CISO’lar için en yaygın zorluk kaynak kısıtlamalarıdır: DirectDefense’e göre ihtiyaç duyulan güvenlik programını desteklemek veya uyumluluk gereksinimlerini karşılamak için yeterli personel, bütçe veya teknoloji yok.
Siber güvenlik sektörü devam eden yetenek sıkıntısıyla karşı karşıya
Dünya Ekonomik Forumu, siber güvenlik sektöründe küresel düzeyde yaklaşık 4 milyon profesyonel açığının bulunduğunu ve bu açığın 2022 ile 2023 yılları arasında siber güvenlik iş gücündeki %12,6’lık büyümeden kaynaklandığını iddia ediyor. Hükümet ve sağlık sektörleri, siber güvenlik iş gücünün en fazla olduğu sektörler arasında yer alıyor Bu endüstriler çok sıkı düzenlemelere tabi olduğundan benzersiz zorluklar ortaya çıkıyor.
“Aynı anlatı yıllardır tekrarlanıyor; İşletmeler buluta geçiyor ve daha sıkı uyumluluk düzenlemeleriyle karşı karşıya kalıyor; tüm bunlar olurken bütçeler kısıtlı kalıyor ve güvenlik tehditleri daha ciddi hale geliyor,” dedi DirectDefense’in CTO’su Jim Broome. “Bunların hepsi gelişmiş becerilere sahip, öğrenme ve sürekli değişikliklere uyum sağlama becerisine sahip daha fazla personel gerektiriyor; bu da tükenmişliğe yol açabilir.”
CISO’lar ve diğer güvenlik profesyonelleri tükenmeye hazır. Anketler, CISO’ların %99’unun her hafta fazladan saat çalıştığını ve 5 kişiden 1’inin haftada fazladan 25 saat çalıştığını gösteriyor. Siber güvenlik çalışma ortamının taleplerinin, siber güvenlik profesyonellerinin %64’ünün verimliliğini etkilediği ve bunun da ihlallerin artmasına yol açabileceği tespit edildi. Broome, siber dayanıklılık için tasarım yaparken siber güvenlik becerilerindeki boşluğun en büyük zorluklardan biri olduğuna inanıyor.
Raporda ayrıca güvenlik özelleştirmesinin eksikliğine de işaret ediliyor. Farklı endüstriler benzersiz siber güvenlik sorunlarıyla karşı karşıyadır ve bir sektörü endişelendiren şey diğerini ilgilendirmiyor bile olabilir. Belirli tehdit aktörlerinin, teknolojik altyapının, veri türlerinin ve erişim yöntemlerinin birleşimi, karmaşık bir güvenlik riskleri ağı oluşturur.
Broome şöyle diyor: “Güvenlik programınızı güçlendirmek için neye ihtiyacınız olduğundan emin değilseniz, ‘Ne çalışmıyor?’ sorusunu sorun. çoğu zaman cevaba daha hızlı ulaşmanızı sağlayabilir. Fidye yazılımı konusunda endişeleriniz mi var? Çalışanlarınızın kimlik avına maruz kalmasıyla ilgili sorun mu yaşıyorsunuz? Bunu başlangıç noktanız olarak kullanın.”
CISO’lar artan siber suçlara ayak uydurmakta zorlanıyor
Son olarak CISO’lar siber suçların büyümesine ayak uyduramadıklarını bildiriyor. Fidye yazılımları, gasp, yapay zeka ve derin sahtekarlıklar giderek daha karmaşık hale geliyor. Giderek daha fazla fidye yazılımı gaspla birleşiyor ve yapay zekanın iyilik için büyük bir potansiyeli olsa da kötülük için de bir o kadar potansiyel var.
Bir yandan kuruluşlar, saldırganlara karşı avantaj sağlayacak olan üretken yapay zekayı benimseme konusunda kendilerini daha güvende hissediyorlar. Ancak yapay zeka tarafından oluşturulan kimlik avı dolandırıcılıklarının inanılmaz derecede ikna edici olduğu günümüzde, kuruluşların sosyal mühendislik saldırılarına karşı koruma sağlaması her zamankinden daha zor hale geldi.
Beş ya da 10 yıl önceki fidye yazılımlarıyla ilgili endişe, tüm ağın tamamen bozulmasıydı. Bununla birlikte, daha dayanıklı yedekleme çözümlerine yönelik sektör çapındaki güvenlik talimatları (ki bunlar aynı zamanda daha uygun fiyatlı hale geldi) kuruluşların bir saldırıdan kurtulmasını ve işlerine daha hızlı geri dönmesini sağladı. Hızlı bir iyileşme, saldırganlar için eğlenceli değildir çünkü ödeme potansiyellerini azaltır. O halde yeni bir yaklaşımın zamanı geldi.
Bugün saldırganlar büyük maaşlarını gasptan alıyor. Sunuculara veya şirket içi bulut sistemlerine fidye yazılımını patlatarak, yalnızca orada olduklarını size bildirmek için içeri girer, verilerinizi çalar ve önemli dosyalarınızı kilitlerler. Kasıtlı olarak bir kuruluşun ifşa etmesi gerektiğini bildikleri verilerin çalındığının peşine düşüyorlar ve fidye ödenmediği takdirde bu verileri serbest bırakmakla tehdit ediyorlar; bu, daha çok gasp olarak bilinen bir taktiktir. Açıklama zorunlulukları nedeniyle bu saldırı yöntemi, daha önce pek hedef olmayan sağlık sektörünü özellikle etkiledi.
Broome, “Hepimiz bir dolandırıcılığı tespit edecek kadar akıllı olduğumuzu düşünmek isteriz, ancak dolandırıcıların yapay zekanın yardımıyla sizin bunu yapamayacağınızdan emin olmak için zaman, para ve çaba harcadıkları açık” dedi. “Güvenlik farkındalığı eğitimi, güçlü kimlik doğrulama ve sıfır güven programları, kuruluşunuzu korumaya yönelik önleyici yöntemlerdir.”