Son zamanlarda popüler DNA test hizmeti 23andMe şaşırtıcı bir itirafta bulundu: Bilgisayar korsanları 6,9 milyon kullanıcının kişisel verilerine, özellikle de 'DNA Akrabaları' verilerine yetkisiz erişim elde etti.
Bu tür yüksek profilli ihlaller dünya çapında manşetlere taşındı ve doğal olarak kurumsal verileri, özellikle de 23andMe'nin sorumlu olduğu hassas genetik bilgi türünü işlerken sıkı güvenlik önlemlerine duyulan ihtiyacı vurguluyor. Ayrıca, bilgisayar korsanının 23andMe'nin müşteri hesaplarına erişmek için kimlik bilgisi doldurma olarak bilinen bir taktiği kullanması gerekiyor gibi görünse de, bu durum kuruluşlara, BT yöneticilerine ve güvenlik uzmanlarına daha genel olarak kurumsal ve tüketici verilerini saklamak için kullanılan güvenlik önlemleri hakkında daha geniş sorular yöneltiyor. Tehdit aktörlerine karşı güvende misiniz? Bugün birçok kuruluş için verilerini nerede ve nasıl barındırdıklarıyla ilgili temel bir soru varken, özellikle de 23andMe'nin verilerinin yalnızca bulut sunucularında depolandığını düşündüğünüzde?
Zeus Cloud CEO'su Mark Grindey, kuruluşların benzer riskleri azaltabilmelerinin bir yolunun şirket içi ve hibrit bulut çözümlerini uygulamak olduğunu açıklıyor. Bu teknolojilerin, 23andMe'nin önemli genetik verileri gibi kurumsal verilerin korunmasında nasıl hayati bir rol oynayabileceğini ele alıyor ve kuruluşların daha güvenli olmak için atabileceği temel adımlara ilişkin öngörülerini paylaşıyor.
Verilerin doğrudan kontrolünü sağlama
23andMe'nin durumunda, ele geçirilen 'DNA Akrabaları' verileri çok büyük değer taşıyor ve son derece hassas. Bunun nedeni, bireylerin paylaşılan genetik bilgiye dayalı olarak potansiyel akrabalarla bağlantı kurmasını sağlamasıdır. Ancak bu tür değerli veriler genellikle kimlik hırsızlığı, dolandırıcılık ve diğer hain faaliyetler de dahil olmak üzere çeşitli amaçlarla bu verileri istismar etmeye çalışan siber suçluların hedefi haline gelir. Bu nedenle, bu tür bilgileri korumak için kuruluşların verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlayan sağlam güvenlik önlemleri alması gerekir.
Şirket içi çözümler, bu korumanın bir kısmının etkili bir şekilde gerçekleşmesini sağlar ve veri ve uygulamaların bir kuruluşun kendi fiziksel altyapısında barındırılmasını içerir. Bu yaklaşım, kuruluşlara verileri üzerinde doğrudan kontrol sağlar ve sıkı güvenlik protokolleri uygulamalarına olanak tanır. Örneğin, 23andMe gibi bir kuruluş, genetik verileri yerinde tutarak, bu verileri çok sayıda güvenlik duvarı ve izinsiz giriş tespit sistemi katmanının arkasında güvence altına alarak, harici ihlal riskini azaltabilir. Ek olarak, bu verilere erişim yalnızca yetkili personelle sınırlandırılabilir, böylece dahili veri sızıntısı olasılığı en aza indirilir.
Birçok kuruluş için dikkate alınmaya değer başka bir düşünce tarzı da hibrit bulut çözümlerinin kullanılmasıdır. Bu yaklaşım, şirket içi ve bulut tabanlı hizmetlerin avantajlarını birleştirir. Kuruluşlar, 23andMe örneğindeki genetik bilgiler gibi hassas bilgileri şirket içinde tutarken hassas olmayan verileri depolamak için genel veya özel bulutları uygun şekilde kullanabilir. Bu yöntem, kuruluşlara kaynakları ölçeklendirme ve dalgalanan kullanıcı talebini karşılama esnekliği sağlarken aynı zamanda sıkı veri kontrolünü korur. Hibrit bulut çözümleri, şifreli bağlantılar ve güçlü kimlik doğrulama mekanizmaları kullanılarak doğru şekilde kurulduğunda ve yapılandırıldığında, şirket içi ve bulut ortamları arasında güvenli veri aktarımının gerçekleşmesini sağlar.
