Biyoekonomi’deki tehdit manzarası, çoğu CISO’nun alışkın olduğundan farklıdır. Veri ihlalleri gibi geleneksel riskleri içerir, ancak sonuçları daha karmaşıktır.
Örneğin, genomik veritabanlarının bir uzlaşması sadece kişisel sağlık verilerini ortaya çıkarmaz. Ayrıca yıllarca süren araştırma ve yatırımları temsil eden tescilli genetik dizileri sızdırabilir. Bunlar sadece gizlilik ihlalleri değil; Bunlar, bir işletmenin gelecekteki Ar -Ge boru hattını sakatlayabilecek ihlallerdir. Bir örnek, saldırganların kimlik bilgisi doldurma yoluyla milyonlarca kullanıcının genetik verilerine eriştiği 23andMe’deki ihlaldir.
Siberbiyos güvenlik riskleri veri kaybının ötesine geçer
Riskler veri kaybında durmaz. Gen düzenleme veya sentetik biyolojide kullanılan sistemlere erişen saldırganlar, deneysel verileri manipüle edebilir veya DNA dizilerini değiştirebilir. Bu tür kurcalamayı tespit etmek zordur ve başarısız klinik çalışmalara, yanlış araştırma sonuçlarına ve hatta zararlı biyolojik malzemelerin kazara oluşturulmasına yol açabilir. Bazı durumlarda, bu hatalar, gerçek dünya hasarı zaten yapıldıktan sonra sadece haftalar veya aylar sonra fark edilebilir.
Biyoteknolojideki üretim ortamları da savunmasızdır. İlaç geliştirme, teşhis ve laboratuvar operasyonlarında kullanılan otomatik sistemler büyük ölçüde dijital iş akışlarına dayanır. Fidye yazılımı veya hedefli bir saldırının neden olduğu tek bir bozulma, üretimi geciktirebilir veya kusurları yüksek bahisli malzemelere sokabilir. Benzer bir bozulma 2017’de Merck’in Notpetya kötü amaçlı yazılımları tarafından vurulduğu zaman gerçekleşti. Şirketin üretim operasyonları aylarca ciddi şekilde etkilenerek üretimi yavaşlattı.
Fikri mülkiyet hırsızlığı da var. Bir biyoteknoloji şirketinin değeri genellikle formüllerinde, süreçlerinde ve keşiflerinde yatmaktadır. Tehdit aktörleri bu verileri söndürürse, şirket eksik olduğunu bile bilmeden çoğaltılabilir veya satılabilir. Bu sadece rekabet avantajını ortadan kaldırmakla kalmaz, aynı zamanda ortaklıklara, yatırımcı güvenine ve düzenleyici duruşa da zarar verebilir.
Bu tehditler teorik değildir. 2020’de Avrupa İlaç Ajansı saldırıya uğradı ve Pfizer ve Biontech’in Covid-19 aşısıyla ilgili dosyalara erişildi. Şirketlerin kendi sistemleri ihlal edilmese de, bir düzenleyici ortak aracılığıyla gizli bilimsel verilerin maruz kalması, tedarik zinciri ve üçüncü taraf güvenlik açıklarının hala siberbiyosak güvenlik riskine neden olabileceğini göstermektedir.
Cisos için zorluk, çevrenin ötesinde düşünmek ve dijital bir ihlalin fiziksel ve bilimsel etkisini anlamaktır. Tehditler gerçektir ve bahisler operasyonel, itibar ve bazı durumlarda biyolojiktir.
CISOS için Stratejiler
Biyoekonomi riski azaltmak için CISOS’un siber güvenlik ve biyogüvenlik hakkında tek, birleşik bir çaba olarak düşünmeye başlaması gerekir, ayrı bir sorun değil. Bu, dikkatlerini biyoteknoloji ortamlarında kullanılan benzersiz sistemlere, yazılımlara ve veri boru hatlarına çevirmek anlamına gelir.
Risk değerlendirmeleri biyoinformatik platformlarını ve dijital laboratuvar sistemlerini içermelidir. Bunlar geleneksel BT varlıkları değildir, ancak genellikle kritik fikri mülkiyet veya hassas genomik verileri ele alırlar.
Tek başına çalışmak yeterli olmayacak. Cisos, biyolojik araştırma ve üretimin arkasındaki bilim ve operasyonel gerçekleri anlayan profesyonellerle ilişkiler kurmalıdır. Biyogüvenlik uzmanlarıyla işbirliği yapmak, ister iç ister dış olsun, güvenlik ekiplerinin maruz kalmanın nerede olduğunu görmelerine yardımcı olur. Ortak atölye çalışmaları veya masa üstü egzersizleri, disiplinler arasındaki boşluğu kapatabilir ve olaylara dönüşmeden önce yeni riskleri ışıklandırabilir.
Sıkı erişim kontrolü de anahtardır. DNA dizilimi, gen düzenleme veya sentetik biyoloji araçlarını yöneten sistemler kilitlenmelidir. RBAC, MFA ve sistem günlüklerinin yakından izlenmesi, bir ihlalden sonra içeriden gelen tehditleri veya yanal hareketi önlemeye yönelik uzun bir yol kat edebilir.
Eski yazılım başka bir yaygın sorundur. Birçok biyoteknoloji aracı, özellikle şirket içinde geliştirilenler, olması gerektiği kadar yamalı değildir. Niş platformlardaki güvenlik açıkları genellikle fark edilmez. Her zamanki BT çevresinin dışına çıkan araçlar için bile, güncellemelerin üstünde kalmak ve yama kapsamını düzenli olarak doğrulamak önemlidir.
Son olarak, bir şeyler ters giderse nasıl yanıt verileceğine dair bir plan olmalı. Bu, iç karar vericilerin adlandırılmasını, kuruluşun bir kriz sırasında nasıl iletişim kuracağını ve hasarlı sistemleri veya bozuk verileri kurtarmak için prosedürlere sahip olmayı içerir.