Bu Help Net Security röportajında, Ulusal Siber Dayanıklılık Merkezi Grubu (NCRCG) CEO’su Dedektif Müfettiş Ian Kirby, ortaya çıkan siber tehditleri ve kuruluşların siber dayanıklılığı artırmak için kullanabileceği stratejileri tartışıyor. Dayanıklı bir organizasyon kültürü oluşturmada temel siber hijyeni, güvenlik farkındalığı eğitimini, çok faktörlü kimlik doğrulamayı ve her düzeyde paydaş katılımını vurguluyor.
Kuruluşların dayanıklılık stratejileri geliştirirken öncelik vermesi gereken en önemli yeni ortaya çıkan siber tehditler nelerdir?
Siber saldırıların gerçekleştirilebileceği sayısız yol var ve teknoloji daha da karmaşıklaştıkça taktikler de gelişmeye devam ediyor. Ancak en yaygın saldırı yöntemleri, önceki veri ihlalleri, varsayılan ayarlar veya kimlik avı saldırıları yoluyla hâlâ güvenliği ihlal edilmiş kimlik bilgilerine dayanıyor. Bu nedenle, temel siber hijyen, siber tehditlerin çoğundan koruma sağlayabilir.
Personel, bir kuruluş genelinde güvenlik farkındalığı eğitimini (SAT) yaygınlaştırarak e-postaların ve web sitelerinin doğruluğunu sorgulamayı öğrenebilir. SAT, yetenek hattımız Cyber PATH aracılığıyla sunulan ve işletmelerin ağımızla giderek daha fazla iletişim kurduğu bir şey olan, en çok aranan siber dayanıklılık hizmetlerinden biridir.
Benzer şekilde, bir kuruluş genelinde çok faktörlü kimlik doğrulamayı zorunlu kılarak, bir e-posta ve şifre ele geçirilse bile kuruluşun sistemlerine erişimin kilidinin açılmamasını sağlayacaktır.
CISO’lar siber dayanıklılık yönetiminin bir kuruluşun tüm seviyelerine etkili bir şekilde entegre edilmesini nasıl sağlayabilir?
CISO’ların, siber dayanıklılığın yalnızca BT departmanının değil, aynı zamanda kuruluş genelindeki herkesin sorumluluğu olduğuna meslektaşlarını ikna etme konusunda çoğu zaman çok zor bir işi vardır. Siber dayanıklılığın tüm düzeylere başarılı bir şekilde entegre edilmesinin tek yolu, işletmedeki her bireyin bu konuda bir miktar sahiplik hissetmesidir.
CISO’ların ulaşmaları gereken hedef kitleyi bölümlere ayırabilmeleri ve siber mesajları en yeni çalışanlardan yönetim kurulu düzeyindekilere kadar bu hedef kitlelere göre uyarlayabilmeleri çok önemlidir. Örnek olarak sahadaki çalışanların ilgisini ve desteğini kazanmak için, temel siber hijyenin yalnızca işlerine değil, aynı zamanda kişisel yaşamlarına da fayda sağladığını ve hem kendilerini hem de iş hayatlarını korumalarına yardımcı olacağını açıkça belirtmek faydalı olabilir. aileler çevrimiçi ortamda güvende.
Her organizasyonda işin her seviyesinde kilit etki sahibi kişiler olacaktır. CISO’lar, bu bireylere doğrudan yaklaşarak temel motive edici unsurları belirleyebilir, engelleyici unsurları anlayabilir ve iş çapında destekçi kazanmalarını sağlayabilir.
Son zamanlardaki yüksek profilli siber ihlallerden, işletmelerde siber dayanıklılığın artırılmasına yardımcı olabilecek hangi dersleri öğrendiniz?
Başarılı ihlallere ilişkin son örnekler, bir işletme içinde kimin (yazılım dahil) neye erişime sahip olduğunu ve bu işletmenin ne gibi bağımlılıklara sahip olduğunu bilmenin önemini göstermiştir. Bunu çözmek oldukça basit görünüyor, ancak bir tedarikçinin kendi tedarikçileri olduğunu ve onların da kendi tedarikçilerine sahip olduğunu düşündüğünüzde zincir sonsuz görünebilir.
Tedarik zinciri yönetimi bu nedenle işletmeler için yaygın bir husus haline geliyor. Büyük şirketlerin binlerce potansiyel tedarikçisi olabilir ve bu tedarikçilerin her biri bir saldırı vektörü olma potansiyeline sahiptir.
Bu her derde deva olmasa da işletmelerin uyguladığı taktiklerden biri, birlikte iş yapmanın ön koşulu olarak tedarikçilerinden Cyber Essentials gibi sertifikalar almalarını istemektir. İngiltere ve Galler’de bulunan polis liderliğindeki Siber Dayanıklılık Merkezleri ağımızın Birleşik Krallık’taki işletmelere yardım ettiği yer burasıdır. Dokuz bölgesel merkez, temel hijyen gerekliliklerini yerine getirmek için kendi bölgelerindeki daha küçük kuruluşlarla birlikte çalışıyor ve bu da tedarik zincirinin genel olarak güçlendirilmesine yardımcı oluyor. Yeni ve yenilikçi bir yaklaşım olup, uluslararası alanda ilgiyle izlenen bir modeldir.
