SecurityScorecard Politika ve Kamu Sektörü Başkan Yardımcısı Charlie Moskowitz
Siber suçlular asla durmaz. Genellikle bir ulus-devlet tarafından üstü kapalı veya açık bir şekilde desteklenirler ve bireysel şirket güvenlik yöneticilerini haydut ulusların tüm gücüyle karşı karşıya getirirler.
Şirketler, altyapılarını tek başlarına savunmaya bırakılırsa bu savaşı kazanamazlar. Ülkenin BT altyapısını güvence altına almak için düzenleyiciler, özel sektörle işbirliğini geliştirmeli ve gözetim çabalarına daha güçlü siber güvenlik araçları getirerek yaklaşımlarını modernize etmelidir.
Siber tehdit ortamı ve şirketlerin güvenlik duruşu, saatlik olmasa da günlük olarak değişir, ancak yetersiz fon alan düzenleyiciler, her şirketi yılda bir kez bile denetleyecek kaynaklara sahip değildir. Devlet kurumları hâlâ seyrek olarak yapılan denetimlere ve incelemelere bel bağlayarak hükümetin karşı karşıya olduğumuz tehdidin gerçek doğasına ilişkin anlayışını sınırlandırıyor ve şirketleri saldırılara karşı son derece savunmasız bırakıyor.
Diğer bir deyişle, siber sınavlar, acil ve sürekli gelişen bir soruna yıllık (eğer öyleyse) bir çözümdür. Düzenleyiciler artık bir güvenlik yanılsaması anlamına gelen yıllık evrak işlerine ve kutu kontrol uygulamalarına güvenmemelidir.
New York Siber Güvenlik Denetimine Göz Açıyor
Mayıs 2022’de New York Finansal Hizmetler Departmanı (DFS), siber güvenlik derecelendirmelerini düzenleyici sürecine dahil etme niyetini açıkladı. DFS, siber güvenliği bu şirketlerin karşı karşıya olduğu en büyük tehdit olarak görüyor. Bu, Amerika’nın finansal sisteminin kalbinde iş yapan en iyi bankalar, sigortacılar ve diğer finansal hizmet şirketleri dahil olmak üzere DFS tarafından düzenlenen 3.000 işletme ve kuruluş için mükemmel bir haber.
DFS, New York siber saldırılarda katlanarak artan bir artışa karşı savaşırken yeni siber güvenlik kuralları uyguladığı için Aralık 2019’da çalışmalarının kilit bir bileşeni olarak gerçek zamanlı derecelendirmelere bakmaya başladı.
Kamu ve açık kaynaklardan alınan çok çeşitli verilere dayanan derecelendirmelerin kullanımı, DFS’nin gözetimini çeşitli şekillerde geliştirmesine yardımcı oldu. DFS, sınırlı sayıdaki denetimini en savunmasız kuruluşlarla eşleştirmek için notları kullanabilir. Bir inceleme başladığında, 10 farklı alt faktördeki derecelendirmeler, kritiklik derecesine göre sıralanmış belirli güvenlik açıklarına işaret eder, böylece denetçiler dikkatlerini önceliklendirebilir.
Derecelendirmeler, gezinmesi kolay bir çevrimiçi arabirimde dışarıdan, tarafsız bir kaynaktan bu tanımlanmış ölçüm kümesini sağlar. Devam eden izlemeye ek olarak, derecelendirme platformundan alınan bilgiler, denetlenen bir kuruluşun sağladığı verileri doğrulamak için kullanılabilir.
En önemlisi, derecelendirmeler, DFS’nin ve düzenlediği şirketlerin aynı dili konuşmasını sağlayan siber riskin nicel bir değerlendirmesini sağlar. Artık herhangi bir şirket, DFS’nin baktığı verilerin aynısını görebilir. DFS, New York Eyaletinde faaliyet gösteren tüm finansal hizmetler endüstrisinde risk ortamının nasıl göründüğünü anlamak için artık kuruluşları nesnel olarak tutarlı veri noktalarıyla karşılaştırabilir.
