Üretken modellerin ve özellikle büyük dil modellerinin (LLM’ler) ortaya çıkması ve ChatGPT’nin popülaritesindeki hızlı artışla birlikte, bir kez daha daha fazla güvenlik düzenlemesi için çağrılar var.
Beklendiği gibi, yeni ve keşfedilmemiş bir teknolojiye verilen ani tepki, düzenleyici aşırı tepkiye neden olabilecek korkudur. Güvenlik düzenlemesinin avantajları olduğunu düşünmeme rağmen, her zaman daha fazla güvenlik sağlamadığını unutmamalıyız. İlk başta kulağa iyi bir fikir gibi gelen ancak tam tersi bir sonuca ulaşan güvenlikle ilgili düzenlemelerden birkaç örneği burada bulabilirsiniz.
PCI-DSS, kredi kartı endüstrisi tarafından geliştirilen ve müşteri kartlarını çalmak isteyen veya daha teknik olarak kart sahibi verilerini depolayan, işleyen ve/veya ileten herkes için geçerli olan bir güvenlik standardıdır. Standardın 1.1 sürümü 2006’da geliştirildi ve minimum yedi karakter uzunluğunda bir parola gerektiriyordu. O zamanlar bu yeterince iyi olabilirdi, ancak günümüzün standart donanımı bu tür parolaları birkaç günden bir saniyeye kadar her yerde kırabiliyor.
Mart 2022’de standart, minimum 12 karakter uzunluğa (veya bir sistem 12 karakteri desteklemiyorsa minimum sekiz karakter uzunluğa) güncellendi. Bununla birlikte, bu gereklilik, 31 Mart 2025’te bağlayıcı hale gelene kadar yalnızca en iyi uygulamadır. Ancak 12, yediden daha iyi olsa da, önümüzdeki yıllarda bu da çözülebilir hale gelecektir.
Çok spesifik olan güvenlik yönetmeliği çok çabuk güncelliğini yitirir.
Bir Yönetmeliğin Genel Olmasının Dezavantajı
Spesifikliğin ters tarafı – yani çok genel olan düzenleme – güvenlik üzerinde de zararlı bir etkiye sahip olabilir. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) böyle bir duruma örnek olarak akla geliyor. GDPR, kişisel bilgileri korumayı amaçlar. Yönetmeliğe göre kişisel veri, kimliği belirli veya belirlenebilir gerçek bir gerçek kişiye ilişkin her türlü bilgidir. Görüldüğü gibi kişisel veri tanımı çok geniş ve kapsayıcıdır. IP adreslerinin kullanıcının kişisel verilerini oluşturduğu Avrupa Birliği Adalet Divanı tarafından zaten hüküm altına alınmıştı. O halde, güvenlik departmanlarının, kuruluşu güvende tutmak için hangi günlükleri toplayabilecekleri sorusu etrafında hukuk departmanlarıyla sürekli bir savaş halinde olmalarına şaşmamalı.
Herhangi bir mavi takım profesyonelinin size söyleyeceği gibi, korumaya çalıştığımız ortamın görünürlüğünü sağlamada günlükler çok önemlidir. Günlükler olmadan, ağdaki hem zararsız hem de kötü amaçlı faaliyetlere karşı çoğunlukla körüz. Bununla birlikte, günlükler çalışanların, müşterilerin ve tedarikçilerin kişisel bilgilerini taşıyabiliyorsa, küresel cironun %4’üne kadar para cezasına çarptırılma riskini göze alarak daha güvenli olmaya değer mi? Ne yazık ki, düzenlemelerin genişliği nedeniyle, kuruluşlar bu sorulara yanıtlarını çoğunlukla hukuk departmanının tutuculuğuna göre ayarlıyor.
Düzenleme Hakkında Herkesin Fikri Var
Son olarak, herhangi bir düzenlemenin farklı paydaşlar, yasa koyucular, siyasi lobiler ve endüstri ve çıkar grupları arasındaki hiç bitmeyen tartışmaların ve müzakerelerin bir ürünü olduğunu da hatırlamalıyız. Bu nedenle, nihai düzenleme taslağı her zaman yasama yolculuğunda verilen tavizleri yansıtacaktır. Ne yazık ki bizim için, güvenlik alanında, bu tür tavizler, saldırganlar tarafından istismar edilebilecek yetersiz güvenlik ve düzenleyici açıklıklar yaratıyor.
Bu nedenle, güvenli olmanın ve düzenlemelere uyumlu olmanın iki ayrı şey olduğunu unutmamalıyız. Uyum, güvenliği garanti etmediğinden, uyumlu kuruluşların ihlal edilmeye devam etmesi bir tesadüf değildir. Bu sonuç, güvenlik düzenlemesinin temel varoluş nedenini baltaladığı için oldukça rahatsız edicidir. Gerçekten güvende olduğumuzdan emin olmak için orada değilse, o zaman neden zahmet edesiniz ki?
Birkaç yıl önce, birkaç araştırmacı, çocuklar için araba güvenlik koltuğu bulundurma zorunluluğu getiren düzenlemenin etkinliğini analiz eden bir makale yayınladı. Araştırmacılara göre ABD eyaletleri, 1977’den bu yana çocukların çocuk koltuğu kullanma zorunluluğunun yaşını kademeli olarak artırıyor. Birçok standart boyutlu arabanın arkasında üç çocuk koltuğu bulunamadığı için, bu kısıtlamalar bir çocuk koltuğuna sahip olmanın maliyetini önemli ölçüde artırdı. üçüncü çocuk Araştırmacılar ayrıca, ülke genelinde bu politikaların bir sonucu olarak 2017 yılında otomobil kazalarında 57 daha az çocuğun öldüğünü tahmin ediyor. Aynı zamanda, 1980’den bu yana 145.000 daha az doğumla sonuçlanan ve bu kaybın %90’ı 2000 yılından bu yana meydana gelen uzun vadeli doğum oranları düşüşünden de sorumluydular. olumsuz bir etkisi olduğu ortaya çıkabilir.
Kuruluşlara daha fazla güvenlik düzenlemesi dayatmadan önce kendimize şunu sormalıyız: Güvenliği gerçekten geliştiriyor muyuz, yoksa sadece daha fazla düzenleme mi uyguluyoruz?