“İçerik Kraldır” atasözü özellikle eğlence endüstrisi için geçerlidir. Dünyanın dört bir yanındaki milyonlarca insan film, video akışı ve müzikal içeriği takip ediyor, bu dijital varlıkları inanılmaz derecede değerli hale getiriyor – ve bu muazzam değer siber suçlular tarafından fark edilmedi. Bir hacker grubunun, merakları karşılamadığı takdirde, talepleri karşılanmadığı takdirde materyali internette serbest bırakmakla tehdit eden bir fidye istediği ve bir fidye istediği 2017 gibi, 2017 gibi erken bir tarihte ortaya çıktı. Bu, tek bir siber güvenlik ihlalinin nasıl bir TV dizisine, film veya oyun sızıntısına yol açabileceğini gösteren çok sayıda örnekten sadece bir tanesidir.
Bu makale, kötü niyetli aktörlerin eğlence organizasyonlarına başarılı saldırılar yapmalarına izin veren zayıf noktaları tanımlamakta, siber esnekliği iyileştirmek için onları iyileştirmek için öneriler sunmakta ve medya varlıklarından öğrenebilecekleri güvenlik dersleri konusunda diğer endüstrilerden kuruluşlara tavsiyelerde bulunmaktadır.
Daha az düzenleme, daha vulneRahipler
Siber suçlular, finansal kazanç için yararlanabilecekleri değerli verilere çekilir. Sağlık ve finans gibi sektörler hassas verileri nedeniyle sıklıkla hedeflenirken, bu kuruluşlar oldukça düzenlenmiştir. Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) ve Sarbanes-Oxley Yasası (SOX) gibi katı uyum düzenlemeleri onları güçlü güvenlik kontrolleri uygulamaya veya ciddi cezalarla karşılaşmaya zorlar.
Buna karşılık, eğlence endüstrisinde düzenleme eksikliği, siber güvenliğin genellikle bir maliyet merkezi olarak görüldüğü ve bu nedenle koruma önlemlerinin tamamen daha zayıf veya eksik olabileceği anlamına gelir. Yine de, yukarıdaki örneklerin gösterdiği gibi veriler hala oldukça değerli olabilir. Bu değerli verilerin ve nispeten zayıf güvenlik duruşunun kombinasyonu, eğlence sektörünü siber suçlular için cazip bir hedef haline getiriyor.
Üçüncü PAR oyunubağlar
Eğlence endüstrisinin siber saldırılara karşı savunmasızlığına katkıda bulunan bir diğer önemli faktör, operasyonlarının büyük ölçeği ve karmaşıklığıdır. Özellikle, eğlence kuruluşları genellikle üçüncü taraf üretim şirketlerini, personel ajanslarını, halkla ilişkiler firmalarını ve daha fazlasını içeren geniş tedarik zincirlerine bağlıdır. Bu tür birbirine bağlı bir ekosistem, bir kuruluşun saldırı yüzeyini genişletir – yani eğlence organizasyonlarının sadece kendi güvenlik açıklarına değil, aynı zamanda ortaklarına ve tedarikçilerine de duyarlı olduğu anlamına gelir. Bu geniş ağın herhangi bir bölümünde bir güvenlik ihlali, tüm sistemi potansiyel olarak tehlikeye atabilir.
Buna ek olarak, böyle dağınık bir ortamda tutarlı ve etkili kullanıcı siber güvenlik eğitimi almak neredeyse imkansızdır. Üçüncü taraf hesaplar için yetersiz erişim kontrolleri ile birleştiğinde uygun eğitim eksikliği, 2020’de HBO ile olduğu gibi kazara bir sızıntıya yol açabilir. Popüler “Game of Thrones” şovundan bir bölüm, planlanan hava tarihinden birkaç gün önce HBO’nun bir Avrupa Bölümü tarafından yanlışlıkla çevrimiçi olarak yayınlandı. HBO sızdırılan içeriği kaldırabilse de, birçok hayran bölümü görmüş ve paylaşmıştı.
Sınıflandırma ihtiyacı Veri
Eğlence diğer endüstrilerden daha göz alıcı olarak algılanabilirken, saldırganlar tarafından yaygın olarak hedeflenen diğer endüstrilerle ortak bir konu paylaşıyor: çok miktarda hassas veri. Bu, A listesi ünlülerinden stajyerlere ve milyonlarca aboneye akış hizmetlerine ve fan kulüplerine kadar geniş birey yelpazesi hakkında kişisel bilgileri içerir.
