YORUM
Siber güvenliğin riskli dünyasında, dijital altyapımızı korumakla görevli olanların ayakları altındaki zemin kayıyor. İlk olarak, siber güvenliğe ilişkin yeni Menkul Kıymetler ve Borsa Komisyonu (SEC) kuralları ve davaları geldi. Daha yakın zamanlarda, A ABD Yüksek Mahkemesi kararı Düzenleme ortamını yeniden şekillendirmeyi vaat ederek federal yetkilileri siber yönetişime yaklaşımlarını yeniden düşünmeye zorluyor.
Ancak sektöre çöken bu değişim kasırgasının ortasında, bilgi güvenliği yöneticilerinin (CISO’lar) kararlı kalması ve bu değişimden caydırılmaması veya cesaretinin kırılmaması kritik önem taşıyor.
Alanı değiştiren yeni kamu politikaları, güvenlik profesyonellerinin düzenleyici ortama ayak uydurmasını gerektiriyor. Ufukta şüphesiz daha fazla değişiklik var. Ancak tüm bu türbülansa rağmen CISO’nun rolü değişmedi: bir kuruluşun verilerini ve ağlarını koruma konusunda takım sporunda hayati bir oyuncu.
Bu nedenle, güvenlik alanında onlarca yıldır verdiğim mesajım, Britanya’nın İkinci Dünya Savaşı öncesindeki katı sloganıyla yankılanıyor: Sakin olun ve devam edin.
Düzenleyici Tsunami
SEC’in kuralları geçen Aralık ayında yürürlüğe girdi. Yeni kurallara göre, halka açık şirketlerin herhangi bir siber olayı, bunun önemli bir olay olduğunun belirlenmesinden sonraki dört iş günü içinde bildirmesi gerekiyor. SEC ayrıca halka açık şirketlerin siber güvenlik risklerini ele alma stratejilerini açıklamasını da zorunlu kılıyor.
Güvenlik dünyasında beklenen bu değişikliklerden endişe duyanlar, SEC’in (daha yeni kuralları yürürlüğe girmeden önce) bir şirkete dava açmasıyla iyice korktular. SolarRüzgarlarbu o kadar ileri gidiyordu ki Başvurularında CISO’yu öne çıkarın. Yeni siber güvenlik yasalarının yürürlüğe girmesinden yalnızca birkaç hafta önce kurum, ülkenin CISO’larına açık bir mesaj gönderiyordu: Rahatlık artık bir seçenek değil.
Temmuz ayında ne zaman Federal yargıç, SEC’in SolarWinds ve onun CISO’suna karşı açtığı davanın çoğunu reddetti. Ülkedeki güvenlik profesyonellerinin neredeyse rahat bir nefes aldığını duyabiliyordunuz.
Ancak yargıç, siber güvenlik alanında çalışanlarımızın zaten anladığı şeyi doğruladı: Bir CISO’yu bir siber saldırıdan kişisel olarak sorumlu tutmak, sistemleri daha güvenli hale getirmeyecektir. Güvenlik profesyonelleri bir şirketin korunmasında kritik bir rol oynasa da, başkalarının işbirliği ve desteği olmadan bunu etkili bir şekilde yapamazlar. CISO’lar genellikle bir kuruluşun saldırı yüzeyine yönelik yalnızca kısmi görünürlüğe sahiptir. Elbette bu, eksiksiz bir risk değerlendirmesi yapılmasının önünde ciddi bir engeldir.
Açık olmak gerekirse mevzuat, CISO’ların bir kuruluşun savunmasını geliştirmesine yardımcı olmada rol oynayabilir. Gıda ve İlaç İdaresi’nin (FDA’nın) tıbbi cihazlara yönelik siber güvenlik gerekliliklerini uygulaması bunu iyi bir şekilde göstermektedir. Bu düzenlemeler CISO’lara görüşmelere katılma ve kuruluşlarının ek alanlarını korumak için gereken kaynakları güvence altına alma yetkisi verdi.
SEC’in en yeni kararı, günümüzün CISO’larına bir kuruluşun daha kapsamlı teknoloji kararlarına daha fazla dahil olmaları için benzer bir fırsat ve uzun süredir gecikmiş bir değişiklik sunuyor.
