Editörün notu: Aşağıdaki, LastPass'ın kıdemli baş istihbarat analisti Michael Kosak'ın konuk makalesidir.
Beyaz Saray yakın zamanda başsavcıya, Amerikalıların sağlık, coğrafi konum ve mali veriler gibi hassas kişisel verilerinin Çin ve Rusya dahil endişe duyulan ülkelere büyük ölçekli aktarımını önleme yetkisi veren bir idari emir yayınladı.
Eski bir Savunma Bakanlığı terörle mücadele istihbarat görevlisi olarak deneyimlerime dayanarak, bu emrin memnuniyetle karşılandığını söyleyebilirim. Küçük ve orta ölçekli işletmelerden elde edilen veriler de dahil olmak üzere, bireysel verilerin değişen değerini ve ulus devletlere olan çekiciliğini yansıtıyor.
Artık veri miktarı başlı başına bir nitelik kazandı.
Büyük veri sıcak bir üründür için kötü aktörler
Büyük veri, şantaj, yapay zeka eğitimi ve analizi, muhaliflerin izlenmesi, istihbarat görevlilerinin belirlenmesi ve takip edilmesi, tıbbi araştırmalar ve diğer birçok amaç için kullanılabildiğinden ülkeler için aranan bir hedef haline geldi.
İnsanlar genellikle ulus devletin veri edinmesini, personel kayıtlarının ve güvenlik izni formlarının çalınmasıyla sonuçlanan 2015 Personel Yönetimi Ofisi ihlali gibi büyük veri ihlalleriyle ilişkilendirse de gerçek şu ki, çok büyük miktarda hassas veri elde edilebilir. çok daha kolay ticari yollarla.
Şirketler kişisel bilgileri toplayıp veri simsarlarına sattıklarından ve bu bilgiler daha sonra yeniden satılabildiğinden, bir ulus devletin bu verileri elde etmek için hilelere veya özel kötü amaçlı yazılımlara ihtiyacı yoktur. — hepsi tamamen yasal — ve sonunda yabancı askeri veya istihbarat servislerinin eline geçiyor.
Küçük hedeflerde bile değer artar
Bu yeni yönetim emri, bir ülkenin güvenliği ve stratejik çıkarları için yapılan siber casusluk saldırılarının artık bir hükümetin veya savunma yüklenicisinin hassas bilgisayar ağlarıyla sınırlı olmadığı gerçeğini yansıtıyor. Artık her vatandaşı kapsıyor.
Pek çok kişi, yabancı bir ülke tarafından bir siber casusluk operasyonu için bireysel olarak hedef alınmayacaklarını varsaysa da ve genellikle haklı olarak, kişisel verilerinin değerini daha büyük bir bütünün parçası olarak ihmal ediyor olabilirler.
Toplu olarak incelendiğinde, istemeden de olsa faydalı stratejik bilgileri ortaya çıkarabilen verilerdir.
Bu, coğrafi konumu, finansal verileri, tıbbi veya genetik bilgileri veya kullanılabilecek diğer her türlü hassas bilgiyi içerebilir. çok fazla hassas alanların konumları (örneğin, otoyollara veya otoparklara yakın olmasına rağmen coğrafi konum verilerinin az olduğu alanların belirlenmesi) gibi değerli bilgileri ortaya çıkarmak veya şantaja veya rüşvete açık kişilerin mali özelliklerini belirlemek.
Aynı durum, sıklıkla siber casusluk operasyonlarının hedefi olma ihtimallerinin düşük olduğunu varsayan KOBİ'ler için de geçerlidir.
Doğru, KOBİ'ler, 2013 Target veri ihlali örneğinde olduğu gibi, çok daha büyük kuruluşlara yönelik saldırılar için potansiyel giriş noktaları olarak çağrıldı veya hükümetin, kritik altyapıya erişim sağlamak için küçük şirketlerin potansiyel olarak hedeflenmesine ilişkin son hükümet uyarısında da yansıtıldığı gibi.
Ancak yönetim emri başka bir potansiyel güvenlik kaygısına da dikkat çekiyor: Amerikalıların verilerine erişim sağlamak amacıyla bu şirketlerin yatırım, satıcı ve istihdam ilişkileri açısından endişe duyulan ülkeler tarafından hedeflenmesi.
Satın almak varken neden çalasınız ki?
Bu saldırı vektörü, hassas verilere yönelik standart ihlal taktiklerinin ötesindeki tehdidin altını çiziyor. Bunun yerine yeni başkanlık emri, Adalet ve İç Güvenlik Bakanlıklarını “ilgili ülkelerin Amerikalıların verilerine diğer ticari yollarla erişimini engellemek için yüksek güvenlik standartları” belirlemekle suçluyor.
Kısacası, yabancı rakiplerin işletme satın alma veya iş ilişkilerini manipüle etme yoluyla hassas veriler toplamasını önlemek. Kolayca satın alabileceğiniz bir şeyi neden çalasınız ki?
Bu başkanlık emri, ABD vatandaşlarının, ulus devlet siber tehditlerinin yalnızca özel olarak hedef alınan kişilerin değil, herkesin verileri için risk oluşturduğu bu yeni gerçekliğe karşı korunmasına yardımcı olacak.
Uygulandıkça ve daha fazla ayrıntı yayınlandıkça, yürütme emri hakkında daha fazla şey görmeyi bekleyebiliriz.
Bu arada, yönetim emri hepimizin kendimizi (ve verilerimizi) siber suçlardan çok daha geniş bir ölçekte potansiyel hedefler olarak görmemiz gerektiğini hatırlatıyor. — kendimizi ve buna bağlı olarak işletmelerimizi korumak için kişisel verilerinizi nerede ve kimlerle paylaştığınıza dikkat etmek gibi doğru adımları atıyoruz.