Nisan 2016’da Başkan Barack Obama, Uber baş güvenlik görevlisi (CSO) Joe Sullivan’ı Ulusal Siber Güvenliği Geliştirme Komisyonu’na atadı. Dört yıl sonra Sullivan, hapishaneler ve içerideyken nasıl güvende ve aklı başında kalınacağı konusunda araştırma yapıyordu.
Garip bir şekilde suçlu olarak seçilmişti, kariyerinin ilk sekiz yılını ABD Adalet Bakanlığı’nda terfi ederek ve sonraki yarım on yılını da ABD’de yardımcı avukat olarak geçirmişti. Hatta, bu konuyla ilgili ilk davayı bile o açmıştı. Dijital Binyıl Telif Hakkı Yasası (DMCA), Amerika Birleşik Devletleri v. Elcom Ltd., hükümet adına.
Şunu söylemek yeterlidir ki, dünyada çok az kişi yasaları, ticareti ve siber güvenliğin gerçekliğini Sullivan’dan daha iyi anlamıştır. Ancak Kasım 2016’da büyük bir veri ihlalini kötü yönettiği için, hala mahkemede kendini savunuyor bu güne.
“ABD hükümetinin çok fazla gücü var ve insanları gerçekten haksız bir şekilde ezebiliyor,” diyor Baker McKenzie LLP’de ortak olan Jess Nall. “Son 10 yılda gelişen şey, CISO’ların ve diğer bilgi güvenliği uzmanlarının (gizlilik ve veri güvenliği avukatları ve diğer bilgi güvenliği personeli dahil) büyük siber saldırılar olduğunda otobüsün altına atılmasıdır.”
Nall, Yahoo çalışanlarını başarılı bir şekilde savunduğu için bu konuda ilk elden deneyime sahip. tarihi, gülünç ihlaller. Şimdi Black Hat 2024’te bir sunumöğrendiklerini paylaşacak. Sonuç? Güvenlik liderleri daha önce hiç olmadığı kadar hedef alınıyor ve kovuşturuluyor, ancak akıllı olanlar bu kaderden kaçınmak için şimdi adımlar atabilir.
Federal Hükümet v. CISO’lar
Yıllardır hükümet, şirketlerin kullanıcı verilerini daha iyi yönetmesini sağlayabilecek havuç ve sopalar deniyor. Sullivan, Dark Reading’e bu uzun geçmiş hakkında, “Sanırım şu anda çirkin orta dönemdeyiz.” diyor.
Obama yönetimi için çalıştığında, “En çok uğraştığımız şey şuydu: Federal hükümet, şirketlerin siber güvenlikte daha fazla şey yapmaya nasıl ikna edebilir? Ve uzun bir süre boyunca yaklaşım kamu-özel sektör ortaklıkları ve iş birliğiydi. Hala bunun birçok işinde bunun versiyonlarını görüyorsunuz [the Cybersecurity and Infrastructure Security Agency] yapar. Ancak Biden yönetimi kendi önerilerini ortaya koydu Ulusal Siber Güvenlik Politikası Mart 2023’te bu, çok açık bir şekilde, sorumluluğu bunu yapabilecek imkânlara sahip olanlara, yani özel sektördeki büyük şirketlere kaydırmaya karar verdiğimizi gösteriyor.”
Kutuplaşmış ve gevşek bir Kongre ile davalar, iyi kurumsal davranışı zorlamanın bir tür arka yoludur. “Yürütme organı insanlar tarafından azarlanıyor [about cybersecurity]ve icra eylemlerine yöneliyor çünkü kanunla düzenleyebilirsiniz veya emsalle düzenleyebilirsiniz. Bu yüzden hükümetin getirdiği her dava bir emsal yaratma çabasıdır” diye açıklıyor Sullivan.
Elbette, anonim veya yabancı hacker’ları dava etmek hiç kimseye bir fayda sağlamaz. “Peki caydırıcılık nedenleriyle kimi örnek yapmak istiyorlar?” diye soruyor Nall, retorik bir şekilde. “Genellikle ABD’de birisi, genellikle bu şirketlerden birinde saldırıya uğramış birisi oluyor.”
