Temmuz ayında, SolarWinds CISO’su Tim Brown ve CFO Bart Kalsu, Menkul Kıymetler ve Borsa Komisyonu’ndan, menkul kıymetler yasalarının ihlal edildiği iddiasıyla ilgili olası yaptırımlara ilişkin bildirimler aldı. Sorun, 30.000’den fazla kuruluş tarafından kullanılan bir ürün olan Orion ağ izleme yazılımının 2020 yılında Rusya tarafından hacklenmesine verdikleri yanıttan kaynaklanıyor.
Bu, organizasyonunu etkileyen kararlar konusunda bireysel incelemeye tabi tutulan bir bilgi güvenliği şefinin ilk yüksek profilli örneği değil.
Herkes hata yapar. Peki ya hatalarınız size onbinlerce dolar para cezasına mal olursa, hapis cezasıyla karşı karşıya kalırsanız veya milyonlarca başka insanın güvenliğini tehlikeye atarsa? Şirketler artık her zamankinden daha fazla kişisel veriye erişiyor ve bunları işliyor. Ve düzenleyiciler bunun getirdiği önemli sorumluluğu yeniden inceliyorlar.
İhmalden kasıtlı örtbas etmeye kadar uzanan, son yıllarda Uber ve TSB’yi içeren iki dava daha var.
Kamuyu Korumak
Mayıs 2023’te, eski Uber güvenlik şefi Joe Sullivan, araç paylaşımı devinde 2016 yılında yaşanan büyük veri ihlalini örtbas ettiği için üç yıl denetimli serbestlik cezasına çarptırıldı ve 50.000 dolar para cezasına çarptırıldı.
Sullivan, 2015 yılında Uber’in güvenlik şefi olarak göreve başladı. O dönemde şirket, yakın zamanda 50.000 tüketicinin kişisel bilgilerinin tehlikeye atıldığı ve FTC soruşturmasına yol açan 2014 tarihli bir veri ihlalini açıklamıştı. Kısa bir süre sonra Uber bir kez daha saldırıya uğradı. Bu kez bilgisayar korsanları doğrudan Sullivan ile temasa geçti. Yaklaşık 57 milyon kullanıcının verileri çalındı.
ABD Adalet Bakanlığı’nın (DOJ) suçlamaları kapsayan açıklamasına göre, “Sullivan, ihlale ilişkin herhangi bir bilginin FTC’ye ulaşmasını engellemek için bir plan yürüttü.” Hackerlara, hacklemeyi açıklamamayı kabul etmeleri karşılığında 100.000 dolar ödedi.
The Wall Street Journal’a göre, Sullivan’ın 2022’deki duruşmasının ardından bilgi güvenliği uzmanlarının benzer durumlarda sorumluluk konusunda endişelendiği bildirildi. AT&T Inc.’in eski güvenlik şefi Edward Amoroso, Journal’a birçok üst düzey güvenlik görevlisinin Sullivan’ın yanlış bir şey yapmadığına inandığını söyledi.
Savcılar başlangıçta 15 ay hapis cezası istiyordu. Sullivan’ın hapis cezasıyla karşı karşıya kalmamasının nedenlerinden biri de sektördeki meslektaşları, arkadaşları ve ailesi tarafından gönderilen çok sayıda destek mektubu ve bunun türünün ilk vakası olması.
Adalet Bakanlığı’nın basın açıklamasında ABD’li avukat Stephanie M. Hinds şunları söyledi: “Kullanıcıları korumaktan ziyade kendilerinin ve işverenlerinin itibarını korumakla ilgilenen şirket yöneticileri tarafından önemli bilgilerin halktan gizlenmesine tolerans göstermeyeceğiz. Bu tür bir davranışın, Federal yasaya göre dava açılacaktır.”
