Siber Sigorta , Yönetişim ve Risk Yönetimi , Olay ve İhlal Müdahalesi
Fransız Çok Uluslu Şirketler İhlalleri Fransa Dışında Bildirmeli mi? Kime? Ne zamana kadar?
Akşaya Asokan (asokan_akshaya) •
8 Mart 2023
Şirketlerin siber olayları 72 saat içinde yetkililere bildirmesini veya siber sigorta tazminatı için uygunluklarını kaybetmelerini gerektiren bir Fransız yasası, uygulayıcıların kafalarını kaşımasına neden oluyor.
Ayrıca bakınız: Güvenlik Açığı Yönetimi, Değerlendirme Taramasından Çok Daha Fazlasıdır
24 Nisan’da yürürlüğe girecek olan yeni yasa, bilgi sistemlerine yasa dışı erişim ve verilerin silinmesi, çalınması veya değiştirilmesi gibi bir dizi siber olayı kapsayacak. Yasa ayrıca siber sigortacılara fidye yazılımı ödemelerini karşılama yetkisi de veriyor.
Tüzüğün arkasındaki teori, sigorta kapsamını kaybetme tehdidinin daha fazla şirketi siber olayları ifşa etmeye teşvik edeceği ve kolluk kuvvetlerine ve politika yapıcılara siber tehditlere karşı toplamak ve kullanmak için daha fazla veri sunacağıdır.
Pek çok kişinin aklındaki soru şudur: Kime rapor vereceksiniz? Fransa’da iki federal kurum siber olayları ele alır: ulusal bilgi sistemi güvenlik kurumu veya ANSSI ve Fransız veri koruma kurumu veya CNIL – ulusal ve Avrupa veri koruma yasalarının gözetimi ile görevli bağımsız bir kurum düzenleyici kurum.
Hukuk firması Orrick tarafından yapılan bir analize göre, yasa şirketlere ihlali “yetkili makamlara” ifşa etmelerini ve polis ve adli makamlarla bir etki değerlendirmesi yapmalarını söylüyor.
Orrick’in avukatları, “Yasa, bu tür şikayetleri dosyalamak için belirli bir mekanizma olup olmayacağını da belirtmiyor” diye yazıyor. “Ancak Fransa İç Güvenlik Genel Müdürlüğü internet sitesinde siber saldırıların İçişleri Bakanlığı’nın genel bir suç duyurusu portalına sahip internet sitesi üzerinden çevrimiçi olarak bildirilebileceğini belirtiyor.” Ne ANSSI ne de CNIL, Information Security Media Group’un açıklama talebine yanıt vermedi.
Başka bir soru da şudur: Tam olarak neyi 72 saat içinde bildirin? “Bu, günlük dosyalarınız yetkisiz erişim belirtileri gösterdikten 72 saat sonra mı, yoksa personelinizin bunun gerçekten bir güvenlik olayı olduğunu kesin olarak belirlemesinden 72 saat sonra mı?” güvenlik firması Malwarebytes’te kötü amaçlı yazılım istihbaratı araştırmacısı olan Pieter Arntz yazıyor.
Uzmanlar, yasanın birden fazla yargı alanında sunucuları olan kuruluşlara fazladan bir uyumluluk katmanı ekleyeceğinden, genel merkezleri Fransa’da bulunan küresel şirketlerin en fazla belirsizliğe sahip olacağını söylüyor.
“Örneğin önlerindeki soru şu olacaktır: Yerel Malezya politikası kapsamındaki bir Fransız grubun Malezya’daki yan kuruluşundaki bir hak talebi, bu yasa uyarınca Fransız makamlarına bildirilmeli midir?” Marsh McLennan’ın genel müdürü ve Avrupa siber başkanı Jean Bayon de La Tour diyor.
Ayrıca, küçük ve orta ölçekli işletmelerin büyük çoğunluğunun genellikle siber sigorta satın alma eğiliminde olmadığını, yani yasanın onları veri ihlallerini Fransız hükümetine bildirmeye teşvik etmeyeceğini söylüyor.