Siber güvenlik derecelendirmelerini düzenleyici bir yaklaşımın parçası olarak kullanmak, değerlendirmeleri belirli bir zamanda yapılan evrak değerlendirmesinden şirket ve düzenleyici arasındaki işbirliğine dayalı bir diyaloga yeniden yönlendirmeye yardımcı olur. Ayrıca, bir kuruluşun saldırı yüzeyinin 360 derecelik görünümünü tamamlar: Bir şirketin güvenlik açıklarının tamamen dahili görünümünü tamamlayan güvenlik derecelendirmeleri, bir bilgisayar korsanının bakış açısı sağlayarak kuruluşların bir tehdit aktörü gibi düşünmesine ve bir adım önde kalmasına olanak tanır. Anlaşılması kolay olan bu notlar, liderlere, kurullara, BT pratisyenlerine ve daha fazlasına, açık bir dil kullanarak ve bunu objektif üçüncü taraf, kamuya açık verilere dayandırarak, sızmaya çalışan birine şirket platformunun nasıl göründüğünü gösterebilir.
50 Eyalette Siber Güvenlik Derecelendirmesi Almak
New York DFS, merkezi nerede olursa olsun, küresel finansal sistemin kalbindeki şirketleri denetleyen dünyanın en önemli düzenleyicilerinden biridir. Ama tüm bunlar New York dışında ne anlama geliyor?
New York DFS, sürekli gelişen siber güvenlik alanında düzenleyici modernizasyon için sağlam bir pay koyarak ülke çapındaki diğer düzenleyici kurumlara öncülük ediyor. DFS, diğer eyaletlerdeki düzenleyiciler için bir zorunluluk olarak siber güvenlik derecelendirmelerine işaret ediyor.
Amerika’nın 50 eyaleti, 5.000 banka ve tasarruf kurumu ve daha fazlasını kapsayan bu tür bir kapsama ulaşmak büyük ve faydalı bir hedeftir. Avantaj, sayılarda güvenliktir. Gözetim sürecini modernize eden her eyalet, diğer eyaletlerin kendi ağlarında devriye gezmesini kolaylaştırır. Bununla birlikte, modernleşmeyen devletler, kolektif, sürekli eylem gerektiren bir düşmana karşı savunmak için öncelikle bireysel, düzenlenmiş varlıkların statik, nadiren iletilen bakış açılarına güvenmeye devam edeceklerdir.
Birlikte daha güvendeyiz.
Bunu akılda tutarak, düzenleyici kurumlar, araç kutularına siber güvenlik derecelendirmeleri ekleyerek gözetimlerini modernize etmelidir. Aksi takdirde, ülkenin BT altyapısı güvenli olmayacaktır.
yazar hakkında
Charlie Moskowitz, SecurityScorecard’da Politika ve Kamu Sektörü Başkan Yardımcısıdır. Charlie, 15 yılı aşkın politika ve düzenleme deneyimini SecurityScorecard’a getiriyor. Charlie, çocuk istismarını önlemeden siber güvenliğe ve daha fazla veri bilimi titizliği ve federal politikaya kadar çeşitli konularda çeşitli müşterileri temsil ettiği Washington’daki iki taraflı bir halkla ilişkiler firması olan Signal Group’ta iki yıl geçirdikten sonra SecurityScorecard’a geliyor. Bundan önce, Capitol Hill’de politika ve soruşturma görevlerinde neredeyse on yıl geçirdi ve nihayetinde Senatör Claire McCaskill (D-MO) altında Senato İç Güvenlik ve Devlet İşleri Komitesinin Demokratik personeli için Baş Politika Danışmanı olarak görev yaptı.
Charlie’ye LinkedIn https://www.linkedin.com/in/charlie-moskowitz-8905a5b/ ve https://securityscorecard.com adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.