YORUM
Perakende devi Target’ı vuran ihlal 2013 yılı sadece bir uyandırma çağrısı değil aynı zamanda sektör için soğuk bir duştu; üçüncü taraf etkileşimlerindeki genişleyen güvenlik açıklarının ve hafife alınan güvenlik gözetimlerinin korkunç sonuçlarının sert bir şekilde aydınlatılmasıydı. Etkileri tüm dünyada yankılandı, neredeyse bir milyar dolara varan mali hasara ulaştı ve net bir mesaj verdi: Savaş alanı daha geniş ve düşman düşündüğümüzden daha sinsi. Peki geçtiğimiz on yıl bize yeterince şey öğretti mi? Yoksa hâlâ siber tahkimatlarımızdaki açık delikleri görmezden mi geliyoruz?
Neredeyse Bir Milyar Dolar mı?
İhlalle ilgili maliyetler, olayı takip eden yıllarda geniş çapta rapor edildi. Bu maliyetler; ihlale anında müdahale, yasal maliyetler ve uzlaşma maliyetleri, gelişmiş siber güvenlik önlemleri, etkilenen müşteriler için kredi izleme hizmetleri ve itibar kaybı dahil olmak üzere çeşitli kaynaklardan geldi.
Target’ın bir güvenlik ihlalinden kaynaklanan mali zararları şunları içeriyordu:
Anında yanıt: Araştırma maliyetleri, müşteri desteği ve halkla ilişkiler çabaları.
Yasal ve uzlaşma maliyetleri: 10 milyon doları toplu dava, 67 milyon doları Visa ve 19 milyon doları Mastercard olmak üzere 140’tan fazla dava uzlaşmayla sonuçlandı.
Gelişmiş siber güvenlik: Çipli ve PIN kartları da dahil olmak üzere güvenli ödeme teknolojisine 100 milyon dolar yatırım yapıldı.
Kredi izleme: Etkilenen müşteriler için ücretsiz hizmetler.
İtibar hasarı: Alışveriş yapan trafiğin ve satışların azalması, hisse senedi fiyatlarının etkilenmesi ve güvenin yeniden inşa edilmesinin yıllar gerektirmesi.
Tüm bu harcamalar bir milyar dolara ulaşmayabilirken, ihlali takip eden yıllar için öngörülen doğrudan ve dolaylı maliyetlerin toplamı, mali etkinin çok büyük olduğunu gösteriyor. Yukarıda verilen referanslar belirli harcamalara ilişkin rapor örnekleridir ve ihlal nedeniyle oluşan mali zararın genel olarak anlaşılmasına katkıda bulunur.
Genişleyen Tehdit Ufku
Geçtiğimiz 10 yılda veri güvenliğine yönelik saldırı yüzeyi artmakla kalmadı; her yönden patladı. Verinin bir varlık olduğu ve küresel dijital altyapının damarlarında dolanan, atan bir cankurtaran halatı olduğu bir döneme geçiş yaptık. Çoklu bulut ortamlarının, Nesnelerin İnterneti’nin, mobil cihazların ve sürekli gelişen “her yerden çalışma” kültürünün ortaya çıkışıyla birlikte, her biri savunmamızda zayıf bir nokta olma potansiyeli taşıyan karmaşık bir veri temas noktaları ağı ördük. .
Düşman artık sadece verilerinizin peşinde değil. Kaosun, fidyenin ve kuruluşların en çok koruduğu şeylere olan güvenin sistematik çöküşünün peşindeler. Saldırganlar bilgili, yapay zeka (AI), makine öğrenimi ve endişe verici düzeyde sabır kullanan, üçüncü taraf ortaklıklarınızdaki en ufak bir yanlış adımdan, yama yönetimindeki en zararsız ihmalden veya hafife alınan iç tehditlerden yararlanmayı bekleyen kişilerdir.
Hedef İhlalinden Yarı Öğrenilen Dersler
Post-Target, baş bilgi güvenliği görevlileri (CISO’lar), öncelikle satış noktası sistemlerine ve uç nokta güvenliğine odaklanarak savunmalarını güçlendirmek için çabaladılar. Gelişmiş kötü amaçlı yazılım tespit araçlarını benimsediler, erişim kontrollerini sıkılaştırdılar ve daha katı bir üçüncü taraf risk yönetimi yaklaşımını benimsediler. Kuruluşlar, siber güvenliğin yalnızca bütçe raporunda yer alan bir satır değil, şirketin hayatta kalmasıyla ilgili bir mesele olduğunu anlamaya başladı.
