Siber güvenlik taahhüdü artık isteğe bağlı değil, Titania strateji ittifakı yöneticisi Matt Malarkey, The Cyber Express ile yaptığı bir röportajda ABD Ulusal Siber Güvenlik Stratejisini özetledi.
Titania, ABD’de operasyonel çıkarları olan diğer birçok kişi, kuruluş ve hükümet gibi ABD Ulusal Siber Güvenlik Stratejisi için hazırlanıyor.
Ülkenin dijital altyapısını korumayı amaçlayan Biden yönetimi, ABD Ulusal Siber Güvenlik Stratejisini, hükümetin siber güvenliğe yaklaşımını özetleyen ve siber tehditlere karşı korunma önlemlerini ortaya koyan kapsamlı bir plan olarak sunuyor.
Strateji, siber güvenlik araştırması için finansmanı artırmak, devlet kurumları ile özel kuruluşlar arasında bilgi paylaşımını ve işbirliğini geliştirmek ve yetenekli bir siber güvenlik iş gücü geliştirmek gibi bir dizi girişimi içeriyor.
Ayrıca, elektrik şebekeleri ve finansal sistemler gibi kritik altyapıyı siber saldırılara karşı güçlendirme planlarını da özetliyor.
Ulusal Siber Güvenlik Stratejisi, onu ülkenin siber savunmasını güçlendirmeye yönelik çok gerekli bir adım olarak gören siber güvenlik uzmanları tarafından iyi karşılandı.
Ancak bazıları, stratejinin uygulanması ve daha somut önlemlerin alınması gereği konusunda endişelerini de dile getirdi.
İşletmeler yeni ABD Ulusal Siber Güvenlik Stratejisi hakkında endişelenmeli mi? Evet diyoruz. Nereden başlarlar? Açıklamalar diyoruz!
ABD Ulusal Siber Güvenlik Stratejisi: Kalın ve ince yazılar
Hükümet tarafından yayınlanan 39 sayfalık belgenin iki temel noktası, 2 Mart’ta yayınlanan bilgi notunda listelendi.
Siber güvenliğin yükünü bireylerden, küçük işletmelerden ve yerel yönetimlerden alıp, hepimiz için riskleri azaltmak için en yetenekli ve en iyi konumda olan kuruluşlar.
“Uzun vadeli yatırımları desteklemek için teşvikleri yeniden düzenlemeliyiz. dikkatli bir denge kurmak kendimizi bugün acil tehditlere karşı savunmak ile aynı anda dirençli bir gelecek için stratejik planlama yapmak ve ona yatırım yapmak arasında.”
Basitçe söylemek gerekirse, Maryland Üniversitesi Bilgisayar Bilimi ve Elektrik Mühendisliği Baş Öğretim Üyesi Richard Forno, büyük teknoloji satıcılarını ürünlerinin güvenliğiyle ilgili sorumluluk iddialarından koruyan yasal kalkanın kalkacağını açıkladı.
Yetkili, kritik bilgisayar sistemlerinin üreticileri ve operatörlerinin, ürün güvenliğini geliştirme ve vatandaşların siber güvenlik risklerini hafifletme yükünü azaltma sorumluluğunu üstleneceklerini kaydetti.
Tüm açıklamaların altında gizlenen iki önemli noktanın altını çizdi: olay ifşası ve fidye yazılımı saldırıları.
ABD Ulusal Siber Güvenlik Stratejisi, “siber güvenlik tehditleri, güvenlik açıkları ve riskleri hakkında hükümet ve özel sektör arasında gelişmiş bilgi paylaşımı” çağrısında bulundu.
“İlginç bir şekilde, strateji, ABD’nin hükümet ve iş dünyasının her düzeyinde karşı karşıya olduğu en acil siber suç olarak fidye yazılımı tehdidine büyük önem veriyor. Artık fidye yazılımını yalnızca bir suç meselesi olarak değil, bir ulusal güvenlik tehdidi olarak nitelendiriyor.”
Başka bir deyişle, ifşa zorunlu hale geldi ve fidye yazılımı saldırıları gibi olaylarla ilgili uygunsuz ifşa, bir ulusal güvenlik tehdidinin aciliyetiyle ele alınacak.
Düzgün ifşa ihtiyacı, ABD Ulusal Siber Güvenlik Stratejisinin üç ana hedefinin altında yatan ancak söz edilmeyen bir maddedir: federal ağları ve verileri güvence altına almak, kritik altyapı için siber güvenliği iyileştirmek ve siber güvenlik farkındalığını ve eğitimini geliştirmek.
ABD Ulusal Siber Güvenlik Stratejisi: Tüm yollar ifşaya çıkar
Üç noktayı bir iş perspektifinden tahmin edin ve hem zorlukları hem de fırsatları görebiliriz.
Strateji, siber tehditlerle mücadelede kamu-özel ortaklıklarının önemini vurgularken, aynı zamanda işletmelerin siber güvenliğe operasyonlarının önemli bir parçası olarak öncelik vermesine daha fazla önem veriyor, diye belirtti Cornell Üniversitesi Teknik Politika Enstitüsü Direktörü Sarah Kreps.