Veri İhlallerini Önlemeye Yönelik Adımlar
Şirket içi ve hibrit bulut çözümlerinin uygulanması, veri ihlali ve verilere yetkisiz erişim riskini önemli ölçüde azaltabilirken, kuruluşların verileri güvenlik altına almak ve ihlallere karşı korumak için atabileceği ve kullanabileceği başka önemli adımlar ve teknikler de vardır.
Sektördeki çoğu kişiye açık görünse de, günümüzde verilerin depolanması ve iletilmesi sırasında şifrelenmesi hayati önem taşımaktadır. Bu, tehdit aktörleri bu verilere erişmeyi başarsa bile, tehlikeye atılan verileri yetkisiz kullanıcılar için anlamsız hale getirir. Çok faktörlü kimlik doğrulamanın uygulanması da hayati öneme sahiptir. Erişim kontrollerini güçlendirir ve ekstra bir güvenlik katmanı ekler. Verilere erişmeye çalışan kullanıcıların, veri genetik verilerine erişmek için etkili bir şekilde şifreler, biyometri veya akıllı kartlar gibi birden fazla doğrulama biçimi sağlamaları gerekli olmalıdır. 23andMe durumunda, kullanıcılarına bu yaklaşımı sunuyor olsalar da, son dönemdeki ihlalleri göz önüne alındığında belki de bunun kullanımının zorunlu hale getirilmesi gerekiyor?
Bunun yanı sıra, kuruluşların güvenlik açıklarını tespit etmek ve endüstri standartlarına ve en iyi uygulamalara uyumu sağlamak için sık sık güvenlik denetimleri yapması önerilir. Bu, güvenlik protokollerinin etkinliğinin test edilmesini ve herhangi bir tutarsızlığın derhal ele alınmasını içerir.
Son olarak, çalışanları verilerin güvenliğine ve korunmasına yönelik sorumlulukları konusunda uygun eğitim ve farkındalıkla donatmadan hiçbir sağlam güvenlik çerçevesi tamamlanmış sayılmaz. Düzenli güvenlik farkındalığı programları, personelin verilerin korunmasındaki rollerini ve sorumluluklarını anlamalarına yardımcı olur.
23andMe, endüstri veri koruma standartlarını aştığını ve güvenlik programının gücünü göstermek için üç farklı ISO sertifikası aldığını ve sistemlerini aktif olarak rutin olarak izleyip denetlediğini iddia etse de, halkla ilişkiler ve medyanın ilgisiyle birlikte buna benzer bir olay Kazandığı bu durum, hiç şüphesiz, bunun gelecekte yaşanmamasını sağlamak için ekibinin daha ileri eğitimi de dahil olmak üzere tüm güvenlik parametrelerini değerlendirmesine neden olacaktır.
Çözüm
23andMe'nin yakın zamandaki veri ihlali, verilerle, özellikle de tüketiciler tarafından sağlanan hassas genetik bilgilerle ilgilenen kuruluşlar için bir uyandırma çağrısı görevi görüyor. Bu tür bir olay doğal olarak şirketin güvenlik politikalarını ve kurumsal ve müşteri verilerinin güvenliğine yönelik yaklaşımını yeniden gözden geçirmesine neden olacaktır. Günümüzde diğer kuruluşlar güvenlik ve veri korumaya yönelik yaklaşımlarını değerlendirirken çoğu kişi verilerinin nerede ve nasıl saklandığını, yönetildiğini ve erişildiğini gözden geçirecek.
Bu özellikle bankalar, telekomünikasyon şirketleri, sigorta şirketleri ve diğer birçok firma için geçerlidir. Şirket içi ve hibrit bulut çözümleri burada da güçlü ve etkili seçenekler sunuyor. Kuruluşların güvenlik önlemlerini güçlendirmelerine ve olası veri ihlallerine karşı koruma sağlamalarına olanak tanır.
Sağlanan veriler üzerinde doğrudan kontrolün yanı sıra şifreleme, çok faktörlü kimlik doğrulama, güvenlik denetimleri ve çalışan eğitimi gibi araç ve taktiklerin birleşimi, kurumsal verilere yetkisiz erişime karşı kapsamlı bir savunma oluşturur. 23andMe gibi kuruluşlar ve diğer birçok kuruluş, kurumsal ve tüketici verilerinin gizliliğini ve bütünlüğünü güvence altına alan daha sağlam güvenlik önlemlerini benimsemeye çalışırken bunları dikkate alacak ve öncelik verecek.