Her yıl Ocak ayının sonunda, internet kullanıcıları, verilerini nasıl koruyacakları ve çevrimiçi gizliliklerini nasıl geri alacakları konusunda tavsiyelerle boğuluyor. Veri Gizliliği Günü olarak başlayan şey, artık internete olan artan bağımlılığımıza ayak uydurmak ve tehlikeli çevrimiçi gizlilik sularında gezinmemize yardımcı olmak için bir Haftaya dönüştü.
Dünyanın dört bir yanındaki birçok kuruluş, o hafta boyunca çevrimiçi gizliliğin önemi hakkında farkındalık yaratmak için çaba harcıyor. Ulusal Siber Güvenlik İttifakı (NCA) – Amacı, tüketicilerin ve işletmelerin kendilerini korumak için atabilecekleri basit adımları daha iyi anlamalarına yardımcı olmak için karmaşık güvenlik konularının gizemini çözmek olan, kar amacı gütmeyen bir kuruluş.
Ancak İcra Direktörü Lisa Plaggemier’in Help Net Security’ye söylediği gibi, NCA’nın çabaları Ocak ayında sona ermedi.
[The answers have been edited and condensed for clarity.]
Tüketiciler ve işletmeler NCA’dan ne “alır”?
Siber uzayda her gün çok sıkı çalışan siber güvenlik uzmanları ile teknolojiyi (bazıları çok istilacı) dünyayı hiç umursamadan, sadece on yıldır hayal bile edemeyeceğimiz şekillerde kullanan genel halk arasında büyük bir iletişim boşluğu var. evvel. Bizim işimiz bu iletişim açığını kapatmak, tercüme etmek, eğitmek ve davranış değişikliğine ilham vermek.
Kamu, küçük ve orta ölçekli işletmeler (KOBİ’ler) için pek çok yararlı, ücretsiz bilgi ve eğitim ve farkındalık yöneticilerinin büyük bir kuruluşta, akademide, devlette veya bir KOBİ’de programlarını beslemek için kullanabilecekleri materyaller sağlıyoruz. .
NCA’nın faaliyetleri ve planları, hizmet ettiğiniz kitle tarafından ifade edilen gerçek ihtiyaçlardan ne kadar haberdar? Bu özel bilgileri toplamak için mekanizmalarınız var mı?
İnsanlara istediklerinin çoğunu, istemediklerinin daha azını vermeye çalışıyoruz. Neyin işe yaradığına, nelerin iyi katılım gösterdiğine ve iyi katılım sağladığına bakarız ve daha fazlasını yaparız. Örneğin, en çok katılım sağlanan web seminerlerimizden bazıları ailelere, özellikle de çocuklarının çevrimiçi ortamda güvende kalmasına yardımcı olan ebeveynlere yönelik bilgiler içeren seminerlerdir, bu nedenle bu tür konuların düzenli bir akışını sağladığımızdan emin oluruz.
Eğitim ve farkındalık yöneticilerini tanıyorsanız, onların bir vokal grubu olduğunu bilirsiniz. Web sitemizdeki “Bize Ulaşın” formu aracılığıyla sosyal medyadaki insanlardan birçok fikir ve girdi alıyoruz ve bize şu adresten ulaşıyoruz: [email protected]. Bunu memnuniyetle karşılıyoruz ve hepsini haftalık olarak bir ekip olarak gözden geçiriyoruz.
Planlamamızı şekillendirmek için güncel olaylarla (örneğin, siber güvenlikle ilgili yeni federal düzenlemeler, tüketicileri ve kuruluşları hedef alan saldırıların sıklığı ve türleri, vb.) birleştiğinde, şu anda tüketicilerin ve işletmelerin karşılaştığı güvenlik zorluklarını ve endişelerini anlamaya öncelik veriyoruz.
Ayrıca tüketicilerden ve işletmelerden bilgi toplamak için anketler, odak grupları barındırma ve sosyal kanallarımızda geri bildirim ve katılım talep etme gibi çeşitli mekanizmalara sahibiz. Ayrıca, alandaki en son trendler ve ele almamız gereken zorluklar hakkında bilgi sahibi olmak için özel sektördeki (örneğin, yönetim kurulu üyelerimiz) ve kamu sektöründeki (örneğin, devlet kurumları, sektör liderleri ve tüketici savunuculuk grupları) kuruluşlarla ortaklık yapıyoruz.
Yeni şeyler denemekten de korkmuyoruz. Birkaç yıl önce, en kötü COVID’in sonuna doğru, Siber Güvenlik Farkındalık Ayı olan Ekim ayının sonunda (“Süper Kupamız”) eğitim ve farkındalık yöneticileri arasında biraz yorgunluk hissettik. Bu nedenle, sanal bir “parıltı sonrası” parti düzenlemeye karar verdik ve CISA Direktörü Jen Easterly’den konuşmasını istedik. Askerlerin bu kampanyanın sonunda gerçekten bir teşekküre ihtiyacı var. Herkese emekleri, sohbetleri, oyunları ve ödülleri için teşekkür ederiz. Sanal ve çok gayri resmi ve insanlar yapabildikleri zaman “gelip geliyorlar”. Sanırım bizim için yıllık bir gelenek haline gelecek.