Ancak bu ilerlemelere rağmen, sistemik sorunlar denizinde su üzerinde yürüyoruz. Altyapılarımıza zırh taktık ancak güvenlik açıklarını incelemek için aynaya daha fazla bakmamız gerekiyor. Göze çarpan gerçek şu ki, veri yönetişimimizin daha proaktif olması gerekiyor. Siber güvenlik araçlarını stoklamakta ustayız ancak güvenliği her iş sürecine, her çalışan uygulamasına ve geliştirme aşamasındaki her kod satırına yerleştiren kültürel dönüşüm konusunda yardıma ihtiyacımız var.
Odadaki fili görmezden geldik: gerçek zamanlı, veri merkezli güvenlik önlemlerinin olmayışı. Verileri korumamız gerekirken çevreyi koruyoruz ve davetsiz misafirlerin dış savunmayı ihlal ettikten sonra hassas bilgiler arasında engelsiz bir şekilde dolaştıklarını unutuyoruz.
Tedarik Zinciri Güvenliği: Aynı Eski Hikaye mi?
Tedarik zinciri güvenliğinin son on yılda, özellikle de küresel kriz sonrasındaki gelişimi SolarWinds efsanesi, sektörün artan farkındalığının ve daimi eksikliklerinin bir kanıtıdır. Bugün, her biri titiz bir inceleme ve sürekli izleme gerektiren, satıcılar, ortaklar ve yüklenicilerden oluşan genişletilmiş bir ekosistemle boğuşuyoruz. Tedarik zincirinin güvenlik çevremizin bir uzantısı olduğunu kabul etmeye başladık.
Ancak stratejik hatalar devam ediyor. Herkese uyan tek bir güvenlik değerlendirmesine, onay kutularına ve yüzey düzeyindeki değerlendirmelere aşırı güvenmek, kurşun yaralarının bandajlanmasından başka bir şey değildir. SolarWinds gibi saldırıların karmaşıklığı, aynı derecede karmaşık bir yanıt gerektirir: üçüncü taraf ortamlarının incelenmesine yönelik çok katmanlı, sürekli uyarlanabilir ve istihbarat odaklı bir yaklaşım. Katı üçüncü taraf politikalarının, gerçek zamanlı tehdit istihbaratının ve derinlemesine adli tıp yeteneklerinin istisna yerine norm haline geldiği bir paradigmayı gerektirir.
Ayrıca tedarik zinciri güvenliği yalnızca iş ortaklarınızın savunma mekanizmalarıyla ilgili değil, aynı zamanda sistemlerinize entegre ettikleri yazılım ve donanımın bütünlüğü ve güvenlik hijyeni ile de ilgilidir. Bu, her kod satırında, her güncellemede ve her ağ bağlantısında güvenlik ihlali potansiyelinin farkına varmakla ilgilidir.
İleriye bakmak
On yıllık bu ihlalin yıldönümünde durduğumuz şu: Yolculuk çetindi, dersler zor kazanıldı ama gelecek daha fazlasını gerektiriyor. Sektörün sürekli bir yakalama durumundan stratejik öngörü durumuna geçmesinin zamanı geldi.
Bizim evrime değil devrime ihtiyacımız var. Bu, verilerin güvenliğine yönelik radikal bir değişimi, sıfır güven güvenlik modelleri erişim izni vermeden önce sistemlere bağlanmaya çalışan her şeyi doğrulayan ve güvenlik hijyenini üç aylık bir endişe olarak değil, günlük bir uygulama olarak ön planda tutan bir organizasyon kültürü.
Bu sadece CISO’lara değil, CEO’lara, politika yapıcılara ve dijital alandaki tüm paydaşlara yapılan bir çağrıdır. Anlatımın, uyumluluk odaklı güvenlikten kapsamlı risk yönetimine ciddi bir yönlendirmeye ihtiyacı var. Dinlemeye hazır mıyız yoksa Target’ı siber güvenlik tarihinde bir dipnot gibi gösterecek bir ihlale zemin mi hazırlayacağız? Önümüzdeki on yıl zihniyetteki bu önemli değişime bağlı.