Bir siber olayın kurbanlarının keşfinden sonraki 72 saat içinde rapor vermesini gerektiren bir Fransız yasası açıklandı. Bize gelebilecek benzer teklifleri duyduk.
Siber suç mağdurları üzerinde yetkililere zamanında bildirimde bulunma baskısı birçok yönden ve birçok nedenden dolayı artıyor.
24 Ocak 2023’te Fransa, siber suç kurbanlarının, kayıplar için sigorta tarafından tazminat almaya hak kazanmak istiyorlarsa, olayı keşfettikten sonraki 72 saat içinde olayı bildirmeleri gereken bir yasayı (Sigorta Yasası Madde L12-10-1) kabul etti. ve saldırının neden olduğu zararlar. Fransız yasalarına göre bu hükümler, bu yasanın ilanından üç ay sonra yürürlüğe girer. Bu yürürlük tarihi 24 Nisan 2023 olacaktır.
Daha önce, Menkul Kıymetler ve Borsa Komisyonu’ndan (SEC), tescil ettirenin önemli bir siber güvenlik olayı yaşadığını belirlemesinden sonraki dört iş günü içinde önemli bir siber güvenlik olayı hakkındaki bilgileri ifşa etmesini zorunlu kılmak için Form 8-K’yi değiştirmeye yönelik bir teklif gördük. Form 8-K, “güncel rapor” olarak bilinir ve şirketlerin hissedarların bilmesi gereken önemli olayları duyurmak için SEC’e sunması gereken rapordur.
Hive fidye yazılımı grubunun ortadan kaldırılmasında uluslararası kolluk kuvvetleri, kurbanların kendilerine karşı işlenen siber suçlar hakkında zamanında bildirimde bulunmalarının ne kadar önemli olduğunu vurguladı.
siber sorumluluk sigortası
Siber sorumluluk sigortası, işletmeleri çalınan veya zarar gören fikri mülkiyet dahil olmak üzere bir veri ihlali sonucunda ortaya çıkan masraflardan koruyan bir sigorta poliçesi türüdür.
Sigortanın tazminatının burada söz konusu olması bize garip gelebilir, ancak bu ABD yasalarına da dahil edilmiştir. Siber Güvenlik Bilgi Paylaşım Yasası, siber olaylarla ilgili kişisel bilgilerin paylaşılmasını sağlamak için 2015 yılında kabul edilen ilk Federal yasalardan biriydi. Ve birçok eyalet, dışlamalardan cezalara kadar siber riskleri derinlemesine ele almak için kendi yasalarını çıkardı.
Her ABD eyaletinde, belirli sayıda tüketicinin kişisel olarak tanımlanabilir bilgileri (PII) ele geçirildiğinde uyulması gereken bir Veri İhlal Bildirimi yasası vardır. Birkaç eyalet, sigorta şirketlerinin eyaletin sigorta departmanını bilgilendirmesi için özel şartlar ekledi.
Sigorta şirketleri
Siber olaylara karışan para miktarı çok büyük. Siber suç maliyetleri arasında verilerin zarar görmesi ve yok edilmesi, çalınan para, üretkenlik kaybı, fikri mülkiyet hırsızlığı, kişisel ve finansal verilerin çalınması, zimmete para geçirme, dolandırıcılık, normal iş akışına yönelik saldırı sonrası aksama, adli soruşturma, saldırıya uğrayan verilerin restorasyonu ve silinmesi yer alır. veri ve sistemler ve itibar zararı.
Yılda trilyonlarca doları bulan bu riskleri karşılamak, sigorta şirketlerinin hafife alacağı bir iş değil. Müşterileri, tazminat almaya hak kazanabilmek için dikkatli, korunan ve çalışkan olduklarını göstermek zorunda kalacaklar. Ve şimdi zamanında bir rapor sunmak zorunda kalacaklar.
Tanımlar
Fransız kanunu, kanundaki bazı temel tanımların belirsiz olması veya en azından daha fazla spesifikasyona ihtiyaç duyması nedeniyle eleştirilmiştir.
