Önümüzdeki temel eğilimler ve zorluklar

   Temmuz 8, 2025  Posted in welivesecurity


Gelen yasalar, tehdit manzarasındaki daha geniş gelişmelerle birlikte, güvenlik ve uyum ekipleri için daha fazla karmaşıklık ve aciliyet yaratacaktır

Phil Muncaster

23 Ocak 2025


5 dk. Okumak

Gelişen Veri Gizliliğinin Manzarası: 2025'i şekillendirecek temel eğilimler

Veri Gizliliği Haftası (27-31) ve Veri Koruma Günü (28 Ocak) yaklaşımı olarak, veri korumasının modern organizasyonların başarısında oynadığı kritik rolü vurgulamak için mükemmel bir zamandır.

Aslında, gizlilik ve veri koruması siber güvenlik ile el ele gider. GDPR gibi önemli yasalar, sadece müşterilerinizin gizlilik haklarını koruma ihtiyacını değil, aynı zamanda şifreleme gibi son teknoloji teknolojiler aracılığıyla en hassas kişisel bilgilerini (PII) koruma ihtiyacını vurgulamaktadır. Veri Gizliliği Haftası gibi kampanyalar sadece yıllık etkinliklerden daha fazlasıdır-sürekli gelişen bir dijital manzarada verilerin güvenliğine ve gizliliğine öncelik vermek için harekete geçme çağrıları olarak düşünülmelidir.

Son 12 ay, yeni yasalar, önemli yasal kararlar ve gelişmekte olan teknoloji ve tehdit eğilimleri sayesinde küresel gizlilik için çok önemli bir zaman oldu. 2025’te daha fazlasına hazırlanma zamanı.

2024’te ne oldu?

Geçen yıl tanık olduk:

Bazı göz sulandırıcı para cezaları ve yerleşimler

Bunlar şunları içerir:

Büyük Mahkeme Kararları

Avrupa Birliği Adalet Mahkemesi’nden (CJEU) önemli kararların blokta faaliyet gösteren kuruluşlar için büyük etkileri olacaktır. Bunlar dahil:

  • CJEU’nun işletmelerin haksız rekabet yasaları altında GDPR ihlalleri konusunda rakiplere dava açabileceğine hükmettiği Lindenpotheke davası. Aynı karar sağlık verilerinin tanımını genişletti.
  • CJEU’nun “meşru menfaatleri” kişisel verilerin işlenmesi için yasal bir temel olarak açıkladığı C-621/22, kuruluşlar katı gizlilik önlemlerini izledikçe.

Siber güvenlik ile ilgili daha fazla yasa

2024’te geçen veya gelişmiş olanlar arasında:

  • Daha fazla kuruluşu kapsam içine getiren ve katı siber güvenlik kontrolleri uygulamalarını gerektiren NIS2,
  • Bölgede satılan donanım ve yazılım için titiz bir dizi güvenlik gereksinimini zorunlu kılan Siber Esneklik Yasası (MKK)
  • Üye devletlerin büyük ölçekli siber güvenlik tehditlerini daha iyi tespit etmesine, hazırlamasına ve yanıtlamalarına yardımcı olmak için tasarlanmış Siber Dayanışma Yasası (CSA).

Küresel AI yönetişim çabaları

Bunlar dahil:

2025 için ne bekleyebilirsiniz?

Bu olayların birçoğunun etkisi 2025 ve ötesinde hissedilirken, gelen yasalar ve uzun vadeli tehdit peyzaj eğilimleri güvenlik ve uyum ekipleri için daha fazla karmaşıklık ve aciliyet yaratacaktır. Hazırlıklı olun:

Daha fazla veri koruma yasası

Bunlar arasında Kanada’nın C-27 faturası, İngiltere’nin verileri (kullanım ve erişim) faturası ve Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota ve Maryland’deki sekiz eyalet düzeyinde gizlilik yasası bulunmaktadır. Bunlar, gizlilik haklarının yasalara farkındalık yaratılmasına ve gizlenmesine yardımcı olacak ve düzenleyici uygulanmanın kapısını açacaktır. Sonuç olarak, büyük olasılıkla veri koruma önlemlerini geliştirmek için uyum ekipleri ve iş liderleri üzerindeki baskıyı artırmak olacaktır.

