Span Siber Güvenlik Arena’da Mastercard’da Avrupa için Siber Güvenlik ve Dayanıklılık Direktörü Ria Shetty ile oturdum. Konuşmamız hype’ı kesti ve CISO’ların her gün neyle uğraşmasına odaklandı: Güvenliği inovasyona nasıl yerleştirilir, tedarik zinciri riskini yönetir ve hem sistemi hem de insanları önümüzdeki tehditlere hazırlar.
Shetty için inovasyonun güvenlik ile rekabet ettiği fikri yanlış bir seçimdir. “El ele giderler” diyor. Kullanıcı güveni onun yaklaşımının merkezinde yer alır. “Bu en değerli para birimi” diye açıklıyor. Kaybet ve geri dönmek zor. Bu nedenle şeffaflık, gizlilik ve güvenlik, ekibinin çalışmalarının her adımına eklenmez, sonunda eklenmez.
Güvenlik ürünün bir parçasıdır
Mastercard, sadece kendi sistemlerini korumak için değil, müşterilerin savunmalarını geliştirmelerine yardımcı olmak için son yıllarda birkaç siber güvenlik şirketi satın aldı. Shetty müşteri tarafına odaklanır. Ekibi, farkındalık yaratmak, araç sağlamak ve tüm ortamlarını güvence altına almak için bankalar, tüccarlar ve ortaklarla birlikte çalışır.
“Ödeme tarafındaki koruma harika, ancak bir müşteri çevrelerinin başka bir yerinde tehlikeye atılırsa, bu da bizim sorunumuz haline geliyor” diyor. Ekibi tam bir güvenlik görüşünü teşvik ediyor. Buna üçüncü taraflar, ortaklar ve satıcılar da dahildir. “Sadece en zayıf bağlantınız kadar güçlüsün.”
Müşterilere sunulan aynı siber güvenlik ürünleri dahili olarak kullanılır. “Kendimizi kullanmadığımız hiçbir şeyi tavsiye etmeyiz” diye ekliyor.
Tedarik zinciri saldırıları
Tedarik zinciri saldırıları en büyük endişelerinden biri olmaya devam ediyor. Birçok kuruluş hala hedef olamayacak kadar küçük olduklarını varsayar. Bu tehlikeli bir zihniyet. Shetty, saldırganların daha küçük tedarikçilerden geçerek büyük şirketlere ulaştığı son birçok örneğe işaret ediyor.
“Satıcılarınızı izlemek yeterli değil. Onları sorumlu tutmalısınız” diyor. Ekibi, müşterilerin satıcı siber hijyenini ve risk puanlarını değerlendirmelerine yardımcı olur ve tedarikçileri seçerken bunu düşünmeye teşvik eder. “Bu, akıllı seçimleri erken yapmakla ilgili, gerçeğinden sonra tepki vermekle ilgili.”
Satıcı güvenliğinin aktif bir süreç olması gerekir. Statik anketler ve bir kerelik denetimler yeterli değildir. “Sürekli izlemeye ihtiyacınız var. Tedarik zinciriniz hareketsiz durmuyor ve ikisi de saldırgan değil.”
İnsan unsurunu görmezden gelme
Shetty, kullanıcı farkındalığı ve eğitiminin önemi konusunda açıktır. Sektördeki bazıları bunu onay kutusu etkinliği olarak reddeder. Kesinlikle aynı fikirde değil.
“Orada en akıllı araca sahip olabilirsiniz, ama sonunda insana bağlı” diyor. Bir kimlik avı bağlantısına tek bir tıklama uzlaşmaya yol açabilir. Kimlik avı saldırıları daha kişiselleştikçe, deneyimli kullanıcılar bile savunmasızdır.
Kısa süre önce, patronundan bir e -posta aldı ve onu bir siber güvenlik konferansı için kaydoldu. Kulağa mantıklı geliyordu ve olağan çalışma alışkanlıklarıyla eşleşti. “Bir an için kendimi ikinci olarak tahmin etmek zorunda kaldım. Gerçek görünüyordu.” Bu bir testti, geçti, ama tereddüt gerçekti. “Bu saldırılar bu kadar iyi.”
Eğitim alakalı, devam eden ve farklı kullanıcılara göre uyarlanmış olmalıdır. Herkes teknoloji meraklısı değil. Bunu PSD2 altındaki ödeme sistemleri üzerinde çalışırken ilk elden gördü. Ekibi, daha sonra eski müşterilere çevrimiçi olarak kartları kaydetme ve çok faktörlü kimlik doğrulama kullanma konusunda eğiten bankaları eğitmek zorunda kaldı.
“Sadece bir sistem sunamaz ve insanların bunu çözeceğini varsayamazsınız” diyor. “Açık bir şekilde iletişim kurmak ve yararlı eğitim sağlamak bizim üzerimizde.”
Tehditlerin hızı artıyor
Değişim hızı onu en çok endişelendiren şeydir. Tehditler hızla gelişir. Koruma için veri miktarı her gün büyür. Aynı zamanda, düzenleyiciler ve müşteriler yüksek standartlar bekler ve yapmaları gerekir.
Bazı kuruluşların parlak yeni araçlara çok fazla odaklandığından ve temelleri unutmasından endişe ediyor. “Yama yapmıyorsanız, erişimi yönetmiyorsanız veya sistemleri yedeklemiyorsanız, en son teknolojiye para harcamanıza yardımcı olmaz.”
Ayrıca saldırganların savunucuların yaptığı aynı araçları kullandığına dikkat çekiyor. “AI sadece bizim için değil. Onlar için de” diyor. Savunucular yenilik yaparken, saldırganlar da aynısını yaparlar. Bu dinamik önde kalmayı daha da zorlaştırıyor.
Tahtaya geçmek
Shetty genellikle tahtadan alım yapmak için mücadele eden KOBİ’lerle konuşur. Güvenlik liderleri güçlü bir durum yapsa bile, liderlik riski tam olarak anlamayabilir. Bazı durumlarda, yönetim kurulu üyeleri teknoloji kullanımından çok uzaktır.
“E -posta bile kullanmadıklarında siber güvenliği anlamaları isteniyor” diyor. Bu bağlantı kesimi bütçe onaylarını geciktirebilir veya ne kadar yapılabileceğini sınırlayabilir. Sorun özellikle küçük şirketlerde yaygındır.
Bu değişmeye başlıyor. Son tedarik zinciri ihlallerinden sonra daha fazla farkındalık gördü. Yine de, birçok şirket minimumun ötesine yatırım yapmak istemiyor. Bunun kısa görüşlü bir yaklaşım olduğunu düşünüyor.
“Siber güvenlikte köşeleri keserseniz, sadece parada değil, daha sonra ödeyeceksiniz. İtibar hasarının onarılması çok daha kötü ve daha zordur.”
Bütçe baskısını anlıyor ama KOBİ’leri yine de zorlamaya çağırıyor. Matematik basit. “Şimdi harcanan birkaç bin daha sonra tasarruf edebilir” diyor.
Esneklik, paylaşılan sorumluluk anlamına gelir
Shetty siber güvenliği ortak bir sorumluluk olarak görüyor. Ekibi araç ve rehberlik sağlayabilir, ancak başarı kuruluşların halklarını, süreçlerini ve ortaklarını nasıl ele aldığına bağlıdır.
Amaç, en son aracı veya eğilimi kovalamak değil. Neyin önemli olduğunu iyi yürütmek. Bu, başlangıçtan itibaren güvenliğin inovasyona dönüştürülmesi ve her kararın merkezinde kullanıcı güvenini korumak anlamına gelir.