Dünya Ekonomik Forumu’nun Küresel Riskler Raporu 2024’te öngörüldüğü üzere önümüzdeki iki yıl için siber güvensizliğin yanı sıra yanlış bilgi ve dezenformasyon sırasıyla en önemli ve dördüncü riskler olurken, fidye yazılımları, veri ihlalleri ve dolandırıcılık da azalmaya devam ediyor.
Üretken yapay zeka (genAI) ve Nesnelerin İnterneti (IoT) bağlantısı sayesinde bulut ve yapay zekanın giderek daha fazla benimsenmesiyle saldırı yüzeyi her zamankinden daha karmaşık hale geliyor. Bilgisayar korsanları, yatırım getirilerini artırmak için halihazırda ortak yazılım ve hizmetlere saldırıyor.
Ek olarak, artan jeopolitik gerilimlerin ortasında tüm şehir ağları, acil durum ağları, su arıtma tesisleri ve enerji tesisleri ihlal edildiğinden kritik altyapılar hedef alınmaya devam ediyor. Bilgisayar korsanları, mesajlaşma platformları aracılığıyla yöneticilerden yararlanıyor ve dezenformasyon amacıyla işletmelerin sosyal medya hesaplarını hedef alıyor.
Çokuluslu şirketler, en azından bilgisayar korsanlarıyla aynı oyun alanını eşitlemek için çaba gösterecek kaynaklara sahipken, küçük ve orta ölçekli işletmeler ve bireyler, kaynakların ve uzmanlığın kıt olduğu ve her ekonomik krizde yapılan bütçe ve insan gücü kesintileriyle mücadele ediyor.
Siber güvenlik uçurumu, değişken tehdit ortamıyla birlikte daha da genişleyeceğinin sinyallerini verirken, 2024 yılı hem KOBİ’ler hem de bireyler için bu uçurumun kapatılacağı bir yıl olacak. Bunun aşağıdaki alanlardaki düzenleyiciler, işletmeler ve teknoloji sağlayıcılardan oluşan ekosistemde şekilleneceğini tahmin ediyorum. (Feragatname: Bu yazıda ifade edilen görüşler bana aittir ve mutlaka kuruluşlarımın görüşleri değildir 🙂
DÜZENLEYİCİLER: Düzenleyici gücün ve yaptırımın kapsamının genişletilmesi
1. İleriye doğru savunmak daha fazla çekiş gücü görecektir. Düzenleyici kurumlar, fidye yazılımı çetelerinin, botnet’lerin, dolandırıcılık çağrı merkezlerinin ve dezenformasyon sitelerinin ortadan kaldırılması operasyonlarının uygulanmasını sağlamak için daha fazla çaba gösterecek. Düzenleyiciler ayrıca ulusal internet yapılarını korumak ve makineleri virüs bulaşmaya veya kontrol edilmeye karşı korumak için internet servis sağlayıcılarıyla yaptırım uygulama konusunu da değerlendirecek. Hem yapay zeka zararları hem de kuantum riskleri, büyük teknolojiden destek alırken halkı korumak için yakından izlendikleri için hedef tahtasında olacak. Yapay zeka düzenlemeleri, dezenformasyon ve derin sahtekarlıkların seçim sonuçları üzerindeki potansiyel etkisine tepki olarak değişebilir.
2. CII’ler ve sektörlerin yeniden sınıflandırılması üzerinde artan gözetim. Siber olayların zorunlu olarak raporlanması düzenleyici çerçevelerde daha yaygın olacaktır. Kritik altyapı bilgileri (CII’ler) ve destekleyici ekosistemler, dijital güven, siber dayanıklılık ve siber güvenlik olgunluğu daha fazla incelemeye tabi tutulacak. CII’lerin bağımlı olduğu CII olmayan sektörlerin sayısı arttıkça, daha önce CII sektörü olarak sınıflandırılmamış sanayi sektörlerinin incelenmesi dikkate alınacaktır. SBOM ve HBOM gözetimi, tedarik zinciri riskini yönetmek için kilit bir odak alanı olacaktır.
