İnternet, bugün bildiğimiz gibi, kusurlu mimari üzerine inşa edilmiştir, çift yönlüdür. Her çevrimiçi eylem – tarama, alışveriş veya sosyalleşme olsun – kimlik avı, kötü amaçlı yazılım ve güvenlik açığı sömürüsü şeklinde siber saldırılar riski taşır. Bu ikilik, çift yönlü doğasının bir sonucudur, istediğiniz kaynaklara ulaşabilirsiniz, ancak istenmeyen sonuç dış kaynaklardır ve saldırganlar size ulaşabilir (ve uzlaşabilir). Doğrudan ulaşılabilir olmak sorunun kalbidir. Bu, verileri bulut, yapay zeka odaklı bir dünyada nasıl bağladığımız, paylaşmamız ve yönettiğimizde radikal bir değişime ihtiyaç yaratır.
Girmek Ağ 2.0 Ve bununla birlikte, güvenlik ve veri yönetiminde devrim yaratabilen sıfır güven ilkelerine dayanan bağlantıya tek yönlü bir yaklaşım. Böyle bir modelde, kullanıcılar harici bir varlık olmadan “nesneler” olarak muamele edilir ve kaynaklar itilmek yerine çekilir ve kiminle bağlantı kurdukları veya reddettikleri üzerinde tam kontrol sağlar. Bu basit ama güçlü değişim, müdahaleci pazarlama veya kötü niyetli aktörlerin kesintilerinden arınmış, eğitim ve gerçek bilgi paylaşımı için bir platform olarak İnternet’in orijinal amacını geri yükleyebilir. Aynı zamanda daha önce gördüğümüz bir teknoloji modeli – bazılarımız hala geçen günlerin telefon panosununu ve ilk proxy tabanlı teknoloji mimarilerinden bazılarını hatırlayabiliriz.
Bir meslektaşım, sıfır güven cep telefonuna (bir telefon panosunun modern eşdeğeri) sahipti. Demek istediği şey, çağrı tarama süreçlerinin bir parçası olarak bağlam eklemesiydi. Sadece bilinen kişiler onu arayabilir. Bu, birisinin telefon numarasına erişebilse bile çağrının bağlanmayacağı anlamına geliyordu. Sosyal medyada modern bir eşdeğer örnek olarak Snapchat olacaktır. Bir kişi ve Snapchap hesabı arasındaki ilişki bağlantısı kesilmiş bir şeydir ve seçilen keyfi bir kullanıcı adı tarafından geçişli olarak korunur. Başka bir Snapchat kullanıcısı, sizinle sohbet etmek için hem kullanıcı adını bilmek hem de izin verilen kişilerinizin bir üyesi olmalıdır. İnce bir değişim. Öyleyse neden bunu her şey için yapmıyorsunuz?
Ama bu pratikte ne anlama geliyor?
Yeni bir bağlantı ve veri egemenliği dönemi
Özünde, Network 2.0, dijital etkileşimleri üzerinde kontrol sahibi olan bireyleri güçlendirmek için tasarlanmıştır. Bu olarak bilinir bağlantı egemenliği. Sıfır Güven’e benzer ilkeleri benimseyerek, kullanıcılar diğerleriyle çevrimiçi olarak ne zaman ve nasıl etkileşim kuracağını seçerler. Herhangi bir iletişim talebi, kimlik avı gibi geleneksel tehditleri etkili bir şekilde etkisiz hale getirerek açık izin gerektirir. E-postamıza, kötü niyetli bir kampanyanın bir parçası olarak en kütle itmek yerine yalnızca gerçek bir kaynaktan çekilebileceğini bilerek tekrar güvenebilmek güzel olmaz mıydı.
