Bu hafta Apple tarafından hazırlanan bir rapor, analistlerin hassas verileri hırsızlığa ve kötüye kullanıma karşı korumak için neden uzun süredir uçtan uca şifrelemenin kullanılmasını önerdiğini bir kez daha vurguladı.
Rapor, Massachusetts Teknoloji Enstitüsü’nden bir profesörün teknoloji devi için yürüttüğü, kamuya açıklanmış ihlal verileriyle ilgili bağımsız bir çalışmaya dayanıyor. Fidye yazılımı kampanyalarının ve güvenilir teknoloji satıcılarına yönelik saldırıların, son iki yılda veri ihlallerinde ve bu ihlallerde ele geçirilen kayıt sayısında keskin bir artışa katkıda bulunduğunu gösterdi.
Milyarlarca Ele Geçirilmiş Kayıt
2021 ve 2022’de veri ihlalleri, şaşırtıcı bir şekilde 2,6 milyar kişisel kaydı açığa çıkardı; bunların yaklaşık 1,5 milyarı yalnızca geçen yıl oldu. Bu yıl şu ana kadarki eğilimler bir gösterge olursa, bu sayının 2023’te daha da yüksek olması muhtemeldir.
Yalnızca 2023 yılının ilk dokuz ayındaki toplam veri ihlali sayısı şimdiden 2022 yılının tamamındaki toplamdan %20 daha fazla. Kurumsal ve kurumsal ihlaller, Ağustos 2023 sonu itibarıyla yaklaşık 360 milyon kişiye ait hassas kayıtları açığa çıkardı.
IBM’in 2023 Veri İhlalinin Maliyeti raporundan ve ayrı bir Forrester araştırma çalışmasından elde edilen veriler, Apple raporu, yakın zamanda bir ihlal yaşayan kuruluşların %95’inin daha önce en az bir ihlal daha yaşadığını gösterdi. Yüzde yetmiş beşi, önceki 12 ayda en az bir veri güvenliği ihlali olayı yaşadı.
Fidye yazılımı ve satıcı saldırıları, veri ihlallerindeki keskin artışa ve bunun sonucunda hassas kayıtların tehlikeye atılmasına büyük ölçüde katkıda bulundu. Örneğin, 2023’ün ilk dokuz ayındaki fidye yazılımı saldırılarının sayısı, 2022’nin aynı dönemine göre %70 daha yüksekti. 2022’ye kıyasla 2023’ün ilk yarısında yaklaşık %50 daha fazla kuruluş fidye yazılımı saldırısına maruz kaldığını bildirdi ve bu sayı yılın geri yarısında daha da yükselecek gibi görünüyor.
Araştırma ayrıca kuruluşların %98’inin yakın zamanda en az bir veri ihlali yaşamış bir teknoloji tedarikçisiyle ilişkisi olduğunu da ortaya çıkardı. Çok sayıda kuruluş ve bireyi etkileyen satıcı ve satıcı teknolojilerini içeren ihlal raporundaki örnekler arasında şunlar yer almaktadır: Fortra, 3CX, İlerleme YazılımıVe Microsoft.
Apple raporunda, “Tüketici verilerine yönelik bu artan tehdit, şirketlerin ve diğer kuruluşların özellikle bulutta topladığı ve sakladığı şifrelenmemiş kişisel verilerin artan miktarının bir sonucudur.” dedi. “Kuruluşlar, ağlarında depolanan verileri şifreleyerek bilgisayar korsanlarının tüketici verilerini kullanma veya satma olasılığını azaltabilir ve bu verileri yalnızca şifreyi çözecek anahtara sahip olanlar tarafından okunabilir hale getirebilir.”
İhlaller Şifreleme İhtiyacını Artırıyor
Kuruluşların verileri kullanımdayken, aktarılırken ve beklemedeyken şifreleme ihtiyacı uzun süredir bilinen bir sorundur. Çalınan verileri kötüye kullanıma karşı koruma ve çalınan verileri çalanlar için işe yaramaz hale getirme konusunda veri şifrelemenin etkinliğine çok az kişi itiraz ediyor. PCI DSS, HIPAA, GLBA ve AB’nin GDPR’si gibi çeşitli düzenlemeler ve sektör talimatları, özellikle depolanan veriler ve aktarılan veriler için şifrelemeyi gerektirir veya önerir.
