‘Siber güvenlik yoksulluk sınırı’, on yıldan fazla bir süre önce Cisco güvenlik lideri Wendy Nather tarafından ortaya atılan bir terimdi. Yeterli siber koruma için kaynak “eşiği” olarak tanımlandığını sıklıkla duyarız. Sınırın altındaki şirketler, kendilerini siber suçluların oluşturduğu sürekli tehditlere karşı uygun şekilde koruyacak bütçeye, kaynaklara ve becerilere sahip değil. Çizginin üstünde olanlar kendilerini makul bir şekilde koruyacak kaynaklara ve uzmanlığa sahiptir. Finansal hizmetler, sağlık hizmetleri ve savunma gibi en olgun BT ortamlarına sahip en büyük kuruluşları içerirler.
Yoksulluk sınırının altında olan ve bundan acı çekenlerin küçük işletmeler olması şaşırtıcı değildir. Accenture’a göre siber saldırıların %43’ü küçük işletmeleri hedef alıyor ancak yalnızca %14’ü kendilerini koruma becerisine sahip. Siber suçlular, kaynak ve uzmanlık eksikliğinden dolayı küçük kuruluşları zayıf meyveler olarak görüyor; sonuç olarak saldırıya uğrama olasılıkları daha yüksektir ve saldırılar (çoğunlukla) başarılı olur. Bazen bu küçük şirketlere yönelik bir fidye yazılımı saldırısı, o kadar düşük ve nispeten uygun fiyatlı fidye ödemeleri gerektirebilir; hızlı ve sessiz bir şekilde ödeme yapmaları çok daha kolay hale gelir. Bu ortamda, bir şeyler değişmediği sürece küçük işletmeler her zaman geride kalacak.
Beceriler, araçlar ve sigorta
Siber güvenlik yoksulluk sınırı, yetenekli insanları işe alma, bu insanları elde tutma gibi birçok zorlukla birlikte araç, sigorta ve daha birçok maliyetle belirleniyor. Bu sorun giderek büyüyor gibi görünüyor.
Yetenekli ekip üyelerine yönelik rekabetin zorlu olduğu bir sır değil. Personeli işe almak ve elde tutmak için yoğun yatırım yapacak kaynaklara sahip olmayan kuruluşlar, üst düzey yetenekleri karşılayabilen ve potansiyel çalışanların ilgisini çeken olgun güvenlik programlarına sahip olan daha büyük ve daha iyi finanse edilen kuruluşlar karşısında kaybediyor. Edinilmesi pahalı ve etkili bir şekilde uygulanması zor olabilen siber güvenlik araçlarında da benzer bir durum söz konusudur.
Aynı zamanda, artan siber sigorta primleri de herhangi bir yavaşlama belirtisi göstermiyor. Yine küçük şirketler fiyatlandırılıyor ve sonuç olarak siber saldırılara karşı daha savunmasız hale geliyor. Bazı durumlarda yoksulluk sınırının altındakiler bu sorunun boyutunun farkında bile olmayabilir.
Siber güvenlik yoksulluk sınırının, eşiğin üstünde veya altında olmasına bakılmaksızın tüm kuruluşları etkilediğini unutmamak önemlidir. Bu küçük şirketler genellikle daha büyük, daha olgun organizasyonlara sahip daha geniş tedarik zincirlerinin parçasıdır. Verilerin kurumsal uygulamalar arasında aktarıldığı BT ekosistemlerinin bir parçasıdırlar. Eşiğin altındaki şirketler, suçluların yoksulluk sınırının üzerindeki şirketleri ihlal etmek ve sömürmek için kullandıkları, girilebilir arka kapı haline gelebilir. Dolayısıyla bu sorun er ya da geç herkesi etkiliyor.
Ancak büyüklüğü ne olursa olsun bir kuruluşun siber güvenlik duruşunu önemli ölçüde iyileştirmek için çok büyük kaynaklara veya uzmanlığa gerek yoktur.
Temel konularda mükemmellik
Önemli olan, siber güvenliğe, temelleri iyi, tutarlı ve geniş ölçekte yapmayı vurgulayan “temel konularda mükemmellik” zihniyetiyle yaklaşmaktır. Siber ortam, yönetilecek sayısız çözümle birlikte çeşitli tehditlerin karmaşık bir karışımı olsa da, öncelikle en temel sorunları nasıl çözeceğimize bakmamız ve bunu iyi ve tutarlı bir şekilde nasıl yapacağımıza bakmamız gerekiyor.
