Liderlik ve Yönetici İletişimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Tehdit Algılama
CRQ, Kuruluşların Yatırımı Optimize Etmesine, Dayanıklılığı Artırmasına ve Tehditleri Yönetmesine Yardımcı Olabilir
Chris Novak, Kıdemli Direktör, Verizon Siber Güvenlik Danışmanlığı •
3 Eylül 2024
Mayıs 2023’te kendisine CL0P adını veren bir fidye yazılımı çetesi, MOVEit dosya aktarım aracının sıfır günlük bir açığını kötüye kullanarak dünya çapında hükümetlerden, kamu ve finans kuruluşlarından veri çaldı.
Ayrıca bakınız: Elastik Güvenliğe Giriş: Güvenlik operasyonlarının modernizasyonu
Yazılım şirketi hemen bir yama yayınladı, ancak hasar kapsamlı ve derindi, tarihin en büyük dosya aktarım saldırılarından birinde on milyonlarca insanı etkiledi. Etkilenen kurumlar arasında muhasebe ve finans devleri ile büyük bir ABD havayolu şirketi de vardı.
Bu saldırının etkileri devam ederken, şu sorular akıllarda: Saldırıları önlemek için ne yapılabilirdi? Gelecekte bu tür saldırıları önlemek için plan nedir?
Siber Risklere Fiyat Etiketi Koymak
Yöneticiler siber tehditlerin potansiyel etkisini ve maliyetini tam olarak anladıklarında, bunlarla mücadele etmek için gerekli kaynakları daha iyi tahsis edebilirler. Bu, operasyonel dayanıklılığı artırır ve kuruluşun gelişen teknolojik, ekonomik ve düzenleyici değişikliklere yanıt verebilecek kadar çevik kalmasını sağlar.
Özünde, kuruluşların siber saldırıların risklerini ve maliyetlerini daha iyi anlamaları için aciliyet, artan siber saldırılar ve bunların etkileri tarafından yönlendirilmektedir. Örneğin, Statista’ya göre siber suçun tahmini maliyetinin 2023’te 8,15 trilyon dolardan 2028’de 13,82 trilyon dolara çıkması öngörülüyor.
Verizon’un 2024 Veri İhlali Araştırmaları Raporu, ihlalleri başlatmak için güvenlik açıklarından yararlanan saldırılarda önemli bir büyüme olduğunu ortaya koyuyor ve 2023 DBIR’den %180’lik bir artış gösteriyor; saldırılar öncelikli olarak fidye yazılımlarını ve diğer gasp ile ilgili tehdit aktörlerini içeriyor. Web uygulamaları, bu ilk giriş noktaları için ana vektördü ve bu yaklaşım MOVEit’e yapılan saldırıda da kullanıldı.
Risk anlayışlarını iyileştirmeye yardımcı olmak için birçok kuruluş, CISO’ların ve iş liderlerinin siber güvenlik risklerini daha iyi anlamalarına, yönetmelerine ve azaltmalarına yardımcı olmak için niceliksel, veri odaklı bir metodolojiyi vurgulayan Siber Risk Miktar Belirlemesine yöneliyor. CRQ, siber güvenlik tehditleri karmaşıklık ve karmaşıklık açısından evrimleştikçe önemli bir araçtır, çünkü bir kuruluşun siber tehditlerin olası finansal etkilerine ilişkin anlayışını bağlamlandırmaya yardımcı olabilir.
CRQ’nun Avantajları
İşte bugün CRQ’ya duyulan ihtiyacın ardındaki birkaç temel etken:
- Teknolojik bağımlılık: Bağlantılı teknolojiye olan küresel bağımlılığın her geçen gün artması göz önüne alındığında, saldırı yüzeyleri ve ihlal etkileri de büyümektedir. Kuruluşların kritik varlıkları korumak için kaynakların hedeflenen tahsisini artırmak amacıyla riskleri ölçmeleri önerilir.
- Verimlilik şunları gerektirir: Birçok kuruluş daha azıyla daha fazlasını yapma zorluğuyla karşı karşıyadır. CRQ gibi veri odaklı bir yaklaşım, yatırımları ve dayanıklılık hedeflerini optimize etmeye yardımcı olarak kaynakları en çok ihtiyaç duyulan yerlere tahsis etmeye yardımcı olur.
- Siber sigorta yönetimi: CRQ süreci, kuruluşların ve siber sigorta sağlayıcılarının daha hedefli risk değerlendirmesi yoluyla poliçe maliyetlerini ve kapsamını yönetmelerinde faydalı olabilecek veriler üretebilir.
- Düzenleyici baskı: Artan düzenleyici denetim, liderlerin siber güvenlik olayı raporlamalarını ayarlamalarını gerektirebilir. CRQ, ölçülebilir metrikler sağlayarak kuruluşların raporlama taleplerini kolaylaştırmasına yardımcı olabilir.
