YORUM
Dünyamız giderek dijitalleştikçe kötü niyetli aktörlerin saldırı gerçekleştirme fırsatları da artıyor. Veri ihlalleri ve fidye yazılımları artıyor ve dijital savunmamızı güçlendirme aciliyeti hiç bu kadar büyük olmamıştı. İle Her 39 saniyede bir gerçekleşen bir siber saldırıGelişmiş siber güvenlik önlemlerine kritik ve acil bir ihtiyaç var.
Siber saldırılar, mali ve itibara zarar vermenin yanı sıra, fiziksel dünyamızı olumsuz yönde etkileme olasılığını da taşıyor. Biz 2021’de bunun olduğunu gördüm zaman fidye yazılımı saldırısı Colonial Pipeline’ı kapattıDoğu Yakası’nda benzin, jet yakıtı ve ev ısıtma yakıtı kıtlığına neden oldu ve bu da daha sonra tüketicilerin panik satın almasına ve gaz fiyatlarında artışa yol açtı.
Tehdit ortamı hızla genişliyor ve şirketlerin verilerinden ülkemizin kritik altyapısına kadar her şey risk altında. Yapay zeka, siber suçluların daha büyük ölçekte daha karmaşık saldırılar gerçekleştirmesine olanak tanıyor. Bu arada, hem federal hem de eyalet düzenleyicileri, siber güvenlik söz konusu olduğunda kuruluşları sorumlu tutmayı amaçlayan yeni kurallar ve zorunluluklar getirdi ve bunlara uyulması gereken son tarihler hızla yaklaşıyor.
Aşağıda bu yeni gereksinimlerden ikisini ve kuruluşların bunlara nasıl hazırlanabileceğini inceleyeceğiz.
Dikkat Edilmesi Gereken İki Yeni Talimat
1. Daha küçük raporlama şirketleri SEC’in yeni ihlal açıklama kurallarına uymak zorundadır. (Son Başvuru: 15 Haziran)
Geçen Aralık ayında, Menkul Kıymetler ve Borsa Komisyonu (SEC) siber güvenliği yayınladı halka açık şirketler için açıklama gereklilikleriBu, 15 Haziran’dan itibaren daha küçük raporlama şirketleri için de geçerli olacak. daha küçük raporlama şirketlerini tanımlar “halka açıklığı 250 milyon dolardan az olanların yanı sıra, bir önceki yıl için yıllık geliri 100 milyon dolardan az olan ve halka açık olmayan ya da halka açıklığı 700 milyon dolardan az olan tescil ettirenler” gibi.
Daha küçük raporlama şirketlerin açıklama yapması gerekecek “Önemli olduğunu belirledikleri herhangi bir siber güvenlik olayı ve olayın niteliği, kapsamı ve zamanlamasının yanı sıra, tescil ettiren üzerindeki maddi etkisi veya makul muhtemel maddi etkisi gibi maddi yönleri de tanımlar.”
Önemliliği tanımlama ve belirleme sorumluluğunun ihlal edilen kuruluşa ait olduğunu unutmamak önemlidir. Ancak bir EDGAR veritabanına hızlı bakış Siber saldırıların yaygınlığı göz önüne alındığında, beklenenden daha az önemli ihlal raporu gösteriliyor. Şirketler, hissedarların güvenindeki azalmayı ve bir ihlali bildirmenin getirdiği itibar darbesini önlemek amacıyla önemliliği nasıl tanımlayacakları konusunda samimiyetsiz mi davranıyorlar? Bu kuralın amaçlanan amacına hizmet edebilmesi için şirketlerin, siber saldırıların etkisini değerlendirmek için, neyin önemli bir olay olarak sınıflandırıldığına ilişkin tartışılmaz parametreler de dahil olmak üzere, açıkça tanımlanmış süreçler oluşturması gerekir.
Bu yeni gereklilik, daha küçük raporlama şirketlerinin tüketiciler ve paydaşlar nezdinde güveni sürdürmesi için önemli bir adımdır ancak bundan daha da ileri gitmektedir. Küçük şirketler, büyük şirketler için tedarik zincirinde çok önemli bir rol oynuyor; bu da, daha küçük bir kuruluşa yönelik bir saldırının, daha büyük bir kuruluş üzerinde önemli bir etkiye sahip olabileceği ve potansiyel olarak zararlı, geniş kapsamlı sonuçlara yol açabileceği anlamına geliyor.
