Bilgi Komisyonu Ofisi (ICO) ve Ulusal Siber Güvenlik Merkezi (NCSC) gibi kuruluşların, bir siber saldırının ardından açıklık ve şeffaflığın doğru seçim olduğuna ve işbirliğinin düzenleyici cezaların ciddiyetini azaltabileceğine dair geniş ipuçlarına rağmen, Bir rapor, kurbanların öne çıkma zamanı geldiğinde hâlâ korkudan felç olduklarını ortaya çıkardı.
BT ve güvenlik ekibi liderleriyle yapılan bir çalışmada, Siber güvenlik felaketleri anketi: Olay raporlama ve açıklamaKeeper Security, kritik siber olaylar ve fidye yazılımı saldırıları gibi felaketlerle karşılaşan kuruluşların %48’inin bunu ilgili yetkililere bildirmediğini ve %41’inin siber saldırıları yönetim kurullarına bile açıklamadığını ortaya çıkardı; %75’i, bu saldırıları tutmaktan dolayı suçlu hissettiklerini söyledi. sessizlik.
Genel olarak raporun bulguları, kuruluşların saldırılara ve ihlallere nasıl tepki vereceği ve bunları nasıl raporlayacağı konusunda büyük eksiklikler olduğunu ortaya koyuyor; bunların birçoğu sonuçta işletmelerdeki köklü kültürel sorunlara işaret ediyor gibi görünüyor.
Keeper, korku, unutkanlık, yanlış anlama ve zayıf kurumsal siber kültürün bu başarısızlıklara katkıda bulunduğunu söyledi. Diğer şeylerin yanı sıra, BT ve güvenlik profesyonellerinin %43’ü olayların rapor edilmesinin olumsuz sonuçlar doğuracağından korkuyordu, %36’sı raporlamanın gereksiz olduğunu düşünüyordu ve %32’si tamamen unuttuğunu düşünüyordu. Dışarıdan bildirimde bulunulmaması ayrıca kuruluşun itibarının kısa vadede zarar görmesi korkusu ve olası mali cezalarla ilişkilendirilebilir.
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, “Rakamlar, kuruluşların siber güvenlik konusunda ortak bir sorumluluk olan önemli kültürel değişiklikler yapma ihtiyacına işaret ediyor” dedi.
“Sorumluluk en üstte başlar ve liderlik, siber güvenlik olaylarının raporlanmasına öncelik veren bir kurumsal kültür yaratmalıdır, aksi takdirde kendilerini yasal yükümlülüklere ve maliyetli mali cezalara maruz bırakacak ve çalışanları, müşterileri, paydaşları ve ortakları riske atacaklardır.”
Destek için ağlıyorum
Keeper Security raporuna katılanlar aynı zamanda üst düzey liderlerin organizasyona daha fazla ilgi göstermeleri ve saldırıları bildirmek ve saldırılara yanıt vermek için gerekli kaynakları ve desteği sağlamaları konusunda güçlü bir istek duyduklarını da ortaya koydu.
Katılımcıların toplam %48’i, liderliğin bir siber saldırıyı umursamayacağını (%25) ve yanıt vermeyeceğini (%23) düşündüğünü söyledi. Yaklaşık dörtte biri (%22) kuruluşlarının bir ihlali liderliğe bildirecek bir sistemi olmadığını söyledi.
Guccione, mevcut yüksek riskli güvenlik ortamında, olay raporlama konusunda kuruluşların daha fazla şeffaflığı ve dürüstlük duygusunu teşvik etmesinin ve olaylara dönüşen tehditlere karşı koruma sağlamak için en iyi uygulamaları, politikaları ve prosedürleri benimsemesinin kritik hale geldiğini söyledi. ilk başta.
Önleyici tedbirler genellikle uzun vadede hem finansal açıdan hem de marka itibarı açısından daha az maliyetlidir. Raporda, bu nedenle, uygun kimlik bilgileri hijyeni ve yönetiminin uygulanması gibi temel kontrollerin benimsenmesinin yalnızca siber hijyeni iyileştirmekle kalmayıp aynı zamanda işletme içinde daha sağlıklı bir siber güvenlik kültürü yaratılmasına da yardımcı olacağı belirtildi.