Bu Veri Gizliliği Haftası için başlattığınız gibi bir kampanyanın başarısını nasıl ölçersiniz? Bu standartlara göre, geçmişte hangi NCA kampanyaları özellikle başarılı oldu ve neden?
Etkileşim için herkese uyan tek bir ölçüm metriği olmasa da, genellikle kullandığımız birkaç yönerge vardır. Birincisi, tüketiciler, işletmeler ve ortaklık yaptığımız diğer kar amacı gütmeyen kuruluşlar dahil olmak üzere paydaşlarımızın katılım ve katılım düzeylerini takip etmektir. Barındırılan etkinliklerin ve etkinliklerin (örneğin, web seminerleri, panel tartışmaları, vb.) sayısına ve bunlara ne kadar katılım sağlandığına ve ayrıca kampanyanın erişim ve etkisinin göstergesi olarak medya/sosyal medyadan söz edildiğine bakarız.
Ayrıca başarıyı, her kampanyanın başında belirlediğimiz amaç ve hedeflere ne ölçüde ulaştığımızla da ölçüyoruz. Bu soyut bir ölçüdür, ancak Veri Gizliliği Haftası için misyonumuz, kişisel bilgileri korumanın ve şirketlerin tüketici verilerini nasıl topladıkları, sakladıkları ve kullandıklarına ilişkin şeffaflığı savunmanın önemi konusunda bireyleri ve kuruluşları bilinçlendirmek ve eğitmektir. Zaman içinde bu adımları atan bireylerin sayısında veya gizlilik uygulamalarını yeniden düzenleyen kuruluşların sayısında bir artış görürsek, bu kampanyaları başarılı sayabiliriz.
Bu yıl 2.100’den fazla kuruluş ve birey, kaynaklarımızı “Şampiyonlar” olarak almak ve kullanmak için kaydoldu. Bu kayıtlar arasında, etkinliklerimize katılan kişi sayısı ve sosyal medyadaki katılımcı sayısında, katılan katılımcı sayısında tutarlı bir artış görüyoruz. Veri Gizliliği Haftası ve diğer kampanyalar uluslararası alanda da büyümeye devam ediyor. Örneğin, Ekim 2022’deki Siber Güvenlik Farkındalık Ayı sırasında kayıtlı Şampiyonlarımız bir önceki yıla göre %90 büyüdü ve 129 farklı ülkeden ve elli eyaletin tamamından katılan şirketlerimiz oldu.
NCA şu anda küçük ve orta ölçekli işletme sahiplerini ve çalışanlarını eğitmek için ağırlıklı olarak davranış değişikliği yaratmaya ve ölçmeye odaklanacak bir program başlatma üzerinde çalışıyor. Program, sanal bir sınıfta uygulamalı etkinliklerle eğitmen liderliğindeki sınıflardan oluşacaktır. Net sonraki adımlara ve “ev ödevine” odaklanan katılımcılar, öğrendiklerini işlerine geri getirmek için ihtiyaç duydukları şeye sahip olacaklar. Bu KOBİ’lerin gerçekleştirdiği eylemleri takip etmek ve ölçmek için bunu tutarlı bir damlama kampanyasıyla katmanlandırın ve yalnızca erişim metriklerine değil, aynı zamanda etki metriklerine de sahip olacağız.
Uzun vadede, bu kampanyaların başarısı, kalıcı bir etki ve etki değişikliği yaratma yetenekleriyle belirlenir. Teknolojiyi nasıl kullandığımız ve ürün ve hizmetleri nasıl tasarladığımız konusunda siber güvenliği ve veri gizliliğini içgüdüsel bir refleks haline getirebilirsek, bu başarıdır.
O hafta boyunca düzenlediğiniz Twitter #PrivacyChat’e kaç katılımcı katıldı? Onlardan ne öğrendin? Dinleyicilerden ve katılımcılardan ne tür geri bildirimler aldınız?
Bu yılki #PrivacyChat sırasında toplam 114 aktif katılımcımız oldu ve 320’den fazla gönderi ve yaklaşık 5 milyon gösterim elde ettik. #PrivacyChat, kuruluşlara tavsiyelerini ve ücretsiz kaynaklarını paylaşma fırsatı sunar. Katılımcıların, web’de kendilerine sunulan çok sayıda kaynak karşısında şaşırdıklarını görüyoruz.
Nadiren konuşulan veya son zamanlarda ortaya çıkmaya başlayan veri gizliliği sorunları nelerdir?
Dürüst olmak gerekirse, herhangi bir gizlilik sorunu hakkında yeterince konuşmadığımızı düşünüyorum. Her yerde bulunabilen teknolojiler hâlâ gizlilik yasalarını aşabilir ve tüketiciler, verilerini güvende tutmak için yeterli eğitim kaynaklarından hâlâ yoksundur.
