YORUM
UnitedHealth CEO’su Andrew Witty, 1 Mayıs’ta Senato ve Temsilciler Meclisi’nde ayrı ayrı yapılan duruşmalara hitap etti yıkıcı Change Healthcare siber saldırısı hakkında tanıklık edin Şubat ayında milyonlarca Amerikalıyı etkileyen ve yaklaşık 1 milyar dolar maliyetlerde.
Bariz güvenlik açıklarını (örneğin, çok faktörlü kimlik doğrulamanın olmaması (MFA) Change Healthcare portalı hakkında — Witty ayrıca UnitedHealth’in ülkenin ulusal siber güvenlik altyapısını güçlendirme çabalarının bir parçası olarak “standartlaştırılmış ve ulusallaştırılmış siber güvenlik olay raporlamasını” desteklediğini söyledi.
Siber olay bildirim düzenlemelerinin dünya çapında bol miktarda bulunduğunu, hatta sıklıkla örtüştüğünü düşünürsek, ifadesinin bu kısmı gerçek bir tepkiyle karşılaşmadı. Ancak asıl soru şu: Bu ne kadar gerçekçi?
Şirketler ve diğer kuruluşlar, operasyonlarına ve işledikleri verilere bağlı olarak, sürekli genişleyen bir düzenleyici ve raporlama standartları setiyle karşı karşıyadır. Kritik Altyapı Yasası için Siber Olay Raporlaması (CIRCIA) ve AB Genel Veri Koruma Yönetmeliği (GDPR) için Menkul Kıymetler ve Borsa Komisyonu kurallar Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPPA) ve diğerleri. Toplamda, uygulanabilecek 200’den fazla düzenleme var, bunların çoğu giderek daha kısa raporlama son tarihlerine sahip ve bazıları para cezaları, yaptırımlar şeklinde yaptırımlara sahip. ve hatta kovuşturmalar.
Bir şirket siber güvenlik olayı yaşadığında, ilgili düzenleyici kuruluşlara bildirimde bulunmak yerine, bildirimde bulunmak için merkezi bir yerin olması çok faydalı olacaktır. Eylül 2023 raporu“Federal Hükümete Siber Olay Raporlamasının Uyumlu Hale Getirilmesi”, İç Güvenlik Bakanlığı (DHS), bilgilerin “alınmasını ve paylaşılmasını kolaylaştırmak” için tek bir portal oluşturulmasını önerdi. Bu merkezi raporlama konumu daha sonra diğer düzenleyicilere gerekli bilgileri sağlayabilirdi.
Böylesine kusursuz bir raporlama sistemi için en iyi olasılık, sekiz yıldır var olan bir şeyde yatıyor: Ulusal Siber Olay Müdahale Planı (Ulusal Eğitim Bakanlığı).
NCIRP Siber Raporlamayı Merkezileştirebilir
Artık Biden yönetiminin emriyle yürürlüğe giren NCIRP Ulusal Siber Güvenlik Stratejisişu anda gelişen tehditleri daha iyi ele almak ve özel sektör, düzenleyiciler, federal kurumlar, kurumlar arası ortaklar ve eyalet, yerel, kabile ve bölgesel (SLTT) hükümetler ile diğer kuruluşlar arasındaki iş birliğini teşvik etmek için güncelleniyor. Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), güncellemeyi yıl sonundan önce yayınlamayı planlıyor.
NCIRP dört ilkeyi izleyecektir:
-
Birleşme: Yurt içinde ve yurt dışında, tüm hükümet ve sanayi seviyelerinde sağlam ortaklıklar geliştirmek.
-
Ortak sorumluluk: Her oyuncunun yetkilerinin, yeteneklerinin ve uzmanlıklarının tüm potansiyelini ortaya çıkaran, eylem odaklı bir işbirliğine doğru ilerliyoruz.
-
Geçmişten ders çıkarmak: Yakın tarihin (özellikle son sekiz yılın) derslerini alarak ulusal siber olaylara müdahale koordinasyonunda iyileştirme sağlamak.
-
Siber güvenlikteki gelişmelere ayak uydurmak: Giderek daha karmaşık hale gelen siber tehdit ortamında amaçlanan sonuçların açıkça tanımlanmasında proaktif adımların ve çevikliğin vurgulanması.
NCIRP’nin amacı siber olay koordinasyonu için bir çerçeve sağlamaktır. Bunu raporlama için merkezi bir konum ve diğer düzenleyici kurumlar için bir depo haline getirmek, şirketler ve diğer kuruluşlar için raporlamayı basitleştirecek ve tam uyumluluğu daha olası hale getirecektir.