Stratejide özetlenen kilit girişimlerden biri, işletmelerin siber güvenliğe “derinlemesine savunma” yaklaşımı benimsemesi gerekliliğidir.
Bu, siber saldırılara karşı daha iyi koruma sağlamak için birden çok güvenlik katmanı uygulamak anlamına gelir. İşletmeler ayrıca siber güvenlik risklerini düzenli olarak değerlendirmeye ve güvenlik yatırımlarına buna göre öncelik vermeye teşvik ediliyor. Ve evet, güvenlik açıklarını ifşa edin ve düzeltin.
Diğer bir girişim de, işletmelerin siber tehditler ve saldırılar hakkında hükümet ve diğer işletmelerle daha fazla bilgi paylaşma ihtiyacıdır. Kısacası, siber olayların zamanında ve doğru bir şekilde açıklanması.
Açıklamaya hazır ama nasıl?
ABD’de, veri ihlalleri de dahil olmak üzere güvenlik olaylarının bildirilmesi için farklı gereklilikleri özetleyen karmaşık bir federal ve eyalet yasaları vardır. Olay ifşası, özellikle her eyaletin barındırdığı ayrı ayrı yasalar nedeniyle ABD’de parçalanmış bir oyundur.
Kurallar eyaletler arasında tutarlı değil, birkaçı son zamanlarda veri koruma gerekliliklerini geliştirmek için yeni yasalar çıkardı.
Örneğin, New York’ta SHIELD Yasası bulunurken, Kaliforniya ve Colorado’da veri gizliliği mevzuatı oluşturulmuştur. Federal hükümet, kısmen AB’nin Genel Veri Koruma Yönetmeliğine (GDPR) yanıt olarak, Ulusal Siber Güvenlik Stratejisi aracılığıyla veri koruma gerekliliklerini birleştirmeye çalışıyor.
Eyalet yasalarının çoğunun uyumluluğunu sağlamak için atılacak kısa ve etkili adımlar nelerdir? GDPR’yi takip edin!
Açıklama koşulları söz konusu olduğunda ABD yasalarının çoğundan çok daha katı olan GDPR’ye uymak, kuruluşların ABD veri koruma mevzuatı gereksinimlerini karşılamasına yardımcı olacaktır.
“GDPR’nin anahtarlarından biri, veri sahiplerinin verilerine ne olduğu, neden toplandığı, nasıl kullanılacağı, kimin işleneceği, nereye aktarılacağı, nasıl aktarılacağı hakkında tam olarak bilgilendirilmeleridir. silebilir, nasıl koruyabilirler, işlenmesini nasıl durdurabilirler, vb.”
Rıza ve bildirim sorumluluğunun büyük kısmı kontrolöre düşüyor, ancak veri sahibinin haklarının korunmasını sağlamak için işleyici ve kontrolör birlikte çalışmak zorunda” dedi.
Kuruluşların, olay müdahale planlarının birden çok bölgedeki olayları ve sektöre özgü gereksinimleri ve evet, denetleyici ve işleyici kavramlarını kapsadığından emin olması gerekir.
“Kişisel verileri “basit bir şekilde” işlemek”, temel olarak kişisel verilerin elektronik yollarla toplanması, kaydedilmesi, toplanması, düzenlenmesi, saklanması, değiştirilmesi, geri alınması, kullanılması, ifşa edilmesi veya başka bir şekilde kullanıma sunulmasıdır. Bir “denetleyici”, kişisel verilerle ne yapılacağını belirleyen varlıktır, “diye açıklıyor Dickinson Wright raporu.
Bir yıl önce, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ABD borsalarında işlem gören şirketlerin ifşa normlarını merkezileştirmek için bir girişimde bulundu.
Diğerlerinin yanı sıra, önerilen normlar, “önemli siber güvenlik olaylarının güncel raporlanmasını” ve daha önce bildirilen siber güvenlik olayları hakkında güncellemeler sağlamak için periyodik raporlamayı yaptı.
Uygun açıklama: Bir kontrol organının rolü
Normların merkezileştirilmesinden önce bile SEC, siber güvenlik olaylarının uygun ve zamanında ifşa edilmesini sağlama konusunda proaktif olmuş ve normları ihlal eden şirketleri cezalandırmıştır.
Örneğin, menkul kıymetler gözlemcisi, Londra merkezli eğitim ve yayıncılık şirketi Pearson’a, yatırımcıları milyonlarca öğrenci kaydının çalınmasıyla sonuçlanan 2018 veri ihlali konusunda kandırdığı için 1 milyon dolar ceza verdi.
Ajans, Pearson’ın milyonlarca öğrenci kullanıcı adının, şifreli şifrenin ve 13.000 okul, bölge ve üniversite müşteri hesabının yönetici oturum açma kimlik bilgilerinin çalındığı veri ihlali hakkında yanıltıcı beyanlarda bulunduğunu ve eksiklikler gösterdiğini tespit etti.
