Siber Tayfun’da Gezinmek: ABD-Çin Jeopolitik Gerginliklerinin Ortasında Verileri Korumak.

   Nisan 16, 2024  Posted in CyberDefenseMagazine


Nick Shevelyov, Kıdemli Yönetici Muhabir, Cyber ​​Defense Dergisi

7 Şubat 2024’te ABD Hükümeti Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “ÇHC Devlet Destekli Aktörler ABD Kritik Altyapısına Uzlaşıyor ve Kalıcı Erişimi Sürdürüyor” başlıklı bir danışma belgesi yayınladı[1]”. Tavsiye belgesi, “Volt Typhoon” adlı Çin kötü amaçlı yazılımını tanımlayarak devam ediyor ve şunu belirtiyor: “ABD yazar kuruluşları, Volt Typhoon’un başta İletişim, Enerji, Ulaşım Sistemleri ve Su olmak üzere çok sayıda kritik altyapı kuruluşunun BT ortamlarını tehlikeye attığını doğruladı ve Atık Su Sistemleri Sektörleri — kıtasal ve kıtasal olmayan Amerika Birleşik Devletleri ve Guam dahil bölgelerinde”. Hükümetimiz bize yurt içinde ciddi bir siber saldırı riskiyle karşı karşıya olduğumuzu söylüyor; bu “Tayfun Uyarısı” aynı zamanda Çin’de iş yapan ABD’li işletmeler için de bir uyandırma çağrısı olmalıdır.

Şirketinizin, satıcılarınızın veya iş ortaklarınızın Çin’de operasyonel bağımlılıkları varsa, veri güvenliğiniz artık tüm zamanların en yüksek riski altındadır. Wall Street Journal’ın “Çin-ABD Ayrışması mı?” başlıklı makalesini okursanız tehdit ortamı kararır. Henüz Hiçbir Şey Görmedin[2]”, “ABD, Ülke Limanlarındaki Çin Yapımı Vinçleri Değiştirmek İçin Milyarlarca Yatırım Yapacak – Biden yönetimi yüzlerce tesisteki güvenlik tehditlerinden korkuyor[3]”, “FBI Direktörü, Çin’in ABD Altyapısına Eşsiz Ölçekte Siber Saldırıda Bulunduğunu Söyledi[4]”ve “Çin’in Hacker Ağı: Bilmeniz Gerekenler[5]” ABD ile Çin arasında artan jeopolitik gerilimlerin arttığını hissediyorsunuz.

ABD Adalet Bakanlığı Federal Soruşturma Bürosu (FBI), “Fikri Mülkiyetin Korunması – Şirketinizin Ticari Sırlarını, Özel Bilgilerini ve Araştırmasını Koruyun” başlıklı bir makale yayınladı. Bu belgede şöyle deniyor: “Şirketinizin teknolojik üstünlüğü varsa, teknolojinizin ve ona erişimi olanların hedeflenmesini bekleyin. Şirketiniz bir ürünü diğerlerinden daha düşük maliyetle üretmeye yönelik bir süreç geliştirdiyse, bu üretim süreci hedeflenebilir. Eğer şirketiniz başka bir şirket ya da ülke ile müzakere yapıyorsa müzakereler ve müzakere stratejisi hedeflenebilir.”

Bunu FBI’ın 7 Şubat’ta yayınlanan “ÇHC Şirketleriyle ABD Ticari Operasyonlarını Etkileyen ÇHC Yasaları” ile eşleştirino2022, şöyle diyor: “İş dünyasının küreselleşmesiyle birlikte, ABD şirketlerinin yabancı ülkelerdeki şirketlerle çalışması yaygındır. Bununla birlikte, ABD özel sektör şirketleri, Çin merkezli şirketlerle iş yaparken, aşağıdakiler de dahil olmak üzere, faaliyetlerini kısıtlama, düzenleme veya yönetme potansiyeline sahip çeşitli Çin Halk Cumhuriyeti (ÇHC) yasalarının bulunduğunu akılda tutmalıdır:

2021 Kişisel Bilgilerin Korunması Kanunu. Bu yasa, kişisel verileri ÇHC sınırları dışında işleyenler de dahil olmak üzere ABD şirketlerinin, toplanan ve üretilen tüm kişisel bilgileri yerel olarak saklamasını zorunlu kılmaktadır. Kişisel bilgilerin sınır ötesi aktarımı için daha sonra devlet yetkilileri tarafından bir güvenlik incelemesi yapılması gerekmektedir.