Daha fazla uygulama

Ayrıca, 2024’te yasalar eve vurmaya başladığında ve çeşitli gereksinimler yürürlüğe girdikçe düzenleyicilerin kaslarını esnetmeye başladığını görmeyi bekleyebiliriz. Örneğin, AB AI Yasası şunları görecektir:

  • 2 Şubat’tan itibaren kabul edilemez riskler (sosyal puanlama ve hedeflenmemiş yüz verileri kazıması dahil) ortaya koyan AI sistemlerine yasak,
  • Genel amaçlı AI modellerinin 2 Ağustos’ta yürürlüğe girmesi için gereksinimler, bunlar üretken AI (GENAI) geliştiricilerinin sistemik riskleri değerlendirme ve azaltma ve siber güvenlik önlemlerini belgeleme yetkisi içerecektir.

Daha fazla tehdit ve daha fazla gizlilik riski

Geçen yıl, ABD’de halka açık veri ihlallerinin rekor seviyelerini vurduğunu gördü ve sonuç olarak 353 milyondan fazla son kullanıcı kimlik sahtekarlığına maruz kaldı. Yapay zeka araçları, çalıntı kimlik bilgileri ve hizmet tabanlı teklifler siber suç yeraltında çoğalmaya devam ettikçe, hazırlıksız güvenlik ekiplerini yakalayabilecek nispeten sofistike siber saldırıların bir tufanını bekleyin. Özellikle Genai, sosyal mühendislik kampanyalarının kalitesini ve savunmasız ve maruz kalan BT varlıklarının keşiflerini artıracaktır.

Güvenlik duruşlarını en iyi uygulamalar doğrultusunda geliştiremeyen kuruluşlar, küresel gizlilik düzenleyicilerinin incelemesini davet etme riskiyle karşı karşıya kalırlar.

Tehdit oyuncusu yeni yasaları silahlandıran

Tıpkı GDPR’nin tanıtımını takiben, siber suçlular, kurbanları gasp saldırılarında ödemeye zorlamak için düzenleyici eylem tehdidini kullanabilirler. NIS2 para cezaları, örneğin küresel yıllık gelirin 10 milyon € ‘luk veya% 2’sine ulaşabilir. Ayrıca, yeni yasa düzenlenmiş kuruluşlar arasında iyileştirmeleri sağlamaya yardımcı olursa, tehdit aktörlerinin dikkatlerini daha küçük firmalar gibi direktife tabi olmayan kuruluşlara geçirmesi de mümkündür.

AI Gizlilik Uyumluluk Zorlukları Yaratmak

AI sistemleri büyük miktarda veri konusunda eğitilmelidir. Bazen bu veriler Web’den kazınır ve bazen mevcut müşteri hesaplarından gelir. Bu, rıza açıkça elde edilmemişse (LinkedIn’in İngiltere’de bulunduğu gibi) potansiyel gizlilik zorlukları yaratır. Opak AI sistemleri, kuruluşların kullanıcılar tarafından istendiğinde kişisel bilgileri kaldırmasını veya düzeltmesini zorlaştırabilir. Birkaç ABD eyaleti, Colorado’nun liderliğini takiben zaten AI yasaları planlıyor.

Sırada ne yapmalı

Bu fona karşı, 2025 güvenlik ve uyumluluk ekipleri için kritik bir yıl olabilir. Oyunun önünde kaldığınızdan emin olun:

  • İlgili düzenleyici ve yasama değişikliklerini takip etmek ve kuruluşunuz için geçerli olan uyumluluk gereksinimlerini anlamak
  • Veri güvenliğini endüstrinin en iyi uygulamalarına uygun olarak geliştirmek
  • Kurumsal veri sahiplerinin açıkça tanımlanmasını sağlamak ve ilgili herkesin rollerini ve sorumluluklarını tanımlayan sağlam bir raporlama sistemi oluşturmak
  • Herhangi bir yeni ürün veya hizmeti (örn. Yeni bir AI aracı) tanıtmadan önce Veri Koruma Etki Değerlendirmeleri (DPIA’lar) gerçekleştirme ve DPIA’ya dayalı uygun önlemleri yerine getirmeden önce
  • Performansı izleyin, güvenlik protokollerini gözden geçirin ve dikkat gerektiren alanları adresle

Veri koruması genellikle bir yük gibi görünebilir. Ama aslında, bir fırsat olarak çerçevelenmelidir. Kuruluşunuza, finansal ve itibaren zarar verici ihlaller riskini azaltmadan bahsetmemek için müşteri sadakatini ve güveni artırma şansı sunar. 2025’i bu lens aracılığıyla görüntüleyin ve önümüzdeki 12 ay yeni iş olanaklarının kapısını açabilir.



Source link