Fikir şu ki, bir yasal ceza tehdidi aksi takdirde yanlış yönlendirilmiş, ihmalkar veya kötü niyetli güvenlik liderlerinin altında bir yangın çıkaracaktır. Ancak bunun halihazırda daha az arzu edilen başka etkileri olduğuna dair fısıltılar var.
“Siber güvenlik uzmanlarına zaten çok güçlü bir ihtiyaç var ve bence ülke olarak bunu engellemek için yaptığımız her şey kötü. Ve bence insanlar vardır biraz daha fazla CISO rolünü üstlenmek konusunda isteksiz“,” diyor Nall. En iyilerin en iyileri liderlik konusunda kararsız olduğunda, ekliyor, “Bunu duydum: İnsanlar role junior olarak giriyorlar ve hizmete zorlandıklarında tam olarak [ready for]. O kadar büyük bir talep var ki, bu rolde kimin yer alacağına dair kalite kontrolü düşüyor. Bence tüm verilerimizin savunucularında kalitede bir düşüş göreceksiniz.”
Güvenlik Liderleri Ne Yapabilir?
Nall, bir güvenlik lideri olarak sorunlardan kaçınmanın anahtarının üç şeyin farkında olmak olduğunu söylüyor: Hükümet soruşturmalarının nasıl işlediği, hükümetin süreç boyunca şirketlerle nasıl etkileşime girdiği ve şirketlerin davalarını bir şekilde çözmek için sahip olduğu teşvikler.
Örneğin, iş ciddiye bindiğinde şirketler bireyleri ifşa edip utandırmaya zorlanacaktır. Sullivan’ın hukuk ekibi, davalarında bir şirketin (Uber) kendisini yeniden markalamaya çalıştığını ve onu kurbanlık kuzu gibi tuttuğunu resmetmiştir.
“Bu çok talihsiz bir durum çünkü sonuçları bir birey veya birkaç birey karşı karşıya kalıyor, ancak emin olma yeteneği [an incident] ArmorCode’un Kroger, DIRECTV ve TransUnion’ın eski bilgi güvenliği sorumlusu (CISO) Karthik Swarnam, “Bu, organizasyonlar içindeki topluluk temelli bir çabadır” diyor.
Tek tek seçilmekten kaçınmak için (ve bu iyi bir güvenlik uygulaması olduğu için), CISO’lar net ve sağlam iletişim hatları kurmaya odaklanmalıdır diğer yönetim kurulu üyelerini siber güvenlik karar alma sürecine dahil eden.
“Öncelikle, içinde rol ve sorumlulukların açıkça tanımlanacağı bir risk konseyi kurmanız gerekir,” diyor Swarnam ve ekliyor: “Riski yönetmek için iki şey gerekir: Riski doğru kişilere ve doğru kuruluşlara iletmek ve bunu doğru şekilde gerçekleştirmek için onlarla bir plan üzerinde çalışmak.”
Nall ve Sullivan, iletişim ve işbirliğinin, en kötü durum yaşandığında güvenlik liderlerinin başvuracağı emniyet ağı olduğu konusunda hemfikir.
“Bu, tüm bu davalar arasındaki ortak çizgidir: İşlevsel gruplar arasındaki iletişimin olması gerektiği ölçüde olmaması,” diyor Nall. “Ve bunun yükünü çekenler avukatlar, yöneticiler veya yönetim kurulu değildi. Bilgi güvenliğiydi.”
En son haberleri kaçırmayın Karanlık Okuma Gizli podcastsiber suçlularla nasıl etkileşime girdiklerini, hayatların tehlikede olduğu bir hastane NICU’sunda operasyonları yeniden canlandırmak için nasıl bir anlaşma yaptıklarını ve saldırganların kendilerinin “biraz dindarlaştığı” bir kiliseye nasıl yardım ettiklerini konuştuğumuz bir bölüm. Şimdi dinle!