Şirketlerin Yaklaşımlarını Değiştirmeleri Gerekiyor
Bu arada şirketler, şeffaflığı vurgulayan yanıtları işlevsel hale getirmeye odaklanan siber güvenlik yanıtı ve raporlaması için sağlam bir program uygulayarak başlayarak üzerlerine düşeni yapmalıdır. Bu bariz görünebilir, ancak birçok şirketin işleyiş biçimine aykırıdır.
Birincisi, bir olayla uğraşırken herhangi birinin oluşturduğu kağıt tabanlı olay müdahale planlarını kullanması nadirdir. Genellikle, bu planlar yalnızca bir sürecin genel görünümünü sağlayan üst düzey belgeler olma eğilimindedir. Daha derinlemesine giden planlar genellikle o kadar aşırı ayrıntılı ve uzundur ki, bunları takip etmeye çalışmak genellikle acil bir durumda pratik değildir. Eviniz yanarken bir ansiklopedi çıkarmaya eşdeğerdir. Bunun yerine, insanlar içgüdülerine, daha önce yaptıklarına göre hareket ederler ve sonuç olarak, dahil olan diğer birçok paydaşla birlikte, kaotik hale gelir.
Bir diğer şey de, olaylar hakkında şeffaf olmak sektörde yeni bir kavramdır. Yasal nedenlerden dolayı, geleneksel yaklaşım, ek sorumluluk yaratmaktan kaçınmak için olayların dokümantasyonunu en aza indirmekti – hiçbir şey yazmayın, yalnızca telefonla iletişim kurun ve mümkün olduğunca az kişinin bir olaydan haberdar olduğundan emin olun. Yeni raporlama düzenlemeleri bunu değiştiriyor. Şimdi, şirketler daha büyük potansiyel sorumlulukla karşı karşıya kalırlarsa yapma Açıkça raporlayın veya bir denetim izi oluşturun. Şirketlerin siber olayları hızlı, etkili ve sorumlu bir şekilde ele aldıklarını gösterebilmeleri önemlidir.
Şirketlerin uyanıp şeffaflığın yeni çağını benimsemeleri gerekiyor. Ekiplerin doğru zamanda doğru şeyleri yaptığından ve işlerini gösterdiğinden emin olmak için kapsamlı bir programa ihtiyaçları var. Olay müdahale hazırlığına bakarken, bir planın bir program olmadığını ve dijitalleştirilmiş, uygulanan bir prosedürün parçası olarak müdahalelerini nasıl işlevsel hale getireceklerine odaklanmaları gerektiğini kabul etmeliler. Bunu yaparken, düzenleyicilere ve nihayetinde müşterilerine ihtiyaç duydukları bilgileri daha kolay sağlayabilecekler, böylece kendilerini korumak için gerekli eylemleri gerçekleştirebilecekler.
Şeffaflık ve İşbirliği Şirketleri Koruyabilir
Şeffaflığı teşvik etmek ve denetim izleri oluşturmak, şirketlerin yeni paylaşılan sorumluluklarını ve yeni ulusal stratejinin bir parçası olan daha iyi bilgi paylaşımı ve iş birliği hedefini karşılamalarına olanak tanıyacaktır. Düzenleyiciler daha sonra bildirim gerekliliklerini kullanarak kolektif bir yanıtın koordinasyonuna yardımcı olabileceklerdir.
Merkezi bir raporlama konumuna sahip birleşik bir sistem, şirketlere şeffaf ve iyi niyetli davrandıkları takdirde sorumluluk suçlamalarına karşı güvenli bir liman sağlamaya da yardımcı olabilir. Hükümet düzenleyicileri bu konuda daha net olabilir. Örneğin, CISA zamanında iletilen bilgilerin bir şirkete karşı kullanılmayacağını söylüyor, ancak bazı şirketler SEC’nin bir soruşturma başlatmak için bildirimleri kullanabileceğinden endişe ediyor. Merkezi bir raporlama konumu, ihlallerin sonuçları hakkında net kurallar koyabilirken şirketleri siber güvenliklerinden sorumlu tutabilir.
Tüm hükümet olay raporlamaları için tek bir merkezi raporlama sistemi oluşturmak, sektör genelinde şeffaflığı, iş birliğini ve gelişmiş güvenliği desteklemenin en basit yoludur. Ve tehdit ortamı büyüdükçe, herhangi bir başarılı kolektif ulusal siber güvenlik stratejisi için giderek daha kritik bir bileşen haline gelecektir.