YORUM
Siber suçlular, teröristler ve ulus devletler artık ticari kuruluşlara insanları öldürebilecek ve yaralayabilecek veya fiziksel yıkıma yol açabilecek şekillerde saldırıyor. Son zamanlarda Ascension Healthcare Network’e saldırı hastaneleri hastaları yönlendirmeye, randevuları yeniden planlamaya ve hastalara ciddi zararlar verebilecek manuel sistemlere başvurmaya zorladı. 2023’te, iki şüpheli tutuklandı Baltimore’un elektrik şebekesine saldırı komplosu kurmaktan. Böyle bir saldırının potansiyel zararı ABD hükümeti güvenliği artırmak için çabalıyor.
Bu saldırıların artan “fiziksel” ciddiyetine ek olarak, şirket yöneticileri artık bunlardan yasal olarak sorumlu tutulabilir. 2022’de federal bir jüri, eski Uber CSO’su Joseph Sullivan’ı engelleme suçundan suçlu şirketin ihlalinin ardından yapılan eylemler için. 2023 yılında, Menkul Kıymetler ve Borsa Komisyonu duyurulan ücretler SolarWinds baş bilgi güvenliği sorumlusu (CISO) Timothy Brown’a karşı benzer bir davada (çoğu daha sonra atıldılar). Ve bu yılın başlarında, Microsoft duyurdu “Üst düzey yönetimi siber güvenlikten doğrudan sorumlu tutacağını” söyledi.
Tarihsel olarak, bir kuruluşun kârını para cezaları, fikri mülkiyet kaybı ve itibar kaybı şeklinde tehdit eden finansal olarak motive edilmiş olaylar olan iş verilerine yönelik saldırılar ile insanları öldürme ve yaralama veya hükümetin işleyişini baltalama potansiyeline sahip askeri sırlara yönelik devlet destekli saldırılar arasında ayrım yaptık. Ne yazık ki, son olaylar fiziksel ve siber güvenlik arasındaki çizgiyi bulanıklaştırdı ve işletmeleri askeriyeye benzer şekilde hassas verileri koruma önceliğini artırmaya zorladı.
Askeri Zihniyet
Orduda hassas bilgileri korumak her zaman en önemli unsur olmuştur ve sektör, fiziksel ve dijital güvenliğin çoklu katmanları dahil olmak üzere koruma için ihtiyaç duyduğu tüm sistemlere öncelik verir. Bilgiler tehlikeye atılamaz.
Buna karşılık, işletmelerin veri güvenliğini sağlamanın maliyetlerini hasardan kurtarmanın maliyetlerine karşı tartarak bir maliyet-fayda analizi yapma olasılıkları daha yüksektir. Sonuç olarak, sektör hiçbir zaman veri merkezli bir güvenlik yığını oluşturmadı, bunun yerine kötü adamları uzak tutmaya ve ihlalleri sınırlamak için hızlı bir şekilde yanıt vermeye odaklanan ağ tabanlı bir güvenlik yaklaşımını tercih etti. Ancak, bir saldırgan ağ güvenlik katmanını ihlal ederse, hassas veriler çoğu kuruluş olayı sınırlamak için yanıt veremeden önce hızla dışarı sızar ve ifşa olur.
Kuruluşların, çalışanlarını ve iş çıkarlarını korumak için, hassas verileri silahlı kuvvetler, istihbarat topluluğu ve savunma sanayi ile aynı yoğunlukta koruma zihniyetini değiştirmeleri gerekiyor.
Yeni Bir Veri Koruma Stratejisinin İlkeleri
1. En az ayrıcalık ilkesi (PoLP)
Askeri ve istihbarat topluluğunda en az ayrıcalık ilkesi, bireylerin yalnızca belirli görevleri için gerekli olan bilgi ve kaynaklara erişebilmelerini zorunlu kılar. Bu, hassas bilgilere maruz kalmayı sınırlayarak yetkisiz erişim, veri ihlalleri ve casusluk riskini en aza indirir ve böylece genel güvenliği ve operasyonel bütünlüğü artırır.
Benzer şekilde, iş sistemleri yalnızca doğru zamanda doğru kişilere doğru verileri sağlamalıdır. Son gizlilik yasaları birçok kuruluşu bu yeteneği uygulamaya başlamaya zorladı, ancak çoğu kuruluş en az ayrıcalığı veri altyapılarının yapısına yerleştirmekten çok uzak. Güçlü veri güvenliğini uygulamak, kimlik erişim yönetimi (IAM) altyapılarında bulunan kullanıcıların rol ve görevlerinin bağlamını anlamak, gizlilik uyumluluk gerekliliklerini anlamak ve şirket içi altyapı, genel bulut, yazılım hizmeti (SaaS) uygulamaları ve kuruluşun tedarik zinciri genelinde hassas bilgileri gerçek zamanlı olarak otomatik olarak tanımlama ve güvence altına alma yeteneğine sahip olmayı gerektirir.