Sağlam bir siber direnç stratejisi geliştirmede paydaş katılımı (hem iç hem de dış) ne kadar kritiktir?
‘Hiç kimse ada değildir’ şiiri günümüzün dijital ve birbirine bağlı dünyasına çok uygundur. Bir diğeriyle bir şekilde bağlantılı olmayan çok az işletme var ve bu nedenle siber dayanıklılığı siloda düşünmek hem etkisiz hem de yararsız.
Bir siber dayanıklılık stratejisi oluştururken işletmelerin iç ve dış bağımlılıklarını tam olarak anlamaları gerekir. Bir işletmenin bir siber saldırı durumunda aksama süresinden sağ çıkabilmesi ancak bu bağımlılıklarla başa çıkmasıyla mümkündür.
Bir işletme başkalarına hizmet tedarikçisi ise, müşterilerinin beklentileri ve hizmetleri zamanında veya hiç sağlayamamaları durumunda sorumluluklarının ne olacağı konusunda net olmaları gerekir.
İşletmelerin kendi içlerine bakıldığında, işlerin normal seyrine sorunsuz ve hızlı bir şekilde dönebilmesi için hangi sistemlerin kurtarılmasında en yüksek önceliğe sahip olduğu konusunda anlaşmaya varılması gerekiyor. Çoğu durumda, sistem kurtarmanın kıdem sırasına göre yapılması pek mantıklı olmayabilir, ancak işletmeler yaklaşımlarını planlayıp haritalandırmadıkça, bir siber ihlal sırasında büyük olasılıkla bu gerçekleşecektir.
Kuruluşlar siber dirence hazır olma durumlarını etkili bir şekilde nasıl ölçebilir ve test edebilir?
Kuruluşun büyüklüğüne, sektörüne ve olgunluğuna bağlı olarak siber dayanıklılığı ölçmenin ve test etmenin birkaç yolu vardır. Bazı kuruluşlar diğerlerinden daha yüksek gerekliliklere uymak zorunda kalacak veya farklı düzeylerde risk iştahına sahip olabilecektir.
Her işletmenin kendine sorması ve doğru bir şekilde cevaplayabilmesi gereken ilk soru şudur: ‘Hangi dijital varlıklara sahibiz ve bunlara kimin erişimi var?’ Bir kuruluş her açıdan dayanıklı olduğuna inanabilir, ancak herkesin unuttuğu, herhangi bir güncelleme veya yama olmadan çalışan on yıllık bir bilgisayarı varsa, bu önemli bir güvenlik riski oluşturur.
Kuruluşlar, siber dayanıklılığı sağlamak için gösterdikleri çabaları kamuya açık bir şekilde göstermelerine yardımcı olmak için akreditasyonlar alabilir ve bunlar aynı zamanda bir düzeyde dışarıdan inceleme de sağlar. Bununla birlikte, genellikle yalnızca kuruluşun yeni bir ekipman veya yazılım parçası sunması durumunda güncelliğini yitirebilecek belirli bir noktaya ilişkin ölçüm sağlarlar.
Herhangi bir BT veya siber dayanıklılık politikasının etkili ve güncel kalmasını sağlamak için kuruluşların, yangın alarmlarını test ettikleri şekilde yıl boyunca düzenli kontrol noktaları oluşturmaları tavsiye edilir.
Tüm organizasyon düzeylerinde siber dayanıklılık kültürünü teşvik etmek ne kadar önemlidir ve bunu başarmak için en iyi uygulamalar nelerdir?
İşletmelerin siber suçlardan kaynaklanan riski azalmadı ve işletmelerin yalnızca saldırıları engellemek için değil, aynı zamanda bir saldırı başarılı olursa etkili bir şekilde yanıt vermek için de hazırlıklı olmaları gerekiyor.
Bu, işletmedeki her kişinin siber dayanıklılığın kendi sorumlulukları dahilinde olduğunu anladığı ve siber hijyen makinesinin hayati bir dişlisi olduklarını takdir ettiği bir kültür yaratmaya kadar uzanıyor. Güvenlik farkındalığı eğitimi bunun anahtarıdır.
Her ekipteki her çalışan, şüpheli etkinlikleri veya e-postaları nasıl rapor edeceğini bilmeli ve bunun, azarlanma korkusuyla gizli tutulması gereken bir şeymiş gibi hissetmek yerine, bunu hemen yapabileceğinden emin olmalıdır.
Her departman, kendi ekibindeki küçük görünen bir ihlalin veya zayıf siber uygulamanın kuruluşun geri kalanını nasıl etkileyebileceğini de takdir etmelidir. Örnek olarak, kuruluşların İK’yı siber dayanıklılıkta kilit bir paydaş olarak görmesi henüz standart bir uygulama değildir ve yine de kesinlikle öyle olmalıdır. Bir çalışanın şirkete katılması veya şirketten ayrılması durumunda, onların işe alım ve işten ayrılmalarında destek olacak ve şirketin sistemlerine erişim sağlandığında ve iptal edildiğinde yönlendirme yapacak olanlar İK meslektaşlarıdır.
Siber dayanıklılık, tıpkı sağlık ve güvenliğin olduğu gibi, günlük bir düşünce ve konuşma haline gelmelidir. Tıpkı evden çıktığınızda ön kapıyı kilitlediğiniz gibi, tüm kuruluşların çevrimiçi evlerini koruma konusunda proaktif olmaları gerekir.