Madde 35, kamu ve ulusal güvenlik yetkililerine, ulusal güvenliğin korunması veya ÇHC yasalarına uygun olarak suçların soruşturulması amacıyla veri toplama yetkisi vermektedir. Devlet yetkililerinin ticari sırlar da dahil olmak üzere geniş bir yelpazedeki bilgilerin gizliliğini koruması gerekmektedir.

Madde 38, ÇHC dışı şirketlerin, ÇHC kişisel bilgilerinin sınır ötesi sağlanmasını yöneten idari düzenlemelere uymasını ve verilerin işlenmesine ilişkin ÇHC Hükümeti tarafından formüle edilmiş bir sözleşmeyi kabul etmesini gerektirir.

Kaynak: Çin Kişisel Bilgilerin Korunması Kanunu (PIPL), Deloitte, Mayıs 2021

Bu FBI Sosyal Yardım ve İrtibat Aracı, dikkate alınması gereken daha fazla faktörü listeliyor ve okuyucuların, tam analiz için yerel FBI Özel Sektör Koordinatörleriyle iletişime geçmeleri teşvik ediliyor.

Çin’in dünyanın en büyük gücü haline gelmek için 5 yıllık “Sprintler”e bölünmüş 100 yıllık bir “Maraton” planı (1949 – 2049) olduğu bağlamı da eklendiğinde, iş dünyası Çin’in “Büyük Yarışı”nı göz önünde bulundurarak stratejilerini dikkate almalı ve yeniden değerlendirmelidir. Strateji” ve tasarımlar.

On beş yıl boyunca, Çin’deki bir ortak girişim bankasıyla birlikte küresel, halka açık bir bankanın Güvenlik Müdürü olarak çalıştım. Eğer Çin’in artan jeopolitik riskine maruz kalan bir işletmeyi yönetiyor olsaydım, işte kendime soracağım on soru.

  1. Ne tür verilerim var? Kişisel veriler, finansal bilgiler ve fikri mülkiyet dahil olmak üzere sahip olduğunuz veri türlerini anlayın. Bu, mevcut olması gereken uygun güvenlik önlemleri ve kontrolleri dikkate alınırken yardımcı olur. Herhangi bir sağlam siber güvenlik programının temel ilkesi olan “Kendini Bilmek” konusunda veri envanteri çalışması kritik öneme sahiptir.
  2. Yerel veri koruma kanunlarına uygun muyum? Çin’in Siber Güvenlik Yasası ve Kişisel Bilgilerin Korunması Yasası (PIPL), veri işleme ve korumaya yönelik katı kurallar koymaktadır. İşletmenizin bu düzenlemelere uygun olduğundan emin olun. Küçük işletme anlaşmazlıkları yöneticilerinizin Çin’den ayrılmasına izin verilmemesiyle sonuçlanabilir[6].
  3. PII verilerim nerede saklanıyor? Veri depolama alanınızın fiziksel ve sanal konumlarını göz önünde bulundurun. Çin’de saklanan veriler Çin yasalarına tabidir ve belirli veri türlerinin yurtdışına aktarılması konusunda kısıtlamalar vardır. Artan devlet müdahalesi ve hırsızlık riskleri göz önüne alındığında, veri konumu depolama stratejinizin mantıklı olup olmadığını belirlemenin zamanı geldi.
  4. Verilerime kimler erişebilir? Yalnızca yetkili personelin hassas verilere erişebildiğinden emin olmak için erişim kontrollerini düzenli olarak gözden geçirin. En az ayrıcalıklı erişim ilkelerini uygulayın. Bunları düzenli olarak gözden geçirin.
  5. İletim sırasında verileri nasıl korurum? Aktarılan veriler müdahaleye açık olabilir. Hassas verileri genel ağlara aktarmadan önce şifreleyin.
  6. Veri yedekleme ve kurtarma planlarım nelerdir? Veri kaybından veya siber saldırılardan hızla kurtulmak için sağlam veri yedekleme ve kurtarma prosedürlerine sahip olduğunuzdan emin olun. İş Etki Değerlendirmenizin Kurtarma Süresi Hedefleri ve Kurtarma Noktası Hedefleri ile uyumlu bir sürede verilerinizi kurtarma yeteneği çok önemlidir. İş düzeyinde Kullanıcı Kabul Testinin tanımlanıp test edildiğinden emin olun.
  7. Tehditleri etkili bir şekilde izliyor ve tespit ediyor muyum? Şüpheli etkinliklerin ve potansiyel ihlallerin sürekli izlenmesi kritik öneme sahiptir. Gelişmiş tehdit tespit sistemlerini uygulayın ve mümkünse bir güvenlik operasyon merkezi (SOC) kurun.
  8. Üçüncü taraf risklerini nasıl yönetirim? Verileri üçüncü taraflarla paylaşırsanız veya üçüncü taraf hizmetlerini kullanırsanız, onların güvenlik uygulamalarını değerlendirin ve bunların güvenlik standartlarınızı karşıladığından emin olun.
  9. Olay müdahale planım nedir? Özellikle Çin’in belirli türdeki olayların raporlanmasına ilişkin katı gereklilikleri dikkate alınarak, bildirim prosedürleri de dahil olmak üzere veri ihlallerine veya siber saldırılara yanıt vermek için net bir planınız olsun.
  10. Çalışanlarımı veri güvenliği konusunda nasıl eğitirim? Düzenli eğitim ve farkındalık programları, insan hatasıyla ilişkili risklerin azaltılmasına yardımcı olabilir. Personelinizin veri güvenliğinin önemini anladığından ve hassas bilgilerin nasıl korunacağını bildiğinden emin olun. Ulusal Kurumsal Direktörler Birliği (NACD) bir teknoloji riski rehberliği raporu yayınlar; bunu kendinizi ve yönetim kurulunuzu eğitmek için kullanın.

