Siber eşitsizlik, sağlam siber güvenlik ve teknoloji yeteneklerine sahip kuruluşları olmayanlardan ayırmaya devam eden büyüyen bir uçurumdur. Bu dijital bölünme, yapımda küresel bir siber güvenlik krizidir.
Dünya Ekonomik Forumu, siber eşitsizliği yüksek etkili bir konu olarak tanımlar ve onu siber tehditlere karşı savunmak için donanımlı kuruluşlar ile bunu yapmak için temel araçlardan yoksun olanlar arasındaki genişleme bölünmesi olarak tanımlar. Bu boşluk, özellikle siber saldırılara oldukça eğilimli olan daha küçük, yetersiz kaynaklı kuruluşlarda belirgindir.
Siber eşitsizliğin yaygın etkileri
Fidye yazılımı saldırıları veya BT kesintileri, sağlık, ulaşım ve diğer mal ve hizmetler gibi kritik ihtiyaçların erişilebilirliğini etkileyen halk üzerinde önemli bir etkiye sahip olabilir. Örneğin, bir hastane sistemi düşerse, potansiyel olarak kırsal alanlarda bir ‘tıbbi çöl’ oluşturursa ve halk sağlığını riske atarsa, hastalar diğer tıbbi tesislere yönlendirilebilir. Veya üretim tesisleri üretimini duraklatabilir, kârlılığını etkileyebilir ve tedarik zinciri kıtlığına neden olabilir. Yeterli siber güvenlik kaynakları olmayan kuruluşlar, saldırıya uğrama riskiyle karşı karşıya kalıyor ve bunlara dayanan toplulukları ve işletmeleri etkiliyor.
Bir işletme doğrudan bir siber saldırı tarafından hedeflenmemiş olsa bile, yine de birinden etkilenebilir. Tedarik zinciri saldırıları, örneğin, üçüncü taraf satıcılar veya hassas bilgilere erişimi olan yazılım sağlayıcıları gibi daha az güvenli unsurları hedefleyen tedarik zinciri ağındaki güvenlik açıklarından yararlanın. Bu saldırılardan elde edilen serpinti, siber güvenlik hazırlığı bağlamında siber eşitsizlik boşluğunu ortaya koyuyor. Fallout ile başa çıkmaya daha iyi hazırlanan daha güçlü siber güvenlik programlarına sahip olanlar, muhtemelen kaynakları olmayanlardan daha hızlı iyileşecek ve siber eşitsizliği daha da genişletecektir.
Kritik endüstriler için siber güvenlik zorlukları
NIST ve CISA gibi kritik endüstriler için düzenleyici yönergeler sıkıntısı olmasa da, yetersiz kaynaklanan kuruluşlar, büyük ölçüde bütçe kısıtlamaları tarafından şiddetlenen siber güvenlik yatırımı ile yokuş yukarı bir savaşla karşı karşıyadır.
Solarwinds, Colonial Pipeline ve son zamanlarda ChangeHealthCare gibi kötü şöhretli saldırılar, birçok kuruluşun saldırıları aşmak veya serpinti ile başa çıkmak için gerekli bir oranda siber güvenliğe yatırım yapacak kaynaklara sahip olmadığı gerçeğini ortaya koymaktadır. Zaten siber sigorta için sınırlı bütçeler kullanmaya zorlanan birçok kuruluşta, güçlü siber güvenlik programlarını uygulamak için yeterli kaynağa veya gerekli BT yeteneğine sahip değildir. Aslında, küresel kuruluşların sadece% 22’si, Dünya Ekonomik Forumu’na göre, bazen “siber yoksulluk çizgisi” olarak adlandırılan siber hedeflerini karşılayacak kaynaklara sahip olduklarını söylüyor.