Yüz tanıma ve diğer biyometri hassas bilgileri toplamaya devam ediyor, IoT cihazları evlerde, hastanelerde ve işletmelerde her zamankinden daha yaygın ve daha fazla bağlantı her zamankinden daha fazla kişisel veri üretiyor ve iletiyor ve yapay zeka sürekli olarak arama alışkanlıklarımızı, satın alma davranışlarımızı öğreniyor , içerik tüketimi ve daha fazlası.
Metaverse gibi sanal ortamlarda veya çevrimiçi oyun ortamlarında çocukların mahremiyetini ele alma şeklimiz hakkında daha da az konuşuluyor (gerçi bu durum şimdiden değişmeye başlıyor). Yalnızca son birkaç ayda, Fortnite geliştiricisi Epic Games, Çocukların Çevrimiçi Gizliliğini Koruma Yasasını (COPPA) ihlal ettiği için FTC tarafından 275 milyon dolar para cezasına çarptırıldı ve Walmart, Roblox’ta çocuklara aldatıcı bir şekilde pazarlama ve reklam yaptığı için tüketici hakları grupları tarafından görevden alındı.
Veri koruma/gizlilik mevzuatı dünya çapında istikrarlı bir hızla geçiriliyor, giderek artan bir şekilde şirketleri bağlayıcı hale geliyor ve tüketicileri koruyor (en azından teoride). Ancak mevzuat, yalnızca devletlerin onu uygulama ve ona ters düşen varlıkları anlamlı bir şekilde cezalandırma becerisi kadar iyidir. Sizce bu pratikte ne kadar işe yarıyor?
Gizlilik mevzuatının çıkarılması doğru yönde atılmış bir adım olsa da, hem tüketicilerin hem de işletmelerin korunmasını sağlamak için bu politikaların etkili bir şekilde uygulanması çok önemlidir. Gizlilik yasalarının genel olarak uygulanmasını iyileştirmek için eyalet ve federal kurumlar arasında daha iyi bir koordinasyona ve bunları ihlal eden şirketlere daha fazla uyum teşviki sağlamak için daha güçlü cezalara ihtiyacımız var.
ABD gizlilik yasalarının uygulanmasındaki tutarsızlıklara katkıda bulunan birkaç faktör olduğunu düşünüyorum:
1. Federal – Eyalet: ABD gizlilik yasaları esasen eyalet düzeyinde düzenlendiğinden, her eyaletin kendi düzenlemeleri olabilir ve bu da şirketlerin eyaletler arasında gezinmesini ve bunlara uymasını zorlaştıran farklı yasalardan oluşan bir yamalı yapı oluşturur.
2. Farklı öncelikler: Çevrimiçi gizlilik söz konusu olduğunda her eyaletin farklı öncelikleri olabilir. Örneğin, bazıları tüketici finansal bilgilerini korumaya odaklanırken diğerleri çocukların mahremiyetini korumaya öncelik verebilir. Yine, kuruluşların ilgili yasalara ne kadar iyi uyduğunu nihai olarak etkileyen bir tekdüzelik eksikliği var.
3. Teknoloji hızla gelişiyor: Gelişmekte olan teknolojilerin hızının, söz konusu yasaların geliştirilmesini ve uyarlanmasını geride bıraktığını düşünüyorum. Eyaletler IoT’yi hala kullanıcı gizliliğini etkileyen “son teknoloji” teknoloji olarak görüyorsa, ancak henüz çevrimiçi oyunların ve Metaverse’nin karmaşıklıklarını araştırmadıysa, o zaman insanların teknolojiye erişme biçimine ilişkin düzenlemeler esasen geride kalıyor.
4. Siyaset: Gizlilik genellikle politik olarak hassas bir konu olabilir. Farklı siyasi eğilimler, eyalet hükümetlerinin mahremiyet mevzuatına yaklaşımını ve hatta başlangıçta buna öncelik verme şeklini etkileyebilir.
Misyonumuzun bir parçası da, günümüzün çevrimiçi gizliliğini etkileyen en son trendler ve teknolojiler hakkında Hill’deki kanun koyucuları eğitmektir. İhtiyaç duydukları bilgi ve kaynaklarla yetkilendirilmelerini sağlamak, hem tüketicileri hem de işletmeleri benzer şekilde yeterince koruyabilecek etkili veri gizliliği düzenlemesini ilerletmenin anahtarıdır.
Öte yandan, tüketicilerin dijital gizlilik haklarının farkında olmaları ve gizliliklerini daha kolay anlamalarına ve savunmalarına yardımcı olan kaynaklara erişimlerinin olması da önemlidir. Aslında, geçen yılki kendi verilerimiz Ey Davran! Rapor Ankete katılanların yaklaşık yarısının kişisel verilerini koruma sürecinde hayal kırıklığına uğradığını ve üçte birinden fazlasının kişisel verilerini güvende ve gizli tutmalarına yardımcı olacak bilgileri nasıl bulacakları konusunda kafalarının karıştığını tespit etti. İnsanlar güvenlik ve gizlilikte kolaylıkla gezinmelerine yardımcı olacak kanalları etkili bir şekilde bulamazlarsa, bu, ele alınması gereken büyük bir sorundur.