İhlal Bildirimi, Güvenlik Operasyonları
‘Müşterilerimizin Verilerinin Güvenliği En Önceliğimizdir’ – Gerçekten mi?
Mathew J. Schwartz (euroinfosec) •
25 Ocak 2024
Yeni veri ihlali bildirimlerinin olmadığı bir gün geçer mi? Bazı kuruluşların ihlal bildirimleri en azından alıcıya saygı duyulduğunun sinyalini verir. Benim tercih ettiklerim kurbanları “Dragnet”ten Dedektif Joe Friday’i kanalize ederek – o “sadece gerçekler, hanımefendi” düz konuşma okulundan geliyor – ve kurbanlara tam olarak hangi riskle karşı karşıya olduklarını ve bunu nasıl azaltabileceklerini anlatarak yapıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Diğerleri bunu daha gölgeli oynuyor. Polisin bir kişiye aile üyelerinden birinin öldüğünü şu sözlerle bildirdiğini hayal edin: “Şehrimizde yaşayanların güvenliği bizim için çok önemli.”
Veri ihlaline maruz kalan çok sayıda kuruluş, suçu en aza indirerek ve hatta bazı durumlarda ihlal bildirimlerinde kurumsal amigoluk yaparak pazarlama stratejisine başvuruyor. Çoğu zaman gelincik sözcükleri ve pasif sesi kullanırlar.
Her şeyi berbat etmek veya bunu yapma nezaketini gösteremeyen ihlale uğramış kuruluşlara seslenmek adına, ihlale uğrayan her kuruluşun kaçınması gerekenler şunlardır:
“Müşterilerimizin verilerinin güvenliği bizim için önemlidir.”
Konuşma ucuzdur, özellikle de bu standart açılış cümlesi olduğu için, yani “Veri ihlali yaşadık.” Neden öyle söylemiyorsun?
“Müşterilerimiz yaptığımız her şeyin merkezindedir.”
Bu hafta LoanDepot’un ipotek iş birimi başkanı Jeff Walsh’un şirketin ne yapmadığını gösteren bir açıklamasından gelen bir diğer yaygın atılım: Bir bilgisayar korsanının 16,6 milyon müşterisinin “hassas kişisel bilgilerini” çalmasını önlemek.
“Bir siber olayı araştırıyoruz.”
Özellikle fidye yazılımı içeriyorsa, bir bilgisayar korsanlığı saldırısına veya veri ihlaline maruz kalan birçok kuruluş, bunu başka bir şey olarak tanımlamak için geriye doğru eğilir. Bazıları, bir kesinti yaşadıkları dışında resmi olarak hiçbir şey söylemiyorlar.
“Bireylere ücretsiz kimlik hırsızlığı koruması sağlıyoruz.”
Hayatın çekilişlerinde bundan daha zengin bir ödül olur mu? Adalet olsaydı, bireyler ihlal edilen kuruluşun yarattığı pisliği temizlemeye bırakılana kadar hizmete ihtiyaç duymadıklarında, kuruluşlar etkilenen bireylere sıklıkla ücretsiz olduğu söylenen bir hizmeti “hediye” etmezdi.
“Çalınan kişisel bilgilerinizin kötü amaçla kullanıldığına dair hiçbir kanıtımız yok.”
Delilin yokluğu masumiyetin kanıtı değildir. Çalınan her veri parçasının mevcut veya gelecekteki kötü niyetli kullanımına kadar izini sürebilecek sihirli bir veri ihlali perisi olmadığı sürece bu cümlenin hiçbir anlamı yoktur.
“Bu olayı çok dikkatli bir şekilde kolluk kuvvetlerine ve ilgili düzenleyici makamlara bildirdik.”
LastPass’ın 2022’de dile getirdiği bu düzenli nakarat, çoğu zaman şunu söyleme girişimi olarak işlev görüyor gibi görünüyor: “Bakın, şimdi bir şeyler yapıyoruz.” Elbette şunu asla okumazsınız: “Yasanın gerektirdiği şekilde düzenleyici kurumlara bildirimde bulunmadık ve suçluların iadesi anlaşması bulunmayan bir ülkeye kaçıyoruz.” Kolluk kuvvetlerine bildirimde bulunmak iyi bir uygulamadır çünkü altta yatan istihbarat, sonunda suçluların takip edilmesine, engellenmesine ve hatta yakalanmasına yardımcı olabilir.