Tehditleri engellemek veya onlardan kurtulmak için daha az donanımlı olanlar, onlara güvenen topluluklar ve bireyler gibi en büyük riskte kalacaktır. Ne yazık ki, kırsal veya yetersiz kaynaklı alanlarda olanlar en büyük risk altında olma eğilimindedir. Kamuya açıklanan kolektif riskleri anlamak ve tanımak, yasama organlarının bu zorluğun ele alınmasında sahip olduğu sorumluluğun ve önemli rolün altını çizmektedir.
Eylem almak ve siber eşitsizlik boşluğunu kapatmak
Mevzuat, tanımlanmış standartlar ve/veya teşvikler olmadan, kritik endüstriler kapsamlı siber güvenlik stratejilerinin benimsenmesinde önemli zorluklarla karşı karşıyadır. Ancak, bu yetkiler ve teşvik programları sorunu gerçekten ele alacak kadar agresif olmalıdır.
Örneğin, sağlık ve üretim gibi kritik endüstriler çok sayıda teknik ortaklığa bağlıdır ve sistemlerine erişen sayısız satıcı ile çalışır, bu da üçüncü taraf saldırılarının önemli bir hacmi ile sonuçlanır ve bunları daha fazla riske sokar. CISA gibi kuruluşlardan 2025 yılına kadar satıcılardan belirli standartları karşılamalarını isteyen sözler olmasına rağmen, bunlar uyumsuzluk için herhangi bir ceza vermez. Daha motive edici görevlerin veya teşviklerin yokluğunda, yeterli siber güvenlik bütçesi veya kaynakları olmayan kuruluşlar genellikle tedarik zinciri riskini ele alamaz ve savunmasız kalırlar.
Başka bir örnek, Google Cloud’un 2023 Tehdit Horizons raporuna göre, uzlaşma faktörlerinin% 60’ından fazlasını oluşturan insan hatalarının neden olduğu kimlik hırsızlığı riskini azaltmaktır. Erişim yönetimi çözümlerinin kullanılması, kimlik bilgisi hırsızlığı ile ilişkili kimlik avı risklerini ve diğer saldırıları azaltarak bu tehdidi ve güvenliği artırabilir. Ancak, işletme çapında bir erişim yönetimi stratejisinin uygulanması yatırım ve kaynakları gerektirir. Siber eşitsizlikle karşı karşıya olan kuruluşlar için, bu genellikle daha düşük çözümler seçmeye veya sadece kritik kaynakları korumak için şifrelere güvenmeye devam eder.
Güvenlik, siber “sahip değil” için bile bu kritik endüstrilerde en büyük öncelik olmaya devam ediyor. Bu nedenle, BT liderleri, siber güvenlik satıcıları, milletvekilleri ve diğer düzenleyici organlar, siber özkaynak boşluğunu kapatmak için anlamlı politikalar, yönergeler ve teşvikler yaratmak için birlikte çalışmaktadır. Bu işbirliği aciliyetle ilerlemeli ve kısa sürede önemli ilerleme göstermelidir. Aksi takdirde, siber özkaynak boşluğu, kritik endüstrileri ve hizmet ettikleri halkı risk altında bırakarak genişlemeye devam edecektir.
Yazar hakkında
Inplivata’nın başkanı ve CEO’su Fran Rosch, kurumsal güvenlik ve kimlik yönetimi alanında 25 yılı aşkın deneyime sahip deneyimli bir liderdir. Güvenlik, gizlilik ve güvene dayanan Fran, daha önce Forgerock’un CEO’su olarak görev yapan önemli başarılarla işaretlenmiş seçkin bir kariyer kurdu. Fran’ın liderliğinin beş yılı boyunca, Forgerock%400’den fazla büyüdü, bir SaaS geçişinde idam edildi ve hem tüketici kimliği hem de erişimde (CIAM) hem de işgücü kimlik pazarlarında lider olarak kendini güçlendirdi ve 2021’de başarılı bir halka arz tamamladı. Thoma Bravo bu yılın Ağustos ayında.
Fran, LinkedIn, X aracılığıyla çevrimiçi olarak ulaşılabilir ve şirket web sitemizde https://www.imprivata.com/