3. KOBİ’lerin daha fazla destek ve rehberlik ile mali yardımla desteklenmesi. Siber güvenlik yetkilileri, KOBİ’lere yönelik rehberlik ve destek miktarını artıracak ve öz değerlendirme araç setleri de dahil olmak üzere ücretsiz veya sübvansiyonlu kaynaklar sağlayacak. İyi performans gösteren KOBİ’ler kamu derecelendirmelerinde tanınacaktır.
4. Yaygın olarak kullanılan altyapı ve hizmetler üzerinde daha fazla düzenleyici etki. Satıcıların ve hizmet sağlayıcıların, tasarım gereği güvenliğin ötesinde, varsayılan olarak güvenliğe ve dağıtıma (yani profesyonel hizmetler) daha fazla odaklanması talep edilecektir. Bu CSP’leri, OEM’leri ve OSS’yi kapsayacaktır. Daha fazla düzenleme, yazılım satıcılarının SBOM/HBOM’larını beyan etmelerini gerektirecek ve MSSP’lere yönelik lisanslama planları genişleyecektir. Yazılım/donanım, daha güvenli ürünleri daha az güvenli olanlardan ayırmak için daha fazla kategorize edilebilir.
ŞİRKETLER: Yönetim Kurulu ve CISO’nun sorumlulukları ve sorumlulukları gözden geçirilecek
1. Yönetim Kurulu ve CISO’nun sorumluluğu/sorumluluğu netleştirildi. Yönetim kurulunun hesap verebilirliğine ve siber güvenliğe verilen önem, revize edilmiş SEC kuralları aracılığıyla giderek daha fazla vurgulanıyor ve detaylandırılıyor. Dayanıklılık ve üçüncü taraf riskleri üzerindeki incelemeler daha fazla kamuya duyurulan ihlallerle birlikte arttıkça, kurullar da risk/güvenlik ölçümlerinin bağımsız güvencesini ve görünürlüğünü talep edecek. Sadece sorumluluğun ötesinde siber güvenlik sorumluluğu verilen CISO’ya, siber kararlar alma konusunda giderek daha fazla yetki talep edilecektir.
2. CISO sorumluluğu, sigorta ve sendikalaşma odak noktası oluşturur. Uber ve SolarWinds vakaları CISO’nun sorumluluğu sorusunu tetikledi. İşler kötü gittiğinde, CISO’nun durum tespiti sorgulanır hale gelir. CISO’lar daha iyi ücret ve/veya iş güvenliği sigortası talep edecek. Dahası, yapısal çatışma ve güvenlik tiyatrolarına yakalanan CISO’lar, kötü haberciliği küçümseme konusunda ikinci kez düşünecek. CISO’lar ayrıca güç, destek, içgörü ve istihbarat kaynağı olarak CISO ağlarına güvenecek meslektaşlarını giderek daha fazla arayacaklar.
3. İşletmeyi daha iyi güvence altına almak. Bilgisayar korsanları kuruluşun daha zayıf giriş noktalarından yararlandıkça CISO’lar denetimi yalnızca satıcı ortamlarına değil aynı zamanda geliştirme/test ortamlarına da genişletecek. Dayanıklılığın güçlendirilmesi, giderek tüm kurumsal güvenlik stratejisinin temel bir parçası haline gelecektir.
3.1 Kraliyet mücevherlerini destekleyen ortamların TVRA’sına yönelik inceleme ve gözetim artırılacaktır. Bu kapsam CSP’leri, OEM’leri, OSS’yi ve sosyal medya platformlarını kapsamaktadır. Daha önce planlanan bulut güvenliği geliştirmeleri uygulanacaktır.
3.2 Üçüncü taraf riskinin yönetimi, özellikle fidye yazılımı göstergeleriyle işaretlenen KEV’ler üzerinde daha sıkı iyileştirme zaman çizelgesi, kırmızı/mor ekip çalışmaları ile rekabet simülasyonu ve TTX’lerin tedarikçilere genişletilmesi daha fazla ilgi ve gözetim görecektir.
3.3 İhale sırasında ve devam eden izleme aşamalarında üçüncü taraf gerekliliklerinin daha fazla uygulanması sağlanacaktır. Tedarik zinciri ihlalleri riski arttıkça, halihazırda dışarıdan sağlanan kaynakların içeriden geri alınması düşünülebilir.
