YORUM
Veri güvenliği, her zaman açık ve her zaman bağlantılı bir dünyada işletmeler için önde gelen bir zorluk olmaya devam ediyor. Gelen verilere göre Qualys’in 2023 tehdit ortamı yılı inceleniyor2022’de 25.050 olan güvenlik açığı 2023’te 26.447’ye yükseldi. Bu, güvenlik açıklarının arttığı yedinci yıl oldu. Yüksek riskli olarak sınıflandırılanların yaklaşık %25’i için bilgisayar korsanları, ifşa edildikleri gün içinde istismar araçları yayınlıyor. Ne yazık ki bu rakamlar şaşırtıcı değil.
ABD kuruluşları için devam eden bu eğilimi ele almak amacıyla Menkul Kıymetler ve Borsa Komisyonu (SEC) yakın zamanda halka açık şirketlerin maddi etkisi olan siber saldırıları raporlamasını gerektiren yeni kuralları kabul etti. Bunun yapılmaması büyük ihtimalle mali cezalara ve itibar kaybına yol açacaktır.
Bu kurallar şirket paydaşlarını korumak için tasarlanmış olsa da bundan potansiyel olarak yararlanabilecek başka bir grup daha var: Tehdit aktörleri. Bir örnekte, ALPHV fidye yazılımı çetesi yeni kurallardan yararlanmaya çalıştı Kurbanların fidye ödemesini sağlamak için. Grubun 7 Kasım 2023’te MeridianLink’in ağını ihlal ettiği ve sistemleri şifrelemeden şirket verilerini çaldığı iddia edildi. Fidye için MeridianLink’ten şantaj yapmaya çalışırken şirketin yanıt vermemesi, bilgisayar korsanlarının MeridianLink’in “müşteri verilerini ve operasyonel bilgilerini” etkileyen siber güvenlik olayını açıklamaması konusunda doğrudan SEC’ye şikayette bulunarak daha fazla baskı uygulamasına neden oldu. ALPHV daha sonra MeridianLink’i taleplerine uymaya daha da zorlamak için SEC’in şikayetini ve otomatik yanıtını web sitesinde yayınladı.
SEC kuralları henüz yürürlüğe girmemiş olsa da MeridianLink, olayın “minimum düzeyde iş kesintisine neden olduğunu” açıkladı; ancak bu, halka açık şirketlere işlerin nasıl ilerleyebileceğine dair bir fikir veriyor. Bu, fidye yazılımı gasp taktikleri dünyasındaki rahatsız edici bir eğilim tarafından da desteklenmektedir; son beş yılda, bilgisayar korsanları verileri fidye yazılımı kötü amaçlı yazılımıyla şifrelemekle kalmayıp aynı zamanda verileri sızdırmakta, yetkisiz açıklamalarda bulunmakta ve izinsiz girişi ve verileri herhangi bir şekilde silah haline getirmektedir. para çekmek mümkün.
Buna yanıt olarak, halka açık şirketlerin, bu yaklaşımı kullanmayı planlayan tehdit aktörlerine karşı yeniden üstünlük sağlayabilmesinin bazı yolları şunlardır:
Siber Güvenlik Konusunda Proaktif Olun
Yeni SEC kurallarının yürürlüğe girmesiyle halka açık şirketlerin maddi etkisi olan siber saldırıları bildirme zorunluluğu bulunuyor. Bu aynı zamanda hissedarlarına karşı kendi organizasyonlarında siber güvenliğe öncelik verme yükümlülükleri olduğu anlamına da geliyor. Büyüklüğü ne olursa olsun tüm kamu şirketlerinin siber güvenlik konusunda proaktif düşünmesi gerekiyor. Eğer hazırlıklı değilseniz bir siber saldırıya yanıt vermek çok daha zordur ve bir ihlali ve itibar kaybını takip etmekten çok daha uygun maliyetlidir. Siber riski gerçek zamanlı olarak ölçebilen, iletebilen ve ortadan kaldırabilen en yeni siber güvenlik teknolojisinin ötesinde, düzenli sızma testleri ve kırmızı ekip testleri yapmak ve ayrıca tüm çalışanları ve yüklenicileri siber güvenliğin en iyi uygulamaları konusunda kapsamlı bir şekilde eğitmek önemlidir. Tehdit ortamı sürekli olarak gelişmektedir; bu nedenle kuruluşlar, çalışanlarının bilgilerini sürekli olarak artırdığından emin olmalıdır. Ayrıca aşağıdakileri takip ederek SolarWinds’in CISO’su ve CFO’su hakkında dava Son dönemde yaşanan siber olaylarda, bilgi güvenliği sorumlularının siber güvenliğin kişisel sorumluluğunu üstlenmesi gerekiyor. Bu artık sadece ticari bir risk değil, aynı zamanda kişisel bir sorumluluktur.
