Hiç kimse bir veri ihlaline ve bunun yol açabileceği potansiyel hasara maruz kalmak istemez. Ne yazık ki, ihlalden dolayı mağduru suçlama ve davranışı buna göre değiştirme konusunda güçlü bir eğilim var. Bu nedenle tüketicilerin yüzde 83’ü, bir ihlal bildirildikten sonra bir şirketteki harcamalarını duraklatıyor veya sonlandırıyor.
Birleşik Krallık’taki en kötü şöhretli ihlallerden bazılarına dönüp baktığımızda, bunun şirket performansı üzerindeki etkisini görebiliriz. İster Dixons Carphone’un beş milyondan fazla ödeme detayı da dahil olmak üzere 14 milyon kişisel kaydı ifşa etmesi, ister Equifax’ın 15 milyon Birleşik Krallık müşteri kaydını sızdırarak 575 milyon dolar para cezasıyla sonuçlanması olsun, müşteriler ve müşterileri üzerinde kalıcı bir etkiye sahip olan bazı önemli veri ihlalleri örnekleri vardır. Söz konusu kuruluşla ilişkiler.
Ve bu asla durmuyor: Araştırmaya göre, Ekim 2023’te kamuya açıklanan 114 güvenlik olayı yaşandı ve bu olayda 867.072.315 kayıt ele geçirildi ve yılın toplamı 5 milyarın üzerine çıktı. Piyasadaki bu belirsizlik varken güveni ve şeffaflığı nasıl geliştirebiliriz? Hiç kimsenin aşılmaz olmadığı açıktır. Bu nedenle, bir satıcı veya iş ortağı ararken, bir güvenlik olayı meydana geldiğinde onların etkili ve şeffaf bir şekilde yanıt verme yeteneklerini incelemeliyiz. Bir şirketi bir ihlalden dolayı cezalandırmak, onları yalnızca ortaya çıkabilecek güvenlik sorunlarını gizlemeye teşvik eder; bunun yerine, en iyi uygulamaları oluşturmak için anlayışı ve bilgi paylaşımını teşvik etmeliyiz.
Suçlama kültüründen uzaklaşmak
Bireysel çalışanlar söz konusu olduğunda, kuruluşların giderek daha anlayışlı bir yaklaşım benimsediğini görüyoruz. Bir zamanlar bir kimlik avı bağlantısına tıklamak veya sahte bir e-postaya yanıt vermek, mağdurun kınanmasına yol açıyordu. Ancak günümüzün güvenlik profesyonelleri, kötü niyetli kimlik avı saldırılarının tamamen bir sayı oyunu olduğunu anlama eğilimindedir: Kötü aktörler ağlarını yeterince geniş bir alana atarsa, eninde sonunda birileri buna kanacaktır. Kullanılan yöntemler daha incelikli ve inandırıcı hale geldikçe, risk ortamımızda insana duyulan güvenin ve insan hatasının bu kadar büyük bir rol oynadığını kabul etmek adil olur.
Bunun alternatifi ise, eğer mağdurlar ceza veya misilleme korkusu yaşarsa, tehlikeli bir bağlantıya tıklamayı kabul etme ihtimalleri çok daha düşük olur ve olayı örtbas etmek için büyük çaba gösterebilirler. Oysa empati ve anlayış kültüründe aynı çalışan, olayları memnuniyetle kendisi bildirir, hata yaptığını kabul eder ve deneyimlerinden ders alır.
Bu önemlidir çünkü bir olayı işaretlemek için gereken süre ve yaratabileceği genel etki önemli ölçüde farklılık gösterebilir. Temel olarak, bir ihlal ne kadar erken kabul edilirse, o kadar az hasar meydana gelir. IBM, bu yılın başlarında erken tespitin bir ihlalin neden olduğu hasarı sınırlamada en kritik faktörlerden biri olduğunu gösteren bir araştırma yayınladı.
Güven ve Anlayışı Yerleştirmek
Pek çok kuruluş, güven ve şeffaflık politikasını destekleme konusunda bireysel düzeyde başarı elde etti ancak ortaklara, satıcılara ve diğer üçüncü taraflara her zaman aynı yaklaşımı yansıtmıyorlar. İhlaller, ticari açıdan makul önlemler almış olsalar bile her kuruluşun başına gelebilir; bu nedenle, normalde güvenilir bir ortaktan bir ihlal nedeniyle kurtulmak, ileride daha fazla baş ağrısına neden olabilir. Tek seferlik bir saldırıya maruz kalan bir şirket ile düzenli olarak riskli veya ihmalkar davranışlarda bulunan bir şirket arasındaki ayrımın kabul edilmesi de hayati önem taşımaktadır.
Uyumluluk çerçeveleri ve güvenlik kriterleri, herhangi bir üçüncü tarafın hazırlıklılığının değerlendirilmesinde oynayacak bir role sahiptir. Ayrıca bir ihlal meydana gelirse, ne olduğunu ve bunun mümkün olan en kısa sürede nasıl ele alındığını bilmek de çok önemlidir. Güvenlik olaylarımız hakkında nasıl iletişim kurmayı seçtiğimiz, bize ne kadar güvenilebileceği konusunda çok şey söylüyor. Çalışanlarımızın siber tehditleri kendilerinin bildirmelerini beklediğimiz gibi, iş ortaklarımızın da karşılaştıkları zorluklar konusunda şeffaf olmalarını beklemeliyiz; bu da onların güvenlik kapasitelerini değerlendirmemizi kolaylaştıracaktır.
Saldırı taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında ne kadar çok veriye sahip olursak, bunlara karşı korunma şansımız o kadar artar. Ortaklarımızı bir siber saldırının kurbanı oldukları için cezalandırmak yerine, uzun vadede daha iyi bir sonuç elde etmek için onları daha açık, şeffaf ve dürüst olmaya teşvik etmeliyiz.
Güvenli bir gelecek için çalışıyoruz
Güvenlik ihlallerine karşı daha empatik bir duruş sergilemek, kuruluşların temel sorumluluklarını ihmal etmesi gerektiği anlamına gelmiyor. Tam tersine, işletmelerin iş ortaklarının ve satıcılarının uyumluluk durumunu sürekli olarak değerlendirmesi gerekir. Sürekli uyumluluğun gösterilmesi ve olumlu güvenlik raporları ve kanıtlarının üretilmesi, kuruluşların verilerini dikkatli bir şekilde kullandığının doğrulanması açısından hayati önem taşımaya devam edecektir.
Ancak, kapsamlı çabalara rağmen titizlikle yönetilen bir kuruluş bile bir ihlalin kurbanı olabilir. Mağduru suçlama eğiliminden uzaklaşmak zorunludur. Bunun yerine, iyi niyetli çalışanlarımıza gösterdiğimiz anlayışı birbirimize de yansıtmalıyız. Mükemmelliğin ulaşılamaz olduğunun kabul edilmesi, dürüstlük ve şeffaflık kültürünün geliştirilmesi sonuçta uzun vadede herkese fayda sağlayacaktır.
