MIT öğrencilerinin siber saldırıları önlemeye nasıl yardımcı olduğu

MIT öğrencilerinin siber saldırıları önlemeye nasıl yardımcı olduğu
MIT Siber Güvenlik Kliniği'nden öğrenciler, yerel yönetimlerin ve diğer savunmasız kuruluşların dijital tehditlere karşı savunmalarına yardımcı olmaktadır.

Mayıs 2019'da, Maryland eyaletinin Baltimore şehri kaosa sürüklendi. Siber suçlular, şehri birçok kritik dosyasından kilitledi ve bunları şifrelerini çözmek için ödeme talep etti. Şehir fidye ödemeyi reddetti. Saldırı, gayrimenkul işlemleri ve fatura ödemeleri de dahil olmak üzere birçok hizmeti etkisiz hale getirdi ve kurtarma maliyetleri milyonlarca dolara yükseldi.

MIT Şehir Çalışmaları ve Planlama Bölümü'nde (DUSP) yer alan 11.074/11.274 (Siber Güvenlik Kliniği) dersinin müfredatı, Baltimore'un durumunu, belediye hükümetleri ve diğer kamu ajanslarına yönelik giderek yaygınlaşan fidye yazılımı saldırılarının bir örneği olarak içeren bir vaka çalışması içeriyor. Bu tür tehditlerle başa çıkmak için, Öğretim Üyesi Jungwoo Chun ve Ford Kenti ve Çevre Planlama Profesörü Lawrence Susskind, 2019'da MIT Siber Güvenlik Kliniği'ni başlattı. O tarihten bu yana neredeyse her dönem bu dersi sunuyorlar.

Bir hukuk veya tıp kliniği gibi, bu ders, öğrencilere uygulamalı eğitim sağlarken, aynı zamanda risk altındaki topluluklara pro bono hizmet sunuyor. Öğrenciler, öğretim modüllerini tamamladıktan ve bir sertifika sınavını geçtikten sonra, bir müşteriye ekipler halinde atanıyor. Dönemin sonunda, her ekip, müşterinin siber saldırılara karşı zayıflıklarını değerlendiren ve koruma iyileştirmeleri için önerilerde bulunan bir rapor oluşturuyor. Şimdiye kadar, klinik, çoğunlukla Yeni İngiltere belediyeleri ve sağlık kuruluşları için 40'tan fazla gizli ve ücretsiz değerlendirme sağladı.

2025'te, FBI'nın İnternet Suçları Şikayet Merkezi, her gün Amerikalara yönelik ortalama 2,765 siber saldırı kaydetti. Bu saldırılar şehir ve kasabalara vurduğunda, sonuçları finansmanın ötesine geçiyor, diyor Chun: “Hayatımızın her boyutunda korkutucu, zincirleme bir etki var.”

Son yıllarda, MIT'nin kliniği tarafından hizmet verilen müşteri topluluklarını hedef alan siber saldırılar, su kaynaklarını tehlikeye attı, 911 ve polis hizmetlerini engelledi ve vatandaşların kişisel verilerini açığa çıkardı.

Temel altyapıya kapı açan birçok küçük belediye ve hastane, siber güvenlik konusunda eğitimli iç personel eksikliği yaşıyor. Bugünün işgücü pazarında bu tür uzmanlara olan talep, arzı çok aşmakta ve kamu sektörü bütçeleri genellikle nitelikli adaylara özel şirketlerin sunduğu yüksek maaşlarla eşleşememektedir.

Comparitech'e göre, 2018'den 2024'e kadar, ABD hükümet varlıklarına yönelik 525 fidye yazılımı saldırısı gerçekleşti, bu da yaklaşık her beş günde bir saldırı demek ve tahmini 1.09 milyar dolarlık bir kesinti maliyetine yol açtı.

“Yetersiz fonlanan kamu ve kar amacı gütmeyen kuruluşlar, kendi kendine yardım yollarını izlemelidir,” diyor Susskind. “Bu organizasyonların, ücretsiz hizmet sunan bir klinikten biraz koçluk alarak uygulayabileceği birçok düşük maliyetli adım var.”

Defansif sosyal mühendislik

Bazıları, bir üniversite siber güvenlik programının bilgisayar bilimi bölümünün dışında yer almasına şaşırabilir. Chun, kamu politikası ve planlama konusunda uzmanlaşmış bir uygulamalı sosyal bilimcidir ve Susskind, çatışma çözümü ve uzlaşma inşası konusunda önde gelen bir akademisyendir. Klinik için geliştirdikleri yaklaşımı “defansif sosyal mühendislik” olarak adlandırıyorlar; bu, siber güvenliğin yalnızca teknik bir zorluk olmadığını vurgulamak için.

Chun, yapay zekanın hızlı gelişiminin suçlular için korkutucu yeni araçlar yarattığını kabul ediyor — “artık AI sadece zayıflığı tanımlamakla kalmıyor, aynı zamanda saldırıyı da gerçekleştirebiliyor, bu gerçekten korkutucu” — ve bu saldırılara karşı koruma sağlamak için sürekli gelişen bir yazılım yelpazesi var. Bu nedenle, ders, siber güvenliğin teknik yönlerine önemli bir zaman ayırıyor. “Ama günün sonunda,” diyor Chun, “en büyük saldırı vektörü hala insanlar aracılığıyla.”

“Sosyal mühendislik” terimi genellikle siber suç mağdurlarının güvenliği tehlikeye atacak şekilde manipüle edilmesi yollarını ifade eder (örneğin, bir dolandırıcıya para göndermek, kötü amaçlı kod indirmek veya hassas bilgileri açıklamak). Susskind ve Chun’ın defansif sosyal mühendis