Yazan: Jacques de La Rivière, Gatewatcher CEO’su
Siber güvenlik dünyası sürekli gelişiyor; yalnızca yetenek, ürünler ve teknolojiler açısından değil, aynı zamanda düzenleyici gereklilikler açısından da. Siber tehditler geliştikçe ve ilerledikçe, bu tehdide çözüm bulmak için dikkatler Avrupa Komisyonu’nun düzenleyici konulara odaklanması üzerine yoğunlaştı. Sonuç olarak Siber Dayanıklılık Yasasını (CRA) gördük; AI Yasası; Dijital Operasyonel Dayanıklılık Yasası (DORA) ve en acil olanı ikinci Ağ ve Bilgi Güvenliği çerçevesi – NIS 2.
NIS 2: Düzenleyici çerçevenin gerekli bir evrimi
Siber saldırıların hedef aldığı kurum ve sektörler için minimum yeterli güvenlik koşullarını sağlayan NIS 1’in hedeflerinin çok ötesine geçen NIS’in amacı, yeni sektör ve kurumları ele alarak dayanıklılığı güçlendirmektir.
Bu, NIS 1’e dahil olmayan yerel yönetimleri, halk sağlığı kuruluşlarını, yüksek öğretim kuruluşlarını ve tedarik zincirindeki tüm tarafları hedef alan artan tehditler göz önüne alındığında gerekli bir gelişmedir.
AB Üye Devletleri için NIS2, hassas sektörlere yönelik siber saldırıların tedavisinde Avrupa ölçeğinde tutarlılık ve parçalanma eksikliğini de ele alacak.
Yeni düzenleyici çerçeve aynı zamanda şunları da sağlayacaktır:
- Direktifin Avrupa genelinde uygulanmasının daha kesin düzenlemelerle uyumlaştırılması.
- Belirli bir organizasyonun temel veya önemli kuruluşlar arasındaki kategorizasyonuna bağlı olarak katı ve orantılı kriterlerle daha güçlü genel güvenlik.
- Bu önlemlerin uygun şekilde uygulanmasını sağlamak amacıyla Üye Devletlerin denetim, kontrol ve yaptırım sorumlulukları ve yetkileri artırıldı.
- Bu sorumluluğun, kendi risklerini yönetmesi gereken işletmelere devredilmesi.
Bu nedenle işletmelerin şu anda karşı karşıya olduğu soru, bu uyumluluk zorluklarını hızlı bir şekilde ve en az kesintiyle nasıl aşabilecekleridir.
Şu anda hiçbir bağlayıcı tedbirin (iletişim kişilerinin bilgilendirilmesi, olay raporlama prosedürleri ve potansiyel bilgi paylaşımı dışında) henüz alınmamış olması bu durumu hayal kırıklığına uğratmaktadır. Üye Devletler şu anda direktifi ulusal düzeyde aktarma sürecindedir.
Ancak NIS 1’e göre dikkate alınması gereken unsurlar vardır.
- Yeterli risk yönetimini sağlamak için bir yönetişim politikası mevcut olmalıdır. Bunun denetimi, risk analizini, güvenlik göstergelerini, akreditasyonu ve haritalamayı içermesi gerekir.
- Mimarinin kendisiyle bağlantılı güvenlik politikalarıyla ilgili temel koruma unsurlarının dikkate alınması: bunun yönetim, erişim ve bakımı hesaba katması gerekir.
- Bir siber saldırının meydana gelmesi durumunda bir kriz anında iş sürekliliğini korumak için uygun ve güçlendirilmiş tespit tedbirlerinin yanı sıra olay müdahale ve yönetim tedbirlerinin de mevcut olması gerekir.
NIS 2 bu alanları dikkate almaktadır, ancak özellikle diğer mevzuatla entegrasyon açısından Avrupa düzeyinde ve ulusal düzeyde ayrıntılarda gecikme yaşanmaktadır.