Kapsamlı bir Olay Müdahale Planı Geliştirin
Siber güvenlik konusunda en ileri düzeydeki kuruluşlar bile bir siber saldırının kurbanı olabilir; bu nedenle, çeşitli durumlarda nasıl tepki vereceğinizi özetleyen bir planınızın olması kritik önem taşır. Yeni SEC kuralları, olay müdahale planlarına belirli sınırlamalar getiriyor ancak bir sorunun keşfedilmesiyle SEC’e rapor edilmesi arasında dikkate alınması gereken hala çok şey var. İyi hazırlanmış ekipler genellikle bir siber saldırının zararını, onu hızlı bir şekilde tanımlayarak, kontrol altına alarak ve etkisi tüm kuruluşta hissedilmeden önce düzelterek sınırlayabilir. Ne olursa olsun, şirketlerin sorunları hızlı bir şekilde ele almaya hazır, kiminle iletişime geçeceğini ve sorumluluklarının ne olduğunu hemen bilen özel bir olay müdahale ekibine sahip olması gerekir. Bunun bir parçası olarak, ALPHV gibi bir tehdit aktörünün, iddialarının geçerliliği olsun ya da olmasın, kendilerini vaktinden önce ifşa etmesine hazırlıklı olmaları gerekiyor. Kuruluşların ayrıca herhangi bir senaryoda şeffaflık düzeyini ve çok erken paylaşımda bulunmanın gereksiz paniğe neden olup olmayacağını veya tehdidi daha verimli bir şekilde ortadan kaldırmalarına yardımcı olup olmayacağını belirlemeleri gerekecektir. Şirketler bu senaryoları gerçek bir hedef haline gelmeden önce stres testine tabi tutmalıdır.
Öğrendiklerinizi Paylaşın ve Birlikte Çalışın
Bir siber saldırının kurbanı olmak acı verici bir deneyimdir ancak siber güvenlik topluluğundaki diğer kişilerin de faydalanabileceği bir deneyimdir. Tehdit aktörlerini ileriye doğru etkisiz hale getirmek için sektörün proaktif bir şekilde birlikte çalışması gerekir ve bu genellikle kendi deneyimlerinizin zor ayrıntılarını başkalarıyla paylaşmak anlamına gelir. Tehdit aktörleri, üretken yapay zeka gibi yeni araçlarla daha fazla şeyi duvara fırlatıyor ve bazılarının kalıcı olacağını ve kazançlı bir maaş gününe yol açacağını umuyor. Ayrıca ilk erişimi kazanmak ve ağlar içinde yanal hareket etmek için daha karmaşık yaklaşımlar geliştiriyorlar.
İleriye bakmak
Hiçbir kuruluş bir siber saldırının kurbanı olmak istemez ve dahası, bununla birlikte anlatının kontrolünü de kaybetmek istemez. SEC’in yeni kuralları kurumsal ve kişisel hesap verebilirliği artırıyor ve daha fazla şeffaflığı ön plana çıkarıyor ancak aynı zamanda tehdit aktörlerinin mağdurları korkutup istediklerini elde etmeleri için bir fırsat. Halka açık şirketlerin üstünlüğü yeniden kazanabilmesi için siber güvenliğe öncelik vermeleri ve proaktif olmaları, bir olay meydana gelmesi durumunda nasıl müdahale edeceklerine dair net bir plana sahip olmaları ve uygun olduğunda deneyimlerini paylaşmaları ve siber güvenlik topluluğuyla çalışmaları gerekiyor. Tehdit aktörlerine karşı daha güçlü stratejik savunmalar oluşturmak.
Bugünün dünyası, beş ya da 10 yıl öncesinden çok farklı görünüyor ve halka açık bir şirket olmak, her zamankinden daha fazla sorumluluk gerektiriyor. Artık mükemmel siber hijyen, sahip olunması gereken bir şey değil, her gün gerçekleştirilen amansız siber saldırı yağmurunda hayatta kalmak isteyen kuruluşlar için bir zorunluluktur.