Kimlik Hırsızlığı Araştırma Merkezi’nin son raporuna göre, 2022’de 422 milyondan fazla kurbanı etkileyen 1.802 veri ihlali oldu. Günümüzün değişken tehdit ortamında, artık sorun kuruluşunuzun ihlal edilip edilmediği değil, ne zaman – ve daha da önemlisi – , nasıl – cevap vereceksiniz.
Bu nedenle, veri ihlallerini önlemek için gerekli adımları atmak kesinlikle CISO’lara ve diğer siber güvenlik liderlerine bağlı olsa da, gerçekleştiğinde bunlara doğru şekilde yanıt vermek de aynı derecede onların sorumluluğundadır. Şirket liderlerinin bu hassas durumları nasıl yanlış yönettiklerini gördük ve sonuçlarına tanık olduk. Kritik bir siber saldırıyı halının altına süpürmek, suçlama oyunu oynamak, yanıltıcı bilgi vermek veya durumu şekerle kaplamaya çalışmak, halkın güvenini kaybetmenin ve geri dönüşü zor olan itibar zedelenmesinin kolay bir yoludur.
Bir Veri İhlalinden Sonra En İyi Uygulamalar
Standart bir dizi en iyi uygulamayı takip eden CISO’lar, bir tehdit aktörü savunmaları aştığında tüketici, çalışan ve yatırımcı güvenini geri kazanmak için ellerinden gelenin en iyisini yapabilir.
1. Her şeyin ötesine geçen hızlı raporlama: Amerika Birleşik Devletleri’nde, veri ihlali raporlama standartları eyaletten eyalete farklılık gösterir. Örneğin, New York’un veri ihlali bildirim yasası, kuruluşların eyalet sakinlerini kişisel bilgilerinin herhangi bir yetkisiz dağıtımını makul bir gecikme olmaksızın bilgilendirmesini gerektirir. Ayrıca, olayın başsavcıya ve diğer devlet hükümet kuruluşlarına sunulmasını gerektirir. İhlal 5.000’den fazla vatandaşı etkiliyorsa, tüketici raporlama kurumları da uyarılmalıdır. Tersine, Mississippi gibi bazı eyaletlerde, kuruluşların bir ihlal durumunda herhangi bir eyalet hükümeti kuruluşunu uyarması gerekmez. Aslında, bir soruşturma, etkilenen kişilerin olaydan zarar görme ihtimalinin düşük olduğunu ortaya çıkarırsa, kuruluşun onları uyarması gerekmez.
Bir şirket nerede faaliyet gösterirse göstersin ve hangi prosedürleri yasal olarak takip etmek zorunda olursa olsun, liderlerinin herhangi bir veri ihlali olayını bildirmek için gerekenin fazlasını yapması zorunludur. Bu, etkilenme olasılığı düşük olsa bile ilgili devlet kurumlarının yanı sıra etkilenen bireyleri uyarmak anlamına gelir. Pek çok siber lider itibarını kurtarmak için konu raporlamaya geldiğinde minimum şeyi yapma eğiliminde olabilir, ancak bir siber güvenlik olayına yanıt verirken tam şeffaflık çok önemlidir. Aksi takdirde, şirketlerin saklayacak bir şeyleri varmış gibi görünebilir ve hem itibarlarını zedeleme hem de müşterileriyle kurdukları güveni kaybetme riskiyle karşı karşıya kalabilirler.
2. Paydaşları tevazu ve dürüstlükle bilgilendirmek: Paydaşlara bir siber güvenlik olayının ifşa edilmesi söz konusu olduğunda, bilgilerin nasıl iletildiği önemlidir. Etkilenen bireylerden ortaklara ve şirket içi çalışanlara kadar tüm paydaşlar, ilk veri ihlalinin yanı sıra soruşturma ve düzeltme çabalarına ilişkin kapsamlı bir anlayışa sahip olmalıdır.
Kapsamlı otopsi iletişimleri şunları içermelidir:
- Verilere ne/nasıl/ne zaman erişildi?
- Güvenlik ekipleri ihlale nasıl yanıt verdi?
- Kaç kişi etkilendi
- Gelecekte benzer durumları önlemek için hangi araçlar ve protokoller devreye girecek?