Ancak şimdiden başlamak için bu talepleri uygulanabilir bir stratejiye dönüştürmek mümkün. Göz önünde bulundurulması gereken beş sütun vardır:
- Risklerin belirlenmesi ve korunması
- Verileri ve hassas bilgileri koruma
- Siber güvenlik teknolojilerine yatırım yapmak veya bunları güçlendirmek
- Olay yönetimi ve CSIRT bildirim önlemlerinin uygulanması
- Çalışanlara yönelik eğitim ve bilinçlendirme
Öncelikle bilgi sisteminin tam görünürlüğünü geliştirmek, geliştirmek veya sürdürmek önemlidir. Bu, ağdaki tüm varlıkların ve kullanıcı davranışlarının envanterinin çıkarılması ve haritalanması anlamına gelir.
Özellikle hassas verilerle ilgili riskler ve zorluklar belirlendikten sonra, özellikle kısıtlı ve gizli ağlarda erişimi kontrol etmek ve güvenlik politikalarına uymak önemlidir.
Bu, NDR’yi kapsamlı bir siber güvenlik ekosistemiyle entegre edilmiş başarılı stratejilerin temeli haline getirdi. Burada amaç proaktif araştırmadır; Olayların uzmanlar tarafından kolay, hızlı bir şekilde nitelendirilmesi ve iyileştirilmesi.
Uyumluluk, devam eden bir yolculuk
Günümüzde uyumluluk, şirketler için yalnızca yeni düzenleme standartlarını karşılamaya yönelik ek bir kısıtlama veya onay kutusu uygulaması değil, stratejik bir fırsat olmalıdır.
Uzun vadeli bir bakış açısına sahip olmamız gerekiyor. Uyumluluğun sağlanması, bir işletmenin uyumluluk ihtiyaçlarına kapsamlı ve güncel bir yanıt oluşturmasını sağlayacak şekilde reaktif olmanın yanı sıra, gelecekteki düzenleyici gelişmeleri tahmin etmesini de sağlar.
Uyumluluğun ötesinde NDR, kuruluşların genel siber güvenlik düzeylerini yükseltmesine ve tehditlerin en etkili şekilde algılanması ve bunlara yanıt verilmesi için yatırımların optimize edilmesine olanak tanır. NDR’nin temel taşı olduğu bir siber güvenlik stratejisi oluşturmak, beklentinin temel taşı olduğu uzun vadeli bir siber yol seçmek anlamına gelir. Siber saldırganlar ve savunucular için zaman çok önemlidir. Amaç, uyarlanmış ve duyarlı bir savunma sistemi sayesinde gelecekteki potansiyel tehditlere etkili bir şekilde yanıt verebilmektir.
NIS 2’yi, saldırılarla mücadeleye yönelik dinamik bir strateji oluşturmak için siber güvenliğin güçlü yönlerinin yanı sıra riskleri ve zayıf alanları belirlemeye ve önceliklendirmeye yönelik bir rehber olarak düşünün. Stratejik olarak yaklaşıldığında uyum bir zorunluluktan gerçek bir fırsata ve rekabet avantajına dönüşür.
yazar hakkında
Jacques de la Riviere, Gatewatcher’ın CEO’sudur. Siber tehditlerin tespitinde lider olan Gatewatcher, 2015 yılından bu yana dünya çapındaki büyük şirketlerin ve kamu kurumlarının kritik ağlarını koruyor. Ağ Tespiti ve Yanıtı (NDR) ve Siber Tehdit İstihbaratı (CTI) çözümlerini yapay zeka destekli, Dinamik analiz teknikleri sayesinde Gatewatcher, hem bulut hem de şirket içi altyapıları kapsayan gerçek zamanlı 360 derecelik tehdit görünümü sunar.
Jacques’e çevrimiçi olarak LinkedIn üzerinden ve https://www.gatewatcher.com/en/ şirketin web sitesinden ulaşılabilir.