Panorays’in CTO’su ve kurucu ortağı Demi Ben-Ari, “Şifreleme, hassas bilgilere yetkisiz erişime karşı zorlu bir savunma görevi görüyor” diyor. Şifreleme, verileri yetkisiz taraflarca okunamaz hale getirerek, veri ihlali durumunda bile verilerin açığa çıkması riskini büyük ölçüde azalttığını söylüyor. “Şifrelemenin çalınan verileri işe yaramaz hale getirmedeki gücü, temel bir koruyucu önlem olarak kritik rolünün altını çiziyor.”
Buna rağmen pek çok kuruluş -Apple’ın araştırmasının ve diğerlerinin önerdiği gibi- ayaklarını sürüyerek ilerlemeye devam etti. veri şifreleme karışık nedenlerden dolayı. Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, bunların arasında şifreleme sistemlerinin algılanan karmaşıklığı, olası maliyet, performans etkilerine ilişkin endişeler ve şifrelenmiş sistemleri etkili bir şekilde yönetmek için şirket içi uzmanlık eksikliğinin yer aldığını söylüyor.
Orta-Zor Bir Mücadele
Jones, “Uçtan uca şifrelemenin uygulanması, kuruluşun büyüklüğüne, mevcut altyapıya ve şifrelenen veri türlerine bağlı olarak orta derecede zordan çok zorluya kadar değişebilir” diyor. “Dikkatli planlamayı, doğru araç ve teknolojilere yatırım yapmayı ve genellikle veri güvenliğinin algılanıp yönetilme biçiminde kültürel bir değişim gerektirir.” Çoğu zaman kuruluş, anahtar yönetimiyle ilgili sorunlarla karşılaşabilir; bu önemli bir sorundur çünkü anahtarları kaybetmek, verilere erişimi kalıcı olarak kaybetmek anlamına gelebilir. Jones, kuruluşların ayrıca şifrelemeyle ilgili potansiyel performans etkilerini de dikkate alması ve mevcut sistem ve formatlarla uyumluluğu sağlaması gerektiğini söylüyor.
Bulut bilişimin hızla ve giderek artan şekilde benimsenmesi, kuruluşların şifreleme planlarını değerlendirirken dikkate alması gereken başka bir faktördür. Apple’ın çalışmasının incelediği veriler, ihlallerin %80’inin bulutta depolanan verilerden kaynaklandığını gösterdi. Bu tür verileri şifrelemek, verileri şirket içinde şifrelemekten daha zor olabilir.
Qualys’in siber tehditler direktörü Ken Dunham, iyi güvenlik uygulamalarına sahip kuruluşların genellikle eski ağları üzerinde tam görünürlüğe sahip olduğunu söylüyor. “Ancak buluta geçtiklerinde genellikle benzer kontrollere, görünürlüğe, yönetime ve eylem halindeki şifrelemenin artılarını ve eksilerini ele alan operasyonlara sahip olma yeteneklerini kaybediyorlar.” Kuruluşların, dijital dönüşüm girişimlerini tamamlarken eski ve modern teknolojilerden oluşan hibrit bir ağı sürdürme ihtiyacının, başka bir karmaşıklık katmanı eklediğini ekliyor.
Ben-Ari, kuruluşların yapabileceği bir hatanın, veri şifreleme için yalnızca bulut sağlayıcılarına güvenmek olduğunu söylüyor: “Bulut sağlayıcıları değerli güvenlik önlemleri sunarken, kuruluşların verilerinin şifrelenmesi konusunda doğrudan sorumluluk üstlenmeleri gerekiyor.”
Sorunsuz entegrasyonu kolaylaştırmak için kuruluşların kullanıcı dostu teknolojilere öncelik vermesini tavsiye ediyor; Aşamalı uygulamalar günlük operasyonlardaki kesintiyi daha da azaltabilir.
Ve son olarak, kuruluşların birçok bulut sağlayıcısının ve lider SaaS satıcısının sunduğu ve kuruluşların kullanıcılara tek bir tıklamayla birçok gelişmiş şifreleme özelliği sunmasına olanak tanıyan paylaşılan sorumluluk modelinden yararlanmasını öneriyor.