Menkul Kıymetler ve Borsa Komisyonu’nun yanıltıcı siber güvenlik açıklamaları nedeniyle SolarWinds’e açtığı dava sadece manşetlere çıkmakla kalmadı, tarih yazdı. Bu dava, özellikle kamu şirketleri ve devlet yüklenicileri için siber güvenlikle ilgili düzenleyici beklentiler ve uygulamalarda sismik bir değişimi temsil ediyor.
Hassas verileri işleyen kuruluşlar artık, zorunlu minimum siber güvenlik standartlarını karşılamanın güvene dayalı görev ve federal yükleniciler için ulusal güvenlik açısından gerekli olduğu yeni bir hesap verebilirlik ve inceleme dönemiyle karşı karşıyadır.
Hata yapma; bu sadece SEC’in düzenleyici gücünü göstermesi değil. SolarWinds, siber güvenlik gerekliliklerini uygulamaya yönelik koordineli bir federal girişimin açılış salvosudur. Herkesin beklediği kumsaldaki çizgi nihayet çekildi.
Kumdaki Çizgi
Pratik olarak bu, halka açık şirketlerdeki bilgi güvenliği yöneticilerinin (CISO’lar) siber güvenlik programlarını tasarlama, uygulama ve yönetme konusunda çok daha düşünceli ve belgeli olmaları gerektiği anlamına geliyor. Mali işler müdürleri tarafından yapılan açıklamalara, oluşturulan raporlara ve yayınlanan görüşlere benzer şekilde, CISO’ların da omuzlarında artık benzer bir yük var. Bazıları bunu memnuniyetle karşılayabilir, çünkü onlar yıllardır masada oturmayı savunuyorlar. Bu iyi bir haber Ve Kötü haber: Masada yerinizi aldınız ve bu sorumlulukla birlikte geliyor.
Savunma Bakanlığı’ndaki (DoD) federal yükleniciler, hükümetin siber güvenlik uyumluluğunu sağlamak için ne kadar ileri gitmeye istekli olduğunu görmek için bekliyorlar. Savunma Bakanlığı, savunma sanayii tabanındaki ana yüklenicilerin ve alt yüklenicilerin yıllardır federal bir veri tabanına uyumluluk puanları girerek siber güvenlik seviyelerini kendilerinin doğrulamasını zorunlu kılıyordu. Merrill Research tarafından yürütülen bir araştırma, yüklenicilerin yalnızca %36’sının bu puanları sunduğunu ortaya çıkardı; bu, geçen yılın açılış raporuna göre 10 puanlık bir düşüş anlamına geliyor.
Risk Çözümü
Bazı şirketler, hükümet adına bildirilen puanları doğrulayacak aktif bir program bulunmadığını ve dolayısıyla siber güvenlik riskinin yanlış raporlanmasının herhangi bir sonucu olmadığını bilerek, basitçe mükemmel puanlar girme yaklaşımını benimsemiştir. Bu SEC davası, savunma sanayii tabanındaki halka açık şirketleri anında açığa çıkarıyor ve mevcut siber güvenlik talimatlarına uyumu doğru bir şekilde raporlamazlarsa birçok ek yasal risk ortaya çıkıyor.
Örneğin daha geçen yaz Aerojet Rocketdyne, Adalet Bakanlığı’nın şirketin güvenlik duruşunu bilerek yanlış beyan ettiğini söylediği Yanlış İddialar Yasası davasını sonuçlandırmak için 9 milyon dolar ödemeyi kabul etti.
Merrill Research çalışması, birçok müteahhidin kazançlı sözleşmeler imzalamalarına rağmen uymak zorunda olduklarını düşünmediklerini gösterdi zorlayıcı uymaları. Örneğin, yanıt verenlerin yalnızca %19’u güvenlik açığı yönetimi çözümlerini uyguladı ve %25’i, her ikisi de Savunma Bakanlığı’nın gerektirdiği güvenli BT yedekleme çözümlerine sahip. Ancak %40’ı yasanın gerektirdiğinin ötesine geçiyor ve Federal İletişim Komisyonu’nun (FCC) ulusal güvenlik riski olarak tanımladığı Huawei Technologies ürünlerinin kullanımını açıkça reddediyor.
Uyumluluğun sağlanamaması veya güvenlik duruşunun yanlış sunulması, mevcut ve gelecekteki hükümet sözleşmelerinin kaybına neden olabilir; bu da gelire ve hissedar değerine büyük bir darbe indirir.
Ancak zarar, hukuki ve mali sonuçların çok ötesindedir. Yükleniciler için zayıf siber güvenlik, potansiyel olarak kritik Amerikan teknolojisini, silah sistemlerini ve diğer ulusal güvenlik varlıklarını Çin, Rusya, İran ve Kuzey Kore gibi gelişmiş yabancı düşmanların eline bırakabilir. Yaşamlar ve jeopolitiğin geleceği tehlikede.
Boeing’in fidye yazılımı çetesi LockBit tarafından ihlal edildiği iddiası aciliyetin altını çiziyor. Yüklenicilerin artan siber güvenlik gereksinimleri karşısında karşılaştığı siber riskleri vurguluyor. Gerçek şu ki, kararlı ve bilgili düşmanlar sürekli olarak hassas hükümet ve ticari verilere erişim arayışındadır ve tüm bu bilgileri korumak için en iyi şansımız olan siber güvenlik gerekliliklerinin geliştirilmesinde yıllarca süren kamu-özel sektör ortaklığı harcanmıştır.
Beklemede olan bir federal yasa olan Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) 2.0 programı, yaklaşık on yıl öncesine ait 1 milyondan fazla sözleşmede mevcut olan zorunlu siber güvenlik minimumlarına uygunluğu zorunlu kılarak ve denetleyerek yakında yüz binlerce Savunma Bakanlığı yüklenicisini etkileyecektir. En kötü senaryoda, halka açık bir savunma yüklenicisinin uyumluluk denetiminde başarısız olduğu ancak daha önce tam uyumluluğu bildirdiği tespit edilirse, artık SEC tarafından işlem başlatılacak.
Güvenlik konusunda ciddi bir taahhüt olmaksızın uyumluluk kutularını kontrol etme dönemi sona erdi. SEC, kamu şirketlerinin ve hatta belirli yöneticilerin artık hukuk ve ulusal güvenlik meselesi olarak siber güvenlikten sorumlu tutulacağını gösterdi. Yarım tedbirler ve gizleme, kuruluşları önemli sorumluluklarla karşı karşıya bırakacaktır. Paydaş verilerini, yatırımı, güveni ve rekabet avantajını korumak için yöneticilerin siber güvenliği birinci öncelik haline getirmesi gerekiyor. Hükümet şaşmaz bir mesaj verdi; artık “güven ama doğrulama” yaklaşımını benimsemeye istekli değil.