SEC, Pearson’ın Temmuz 2019’da yaptığı altı aylık bir incelemede, veri ihlali zaten gerçekleşmiş olmasına rağmen olaydan varsayımsal bir risk olarak bahsettiğini ortaya çıkardı.
Benzer şekilde, şirket aynı ay yaptığı açıklamada, ihlalin doğum tarihlerini ve bu tür kayıtların çalındığını bildiği zaman e-posta adreslerini içerebileceğini belirtti.
Önerilen değişikliğin ana nedenlerinden biri, SEC’in bazı olayların medyada yer aldığını ancak etkilenen şirketler tarafından periyodik dosyalamalarında açıklanmadığını belirtmesidir. Ek olarak SEC, açıklamalar yapıldığında, bu raporların doğasının ve eksiksizliğinin tutarsız veya eksik olduğunu tespit etti.
Bunu ele almak için SEC, ihlal bildirimi için aşağıdakileri içeren tek tip gereksinimler öneriyor: ihlalin zamanını ve durumunu açıklama, olayın kısa bir açıklamasını sağlama, çalınan, değiştirilen, erişilen veya yetkisiz herhangi bir veriyi ifşa etme, etkiyi açıklama şirketin operasyonları hakkında olay ve herhangi bir iyileştirme çabasının raporlanması.
ABD Ulusal Siber Güvenlik Stratejisi ve açıklama: İşletmeler için bir kontrol listesi
ABD Ulusal Siber Güvenlik Stratejisi kapsamındaki ifşa normları henüz kesinleşmemiş olsa da, şirketler olası kural yaptırımlarına hazırlanmak için belirli adımlar atabilir.
Bunu yapmak için mevcut siber güvenlik teknolojisi yığınlarına, politikalarına ve ihlal müdahale prosedürlerine odaklanmaları gerekir. Şirketlerin, kodlanmaları halinde yeni SEC ifşa gerekliliklerine hazırlanmalarına yardımcı olabilecek bir kontrol listesi aşağıdadır:
Siber güvenlik politikalarınızı ve prosedürlerinizi gözden geçirin
Şirketler, bilgi güvenliği ekibi, siber güvenlikten sorumlu olanlar ve hukuk ekibi arasındaki iletişim de dahil olmak üzere, etkili ifşa kontrolleri ve prosedürleri sağladıklarından emin olmak için siber güvenlik politikalarını gözden geçirmeli ve güncellemelidir.
Politikalar ve iletişim kanalları, tespit edilen siber güvenlik olaylarının hızlı bir şekilde değerlendirilmesini ve üst mercilere iletilmesini kolaylaştırmalıdır. Politikaların gözden geçirilmesi ve güncellenmesi, doğru süreci, gözetimi ve yeni ifşa gerekliliklerine uyumu sağlayacaktır.
Yönetim kurulu gözetim yapılarını yenilemek
Kurullar, siber güvenlik açıklamalarını denetleme sorumluluğunu belirli bir komiteye devredip devretmemeyi düşünmelidir. Şirketler ayrıca yönetim kurulunun toplantılar sırasında siber güvenliği ele almak için harcadığı süreyi değerlendirmeli ve gerekirse daha fazla zaman ayırmalıdır.
Yöneticilerin siber güvenlik yeteneklerini geliştirin
Şirketler, yönetici adayı arama ve işe alma süreçlerini yürütürken siber güvenlik deneyimi ve yeteneklerine sahip yöneticilere öncelik vermelidir. Ayrıca, bu yöneticiler açıklamalarda, yıllık raporlarda ve vekaletnamelerde yer alacağından, yönetici deneyimine ilişkin değerlendirmelerinin SEC tarafından önerilen kriterlerle uyumlu olup olmadığını da dikkate almalıdırlar.
Optimum ifşa normlarını koruyun
Herhangi bir yeni kural değişikliğine hazırlanmanın en iyi yolu, optimum ifşa normlarını sürdürmektir.
Şirketler, siber güvenlik politikalarını ve prosedürlerini denetlemek ve değiştirmek için deneyimli bir siber güvenlik ve uyum ortağı görevlendirmelidir. Ayrıca hukuk, bilgi güvenliği ve operasyon ekiplerini ihlal önleme, müdahale, hafifletme ve raporlama konusunda eğitmelidirler.
Sonuç olarak şirketler, siber tehdit riskini azaltmak için veri kaybı önleme yazılımı ve diğer teknoloji araçlarını uygularken yeni ifşa gerekliliği belgesinin belirli maddelerini ve ayrıntılarını öğrenmeye başlamalıdır.
Kuruluşlar, herhangi bir olay meydana gelmeden önce SEC’in yeni açıklama çerçevesine uymaya hazır olmalıdır. İşletmeler bunu yaparak güvenlik kültürünü geliştirebilir ve hem paydaşlar hem de ABD Ulusal Siber Güvenlik Stratejisi uyumluluğu için şeffaflığı artırabilir.