- Etkilenen bireylerin kişisel çıkarlarını korumak için yapması gereken işlemler, yani şifreleri değiştirmek, hesapları kapatmak, ücretsiz kredi takibi vb.
- Etkilenen bireyler daha fazla bilgi için iletişime geçebilir
Kişisel verilerinin izinsiz olarak yayınlandığını keşfeden herkes, bu durumdan anlaşılır bir şekilde rahatsız olacaktır ve söz konusu kuruluştan eksik bir bildirim gelmesi, bu olumsuz duyguları daha da artıracaktır. Doğrudan sorumlulardan doğrudan, şeffaf ve kapsamlı bir iletişim uzun bir yol kat edebilir. Doğru mesajlaşma, mağdurların bilgiyle güçlenmiş hissetmelerine yardımcı olabilir ve şirketin onlar adına perde arkasında gayretle çalıştığı konusunda onlara gönül rahatlığı verebilir. İşlevler arası bir yanıt için gerekli yasal, müşteri başarısı, halkla ilişkiler ve satış desteğini bir araya getirmek için CISO’lara bir yol haritası sağlayan eksiksiz bir iş sürekliliği planına sahip olmak iyi bir fikirdir.
3. Kamuoyunun sorumluluğunu üstlenmek — iş burada biter: Ağustos 2022’de, parola yöneticisi LastPass önemli bir veri ihlali yaşadı. LastPass başlangıçta ihlalin “kontrol altına alındığını” iddia etti, ancak yalnızca üç ay sonra bir saldırgan, ilk ihlalde ele geçirilen bilgileri kullanarak LastPass’ın bulut ortamlarına ve parola kasalarına erişti. İlk günlerinde saldırının ciddiyetini hafife almanın LastPass güvenlik ekiplerine, daha sonra ele geçirildiği ortaya çıkan kritik oturum açma bilgilerini değiştirmek için kullanılabilecek değerli zamana mal olup olmadığını merak etmek doğru.
Etkilenen paydaşları özel olarak bilgilendirmek veya sorunu sessizce ve hızlı bir şekilde yamalamak ve devam etmek yeterli değildir. Örgütsel liderler, durumun tüm sorumluluğunu üstlenen bir kamu bildirisini hızla yayınlamak için inisiyatif almalıdır. Parmakla işaret etmek veya durumu düşürmeye çalışmak yerine, bu iletişim %100 sorumluluk almalıdır. Özellikle müşteriler, yatırımcılar ve çalışanlar arasında halkın güvenini yeniden kazanmak için durumu ve şirketin gelecekte benzer ihlalleri nasıl önleyeceğini açıkça belirtmelidir.
Bir siber güvenlik olayına halkın zayıf tepkisi, şirketin hisselerinin düşmesine ve müşterilerin kaçmasına neden olacak kadar itibara zarar verebilir. Twitter söz konusu olduğunda, API ihlalini keşfedildiği anda kamuya açıklamış olsaydı, bir PR kabusuna dönüşmeyebilirdi. Dürüst ve doğrudan bir yaklaşım, halkın güvenebileceği ve sadık kalabileceği iyi bir kurumsal vatandaşlık örneği oluşturur. Bir araştırma, tüketicilerin %25’inin etik olmayan kurumsal davranışlar söz konusu olduğunda sıfır tolerans politikasına sahip olduğunu buldu.
Bir veri ihlalini “yürümek” için bir fırsat olarak kabul edin. Ne de olsa, iyi işletmelere her zaman güçlü bir ahlaki pusula rehberlik etmelidir ve dobra bir kriz yanıtı, bu misyonu yerine getirmenin kritik bir bileşenidir.
Doğru Veri İhlali Müdahalesi Fark Yaratabilir
Veri ihlalleri ne yazık ki artık nadir bir durum değil ve bu durumlara verilen kurumsal tepkiler de hayal kırıklığı yaratmıyor. Kuruluşlar şeffaflık, hesap verebilirlik ve alçakgönüllülüğe dayalı bir yanıt prosedürü ile hazırlanmalıdır. İşletme liderleri, durum hakkında açık sözlü olarak itibarlarını koruyabilir ve tüketici güvenini geri kazanabilir.