2. Verileriniz konusunda asla üçüncü bir tarafa güvenmeyin
Veriler şirketin kontrol edebileceği ve koruyabileceği yerde kalmalıdır. Saldırganlar veri tedarik zincirindeki en zayıf halkanın peşine düşer ve bu giderek artan bir şekilde kuruluş dışındaki kişiler anlamına gelir. çocuklar dahilve üçüncü taraf veri platformları, SolarWinds’te olduğu gibi. Şirketler ayrıca, satıcının güvenlik hatalarının verileri riske attığı bir satıcının bulut veri platformunda depolandığında veriler üzerindeki kontrolü kaybederler. Bu nedenle, şirketler veri ekosistemlerinin bir parçası olan satıcıların verileri depolamamasını, görmemesini veya başka bir şekilde bunlara erişmemesini sağlamalıdır. Bu, hassas verilerin kuruluşun kontrolünden çıkarken otomatik olarak sansürlenmesi, maskelenmesi, belirteçlenmesi veya şifrelenmesiyle gerçekleştirilebilir.
3. Tehditleri gerçek zamanlı olarak belirleyin
İşletmeler sıklıkla, zayıf yanıt sürelerine sahip algılama ve yanıta odaklanan güvenlik mimarisini tercih ettiler. 2023’e göre IBM Security “Veri İhlali Raporunun Maliyeti” Bir ihlali tespit etmek (MTTI) ve sınırlamak (MTTC) için ortalama süre 277 gündür. Olay müdahalesi için kapsamlı AI ve otomasyon kullanıldığında, ihlalleri tespit etmek ve sınırlamak yine de 214 gün sürdü. Veri ihlallerinin kişisel olarak tanımlanabilir bilgilerin (PII) kaybına yol açmasını önlemek için, işe yaramayan reaktif sınırlama önlemlerinden, kuruluşta akarken hassas verileri gerçek zamanlı olarak tespit etmek ve korumak ve yetkisiz kullanıcıların iş açısından kritik bilgilere erişme, bunları çalma veya manipüle etme girişimlerini engellemek için AI’dan yararlanan proaktif veri güvenliği önlemlerine odaklanmalıyız.
4. Üretkenliği asla baltalamayın
Arttırılmış güvenliğe uzun zamandır engel olan şey, eklenen güvenliğin süreçleri yavaşlatması ve verilere meşru erişimi engellemesi, kullanıcıları hayal kırıklığına uğratması, iş birliğini kısıtlaması, müşteri deneyimlerini baltalaması ve yeniliği engellemesidir. Benimsemeyi ve kullanımı teşvik etmek için, veri güvenliği çözümleri işlemleri geciktirmeden verileri korumalıdır. Aksi takdirde, kullanıcılar bunun etrafından dolaşmanın bir yolunu bulacaktır.
5. Dağıtımını hızlı ve kolay hale getirin
Sektör hangi çözümleri tasarlarsa tasarlasın, şirketler bunları mevcut iş akışlarında çok az kesintiyle hızla uygulayabilmelidir. Aksi takdirde, en iyi ihtimalle, uygulama süreci sırasında riskler artabilir. En kötü ihtimalle, çözümler hiç uygulanmayacak veya kuruluşun savunmalarında kritik boşluklar bırakacaktır.
Silah çağrısı
Pratik anlamda, siber güvenliğe karşı askeri bir zihniyet benimsemek, kuruluşların derhal endüstrinin mevcut ağ koruma stratejilerinin ötesine geçmesini ve verileri gerçek zamanlı olarak proaktif olarak güvence altına alan veri merkezli bir güvenlik yaklaşımına doğru ilerlemesini talep etmeye başlaması gerektiği anlamına gelir. Bu eylemler şunları içerir:
-
Veri korumasını yönetim kurulu toplantılarında ve kuruluş genelinde bir konu haline getirin.
-
Sadece ağı değil, verileri koruma konusundaki yaklaşımlarını da her satıcıya sorun.
-
Her veri tedarik zinciri ortağının yukarıdaki veri koruma ilkelerini benimsemek için çalıştığından emin olun.
-
Sektör düzenleyicilerini bu ilkeleri temel odak noktası haline getirmeye teşvik edin.
-
Hükümete, kurumların bu ilkeleri benimsemesini zorunlu kılacak şekilde baskı yapın.
Bu stratejiler, kuruluşları gelişen siber tehditlere karşı etkili bir şekilde koruyan veri merkezli bir güvenlik yaklaşımına doğru ilerlemek için kritik öneme sahiptir.