Görünüşe göre temeller, ilerlemenin çoğunun (tüm kuruluşlar için) yapıldığı yerdir. Yıllar süren olay ve ihlal verilerinden (diğerlerinin yanı sıra Verizon’un Veri İhlali Araştırma Raporunda belirtildiği gibi) çoğu siber saldırının, bilinen çözümlerin (örn. yamalar) bulunduğu bilinen güvenlik açıklarından ve ayrıca ortak işletim sistemleri ve uygulamaların yanlış yapılandırmalarından yararlandığını biliyoruz. ve temel güvenlik kontrollerinin yanlış yönetilmesi.
Kaynakları kısıtlı kuruluşlar için temel siber hijyene odaklanmak, güvenlik duruşlarını anlamlı bir şekilde iyileştirmenin en etkili yoludur.
Saygın çerçevelerde tanımlanan öncelikli güvenlik kontrolleri başlamak için iyi bir yerdir. Örneğin İnternet Güvenliği Merkezi, Kritik Güvenlik Kontrollerini Grup 1: Temel Siber Hijyen’den başlayarak Uygulama Gruplarına göre organize etmiştir. Kuruluşlar, temel kontrolleri bu şekilde uygulayarak savunma duruşlarını iyileştirme konusunda daha üretken, odaklanmış ve artan bir yaklaşım benimseyebilir. NIST ayrıca kuruluşların siber güvenlik çabalarını anlayabilmelerini, değerlendirebilmelerini, önceliklendirebilmelerini ve iletebilmelerini sağlamaya yönelik çerçeveyi desteklemek amacıyla daha iyi bir güvenlik kültürü oluşturmaya yönelik düzenli olarak kılavuz kitaplar yayınlamaktadır.
NIST’in bir programı olan Ulusal Siber Güvenlik Eğitimi Girişimi (NICE), ‘sıradan çalışanların’ kuruluşlarının siber güvenlik duruşuna katkıda bulunmasını sağlama konusunda rehberlik sağladı. Güvenlik, işbirliği yapan profesyonellerden oluşan bir topluluk olarak uygulanan ortak bir sorumluluk olmalıdır.
Bu, bir işletme genelinde rutin güvenlik farkındalığı eğitimini ve kurumsal cihazlarla veya kişisel cihazlardaki kurumsal bilgilerle etkileşimde bulunan herkese veri yönetiminin temellerini öğretmeyi içerir. Günümüzün kuruluşları, düzenli olarak temizlenmesi ve artık ihtiyaç duyulmadığında silinmesi gereken çok fazla veri depolamaktadır; bu, güvenlik kontrollerinin ortak uygulanması için başka bir alandır. Veri gizliliği ve korumasına ilişkin en iyi uygulamaları anlamak, bir kuruluş için minimum maliyetle siber güvenlik üzerinde büyük bir etkiye sahip olabilir.
En kötüsüne hazırlanıyoruz
Her kuruluşun en iyi siber uzmanlığa sahip olmasını bekleyemeyiz. Bununla birlikte, temel ilk yardım ve CPR gibi, temel becerilerin ve eylemlerin geniş çapta uygulanması büyük bir etkiye sahip olabilir (evet, birisi kalp krizi geçirdiğinde acil bir durumda ortaya çıkacak yüksek eğitimli sağlık görevlilerine ihtiyacımız var, ancak kesinlikle yapabileceğiniz şeyler var) onların gelmesini beklerken bunu yapın, bu büyük fark yaratabilir).
Siber güvenlik yoksulluk sınırının altında olanların koruma durumunu önemli ölçüde iyileştirebilecek olan da bu temel siber hijyendir. Sınırlı kaynaklar ve uzmanlıkla mücadele etmeye devam edecek kuruluşlar için, sıradan çalışanları desteklemekten etkili veri yönetimini anlamaya kadar temellere geri getirmek, güvenliğe yönelik gerçekçi bir yaklaşımdır. Bu sorunun ele alınması, yalnızca küçük oyuncuların değil, tüm sektörlerin siber dayanıklılığının artırılması açısından hayati önem taşıyacaktır.
Reklam