Yine de, bu yasa bağlamında bir siber olayın ne olduğu oldukça açıktır. Sistemde yer alan verilerin silinmesi veya değiştirilmesi veya bu sistemin işleyişinin değiştirilmesi sonucunda verilecek cezalar daha ağır olmak kaydıyla, otomatik bir veri işleme sisteminin tamamına veya bir kısmına hileli olarak erişmek veya bu sistemde kalmak.
Ancak sorumlu makam belirsizdir. İçişleri Bakanlığı’nın genel suç raporlama portalı aracılığıyla kolluk kuvvetleri mi yoksa suçun niteliğine mi bağlı? Zaman gösterecek. (Bu açıklık eksikliği, bazı yasaların, yasaların nasıl uygulanacağına dair net bir model olmadan yürürlüğe girdiği ABD’de de normdur.)
Keşiften 72 saat sonra başka bir tartışma konusu öne sürülüyor. Bu, günlük dosyalarınız yetkisiz erişim belirtileri gösterdikten 72 saat sonra mı, yoksa personelinizin bunun gerçekten bir güvenlik olayı olduğunu kesin olarak belirlemesinden 72 saat sonra mı?
Ayrıntılar hiç şüphesiz ortaya çıkacak, ancak o zamana kadar güvenli tarafta hata yapmak ihtiyatlı görünüyor.
Para konuşur
Malwarebytes güvenlik savunucusu ve fidye yazılımı uzmanı Mark Stockley’e göre bu tür yasalar bir fark yaratabilir.
“Neden? Çünkü para konuşur ve fidye yazılımı sorunuyla mücadele etmenin temeli onu anlamaktır. Bu, kurbanların ortaya çıkıp bunu bildirmesini gerektirir. Zamanında raporlama, büyük resmi anlamamızı sağlıyor, ancak aynı zamanda kolluk kuvvetlerine saldırganların araçları, teknikleri ve uygulamaları hakkında bilgi edinme ve öğrendiklerini paylaşma şansı veriyor.”
Muhtemelen bu yasanın arkasındaki nedenlerden biri de budur. Mark açıklamaya devam ederken:
“Bildirmemek ciddi sorunlara neden olabilir: 2017’de, ilk ‘büyük oyun’ fidye yazılımı çetelerinden biri olan SamSam’in, onlara çok daha sık saldırıyor gibi göründüğü için devleti ve sağlık kurumlarını hedef aldığı geniş çapta bildirildi. Daha sonra onlara daha sık saldırmadığı ortaya çıktı, ancak hükümet ve sağlık sektörlerinin bir saldırıyı bildirme olasılığı çok daha yüksekti.”
Bu yeni yasanın siber suçla mücadeleye yardımcı olduğu ortaya çıkarsa, benzer düzenleme türlerinin dünya çapında aynı şeyi yapacağından emin olabilirsiniz.
İletişim
Bu yeni yasa, bir kuruluşun bir ihlali belirledikten sonra hareket edeceği taktikleri de etkileyecektir. Çoğu durumda, dahili veya harici uzmanlar tarafından yapılan soruşturma, bir olay olduğunu açıklamanız gereken zamana kadar bitmemiş olacaktır. Bu, muhtemelen iletişiminizde fazladan bir adıma ihtiyaç duyacağı anlamına gelir; ilk adım en azından sorumlu makama bir şey olduğunu söyleyecektir. Bu yetkilinin kim olduğuna ve bu bildirimin hangi biçimde yapılması gerektiğine bağlı olarak, diğerlerinin de bilgilendirilmesi gerekebilir.
Daha sonraki bir iletişim, ne olduğu, nasıl olabileceği ve olası sonuçları hakkında ayrıntıları ifşa edebilir. Ancak bu tür bilgiler genellikle üç gün içinde toplayabileceğinizden daha fazla araştırma gerektirir.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.