Kuruluşlar neden verilerinin kontrolünü geri almalı?
Dimitri Nemirovsky, Kurucu Ortak ve COO, Atakama
Bazen bir değişimin neyi temsil ettiği, değişimin kendisinden daha anlamlıdır. Buna örnek olarak, Apple’ın yakın zamanda müşterilerin verilerini gizli tutmalarına yardımcı olmak için gelişmiş bir şifreleme paketini piyasaya sürmesi verilebilir. Bir avuç yeni güvenlik aracı arasında, mevcut uçtan uca şifreleme olanaklarını genişleten ve kullanıcılara iCloud hizmetinde depolanan verileri tamamen şifreleme seçeneği sunan bir özellik var.
Apple’ın şifrelemeyi ciddiye alması kimseyi şaşırtmamalı. Apple, teknoloji devinin sektördeki en güvenilir güvenlik önlemleri arasında yer alan güvenlik önlemleriyle uzun süredir tüketiciler için veri gizliliği standardını belirliyor. Apple’ın 2022 mali yılında Ar-Ge’ye yaptığı 26,25 milyar dolarlık rekor harcama, inovasyona olan sürekli bağlılığının bir başka kanıtı.
Ama değişen Apple’ın son kullanıcıya yaklaşımı. Apple, müşterilerin hassas verilerini kullanıcılara koruyan şifreleme anahtarlarının kontrolünü vererek kullanıcıyı sürücü koltuğuna oturtmuştur. Artık kullanıcılar, bir Apple veri ihlali durumunda bile verilerinin sorumluluğunu üstlenebilir.
Bu, şüphesiz düzenleyici baskılar, medya incelemeleri ve gelişen siber tehditlerle karşı karşıya kalan kuruluşların maruz kaldığı doğrudan finansal ve itibar kayıplarından kaynaklanan, veri gizliliği konusundaki zihniyetlerde büyük bir değişimi temsil ediyor.
Ancak bu, kurumsal veri güvenliği için ne anlama geliyor?
Apple’ın yaklaşımının normalleştirilmesi ve kuruluş genelinde bir standart olarak benimsenmesi için bir fırsat var. Bu yaklaşım, kaçınılmaz veri ihlallerine hazırlanmada çok önemlidir ve doğru araçlarla kuruluşlar, üçüncü bir tarafa güvenmeden şifreleme anahtarları üzerinde kontrol sahibi olabilir ve güvenlik altyapılarının kontrolünü elinde tutabilir.
Üçüncü taraflar: veri güvenliğine yönelik hızla büyüyen bir risk
Kuruluşlar ve tüketiciler, verilerinin güvenliğini sağlamak için tarihsel olarak aracılara güvenmiştir ve uyumluluk ve güvenlik düzeylerini yöneten düzenlemeler ve standartlar mevcuttur. Hiçbir yönetici, bir veri ihlalini soruşturan bir Kongre komitesinin önünde oturmak ve uyumluluk yükümlülüklerini yerine getirmediğini kabul etmek istemez. Yine de, üçüncü taraf ortamı değiştikçe ve API’ler tarafından bağlanan veri köprüleri, farklı üçüncü tarafları birbirine yaklaştırdıkça, verilerin güvenliğini sağlama sorumluluğu, taraflardan tarafa çeşitli şekillerde değişebilir. Güvenlik sorumluluğu nihai olarak verilerin sahiplerine aittir ve tam da bu nedenle kuruluşların verilerini koruyan anahtarlar üzerinde mutlak kontrole sahip olması gerekir.
Sahip oldukları verilerin değerini takdir eden kuruluşlar, ihlalleri yenmek için toplu şifreleme tekniklerine veya merkezi Kimlik Erişim Yönetimi (IAM) çözümlerine güvenmeyi göze alamazlar. Kuruluşlar verileri şifrelese bile, merkezi şifreleme anahtarı yönetimine güveniyorlarsa hırsızlığa karşı savunmasızdır. Kuruluşlar, kritik verilerini, diğer herkesin verileriyle birlikte merkezi, üçüncü taraflara ait bir kasada kilitlemekten vazgeçmelidir. Çevreyi korumanın, içindeki verileri korumanın yalnızca bir yönü olduğunu kabul eden firmalar, kasa içinde kendi güvenlik kasalarına da ihtiyaç duyar ve anahtara yalnızca kendilerinin erişmesi gerekir. Bu, kuruluşları verilerini kontrol etme ve kendilerini daha iyi koruma konusunda güçlendirecektir.
Bilgisayar korsanlığı ne zaman olduğu değil, ne sıklıkta olduğu sorusudur.
Bir yıl içinde kuruluşlara yönelik saldırıların %13 artmasıyla, dünya çapında fidye yazılımı ihlallerinde endişe verici bir artış oldu. Bu, kararlı siber suçluların mali kazanç için verilere erişmek, verileri çalmak ve nihayetinde sızdırmak için her şeyi yapacaklarını hatırlatır.
