SEC’in güncellenmiş Siber Güvenlik Açıklama kurallarının yürürlüğe girmesinden bu yana altı aydan fazla zaman geçti. Bu kurallar CISO’lar için büyük bir değişimi temsil ediyor; hem ek siber güvenlik raporlaması yükü hem de yanlış veya yanıltıcı olduğu ortaya çıkan raporların sağlanması nedeniyle yasal işlem tehdidi açısından.
CISO’nun rolü nesil değişiminin ortasındadır. CISO’ların yalnızca kuruluşların risk duruşundan sorumlu olmasalar da, açıklama ekipleriyle birlikte çalışmaları ve risk duruşunu ve güvenlik süreçlerini Kurumsal Risk Yönetimi (ERM) ekibine ve yönetim kuruluna doğru bir şekilde yansıtmaları gerekir. CISO’ların, şirketlerinin siber güvenlik uygulamalarını, gerçeklere dayanan kayıtlara olanak tanıyan veri odaklı bir yaklaşımla net bir şekilde anlaması ve iletmesi gerekiyor. SEC’in yeni kurallarını ve bunların raporlama açısından ne anlama geldiğini anlamak bunun kritik bir parçası olacak.
Zor sayılar
Borsada işlem gören şirketlerin artık 10-K dosyalarının (finansal performans da dahil olmak üzere kritik bilgilerin yer aldığı kapsamlı yıllık raporlar) ve 8-K dosyalarının (hissedarların bilmesi gereken önemli olayları açıklayan raporlar) siber güvenlik duruşunu doğru bir şekilde yansıttığından emin olmaları gerekiyor. Özellikle, “önemli siber güvenlik olayları” için 8-K başvurularının zamanında ve yani olayın “önemli” olup olmadığının belirlenmesinden sonraki dört gün içinde yapılması gerekiyor. Soru şu: Bu yeni gereklilikler raporlama hacmi açısından ne anlama geliyor?
2024’ün ilk yarısındaki SEC siber ifşaatlarını analiz ettiğimizde ve 2023’ün aynı dönemiyle karşılaştırdığımızda, NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) ve varyasyonlarından bahsedilenlerin yıllık bazda neredeyse 14 kat arttığını gördük: 221’den 221’e. 3.025’e. 2023’teki başvuru şekli göz önüne alındığında ve neredeyse borsada işlem gören her şirketin artık güvenlik duruşunu açıklama ihtiyacı hissettiği göz önüne alındığında, bunun yıl sonuna kadar yaklaşık 20 kata çıkmasını bekliyoruz.
Ancak terazinin diğer ucunda ilgili 8-K başvurularının sayısı şaşırtıcı derecede düşük görünüyor. ABD’de listelenen 4.000’den fazla şirketten yalnızca 17’si potansiyel olarak önemli bir siber güvenlik olayı yaşadı. Ve bunlardan hiçbiri olayın aslında maddi olduğunu söyleyemez.
Para burada duruyor
Sürekli olarak yıkıcı siber saldırılar ve veri ihlalleri haberleriyle bombardımana tutulduğumuz bir dünyada, listelenen şirketlerin yüzde birinden azının “önemli” olabileceğine inandıkları bir olaya maruz kalması pek olası görünmeyebilir. Ancak düzenleyici ortam giderek daha karmaşık hale geldikçe, bu istatistikler CISO’lar üzerinde artan baskıyı açıkça ortaya koyuyor.
Birincisi, hem 8-K’lerden hem de 10-K’larda ihtiyaç duyulan ek ayrıntılardan kaynaklanan ek raporlamanın yükü vardır. CISO’lar raporların derlenmesinden doğrudan sorumlu olmayabilir ancak raporların doğru olduğundan emin olmak için ERM ekibiyle yakın işbirliği içerisinde çalışmaları gerekecektir. Bu, CISSP akreditasyonu gibi riski yöneten ve değerlendiren kişilerin ilgili uzmanlığı ve kritik sistemlerin göreceli maruziyeti gibi faktörlerin doğru bir şekilde temsil edilmesi anlamına gelir. Bu, geleneksel olarak, ortamının çoğunlukla parçalı bir resmini oluşturmak için tek ve güvenilir bir görünüme sahip olmayan, farklı araçlardan gelen verilere güvenmek zorunda kalan bir rol için zorlu bir görevdir. İş Zekası ve analitik araçları onlarca yıldır finans, satış ve liderlik alanlarında yaygın olarak kullanılırken, CISO’lar hâlâ bir elleri arkadan bağlı ve başlarının üzerinde Demokles’in kılıcı asılı halde çalışmaya zorlanıyor.
