Bu yılın başlarında UnitedHealth Group CEO’su Andrew Witty, Şubat ayında iştiraki Change Healthcare’e düzenlenen ve Amerikalıların yaklaşık üçte birini etkileyen, aylarca talep işleme, sağlayıcılara yapılan ödemeler, ön onay talepleri ve uygunluk kontrollerini aksatan siber saldırıyla ilgili olarak Kongre önünde ifade verdi.
Bu olay dikkat çekici çünkü siber güvenlik ihlalleri artık sıradan hale gelirken, hükümetin en üst düzeylerinde güvenlik sorularını yanıtlayan bir CEO’nun sıradanlaşması artık sıradan değil.
Ancak bu durum değişiyor, çünkü böyle bir ihlalin riski değişti; özellikle de UnitedHealth’te olduğu gibi kişisel ve sağlık bilgilerinin tehlikeye atıldığı durumlarda.
NCC Group’un eski kıdemli başkan yardımcısı ve profesyonel hizmetler başkanı olan ve şu anda AWS’de ProServe Security’nin kıdemli yöneticisi olarak görev yapan Kevin Dunn, “Siber risk, etki açısından geleneksel riskleri çok geride bıraktı” dedi.
CEO’lar artık şirketlerinin siber güvenlik planlarını es geçemezler. Büyük olaylar yaşandığında işten çıkarılma, zorla istifa etme, hissedar davaları veya hatta Menkul Kıymetler ve Borsa Komisyonu’ndan suçlamalarla karşı karşıya kalabilirler.
Riskten kimin sorumlu olduğuna dair on yıllardır süren bir algı değişimi
Trustnet’in kurucusu ve CISO’su Trevor Horwitz, siber güvenlik konusunda CEO’nun rolünün tam olarak değişmediğini, ancak CEO’nun risk algısının ve katılım düzeyinin değiştiğini söyledi.
Horwitz, on yıl önce siber güvenliğin bir BT ve uyumluluk sorunu olarak görüldüğünü söyledi. “Bir ihlal varsa, etki önemli olarak görülmüyordu ve CEO’nun rolü öncelikle olay sırasında üst düzey kararlar almaktı.”
Şimdiki fark, iş operasyonları ve itibarlar için potansiyel tehdittir, dedi. “CEO’lar, siber güvenliği genel iş stratejisine entegre etmek ve siber güvenliği iş hedefleriyle uyumlu hale getirmekle görevlendirilmiştir.”
Dunn, artık eski bahanelerin de işe yaramayacağını sözlerine ekledi.
UnitedHealth’in durumunda, Witty saldırıyı Change Healthcare adlı bir şirketi satın almaya bağladı ve henüz güvenliklerini yeterli düzeye getirmediklerini söyledi. Şirkete sızan karmaşık bir saldırı da değildi: Change Healthcare’in çok faktörlü kimlik doğrulaması açık değildi, Witty ifade verdi.
Şirketin 22 milyon dolarlık fidyeyi Bitcoin ile ödediğini doğrulaması da dahil olmak üzere verdiği yanıtlar Kongre tarafından pek hoş karşılanmadı.
Senatör Ron Wyden, D-Ore., Senato Finans Komitesi’ndeki bir duruşmada “Bu saldırı siber güvenlik 101 ile durdurulabilirdi” dedi. Senatör John Barrasso, R-Wyo., kendi eyaletindeki küçük bir kırsal hastanenin bile çok faktörlü kimlik doğrulamasına sahip olduğunu belirtti.
Witty için utanç verici birkaç gün olmasının ötesinde, bu tür ihlallerin Kongre’nin şirket yetkililerini ifade vermeye zorlamasının ötesinde potansiyel sonuçları da olabilir.
Gartner’ın Seçkin Başkan Yardımcısı Analisti Katell Thielemann, CEO’ların aynı zamanda SEC’e karşı da sorumlu olduğunu, bunun da hissedarlara veya denetledikleri şirketin kritik altyapının bir parçası olması durumunda ülkeye karşı sorumlu oldukları anlamına geldiğini söyledi.
Thielemann, “Hükümet bana ‘Üzgünüm’ün yeterli olmadığını söylüyor,” dedi. “Kritik altyapının çökmesinin ulusal güvenlik ve ekonomik refah üzerindeki etkileri artık kabul etmeye istekli olduğumuz bir şey değil.”
CEO’ların bilmesi gerekenler
Thielemann’a göre, SolarWinds’in CISO’sunun başına gelen büyük çaplı ihlalin ardından hissedarların açacağı davalar veya SEC’in suçlamaları gibi, yüksek profilli güvenlik olaylarının da olası hukuki sonuçları var.
SolarWinds davasında, “CEO’nun peşine düşmüyorlar, ancak yatırımcılara yönelik bazı yanlış bilgiler veya tamamen yanlış ifadeler bulurlarsa, CEO’nun peşine düşeceklerini işaret ediyorlar,” dedi. “Bu şeyler için bir CISO’nun peşine düşebiliyorlarsa, CEO için de aynısını yapacaklar.”
CEO’ların siber güvenliğin teknik yönleri konusunda uzman olmaları gerekmiyor; böylece bir saldırıya hazırlıklı olabilirler veya -umarız- başlamadan önce saldırıyı durdurabilirler.
Horwitz, CEO’ların siber güvenlik stratejisinde genel olarak rol oynaması gerektiğini, bunun risk azaltma stratejilerinin, olay müdahale planlarının ve felaket kurtarma planlarının geliştirilmesini ve uygulanmasını denetlemeyi içerdiğini söyledi.
“Bir ihlal olduğunda, CEO’lar artık ayrıntılarla çok daha fazla ilgileniyor ve olay bildirimlerini etkinleştiriyor. [response] “Planlamalar, karar alma, kilit paydaşlarla iletişim ve yönetim kurulunu bilgilendirme” dedi.
Bu, bir ihlal olmadan önce siber güvenliğin araştırılması anlamına geliyor.
Dunn, “Şirketin güvenli olduğuna dair belirsiz güvencelerle ekibimi rahat bırakmazdım” dedi. Bunun yerine, CEO’lar “teknik yönleri hakkında değil, kapsamı ve derinliği ve şirketin siber güvenlik duruşuna ne kadar güvendiğimiz hakkında derin ve araştırıcı sorular sormalı”.