Yıllık siber suç hasarlarındaki tutarlı artış sürdürülebilir değil, Jtr Easterly, Siber Güvenlik ve Altyapı Güvenliği Teşkilatı başkanı Perşembe günü Las Vegas’ta CES’te söyledi.
Siber suç zararları geçen yıl kuruluşa 6 trilyon dolara mal oldu, dedi. Bu yıl 8 trilyon dolara ve 2025’te 10,5 trilyon dolara ulaşacağı tahmin ediliyor.
Easterly, “Bundan 10 yıl sonra şu an bulunduğumuz yerle aynı veya daha kötü olacağını kabul edemeyiz” dedi. “Amerikalıların her gün güvendiği kritik altyapı … bir teknoloji temeli tarafından destekleniyor ve bu teknoloji tabanı, güvenli olmayan bir şekilde etkin bir şekilde oluşturuldu.”
Öncelikler ve teşvikler yeniden düzenlenene kadar bu değişmeyecek, dedi.
Onlarca yıllık güvensiz teknoloji tasarımı, endüstri ile hükümet arasındaki tutarsız işbirliği, orantısız sorumluluklar ve güvensiz protokollerle geriye dönük uyumluluk nedeniyle riskler artmaya devam ediyor.
Easterly’ye göre değişim, siber güvenliğin temel bir güvenlik sorunu olduğunun kabul edilmesiyle başlar.
“Teknolojideki teşviklerin hepsinin güvenliğe değil, maliyete, yeteneğe, performansa, pazara giriş hızına yönelik olduğunu bir şekilde kabul ettik” dedi.
Easterly’ye göre şirketler, ihlal edildiklerinde veya bir saldırıya neden olan bir güvenlik açığını yamalamadıklarında otomatik olarak suçlanıyor, ancak bu tek suç, daha geniş zorluğu ve herkesin teknoloji satıcılarına sorması gereken soruları kaçırıyor.
“Bu yazılımın içinde neden o kadar çok güvenlik açığı vardı ki, her hafta sürekli yama yapılması gerekiyor? Bu yazılım neden böylesine zarar verici bir ihlale neden olan bir güvenlik açığına sahip?” dedi.
Kuruluşlar, güvenliği kısa devre yapan teknolojiye güveniyor.
Easterly, “Teknolojiyi olduğu gibi bırakamayız,” dedi.
CEO’lar, yönetim kurulları kurumsal riskleri üstlenmeli
Teknoloji satıcılarına ve üreticilerine siber sorumluluk için daha büyük bir sorumluluk yüklemek, önceliklerin yeniden düzenlenmesini ve buna eşlik eden işletmelerin şirket düzeyinde risk hesap verebilirliği atama biçimindeki bir değişikliği gerektirir.
Kurumsal risk CEO ve yönetim kuruluna aittir, CISO’lar veya STK’lar değil, Easterly ve CrowdStrike CEO’su George Kurtz etkinlikte bir panelde söyledi. Etkinlik organizatörlerine göre etkinliğe 115.000’den fazla kişi katıldı.
Kurtz, “Belki de kurban edilmemesi gereken insanları kurban etmenin 4.000 yıllık tarihinden bahsediyorsunuz,” dedi. “Çoğu zaman CISO’lar [get] 18 aylık bir kariyer ömrü ve eğer fon alamamışlarsa ve riski tespit etmişlerse, bu onların teklif edilmeyecekleri anlamına gelmez. Bu zor bir iş.”
Pek çok iyi CISO riskleri tespit eder, sorunu çözmek için bir bütçe talep ettikten sonra finansman bulamaz ve bir ihlalden sonra aylar içinde görevden alınır, dedi.
Easterly, “Bu CISO’lar, şirketin güvenliğini sağlamaya yardımcı olmak için her gün kıçlarını yırtan kişilerdir ve kaynaklara, etkiye sahip olmaları ve şirkete yönelik riskleri azaltmaya gerçekten yardımcı olabilmeleri için önceliklendirilmeleri gerekir” dedi. .
Sorumluluklar bir yana, siber güvenlikle ilgili zararların görünümü zayıf. Easterly herhangi bir tahminde bulunmaktan kaçınırken Kurtz, hiçbir kuruluşun veya devlet kurumunun kontrol edemeyeceği kilit bir faktör belirledi.
Kurtz, “Ne zaman bir durgunluk olsa, siber suçlar yükselme eğilimindedir” dedi. “İşten çıkarmalar oluyor – mağazayla ilgilenen daha az insan var – ve daha fazla ihlal görme eğilimindeyiz.”