Etkili olabilmek için 2.0, basit bir bağlantı kaymasından çok daha fazlasını dikkate almalıdır, verilerin nerede saklandığını da dikkate almalıdır. Şu anda bizim hakkımızda veriler bizim tarafımızdan tutulmuyor. Aslında büyük kuruluşlar tarafından ve arasında büyük ölçüde toplanır, küratörlüğünde ve büyük ölçüde dağıtılır. Çok pratik bir şekilde bireyler onlar hakkında bilgi üzerinde çok az kontrole sahiptir. Bu, dünyadaki hükümetler tarafından fark edilmedi. Günümüzün jeopolitik olarak yüklü ortamında, hükümetler giderek daha fazla odaklanıyor Veri Egemenliği. Bu, vatandaşların verilerini ulusal sınırlar içinde düzenleme ve onu ölçekte dış müdahaleden koruma ihtiyacını kabul eder.
Kişisel veriler rutin olarak büyük şirketlere teslim edilir ve yeterince güvence altına alacağını umduğumuz geniş veritabanlarında saklanır. Öte yandan, Network 2.0 kişisel verileri tam olarak ele alıyor, kendimizi koruyoruz ve sadece görmemiz gerekenlere erişime izin veriyoruz, ancak temel fark, asla sahip olduğumuzu bırakmaması ve olmasına izin verdiğimizde görülmemesidir. Bir tıp pratisyenini ziyaret ettiğimizde, bir randevu için ziyaret ettiğimizde hakkımızda bilgileri saklamak ve hatırlamak için onlara güveniyoruz – ama neden onlarla saklamak, randevular arasında verilere ihtiyaç duymadıklarını düşünün. Tarih bize, hassas bilgilerin büyük mağazalarının düzenli olarak hedeflendiğini ve tehlikeye atıldığını gösteriyor. Konsolide miktarlarda çok çekici yüksek değerli hedefleri temsil ederler – ancak veriler artık bir makro düzeyinde değil, mikro düzeyde tutulmadıysa.
Bu, şirketler kişisel bilgilere erişmek için açık bir onay almaları gerektiğinden, verilerle olan ilişkimizi temel olarak değiştirir.
Bu değişim, bir Hiyerarşik veri yönetimi modeli:
- Veri damlacıkları: Bunlar, şifreli depolama çözümleri aracılığıyla kişisel verilerine sahip ve kontrol eden bireysel kullanıcılardır.
- Veri su birikintileri: Bu damlacıklar daha sonra bölgesel düzenlemelere uygun yerelleştirilmiş veri kümelerinde toplanır ve risk maruziyetini en aza indirir.
- Veri Gölleri: Anonimleştirme teknikleri de dahil olmak üzere, su birikintileri katı kontroller altında birleştiren analitik amaçlar için kullanılan daha büyük veri kümeleri.
Bu üç aşamalı segmentasyon sadece Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) ve AI Yasası gibi düzenlemelere bağlı kalmaz, aynı zamanda merkezi veri depolama ile ilişkili riskleri de azaltır.
Zorluklar ve düşünceler
Ağ 2.0’a geçişin şüphesiz zorlukları var. Başlangıç olarak, şirketlerin bireyler olarak hakkımızdaki verileri analiz etmek için gelen kutumuza doğrudan pazarlama kullanma veya veri kümelerden yararlanma yeteneğine meydan okuyacaktır. Muhtemelen bu, şirketler ve tüketicileri arasındaki finansal ilişkiyi temelden değiştirecektir.
Bununla birlikte, daha önce veri hesap verebilirliğinde sismik değişimler gördük, kredi kartı işleme bunlardan birine bir örnektir. PCI mevzuatı kuruluşları kredi kartı bilgilerini teslim etmeye zorladı. O zamanlar kuruluşlar kredi kartı bilgilerini saklamadan çevrimiçi çalışmayı hayal edemiyorlardı, ancak bugün aynı kuruluşlar mükemmel bir şekilde çalışıyorlar ve muhtemelen bu bilgi varlıklarını tutma sorumluluğuna sahip olmamanın rahat bir şekilde iç çekiyorlar.
