781 BT, siber risk ve uyumluluk profesyonellerinin katıldığı küresel bir araştırmaya göre, ilgili verileri üçüncü taraf tedarikçiler ve iş ortaklarıyla paylaşmak için iletişim araçlarının kurumsal kullanımı artarken, güvenliğe gösterilen dikkat eksikliği risk düzeylerini artırıyor, %29 Alanında uzman Kiteworks için yürütülen bu çalışmaların bir kısmı EMEA coğrafyalarından alınmıştır.
Yaptığı çalışmada, Kiteworks 2023 hassas içerik iletişimleri gizlilik ve uyumluluk raporutedarikçi, bu alandaki dijital haklar yönetimi (DRM) politikalarında kuruluşları soruna maruz bırakan “ciddi boşlukların” kanıtlarını ortaya çıkardı.
Özellikle birçoğunun, üçüncü taraflara gönderilen veya üçüncü taraflarla paylaşılan verileri izlemeye, kontrol etmeye ve korumaya yönelik araçlardan yoksun olduğu ve bu durumun ister kötü niyetli ister kazara olsun, önemli bir yetkisiz erişim riski oluşturduğu belirtildi.
CISO ve kıdemli başkan yardımcısı Frank Balonis, “Bu rapor, tüm departmanlarda ve erişilen, gönderilen, paylaşılan ve üçüncü taraflara aktarılan tüm hassas verilerde içerik tanımlı sıfır güveni uygulayan dijital haklar yönetimi ihtiyacını vurguluyor” dedi. Kiteworks’ün operasyon başkanı.
“Bu parça parça yapılamaz; bunun yerine bireysel kullanıcılar düzeyinde birleşik izleme ve kontrol gerektirir. Raporda ayrıca kuruluşların NIST CSF gibi siber güvenlik çerçevelerini nasıl kullandığı da vurgulanıyor [the National Institute of Standards and Technology’s Cyber Security Framework] güvenlik ve uyumluluk risklerini yönetmek.
“Bu, Kiteworks’ün Özel İçerik Ağımızı, daha kapsamlı dijital haklar yönetimi yönetişimi yaratan NIST CSF ile uyumlu hale getirmek için aldığı yönü doğruluyor” diye ekledi.
Çok fazla araç
Sorunun büyük bir kısmı kuruluşların üçüncü taraflarla olan iletişimlerini izlemek, kontrol etmek ve güvence altına almak için kullandıkları sistem ve araçların sayısından kaynaklanıyor gibi görünüyor; yanıt verenlerin %84’ü bu tür hizmetlerden dörtten fazlasını kullandıklarını ve %85’i kullandıklarını söylüyor. son 12 ay içinde dört veya daha fazla hassas içerik iletişim istismarına maruz kalmıştı.
Yanıt verenlerin biraz daha küçük bir oranı, yani yaklaşık %75, hassas içerik paylaşımına ilişkin riski ölçme yöntemlerinde bir miktar iyileştirmeye ihtiyaç duyduklarını kabul edebildi.
Madalyonun diğer yüzünde ise anket, katılımcıların %25’inden azının, hassas verilerine üçüncü tarafların erişimini yönettiklerini veya kısıtladıklarını söylediğini ortaya çıkardı.
Bu nedenle Kiteworks, kuruluşların DRM konusunda bir “yeniden yapılanmaya” ihtiyaç duyduğunu söyledi ve yanıt verenlerin %42’si bu alanda tamamen yeni bir yaklaşıma veya en azından önemli bir iyileştirmeye ihtiyaç duyduklarını kabul etti.
Özellikle katılımcılar, bireylerin her varlığı ilerledikçe manuel olarak sınıflandırmasına izin vermek yerine, kullanıcı, rol veya içerik sınıfı düzeyinde uyumluluk ve güvenlik politikaları uygulayabilme becerisini istiyordu.
En büyük endişe PII
En yüksek düzeyde uyumluluk ve güvenlik riski oluşturan hassas içerik türünü derecelendirmeleri istendiğinde, katılımcılar şaşırtıcı olmayan bir şekilde kişisel olarak tanımlanabilir bilgilerin (PII), fikri mülkiyet (IP), yasal belgeler, birleşme ve satın almalara ilişkin bilgiler, mali belgeler ve diğer içerik türleri.
Kiteworks, bu endişenin, Avrupa ve Birleşik Krallık’taki Genel Veri Koruma Yönetmeliği’nden (GDPR) ABD’de benimsenen parça parça yaklaşıma kadar giderek büyüyen veri gizliliği yasa ve düzenlemeleri listesiyle oldukça sıkı bir şekilde ilişkili olabileceğini söyledi. yasalar şu anda Colorado, Connecticut, Utah ve Virginia’da yürürlüğe giriyor ve dört eyalet daha önümüzdeki iki yıl içinde bu tür direktifleri uygulamayı planlıyor.
Hangi iletişim kanallarının en büyük riski oluşturduğu sorulduğunda katılımcılar e-posta ve web formlarını en tehlikeli kanallar olarak tanımladılar. Ancak burada Kiteworks, enerji ve kamu hizmetleri sektörlerinde faaliyet gösteren kuruluşların özel dosya paylaşım hizmetleriyle daha fazla ilgilenmesi, finansal hizmet kuruluşlarının web formları ve teknoloji ile güvenlik ve savunma alanlarında en büyük risk olarak görülen e-posta hakkında endişe duymasıyla dikeyler arasında farklı tutumlar buldu.
Tehdit aktörlerinin bir uygulamadan veya veri kümesinden yararlanarak diğer kiracılara doğru hareket etme yeteneği göz önüne alındığında, katılımcılar bu tür araçların çok kiracılı bulutta barındırılmasının önemli bir endişe olduğu konusunda hemfikir olma eğilimindeydiler.
Riski azaltmak için dört adım
Kiteworks, uzun raporunu özetleyerek kuruluşların veri paylaşımıyla ilgili riski azaltmak için şu anda atmaya çalışabilecekleri dört adımı özetledi:
- Uyum konusunda daha bütünsel bir yaklaşım benimsenmesi – özellikle ABD’deki kuruluşlar için, burada kuruluşlara tek tek eyaletlere yönelik bir onay kutusu yaklaşımına odaklanmak yerine, bunların hepsine uyan evrensel en iyi uygulamaları oluşturmaları daha iyi tavsiye edilir. NIST CSF;
- Kuruluşların verileri nasıl kategorize ettiğine dair daha bütünsel bir yaklaşım benimsemek, bunu daha ayrıntılı bir şekilde yapmak ve bu siloları, bunlara gerçekten erişmesi gereken kişiler için kolayca kullanılabilir hale getirirken diğer herkes için kilitlemek;
- Bu adımdan sonra, kötü niyetli ve kazara yapılan iyi niyetli ifşaatlara karşı koruma sağlamak için içeriden öğrenilen risk yönetimi uygulamalarında iyileştirmelere ihtiyaç vardır;
- Son olarak, suç çeteleri ve ulus devlet APT’leri hassas içeriğin değerini anlayıp bu içeriği paylaşmak için kullanılan araçları hedeflemeyi hızlandırdıkça, daha kapsamlı siber korumaları yürürlüğe koymak, bu araçların güvenlik özelliklerini anlamak ve incelemek her zamankinden daha kritik hale gelecektir.