CISA’nın son Volt Typhoon uyarısı, hem yurt içinde hem de yurt dışında karşı karşıya kaldığımız artan siber güvenlik risklerinin yalnızca bir örneğidir. Hepimiz şunu daha önce duymuşuzdur: Eğer planlamayı başaramazsanız, başarısız olmayı planlamış olursunuz. Gittikçe daha tehlikeli hale gelen bu riskle başa çıkmak, geminizi bir tayfunun içinde yönlendirmeye benzer. Sürekli değişen siber güvenlik risk ortamını izlemek, günümüzün iş dünyasının en önemli meselesidir. Önceden uyarılmış, önceden silahlandırılmıştır. Kuruluşunuz için daha bilinçli ve risk farkındalığına sahip kararlar almak için bu haber uyarılarını, FBI rehberliğini ve on siber güvenlik sorusunu kullanın.

Yazar hakkında:

Siber Tayfun'da Gezinmek: ABD-Çin Jeopolitik Gerginliklerinin Ortasında Verileri Korumak.Nick Shevelyov, Cyber ​​Defense Dergisi’nin Kıdemli Yönetici Muhabiridir.

Şirketlerin risk stratejilerini geliştirmelerine ve ürün şirketlerinin pazara açılma hikaye anlatımlarını ve kanal geliştirmelerini geliştirmelerine yardımcı olan bir siber güvenlik ve veri gizliliği Danışmanlık ve Danışmanlık firması olan vCSO.ai’yi kurdu.

İnovasyon ekonomisinin bankası Silikon Vadisi Bankası’nda eski Güvenlik Direktörüdür (2007 – 2021).

“Siber Savaş… ve Barış” kitabının yazarıdır, çeşitli süreli yayınları yayınlanmıştır, Körfez Bölgesi STK Konseyi’nin Yönetim Kurulunda yer almaktadır ve çeşitli Girişim Sermayesi ve Özel Sermaye şirketlerine danışmanlık yapmaktadır.

Son dakika hikayeleri için kendisine şu adresten ulaşılabilir: [email protected].

Kaynaklar:

[1] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

[2] https://www.wsj.com/economy/trade/a-china-us-decoupling-you-aint-seen-nothing-yet-12c0828e

[3] https://www.wsj.com/politics/national-security/us-to-invest-billions-to-replace-china-made-cranes-at-nations-ports-d451ef8f

[4] https://www.wsj.com/politics/national-security/fbi-director-says-china-cyberattacks-on-us-infrastructure-now-at-unprecedented-scale-c8de5983

[5] https://www.nytimes.com/2024/02/22/business/china-hack-leak-isoon.html

[6] https://www.wsj.com/world/china/chinese-exit-bans-business-c38cb10c



Source link