Toplu Sorumluluk
CISO’lar özünde doğruyu söyleyenlerdir; riskleri değerlendiren ve bir kurumun savunmasını ve iç kontrollerini iyileştirmek için tavsiyelerde bulunan bir iç denetim komitesine benzerler.
Ancak sonuçta politikayı belirleyen ve kamuya açıklanacak belgelerde neyin açıklanacağına karar verenler yönetim kurulu ve şirketin üst düzey yöneticileridir. CISO’lar bu grup çalışmasına danışman olabilir ve olmalıdır çünkü güvenlik riski anlayışına sahiptirler. Ancak yine de bir kuruluşun teknoloji yığınına ilişkin tam görünürlüğe sahip olmadıkları takdirde sunabilecekleri tavsiyeler sınırlıdır.
Birçoğu bir şirketin BT sistemini denetler, ancak şirketin sattığı ürünleri denetlemez. Siber suçlulara ağ erişim hedefleri sağlayabilen veriye bağımlı sistemler ve cihazlar söz konusu olduğunda bu çok önemlidir. Bunlar, üretim hatlarında, elektrik şebekelerinde ve diğer kritik fiziksel altyapılarda kullanılan tıbbi cihazları veya sensörleri ve diğer Nesnelerin İnterneti uç noktalarını içerebilir.
Kısacası: Bir şirketin savunması ancak yönetim kurulu ve üst düzey yöneticilerinin buna izin verdiği ölçüde güçlüdür.
Peki ya SolarWinds örneğinde olduğu gibi bir ihlal varsa? CISO’lar bir siber güvenlik olayının önemliliğini belirlemez; Bir şirketin üst düzey yöneticileri ve yönetim kurulu bu çağrıyı yapar. Bu senaryoda CISO’nun sorumlulukları, olaya müdahale etmeyi ve gelecekteki olayları en aza indirmeye veya önlemeye yardımcı olmak için gerekli takip adli tıpını yürütmeyi içerir.
Ancak SEC olaya karışmadan önce bile güvenlik görevlileri arasında sorumluluk temel bir endişe kaynağıydı. Görevi veri sistemlerimizi korumak olanlar, federal kurum ne derse desin, bir şeyler ters gittiğinde her zaman kendilerini sorumlu hissederler.
Bizimki, kötü bir oyuncuyu 99 kez engellemenin, davetsiz bir misafirin 100. denemede savunmayı aşmayı başarması durumunda hiçbir fark yaratmayacağı bir iş. Bu, CISO unvanının getirdiği bir yüktür ve bu nedenle, SEC’in yeni şeffaflık kurallarından çok önce, bir CISO’nun karmaşık tehdit ortamını ve gelişen düzenleyici ortamı anlamasını her zaman tavsiye ettim.
Chevron Kararı: Yeni Bir Karmaşıklık Katmanı
Siber güvenlik uzmanları için SolarWinds davasının reddedilmesinden potansiyel olarak daha önemli olan yasal hamle, Yüksek Mahkeme’nin Haziran ayında Chevron doktrini olarak adlandırılan doktrini tersine çevirme kararıydı. 1984 yılındaki bir önceki davada oluşturulan Chevron doktrini, mahkemelerin, federal bir kurumun muğlak kanunlara ilişkin makul yorumuna uymasını gerektiriyordu.
Artık kurumların (SEC veya diğer organlar) bilgeliğine artık güvenilmiyor. Onlarca yıllık bu Chevron örneğinin devrilmesi, siber güvenlik düzenlemelerinin uygulanması konusunda belirsizlik yarattı ve CISO’ların düzenleyici ortamda gezinmesini potansiyel olarak daha da zorlaştırdı.
Kural kitabı değişiyor olsa bile CISO’nun mesleki misyonu değişmeden kalıyor: sürekli, sürekli gelişen tehditlerle dolu bir dünyada kuruluşlarını korumak. Bu, açık düşünmeyi ve kişinin kaosun ortasında aklını başında tutma becerisini gerektirir.
Başka bir deyişle: Sakin olun ve devam edin.