“Verilerin geri dönüşünü güvence altına almak için adımlar attık.”
Bu, çalınan verileri silme sözü karşılığında “Saldırganlarımıza fidye ödedik” ifadesinin kodudur. Güvenlik uzmanları, ihlal tarihinde hiçbir zaman doğrulanmış bir veri silinmesi vakasının yaşanmadığını söylüyor. Düzenleyici makamlar, bu boş vaatlerin bedelinin ödenmesinin, uygulanabilecek yaptırımları azaltmayacağını söylüyor.
“Sırlarınızı döndürün.”
İyi ihlal bildirimleri eyleme geçirilebilir bilgiler içerir. El kaldırma: Sürekli entegrasyon ve sürekli dağıtım platformu CircleCI’nin bir ihlalden sonra önerdiği gibi “sırlarınızı döndürmenin” ne anlama geldiğini kim bilebilir? Aynı şekilde, İngiliz dış kaynak devi Capita’nın ihlali ne kadar kötüydü? Firma, bilgisayar korsanlarının “sunucu varlığının %0,1’inden daha azına” eriştiğini söyledi. Elbette bunun daha az önemli kısım olup olmadığını açıklamadılar.
“Herkes karmaşık siber saldırıların kurbanı oluyor.”
Hangimiz ihlal edilmedik? Ya da LoanDepot’un bu hafta söylediği gibi: “Maalesef bu tür saldırıların giderek sıklaştığı ve karmaşıklaştığı bir dünyada yaşıyoruz ve sektörümüz de bu durumdan kurtulamadı.” Sorumluluğu en aza indirmeye yönelik bu girişim, suçluluk sorununu ortadan kaldırıyor. Yani, ihlal edilen kuruluş iyi savunmalara yeterince yatırım yapmadı mı? Şüpheli faaliyetlere anında müdahale eden ve izinsiz girişleri kontrol altına alan kapsamlı, iyi prova edilmiş bir olay yönetimi programını uygulamaya koymada başarısız mı oldu?
“Saldırganların hangi verilere erişmiş olabileceğini tespit edemiyoruz.”
İyi siber güvenlik uygulamalarına ve özellikle güçlü kayıt tutma ve izlemeye sahip kuruluşlar, genellikle saldırganların neye eriştiğini veya dokunmadığını yeniden yapılandırabilecek ve mağdurları buna göre bilgilendirebilecektir. Diğerleri bilmedikleri halde takılıp kalıyorlar.
“Takımımızla gerçekten gurur duyuyorum.”
Bu ayın başlarında sistemleri geri yüklediğini ve 16,6 milyon müşterisine “hassas kişisel bilgilerinin” çalındığını bildiren LoanDepot’tan bir kez daha özel olarak bahsetmek, grup kucaklaşmasını hedefliyor. LoanDepot’un ipotek iş birimi başkanı Jeff Walsh yaptığı açıklamada, “Ekibimiz ile gerçekten gurur duyuyorum” dedi. “En iyi yaptığımız şeye geri döndüğümüz için mutluyuz: ülke çapındaki müşterilerimizin finansal hedeflerine ve ev sahibi olma hayallerine ulaşmalarını sağlamak.” Elbette ki bu yarı açık soruyu akla getiriyor: Şirketin en iyi yapamadığı şey nedir?
Kapanışta: Kurban Kim?
Veri ihlali mağdurlarını basmakalıp saçmalıklarla veya sınırsız saptırmalarla doldurulmuş bildirimlere maruz bırakan kuruluşları cezalandıran herhangi bir yasa veya kural var mı? Sevgili okuyucu, işletmeler kendi gerçeklerini yanlış anlamadıkça böyle bir şey yoktur (bkz: Blackbaud ‘Hatalı’ İhlal Ayrıntıları Nedeniyle 3 Milyon Dolar Ödeyecek).
Öyle olsa bile, daha fazla ihlale uğramış organizasyondan, bize olanları doğrudan anlatarak biraz saygı göstermelerini istemek çok mu fazla olur?