Tepsi masalarımız kilitliyse ve el çantalarımız tamamen koltuklarımızın altına saklanırsa, bir uçak kazasında hayatta kalma şansının artacağını düşünen var mı? Emniyet kemerlerimizi belimize güvenli bir şekilde bağlarsak, uçağın bir dağa çarpması durumunda sorun olmayacağını mı sanıyoruz? Uymadığımız takdirde bizi uçaktan atmaktan sorumlu olan uçuş görevlileri bile bu ritüellerin bizi daha güvenli kıldığına gerçekten inanmıyor. Ancak yine de her uçuşta kutuyu işaretliyoruz çünkü bir devlet kurumu bunu yapmadığımız sürece uçamayacağımızı söylüyor.
Siber güvenlikteki kutuları işaretleme takıntısının, kalkıştan önce tepsi masalarımızı güvence altına almaya benzer olup olmadığını merak etmeye başlıyorum. Bize söyleneni yapıyoruz, tüm kutuları işaretliyoruz, kendimizin sırtını sıvazlıyoruz ve bu süreçte kendimizi nihai hedefimiz olan kötü aktörleri durdurmak ve verilerimizi korumaktan uzaklaştırıyoruz.
Yakın zamanda düzenlenen bir bölgesel siber güvenlik konferansına katılanlardan bazılarının başlıklarını tararken, bu biraz endişe verici siber güvenlik topluluğu gerçeği hakkında düşünmeye başladım. Güvenliği uyumlulukla birleştiren başlıkların sıklığı beni şaşırttı. Yani: Yönetici Bilgi Güvenliği ve Uyumluluk, Yönetici, Güvenlik ve Uyumluluk Danışmanlığı, Kıdemli Yönetici İç Kontroller ve Uyumluluk, Kıdemli Müdür – BT Güvenliği ve Uyumluluk (diğerlerinin yanı sıra). Buna ek olarak sayısız “denetçi” unvanı – çeşitli standart gereksinimlerine uygunluğu garanti etmek için özel olarak tasarlanmış roller.
Neredeyse tüm kurumsal ihlaller şu üç yoldan biriyle gerçekleşir ve tüm siber güvenlik uzmanları bunu bilir:
- Düzeltme eki uygulanmamış bir güvenlik açığı
- Kimlik hırsızlığı
- Kötü amaçlı yazılımların yüklenmesi (genellikle kimlik avı yoluyla)
O halde bir deney yapalım. Aşağıdaki durumlarda bir CISO’ya veya deneyimli bir siber güvenlik uzmanına kuruluşlarını bu üç ihlal türüne karşı nasıl savunacaklarını sorun:
1. Standartları ve uyumluluğu tamamen göz ardı edebilirler ve herhangi bir uyumluluk düzeyi için kendilerine itibar edilmez (ve uyumsuzluğun hiçbir sonucu olmaz)
2. Standartlara uygunluk ve denetime ayrılan bütçenin her dolarını diledikleri şekilde yeniden dağıtabilirler
3. Tek hedefleri oyunu kazanmaktı (kötü aktörleri durdurmak ve organizasyonlarının uzlaşma riskini en aza indirmek)
Kaç kişi, kaynaklarını en iyi şekilde kullanmanın bir siber güvenlik standardına uyum sağlamak veya bu standardı korumak olduğuna karar verebilir? Ve kaç tanesi bu uyumluluk ve denetim kaynaklarını daha fazla güvenlik açığını düzeltmek, ek siber güvenlik uzmanlığına yatırım yapmak, dış tehdit ayak izlerini belirleyip azaltmak için araçlara ve kuruluşlarının siber riskini gerçekten azaltmak için sayısız diğer etkili önlemlere yatırım yapacak?
Uyumluluğa bağlılık, herhangi bir ihlale karşı diğer teknolojilerden, stratejilerden veya dualardan daha fazla bir garanti değildir. Yüksek profilli ihlallere maruz kalan uyumlu şirketlerin birkaç örneğini burada bulabilirsiniz (aksi halde bu listeyi oluşturmak için gereken araştırma saatlerinden beni kurtardığı için ChatGPT’ye teşekkürler):
- Equifax (PCI ve NIST CSF)
- Hedef (PCI)
- Marriott (PCI)
- Marş (HIPAA)
- Premera Mavi Haç (HIPAA)
- CareFirst BCBS (HIPAA)
- SolarRüzgarlar (NIST CSF)
Bu elbette kapsamlı bir liste değil. Bana ihlale uğramış büyük bir kuruluş gösterin, ben de size birden fazla uyumluluk standardına bağlı kalan büyük bir kuruluş göstereyim.
Aslında, daha bu ay, birkaç ABD devlet kurumu, dosya aktarım yazılımındaki (sıfır gün de olsa) bir güvenlik açığından yararlanan bir saldırının kurbanı oldu. İhlal edilen kurumların sıkı bir şekilde uyduğu çeşitli düzenlemelerin olduğunu varsaymak doğru olur.
Peki neden siber güvenlik uyumluluğu, standartlar, çerçeveler vb. konularda takıntılı olmaya devam ediyoruz? Bunun bariz nedeni, kuruluşların uyumsuzluk nedeniyle para cezasına çarptırılabilmesidir.
Ancak yine de siber güvenlik uzmanları arasında düzenleyici kurumlara meydan okumak için çok az çaba gösteriliyor. Aslında pek çok kişi uyumluluğu coşkuyla benimsiyor ve bunu başardıkları için kendilerini ve ekiplerini tebrik ediyor. Ve elbette, dünyadaki her berberin, herkesin haftada bir saçını kestirmesini gerektiren yeni bir yasayı kutlaması gibi, hiç kimse uyumluluk standartlarını satıcılar kadar sevmez.
Topluluğumuzun uyum konusundaki sevgisinin daha az belirgin olan nedeni, bunun arkaları örtmesidir. “Evet, ihlale uğradık ama yapmamız gereken her şeyi yaptık, bu yüzden bizi suçlamayın.” Her spor dalındaki antrenörler bunu kaybedenlerin tutumu olarak tanımlayacaktır. Şampiyonlar, kazanmanın bir onay kutusu formülünün olmadığını ve kaybetmenin hiçbir mazereti olmadığını bilir; özellikle de “yapmamız gereken her şeyi yaptık ama yine de kaybettik.” Bu bir klişe ama en iyi takımlar ve sporcular “nasıl kazanılacağını biliyorlar.”
Çerçevelerden ve uyumluluktan vazgeçmemizi mi öneriyorum? Hemen değil, ciddi tartışma ve analiz olmadan da olmaz. Ancak günümüzde siber güvenlikle ilgili karar alma süreçlerini yöneten uyum merkezli felsefenin işe yaramadığı ve siber güvenlikteki bizler, Einstein’ın delilik tanımının (değil) yaşayan örneğiyiz: aynı şeyi tekrar tekrar yapmak. ve farklı bir sonuç bekliyoruz.
Siber güvenlik harcamaları artmaya devam ediyor ancak ihlal olayları da artıyor. Temel felsefemizi, uyumluluk denetim formundaki kutuları işaretlemekten, kuruluşlarımızı savunmak ve kazanmak için mantıklı olan her şeyi yapmaya dönüştürmeyi düşünmemizi önermek saygısızlık olmamalıdır.