3.4 IAM, MFA yorgunluk saldırılarına karşı güçlendirilecektir. Daha fazla işletmenin ihlal varsayımını yaklaşımlarının bir parçası haline getirmesiyle sıfır güven zihniyeti daha yaygın hale gelecektir. Parolasız kimlik doğrulama daha fazla benimsenecektir.
3.5 BT’nin ötesinde OT için siber güvenlik olgunluğunun yükseltilmesi de daha yaygın olacaktır. Daha fazla siber sigortacı özel olgunluk değerlendirmeleri kullandıkça, raporların sigorta şirketleri ve kuruluşlar arasında taşınmasına olanak sağlamak için uyumlaştırma ve standardizasyon konusunda tartışmalar olacaktır.
3.6 CISO’ların, rakip yapay zeka taktiklerine karşı koymak ve veri ve yapay zeka yönetişim ekipleriyle sinerjiyi teşvik etmek için kontrolleri birleştirmesi gerekecektir. Gelecekteki şifrelenmiş veriler ve iletimler için simetrik alanda kuantum dirençli kriptografinin sağlanmasına yönelik kontroller de, henüz yapılmadıysa uygulamaya konulacaktır.
3.7 Sürekli gelişen tehdit ortamına yanıt, daha fazla uyum sağlama ve çeviklik gerektirecektir. Politikalar, standartlar, prosedürler, risk kayıtları, OKR’ler, KRA’lar ve KRI’ler daha sık güncellenecektir. Personel alımı da daha çevik bir yaklaşım benimseyecektir.
TEKNOLOJİ SAĞLAYICILARI: Gelişen teknolojiyi ve gelişen güvenlik teknolojisini güvence altına almak
1. Siber güvenlik için yapay zekadan faydalanma artıyor. Teknoloji sağlayıcıları, zaten yoğun olan ilgiden yararlanarak, üretken yapay zekayı siber güvenlik ürün ve hizmetlerine entegre etme hızlarını artıracak. AI, rakip simülasyonlarda ve deepfake, kimlik avı/kimlik avı saldırıları vb.’ye karşı alınacak önlemlerde kullanılacaktır.
2. Kuantum dirençli kriptografi tartışmaları ciddileşiyor. Satıcılar, PQC için NIST adaylarını yakından izlemeye devam edecek ve iletişimi güvenli hale getirmek için QKD’ye olan ilgi arttıkça, altyapı/uygulama şifreleme standartlarının belirlenmesinde ilk adımların, rekabet avantajı isteyen satıcılar için önemli bir etken olacağını öne sürmek.
3. Yapay zeka ve kuantum arasındaki olası sinerjilerin araştırılması. Büyük güvenlik verilerinin son derece karmaşık saldırıları tespit etmek için gelişmiş analizler gerektirmesi nedeniyle yapay zeka ve kuantumun MLOps’ta QML biçiminde entegrasyonu da ilgi çekici olacaktır.
4. Düzenleyici alanın yakından izlenmesi. Düzenleyiciler teknoloji sağlayıcıları üzerindeki gözetimlerini sıkılaştırdıkça satıcılar, varsayılan olarak güvenlik ayarlarıyla donatılmış ve tüketiciler için dağıtıma göre güvenlik kılavuzuyla belgelenen, tasarım gereği güvenlik hattı aracılığıyla daha sıkı bir teknoloji geliştirme süreci üstlenme çabalarını artıracak. Deepfake ve dezenformasyona karşı koruma sağlayan teknolojiler özellikle seçim kampanyası dönemleri öncesinde aranacak.
Özetle 2024, tüm bu girişimleri ve etkenleri yakından takip etmek için ilginç bir yıl olacak ve umarım düzenleyiciler, işletmeler, teknoloji sağlayıcıları ve bireylerden oluşan topluluğumuz, savunucular ve saldırganlar arasındaki mücadele devam ederken savaş alanını eşitleyebilir. -uçucu ve karmaşık ortam.
Steven Sim Kok Leong, ISACA Bilgi Güvenliği Danışma Grubu üyesi ve OT-ISAC İcra Komitesi başkanıdır.