Artık bir örgütün saldırıya uğraması söz konusu değil. Sorun ne zaman olacağı bile değil; kuruluşların artık ne sıklıkta saldırıya uğrayacaklarını düşünmeleri gerekiyor. İhlal varsayma zihniyetini benimsemeyi başaramayan herhangi bir kuruluş, kendisini felakete hazırlıyor demektir.
Tehditleri IAM yoluyla dışarıda tutmaya odaklanan ve çevredeki kötü aktörlerden veri güvenliğini sağlamak için hiçbir şey yapılamayacağını düşünen kuruluşların geleneksel sorununa rağmen, kuruluşların şifreleme anahtarları üzerinde kontrolü ele geçirmemek için hiçbir mazereti yoktur. Şaşırtıcı olmayan bir şekilde, saldırıya uğrayan şirketler çevredeki verileri korumayı çok daha ciddiye alıyor.
Ancak Apple, tüketiciyi güçlendirmek için adımlar atarken, kurumsal dünya geride kalmaya devam ediyor. Çok az kuruluş, kendi şifrelemelerini yönetmelerini sağlayan Kendi Anahtarını Getir (BYOK) özelliklerinden yararlanıyor – bunun nedeni genellikle karmaşıklıktır. Anahtarları yönetmek basit bir iş değildir, sorunsuz olmaktan uzaktır ve hata yapmanın kalıcı veri kaybı da dahil olmak üzere önemli cezaları vardır. En son AWS güvenlik olayının da gösterdiği gibi, en gelişmiş varlıklar bile anahtar yönetimine takılıp kalabilir.
Çok faktörlü şifreleme
Kuruluşlar, verilerini kontrol etmek, anahtarlarını bağımsız olarak yönetmek ve artan güvenlik tehditleri karşısında savunmalarını güçlendirmek için yeni araçlara ihtiyaç duyar. Çok faktörlü şifrelemedeki en son gelişmeler, veri koruma için üçüncü taraflara ve IAM’ye olan güveni ortadan kaldırarak, kuruluşları kritik bilgilerini kendi başlarına güvence altına alma yetkisi vererek veri hırsızlığına karşı korur.
Geleneksel şifreleme, merkezileştirilmiş anahtarlara dayanır ve kullanıcı kimlik bilgilerine ve kimliklerine büyük ölçüde güvenerek, bir kullanıcının kimliği doğrulanır doğrulanmaz kuruluşları toplu veri hırsızlığına karşı savunmasız bırakır. Şifreleme, saldırganın ihlal ettiği merkezi erişim yönetim sisteminden bağımsız olarak oluşturulmadığı sürece tek başına anlamlı bir savunma düzeyi sağlamaz.
Çok faktörlü şifrelemede, bekleyen veriler AES-256 anahtarları kullanılarak şifrelenir. Her nesne için benzersiz bir anahtar oluşturulur ve ardından otomatik olarak parçalanır ve fiziksel cihazlar arasında dağıtılır, böylece merkezi saldırı noktaları ve merkezi arıza noktaları ortadan kaldırılır. Bu yaklaşımı kullanan kötü aktörler, erişemedikleri anahtarları gerektiren bir kasada olduklarını fark ederler.
Kullanıcılar için şifre çözme sorunsuzdur – bir dosyaya yalnızca birkaç tıklamayla, bir kullanıcı bir mobil cihazda bir bildirim istemini onaylayabilir ve kullanıcılara çeviklik ve esneklik sağlarken güvenliği sağlayan otomasyon sağlamak için kurumsal iş akışlarını eşleyecek politikalar tasarlanabilir. belgelerle sorunsuz çalışmak için. Bu, kuruluşların veri güvenliği için veri erişilebilirliğinden ödün verme şeklindeki yaygın tuzağa düşmeden şifrelemeleri üzerinde tam kontrol sahibi olmalarını sağlar.
Esnek devreye alma, kuruluşlara verilerini ortamlarına en uygun şekilde güvence altına alma özgürlüğü verir, kural tabanlı erişim kontrolleri başarısız olduğunda bile rakipsiz veri koruması sunar ve inovasyonu ve üretkenliği kolaylaştırır.
Merkezi olmayan çok faktörlü şifreleme, kurumsal verilerin korunma şeklini değiştirir ve kuruluşlara en hassas varlıkları üzerinde tam kontrol sağlayarak kendi veri güvenliklerinin sürücü koltuğuna geçer.
yazar hakkında
Dimitri Nemirovsky, Atakama’nın Kurucu Ortağı ve COO’sudur. Dimitri, Baruch College’dan BBA ve MBA derecelerine sahiptir ve JD derecesini Brooklyn Law School’dan almıştır. Dimitri, Atakama’yı kurmadan önce 15 yılını avukat olarak geçirdi ve en son Bingham McCutchen’de yüksek riskli konularda büyük finans kurumlarını temsil ettiği düzenleyici ve uygulama hukuku alanında çalıştı. Dimitri, kariyerine Merrill Lynch’te başladı.
Dimitri’ye LinkedIn üzerinden çevrimiçi olarak ve şirketimizin web sitesi https://www.atakama.com/ adresinden ulaşılabilir.