Siber güvenlik ve siber esnekliği artırmanın ilk adımı, verileri sınıflandırmak ve etiketlemektir. Bilgileri hassasiyetine ve önemine göre sınıflandırarak, kuruluşlar güvenlik çabalarına öncelik verebilir ve kaynakları daha etkili bir şekilde tahsis edebilir. Bu işlem, hassas verilerin yalnızca yetkili personel için erişilebilir olmasını sağlamak için uygun erişim kontrollerinin uygulanmasını sağlar.
Bununla birlikte, verileri manuel olarak etiketleme, insan hatasına oldukça eğilimlidir ve eğlence endüstrisindeki kuruluşlar tarafından tutulan çok sayıda veri için ölçeklenemez. Tutarlı, doğru ve zamanında etiketleme sağlamak için kuruluşların otomatik veri keşfine ve sınıflandırmasına ihtiyaç duyarlar.
Erişim Kontrol Stratejileri
Bugün her dijital kuruluşun bir kimlik erişim yönetimi stratejisine ihtiyacı vardır. Bu strateji, her kullanıcının yalnızca iş işlevleri için gerekli kaynaklara erişebilmesini sağlamak için en az ayrıcalık ilkesini uygulamaya odaklanmalıdır. Süreç, mevcut verileri tanımlamak ve sınıflandırmak için kapsamlı bir denetim ile başlar. Bir Veri Erişim Yönetişimi (DAG) girişimi daha sonra erişimi kontrol ederek ve izleyerek hassas bilgilerin korunmasını sağlar. Şahsen tanımlanabilir bilgilerin (PII) kurumsal ağın dışında paylaşılmamasını sağlamak için bir veri kaybını önleme (DLP) sistemi de uygulanmalıdır.
En önemli zorluklardan biri, ayrıcalıklı hesapları yüksek izinlerle yönetmek ve izlemektir. Bunu ele almak için birçok kuruluş, ayrıcalıklı görevler için tam zamanında, yeterince erişimi sağlayan modern ayrıcalıklı bir erişim yönetimi (PAM) sistemi uygulamaktadır. Geçici hesaplar, görev tamamlandıktan sonra otomatik olarak kaldırılır ve güçlü kimlik bilgileriyle ilişkili risk penceresini önemli ölçüde azaltır.
Diğer kuruluşlar ilişki kurabilir
Çoğu kuruluş Hollywood’un cazibesinde bastıramasa da, onların BT ve güvenlik ekipleri aynı temel zorlukla karşı karşıyadır: değerli verileri güvence altına almak ve korumak. İster kırmızı halıyı yürüyor veya bir masanın arkasında çalışıyor olsun, siber güvenlik farkındalığına duyulan ihtiyaç evrenseldir, bu nedenle tüm sektörlerdeki kuruluşlar, kullanıcılarını ve paydaşlarını bu kritik çalışma konusunda eğitmeye öncelik vermelidir. Benzer şekilde, veri sınıflandırması, DAG, DLP ve PAM, herhangi bir kuruluşun güvenlik duruşunu geliştirmesine yardımcı olabilir ve böylece bu temel uygulamaların eğlence sektöründeki varlıklara yardımcı olduğu gibi, maliyetli finansal kayıplardan ve kalıcı itibar hasarından kaçınabilir. Sonuçta, kendinize dikkat çekmek istemediğiniz bazı şeyler var.
Yazar hakkında
Craig Riddell, kimlik ve erişim yönetimi konusunda uzmanlaşmış ödüllü bir bilgi güvenliği lideridir. Netwrix’teki Kuzey Amerika Field Ciso rolünde, ayrıcalıklı erişim yönetimi, sıfır ayakta durma ayrıcalığı ve sıfır güven güvenliği modeli de dahil olmak üzere kimlik çözümlerini modernleştirme konusundaki geniş uzmanlığını kullanıyor. Netwrix’e katılmadan önce Craig, HP ve Trend Micro’da liderlik rolleri aldı. Hem CISSP hem de Sertifikalı Etik Hacker sertifikalarına sahiptir. Craig’e çevrimiçi olarak LinkedIn ve www.netwrix.com adresinden ulaşılabilir.