Kuruluşlar, stratejik olarak yönetilen bir siber risk programı geliştirmeye yardımcı olmak için CRQ analizinden yararlanabilir. Güvenlik ekiplerinin farklı risk azaltma stratejilerinin değerini ve etkinliğini varlık bazında tahmin etmelerine yardımcı olabilir. Potansiyel risklerin tahmini maliyetlerine göre hangi yatırımların en iyi yatırım getirisini sağlayabileceğini anlayarak kuruluşlar, en büyük siber güvenlik zorluklarını çözmelerine yardımcı olabilecek yazılım, altyapı veya satıcılar hakkında daha iyi kararlar alabilirler.
Liderlik Desteği Kazanmanın Doğru Yolu
CISO’lar teknik riskleri teknik olmayan paydaşlara iletmede zorluklarla karşılaşmaktadır. CRQ, siber riskleri yöneticiler ve yönetim kurulu üyeleriyle daha fazla yankı bulma olasılığı olan finansal metriklere dönüştürerek bu açığı kapatmaya yardımcı olur. Bu, siber güvenlik paydaşlarının ve liderlik ekiplerinin siber güvenlik girişimlerinde daha kolay uyum sağlamasına yardımcı olabilecek daha iyi karar alma verilerini kolaylaştırabilir.
CRQ verileri siber güvenlik sigorta primlerini ve kapsam iyileştirmelerini de etkileyebilir. Sigortacılar, poliçeleri kişiselleştirmek, potansiyel olarak primleri azaltmak ve kapsam şartlarını iyileştirmek için, tahmini ölçülebilir CRQ tarafından oluşturulan risk verilerini, sigortacılık süreçlerinin bir parçası olarak değerlendirebilirler.
Verizon’un siber güvenlik danışmanlığı kıdemli direktörü Chris Novak’a göre, Verizon’un CRQ’su, CISO’ların ilgili paydaşlara siber güvenlik yatırımları hakkında daha iyi bilgilendirilmiş, veriye dayalı kararlar almasını kolaylaştırabilecek tahmini finansal bilgiler sağlamasına yardımcı oluyor.
Novak, özellikle giderek daha sıkı SEC gereklilikleriyle karşı karşıya kalan ABD kuruluşları için daha iyi iletişimin kritik öneme sahip olduğunu söyledi. Novak, “C-suite ve yönetim kurulu, odada sıcak bir koltuk olduğunu fark etmeye başlıyor,” dedi. “CISO’lar ek inceleme ve sorumluluk riskleriyle karşı karşıya kalabilir. Bu büyük bir fark yaratır.”
CISO’lar genellikle siber güvenlik risklerini ele almak için yeterli bütçeye sahip değildir, ancak yine de düzenleyici raporlamada şirketin güvenlik duruşunu doğrulamalıdırlar. İyi duyurulmuş bir teknoloji şirketi siber saldırısı, ABD federal hükümetinin dört bir yanından kurbanları içeriyordu. Novak, CISO’nun “bir siber güvenlik olayının ardından ilk kez yaşanacak” olası yasal cezalarla karşı karşıya olduğunu söyledi.
Artan incelemelerin, “riskler hakkında yaptıkları görüşmelerde üst düzey yöneticilerden daha fazla destek ve katılım alamazlarsa, deneyimli CISO’ların belirli işlerden uzak durmalarına” yol açabileceğini ekledi.
Siber güvenlik risk yönetimine niceliksel bir yaklaşım benimsemek ve gerçek dünya örneklerini analiz etmek, daha üretken konuşmalara giden yolu açabilir. Novak, CRQ’nun “teknik ekipler ile yönetici liderler arasındaki boşluğu kapatmaya yardımcı olarak siber güvenliğe daha birleşik bir yaklaşımın teşvik edilmesine” yardımcı olabileceğini söyledi.
Yapay Zeka ve CRQ’nun Etkisi
Yapay zeka, risk değerlendirmelerinin doğruluğunu, verimliliğini ve öngörücü yeteneklerini artırmaya yardımcı olarak CRQ’yu devrim niteliğinde değiştirmiştir. Yapay zeka destekli risk modelleri, gelecekteki siber tehditleri tahmin etmek için geçmiş verileri analiz ederek kuruluşların siber güvenlik yatırımlarına en çok ihtiyaç duyulan yerlerde öncelik vermelerine yardımcı olur.
Yapay zeka ayrıca farklı tehdit senaryolarını ve olası sonuçları simüle ederek siber risklerin finansal etkilerinin niceliksel olarak belirlenmesine yardımcı olur. Sigortacılar halihazırda yapay zekayı, bireysel kuruluşların sunduğu risklere özel olarak poliçeleri analiz etmek ve uyarlamak için benimsiyorlar. Novak, “Bu yaklaşım yalnızca poliçe doğruluğunu iyileştirmeye yardımcı olmakla kalmayıp aynı zamanda işletmelerin daha iyi teminat şartları elde etmesine de yardımcı olabilir” dedi.
Kuruluşlar, siber güvenlik yatırımlarını optimize etmek, operasyonel dayanıklılıklarını artırmak, gelişen tehditleri yönetmek ve düzenleyici raporlama gerekliliklerine yanıt vermek için CRQ analizinden yararlanabilirler.
Verizon’un CRQ çerçevesi hakkında daha fazla bilgi edinmek ve bir kuruluşun siber güvenlik yatırımlarını ve dayanıklılığını nasıl artırabileceğini öğrenmek için en son bilgileri burada okuyun.