Öyleyse bunu neden tüm PII bilgileri için yapmıyorsunuz? Birçok kuruluş hala eski sistemlere ve onlarca yıllık iş süreçlerine yerleşmiş ve paydaşları değişim ihtiyacına ikna edici olacaktır. Gerçek dönüşüm sürekli adaptasyon gerektirir ve her seferinde kural kitaplarının yeniden yazılması gerekir. Mevzuat, bu değişikliklerin bazılarını zorlamada küçük bir rol oynamaz.
Benim görüşüme göre, bireysel düzeyde bir bağlantı kaymasının benimsenmesi, kısa vadede kuruluşların bizim hakkımızda tuttukları verileri teslim etmelerini beklemekten çok daha ulaşılabilir. Şimdilik en azından verilerimizi bizim adımıza korumak için daha iyi bir iş çıkaran kuruluşlara güvenmeye devam etmeliyiz. Ancak yeşil sürgünler, daha büyük bir rol oynaması gereken güvenlik ihtiyaçlarını tanıyan kuruluşlarla ortaya çıkıyor.
Bu, kuruluşlar içinde kültürel değişim gerektirir – halihazırda gerçekleşen bir süreç. Ağ ekipleri, altyapı ekipleri yerine doğrudan güvenlik ekiplerine rapor vermektedir. Bu, güvenliğin artık sonradan düşünülmüş değil, ağ stratejisinin ayrılmaz bir parçası olduğunu gösteriyor. Tabii ki, yeni teknolojilerin ve mimarilerin uygulanması, teknik becerilerin yanı sıra değişimi kucaklamak için isteklilik gerektirir. BT takımlarını eğitmek ve yükseltmek için önemli çaba gerekmektedir.
Uygulama Adımları
Network 2.0’a başarılı bir geçiş yapmak için kuruluşlar bir dizi pratik adım atabilir:
1. Sıfır Güveni Kucaklayın: Erişim vermeden önce doğrulamayı zorunlu kılan bu temel güvenlik çerçevesi, ağ 2.0’ın çekirdeğini oluşturur. Konum veya ağdan bağımsız olarak her kullanıcı ve cihaz kimliği doğrulanmalıdır.
2. Şampiyon Veri Egemenliği: Gelişen veri egemenlik düzenlemelerine uygunluk sağlarken bireylerin ve kuruluşların verilerini kontrol etmelerini sağlayan çözümler uygulayın. Veri segmentasyonunu, güvenli paylaşım ve sağlam erişim kontrollerini sağlayan teknolojiler anahtardır.
3. Veri sınıflandırmasına öncelik verin: Tüm veriler eşit derecede hassas değildir. Verileri önemine göre sınıflandırarak, kuruluşlar en kritik bilgileri korumak için özel güvenlik önlemleri uygulayabilir.
4. Bir veri patlama yarıçapı yaklaşımını benimseyin: Veri’nin birden çok konumda stratejik olarak dağıtılması, potansiyel ihlallerin etkisini sınırlar. Felaket kurtarma planlamasından esinlenilen bu yaklaşım, verilerin tek bir yerde merkezileştirilmesiyle ilişkili riski en aza indirir.
Güvenli, kullanıcı merkezli bir dijital ekosistemin yeniden tasarlanması
Ağ 2.0’ın bu kadar heyecan verici olmasının nedeni, teknolojik bir yükseltmeden çok daha fazlası olmasıdır; Dijital ekosistemin temel bir yeniden tasarımıdır. Hepimizi dijital yaşamlarımızın kontrolüne sokabilir ve gizlilik, güvenlik ve kişisel ajansa öncelik veren tasarıma göre daha güvenli bir internet teşvik edebilir.
Bu geleceğe yaklaşmak için iş liderleri, teknoloji uzmanları ve politika yapıcılar arasındaki işbirliği esastır. Network 2.0’a yolculuk karmaşık olabilir, ancak sunduğu potansiyel-daha güvenli, daha esnek ve kullanıcı merkezli bir dijital dünya-sadece çabaya değer değil, aynı zamanda giderek daha fazla gömülü teknolojik ortamımız üzerinde ne kadar kontrole sahip olduğumuzu şekillendirecektir.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!