Örneğin silah sistemlerini ele alalım: Birkaç büyük savunma sanayi üssü (DIB) şirketi, ordu için kritik bir yetenek sağlayan bir silah sisteminin yaratılmasına dahil olabilir. Ancak birkaç aşamaya inildiğinde sistemin çalışması için gerekli parçalardan biri daha küçük bir şirket tarafından üretilebilir. Hacklenirse ne olur?
Ek olarak, tamamen BT açısından bakıldığında, daha küçük bir kuruluşla olan bağlantıları aracılığıyla daha büyük şirketlere erişildiği birçok örnek olmuştur. Bunun en önemli örneği, Experian’ın bir yan kuruluşu olan Court Ventures’ın veri ihlalidir. 200 milyon kişisel kaydın açığa çıkması.
2. Federal kurumlar sıfır güven hedeflerini karşılamalıdır. (Son Başvuru: 30 Eylül)
2022 yılında Amerika Birleşik Devletleri Yönetim ve Bütçe Ofisi (OMB) bir bildiri yayınladı Federal kurumlara, verilerini ve bilgi sistemlerini güvence altına almak için sıfır güven çerçevesini uygulamaya başlamaları talimatını vermek. Bu yılın 30 Eylül’üne kadar ajansların, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın beş sütunu (Kimlik, Cihazlar, Ağlar, Uygulamalar ve İş Yükleri ve Veriler) ile uyumlu 19 özel görevi tamamlaması gerekiyor. Sıfır Güven Olgunluk Modeli.
Mutabakattaki gerekliliklerden biri, “kurumların özel uygulama güvenliği test programları yürütmesi” ve “bağımsız üçüncü taraf değerlendirmesi için uygulama güvenliği konusunda uzmanlaşmış yüksek kaliteli firmalardan yararlanması” gerektiğini belirterek, uygulama programlama arayüzü (API) güvenliğinin önemini vurguluyor. API’ler uygulamaların ayrılmaz bir parçasıdır ve uygulamaların birbirleriyle iletişim kurmasına ve veri alışverişinde bulunmasına olanak tanır. Ancak bunlar aynı zamanda birincil saldırı vektörüdür: Bir raporda şaşırtıcı bir Siber güvenlik profesyonellerinin %78’i Son 12 ay içinde bir API güvenlik olayı yaşadınız.
Devlet kurumlarının API güvenliğine iyice bakması gerekiyor. Bu, veri akışları, API hareketi ve hangi veri API’lerinin açığa çıktığı da dahil olmak üzere kuruluşun ağında olup biten her şeyin kuşbakışı görünümünü sağlayan araçların benimsenmesini gerektirecektir. Çoğu durumda kuruluşlar, kaç tane API’ye sahip olduklarının ve bunların üzerinden hangi tür verilerin geçtiğinin farkında bile değiller. Bu görünürlüğe sahip olmak, federal kurumların anormal davranışları hızlı bir şekilde belirlemesine ve kötü niyetli aktörleri işaretlemesine olanak tanıyacaktır.
Bu yeni gereksinimler doğru yönde atılmış bir adımdır ancak gerçekten etkili olabilmesi için güvenlikle ilgili felsefede daha büyük bir değişimin gerçekleşmesi gerekmektedir. Çoğu zaman kuruluşlar güvenliği bir yatırımdan ziyade bir maliyet olarak görürler. Ancak dünya daha dijitalleştikçe ve tehdit ortamı genişledikçe, kuruluşların güvenliği yeterli düzeyde finanse etmesi gerekiyor, aksi takdirde büyümeyi ve kârlılığı artırmayı amaçlayan yenilikleri baltalama riskiyle karşı karşıya kalacaklar.
Son olarak, gelecekteki düzenlemeler güçlü yaptırımlarla adil ve tutarlı bir şekilde uygulanmalıdır. Bu, uyumu sağlamak için hem teşvikler hem de cezalar arasında doğru dengenin kurulmasını içerecektir. Daha fazla siber güvenlik düzenlemesinin ortaya çıktığını görmek cesaret verici olsa da, saldırıları engellemek devam eden bir mücadele olacak ve daha fazla federal düzenlemenin yanı sıra siber güvenlik yatırımlarının devam etmesi de gerekli.