O kılıç yasal işlem tehdididir. Yanlış veya yanıltıcı raporlar sunmak (örneğin, yatırımcılara bir kuruluşun maruz kaldığı risk konusunda yanlış bir güven duygusu vermek) yatırımcılara yalan söylemekle eşdeğerdir. Ve bu raporlardan sorumlu tutulan rol gereği, CISO’lar doğrudan ateş hattında olacak. Bilinen siber güvenlik riskleri ve güvenlik açıklarıyla ilgili dolandırıcılık ve iç kontrol başarısızlıkları nedeniyle SEC tarafından CISO’ların suçlandığını zaten gördük ve bu muhtemelen daha da artacak. Özellikle de şu ana kadarki 8-K raporlarının, kuruluşların ve yatırımcılarının karşı karşıya olduğu gerçek tehdit düzeyini önemli ölçüde eksik gösterdiği ortaya çıkarsa.
Gerçeğin altın kaynağını bulmak
Sonuçta SEC’in düzenlemeleri daha fazla şeffaflık sağlıyor ve yatırımcılara bir kuruluşun siber risk duruşu ve gerçekte neye yatırım yaptıkları konusunda daha kapsamlı bir resim sunuyor. Ancak bu, bazı CISO’ları hassas bir duruma sokacaktır. Yatırımcılar kötü bir duruş olarak gördükleri durumdan vazgeçecek olsa da, SEC yanlış raporlar karşısında sert bir tavır takınacak. Ancak bu, CISO’ların kazanılamaz bir Catch-22’de olduğu anlamına gelmiyor.
Bunun yerine, riskler arttıkça CISO’ların doğru ve iyi niyetli raporlama yaptıklarından emin olmak için güvenebilecekleri bir kayıt sistemine ihtiyaçları var. İşletme genelindeki her varlığın (nerede bulunduğu, kimin sahibi olduğu ve güvenliğinden kimin sorumlu olduğu) birleşik bir görünümü, CISO’ların ışıkları açmasına olanak tanıyacaktır. Riski ölçmek, boşlukları kapatmak ve yönetim kuruluna ve ERM ekibine anlayacakları bir dilde bir hikaye anlatmak için bu bağlamsal verilere dava açabilirler.
Bunun sonucu, CISO’ların güvenliği teknik ve teknik olmayan paydaşların diline çevirerek meslektaşlarını sorumlu tutabilecekleri bir hesap verebilirlik kültürü olmalıdır. Her biri aynı altın gerçek veri kaynağına ilişkin kendi ilgili görüşüne sahip olacak ve CISO’lar bunu eylemlerine rehberlik etmek için kullanabilir.
CISO’lar daha sonra kendilerini her yönden koruyabilirler: risk duruşunu iyileştirmek için her adımı attıklarını göstermek, bu gelişmiş duruşu yatırımcılara göstermek ve SEC’e en doğru resmi sunmak.
EDİTÖRÜN NOTU: Cyber Defense Dergisi’nin bu sayısının yayınlanmasından önce SEC’in davasının büyük bir kısmı Federal Bölge Mahkemesi tarafından reddedilmişti. https://www.msn.com/en-us/money/companies/solarwinds-defeats-part-of-sec-s-fraud-case-over-hack/ar-BB1qedHX
ABD Bölge Yargıcı Paul Engelmayer şöyle yazdı: “SEC’in SolarWinds’in hissedarlara saldırının tüm kapsamını açıklamadığı yönündeki iddiası “geriye dönük görüş ve spekülasyona dayanıyordu” diye yazdı. Ancak yargıç, SolarWinds’in saldırıdan önce siber güvenlik savunmaları ve riskleri hakkında yaptığı diğer iddialara dayanarak ajansın davasının devam etmesine izin verdi.”
Yazar Hakkında
Önde gelen bir siber güvenlik analiz platformu olan Panaseer’de Müşteri Direktörü olarak Brian Levin, pazarlama, satış ve müşteri başarısı için pazara giriş (GTM) stratejisine ve uygulamasına liderlik ediyor. Erken aşamadaki B2B SaaS şirketlerini ölçeklendirme konusunda 15 yıldan fazla deneyime sahip olup, 4 milyon ABD doları ile 150 milyon ABD doları arasındaki ölçeklerde yıllık %30-200 büyüme oranlarına ulaşmaktadır. Brian’a çevrimiçi olarak LinkedIn’den ve şirket web sitemiz https://panaseer.com/ adresinden ulaşılabilir.