Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) direktörü Jen Easterly'nin yakın zamanda yaptığı yorumlardan bu açıkça anlaşılıyor. Çin siber operasyonlarına ilişkin Kongre duruşmasıve bir kaynaktan sızdırılan belgelerden Çinli kiralık hacker Siber güvenlik açıklarına yönelik bir pazara yönelik artan bir tehdit ve talep var. Ancak daha da endişe verici olan, Easterly'nin kötü yazılım tasarımı yoluyla saldırganların işini “kolaylaştırdığımız” değerlendirmesiydi. Sistemlerimizi güvence altına almak ve Easterly ve meslektaşlarının Kongre'de tanımladığı gibi tüm toplumu veya ekonomiyi kapsayan bir saldırıyı önlemek için, siber güvenlik pazarını teknolojiler yaratacak şekilde yeniden şekillendirmek için tüm toplumun çaba göstermesi gerekecek. hem yüksek performanslı hem de güvenlidir.
2023'teki siber güvenlik istatistikleri, bilgisayar korsanları için bunun ne kadar kolay olduğuna dair daha net bir resim çiziyor: Chrome ve Edge'e güç veren motor olan Chromium'da, önceden bilinmeyen sekiz güvenlik açığı (sıfır gün) belirlendi. Kullanıcıları ve ağları güvende tutmak için tasarlanan yazılımlar bile risklerden muaf değildi. CISA 2024’ü bir etkinlikle açtı acil durum direktifi Federal departmanların ve kurumların, çalışanların federal ağlara olan bağlantılarını güvence altına almak için tasarlanmış VPN yazılımındaki bir dizi güvenlik açığını düzeltmesi için. Önümüzdeki aylarda, iSoon gibi şirketlerin hack'lemeleri ve hack'lenmiş veriler için bir pazar yaratması da muhtemel. büyüyen saldırı tehdidi Yapay zekanın ortaya çıkardığı siber savunmayı daha da zorlu hale getirecek.
CISA'nın beyanında belirtildiği gibi Tasarım Açısından Güvenli girişim, satıcılar hem güvenli hem de kullanılabilir teknolojiler yaratmanın ilk adımıdır. Bir ürünün geliştirilmesinin ilk gününden itibaren performansın ve özelliklerin yanı sıra güvenliği de hesaba katmak, yalnızca güvenli bir teknoloji yığını oluşturmaya yardımcı olmakla kalmayacak, aynı zamanda güvenlik özellikleri olarak gizlenen iyi kullanıcı deneyiminin önünde engeller oluşturmak yerine ürünlerin güvenlik ve performansı gerçekten dengelemesini sağlayacaktır. Ancak CISA'nın Secure by Design'ı düzenleyici bir çerçeve olarak hayata geçirme hırsı bile, piyasanın desteği olmadan, en iyi niyetli ve iyi niyetli olanlar bile olsa, durumu cesur ve yapay zeka destekli bilgisayar korsanlarının aleyhine çevirmek için gereken büyük değişikliği yönlendirmek için yeterli değil. -Bilgilendirilmiş düzenlemeler, onaylayan bir kuruluşa dönüşecek.
Siber Risk İş Riskidir
Ekonomimizi ve özel olarak işletilen altyapımızı güvence altına almak için işletmelerin, Easterly'nin ifadesiyle, siber güvenliği tüm iş uygulamalarına dahil ederek “siber riskin iş riski olduğunu” fark etmeleri gerekiyor. İle CISO'ların itibarının arttırılması ve başta satın alma kararları olmak üzere tüm işletmenin bütünsel siber güvenlik gözetimini sağlayan şirketler, siber güvenliği iş süreçlerine organik bir adım olarak dahil edebilir. Bunu yaptığınızda siber güvenlik, iş verimliliğine yönelik son dakika engeli olmaktan çıkıp, hem başarılı hem de güvenli bir teknoloji ekosistemi ve operasyon modeli oluşturmayı kolaylaştırıcı bir unsur haline gelecektir.
Yöneticiler stratejik kararlarında bir faktör olarak siber güvenliğe öncelik verirken, birbiriyle yakından ilişkili ancak sıklıkla çatışan iki grup olan siber güvenlik ve BT profesyonellerinin, kullanıcıları için hem güvenli hem de işlevsel ağlar oluşturmak üzere bir araya gelmeleri gerekiyor. BT profesyonelleri, kullanıcı deneyimi veya ağ verimliliği adına güvenlik kontrollerini atlatmaya yönelik kısayolların şirketleri için gereksiz riskler doğurduğunun farkına varmalıdır; Bunun karşılığında siber güvenlik profesyonelleri, kullanıcılara iyi bir deneyim sunan ve onları teknik risklerden izole eden teknolojiyi proaktif bir şekilde aramalı. Her iki grubun da iş gücü için, çalışanlar çalışırken arka planda çalışan yıllık, üç aylık veya aylık eğitimler yerine, karşılaştıkları risklerin gerçek zamanlı anlaşılmasına ve bu riskler hakkında iyi kararların alınmasını teşvik etmeye dayalı bir eğitim oluşturmak için işbirliği yapması gerekiyor. “gerçek işlerini” yaparlar.
Siber güvenliğe yönelik bütün-toplum yaklaşımının son parçası hem en zor hem de en kritik olanıdır: Siber güvenliği vatandaşların günlük yaşamlarına entegre etmek. CISA ve ABD hükümeti, güvenli gelişim ve güvenli karar alma konusundaki yükün çoğunu şirketlere yüklemiş olsa da, vatandaşların siber güvenlikle ilgili risklerin bireysel kredi kartları ve banka hesaplarının çok ötesine geçtiğini anlamaları gerekiyor. kıyamet senaryosu Eş zamanlı elektrik, su ve iletişim kesintisi bu riskleri odağa getiriyor ve günlük vatandaşların bu senaryonun gelişmesini durdurmak için siber okuryazarlıklarını ve uyumluluklarını artırmaya istekli olmaları gerekiyor. Tıpkı kabul ettiğimiz ve bunlara uyduğumuz gibi aralıksız tonlar Araç kullanırken emniyet kemerlerimizi bağlamamızı hatırlatan bu uyarılar nedeniyle, hassas işlerde ve kişisel kimliklerde çok faktörlü kimlik doğrulama gibi küçük siber güvenlik “dürtülerini” kabul etmeliyiz.
Bir Çin siber saldırısının getirebileceği sonuçları felaketle tahmin etmek kolaydır ve yanıt, dayanıklılık ve kurtarma politikaları hakkında konuşmaya kesinlikle değer. Aynaya bakıp zengin özelliklere sahip teknolojiyi geliştirme, satın alma ve tüketme telaşıyla bunu düşmanlarımız için “kolay” hale getirdiğimizi fark etmek zor. Ancak durum böyle olmak zorunda değil. Birlikte çalışırsak ve siber güvenliği kurumsal ve bireysel düşüncemizin bir parçası olarak entegre edersek, bilgisayar korsanlarının hayatını zorlaştırabilir ve kendimiz için daha güvenli hale getirebiliriz.