“Öngörülen Sorumluluklar”
Bu yılın nisan ayında, TSB Bank’ın eski bilişim sorumlusu Carlos Abarca, operasyonel dayanıklılıktaki başarısızlıklar nedeniyle 81.620 £ (103.900 ABD Doları) para cezasına çarptırıldı. Prudential Düzenleme Otoritesi’nin (PRA) soruşturması, Abarca’nın “TSB’nin PRA Dış Kaynak Kullanımı Kurallarına uymasını sağlamak için makul adımlar” atmayarak Kıdemli Yönetici Davranış Kuralı 2’yi ihlal ettiğini ortaya çıkardı.
Kısacası Abaraca, TSB’nin anlaştığı üçüncü taraf hizmet sağlayıcısının görevini yerine getirip getiremeyeceğinden kesinlikle emin değildi.
TSB, 2018 yılında kurumsal ve müşteri hizmetlerine yönelik verileri yeni bir BT platformuna taşıdı. Veri taşıma işlemi başarılı oldu. Ancak platform hemen teknik arızalar yaşadı.
Sonuç olarak TSB’nin bankacılık hizmetlerinin devamlılığı büyük ölçüde kesintiye uğradı. İlk sorun bankanın 5,2 milyon müşterisinin “önemli” bir bölümünü etkiledi. Birçoğu Aralık 2018’e kadar hala etkilerle uğraşıyordu.
PRA’nın ihtiyatlı düzenlemeden sorumlu vali yardımcısı ve icra kurulu başkanı Sam Woods, “Üst düzey yöneticilerin, firmaların dış kaynak kullanımını etkili bir şekilde yönetmesi ve denetlemesini sağlamada önemli bir rolü var” dedi.
Bank of England Kıdemli Yöneticiler Rejimi (SMR), “bankacılık kurumlarının, yetkili firmaların kilit karar vericilere net sorumluluklar tahsis etmesini sağlayarak daha fazla bireysel hesap verebilirlik sağlamaları için” 2016 yılında uygulamaya konuldu.
Bu düzenlemeler uyarınca firmalar, PRA Kural Kitabı’nda belirtilen “öngörülen sorumlulukları” üst düzey yöneticilere dağıtmalıdır: “SMR’nin özünde, şirketlerin yetenekli, ilkeli meslektaşlar tarafından yönetilmesi gerektiği ve yönetimle ilgili mutlak bir netliğin olduğu inancı yer alır. Üst düzey liderlik ekibinin sorumlulukları ve bir işletmenin liderleri, başarılarının yanı sıra başarısızlıklarından da sorumlu tutulur.”
BT’de Başarısızlıklar Kaçınılmazdır
Bu durumlarda, BT yöneticilerine küçük arızalar nedeniyle ceza verilmesi söz konusu değildir. Bu, müşterilerini, hissedarlarını ve daha geniş anlamda pazarı etkileyen başarısızlıklardan üst düzey yöneticileri sorumlu tutmakla ilgilidir.
Bu etki, CISO adaylarına daha fazla sorumluluğu telafi etmek için daha yüksek maaş talep etme olanağı sağlayacak mı? Peki bu onların daha fazla incelemeye açılmasını mı sağlar yoksa sorumluluklarını ciddiye aldıklarını mı gösterir?
Bu yıl San Francisco’da düzenlenen RSA Konferansında risk sermayesi şirketi Team8’in CISO’su Gadi Evron, Sullivan’ın duruşmasının ardından birçok CISO’nun “Bu mesleği bırakmalı mıyım?” diye düşündüğünü söyledi. ve “Neden yargılanan tek kişi CISO?”
Gadi’nin de yer aldığı konferans ve paneli kapsayan TechTarget, diğer şeylerin yanı sıra sorumluluk riskinizi azaltmak için kriz iletişimi tatbikatları düzenlemeyi öneriyor. Aynı zamanda CISO olarak rol sorumluluklarınızı tanımlamanın ve bilmenin, doğru terminolojiyi kullanmanın ve panik yapmamanın önemini de içerir.
Uygulama yoluyla hazırlık, herhangi bir sağlam iş sürekliliği ve olay müdahale planının omurgasıdır.