorsak.
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
Mesela şirket en çok güvenlik tehdidini
bulan ve bunları iki hafta içinde onaran
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
06:53
whatever we use to communicate
to our organization.
126
413763
3267
kişiyi ödüllendirmek için yarışma açsa
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
ve her çeyrekte büyük bir sanal toplantıda
kazanını açıklasa
kazanan kişileri ödüllendirse
07:02
and fixes them in a two-week
development sprint
128
422530
3267
tabii anlamlı bir ödülle,
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
bir haftalık tatil veya bonus gibi.
07:09
at a large company virtual town hall,
130
429197
2766
Diğerleri bu ödüllendirme
ve kutlamayı görse
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
onlar da aynı şeyi yapmak isteyeceklerdir.
Enerji sektöründe,
07:16
like a week's vacation or a bonus.
132
436230
2167
gerçekten güçlü bir güvenlik kültürü var.
07:18
Others will see
the celebration and recognition,
133
438763
2834
İnsanlar bu kültürü önemsiyor
ve onunla gurur duyuyorlar
07:21
and they'll want to do the same.
134
441630
1933
ve kimsenin zarar görmediğinden
emin olmak için
07:23
In the energy industry,
135
443563
1400
07:24
there is a really strong
culture of safety.
136
444997
2833
bu kültüre toplu bir destek var.
07:27
People care about this culture,
are proud of it,
137
447830
2967
Bu güvenlik bilincini sergileyip
devam ettirmek için yaptıkları şeylerden
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
biri son güvenlik olayından itibaren geçen
gün sayısını saymak ve göstermek.
07:34
to make sure that nobody gets hurt.
139
454297
1933
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
Böylece herkes bu sayıma yeniden
başlamamak için gerçekten sıkı çalışıyor
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
çünkü baştan başlamak
birşeyler ters gitti demektir.
Siber güvenlik de güvenlik ile aynı.
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
Eğer hepimiz
son siber güvenlik vakasından
sonra sayılan günleri
07:52
because that means
that somebody did get hurt.
143
472063
2500
07:54
Cybersecurity is the same as safety.
144
474597
3133
sonsuza dek tutsaydık
ve bir daha sıfırlanmamasını
sağlasaydık ne olurdu?
07:57
What if we all agree
145
477763
1634
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
Ve belirli şeyler kırmızı çizgimiz
ve şirketimizde açık bir iletişimle
bu kırmızı çizgileri anlatsak
08:02
going on forever
147
482730
1333
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
kolayca sindirilebilecek ve hatta
eğlenilebilecek yollarla,
08:08
And then certain things are a no-no,
149
488097
2033
mesela oyunlaştırma ve simülasyon gibi,
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
herkesin bunu hatırlayabileceğine
emin olmak için.
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
Ve birileri yapmamaları gereken
bir şey yaptıklarında
08:16
like gamification or simulations,
152
496530
2667
sonuçlarına katlanmaları gerekir.
Mesela, eğer bir çalışan Amazon
veya eBay’den bir ürün alırlarsa
08:19
to make sure that people
can remember this.
153
499230
2467
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
veya kişisel Dropbox’larını
şirket için kullanırlarsa
08:24
they should face some sort
of consequences.
155
504597
2133
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
bunun sonuçlarıyla yüzleşmeleri gerekir.
Aynı şey,
üst düzey yöneticiler için de geçerli,
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
tıpkı sıradan çalışanlar gibi,
yoksa insanlar
kuralların gerçekliğine inanmazlar
08:34
then they should face
some sort of consequences.
158
514963
2467
ve eski davranışlarına geri dönerler.
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
Hatalar hakkında konuşmanın
kötü bir tarafı yok
08:40
as regular employees,
160
520630
1667
ama bir ergen kuralları
ihlal ettiğinde bize söyler
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
08:45
and will go back to their old behaviors.
162
525330
1933
ve biz de bu iletişimi takdir ederiz
08:47
It's OK to talk about mistakes,
163
527297
2500
ama yine de bir çeşit sonucu olmalıdır.
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
Siber güvenlik bir serüven.
08:53
we appreciate that they told us about it,
165
533897
2066
Bir varış yeri değil
08:55
but there should still be
some sort of consequences.
166
535997
2433
ve üzerinde çalışmaya devam etmeliyiz.
Siber güvenlik çalışanlarını
tebrik etmeliyiz
09:00
Cybersecurity is a journey.
167
540263
2134
çünkü adeta kahramanlar.
09:02
It's not a destination,
168
542430
1500
Eğer derin düşünürsek
aslında itifaiye personeli gibiler,
09:03
and we need to keep working on it.
169
543930
1933
acil servisteki doktor ve hemşireler,
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
polis memurları, iş stratejistleri gibi
09:09
like the heroes that they are.
171
549430
1933
09:11
If we think about it,
they are firefighters,
172
551363
2967
aynı kişilik özellikleri gerektirir.
Ve bize çok sevdiğimiz modern hayatımızı
korumak için yardımcı olurlar.
09:14
emergency room doctors and nurses,
173
554330
1833
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
Kimliklerimizi, buluş
ve eserlerimizi korurlar.
09:19
all in the same persona.
175
559963
1900
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
elektrik hatlarını, tıbbi cihazları,
bağlantılı arabaları
ve sayısız diğer şeyleri.
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
Ben bu ekipte olmak istiyorum.
İtiraf edelim ki bu uzun bir birliktelik,
09:30
our electric grid, medical devices,
178
570063
2400
09:32
connected cars and myriad other things.
179
572497
3500
hep birlikte güvenli bir alan oluşturup
hatalarımızdan öğrenelim
09:35
And I'd like to be on that team.
180
575997
1600
ve herşeyi daha iyi
yapmak için söz verelim.
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
Teşekkürler.
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
09:45
and let's commit to making things better.
183
585963
2367
09:48
Thank you.
184
588363
1267
New videos
Original video on YouTube.com
Bu web sitesi hakkında
Bu site size İngilizce öğrenmek için yararlı olan YouTube videolarını tanıtacaktır. Dünyanın dört bir yanından birinci sınıf öğretmenler tarafından verilen İngilizce derslerini göreceksiniz. Videoyu oradan oynatmak için her video sayfasında görüntülenen İngilizce altyazılara çift tıklayın. Altyazılar video oynatımı ile senkronize olarak kayar. Herhangi bir yorumunuz veya isteğiniz varsa, lütfen bu iletişim formunu kullanarak bizimle iletişime geçin.