YORUM
Yakında bir gün, bir devlet kurumu, kuruluşlarının siber güvenliğe yeterince yatırım yapmasını sağlamadaki başarısızlıktan dolayı kurumsal bir CEO’yu kişisel olarak sorumlu tutmaya çalışacak. Şaşırtıcı olan bunun gerçekleşmesi değil, CEO için çalışan ve ona saygı duyan kaç kişinin bu gerçekleştiğinde mutlu olacağıdır.
Bir şirket saldırıya uğradığında gerçek maliyetler genellikle tüketicilere yansır. Şirketin hisse senedi fiyatları genellikle hızlı bir şekilde toparlanıyor, ancak son kullanıcıların kimlikleri çalınıyor, hesapları kilitleniyor, para kayboluyor veya çocukları zarara maruz kalıyor.
İhlallerden zarar gören tüketiciler haklı olarak devletlerimizin bizi korumasını bekliyor. İnsanlar ve hükümetleri arasındaki sözleşme basittir: Biz zenginliğimizin bir kısmına katkıda bulunuruz ve siz de bizi güvende tutarsınız. Bu model yüzyıllardır oldukça iyi işledi.
Ancak internet çağında işler çok daha karmaşık hale geldi. Dijital parmak izlerimiz özel şirketlerin elinde tutuluyor. Kişisel gizlilik adına, hükümetlerimizin bu bilgilere bu düzeyde erişime ve kontrole sahip olmasını istemiyoruz. Dolayısıyla hükümet bizi tek başına koruyamaz ve şirketler de bunu yapmaya uygun şekilde teşvik edilmez. Bu benzersiz bir yakalama-22: Tek başına hiçbir varlığın bizi internette koruma gücü yoktur.
Bir şeyler vermeli, bu yüzden yaptırım yoluyla düzenlemeye doğru bir hareket yaşıyoruz. Obama yönetiminin, daha iyi kurumsal davranışı teşvik etmenin en iyi yolunun doğrudan yöneticilere karşı dava açmak olduğu teorisine dayanarak, savcılara “sorumlu şirket yetkililerine” karşı yaptırım eylemlerini genişletme talimatı veren bir politika geliştirmesinden bu yana, bu eğilim son on yılda gelişiyor.
Biden yönetimi artık bu yaklaşımı siber uzaya da taşıyor. Başka yere bakma Ulusal Siber Güvenlik Stratejisiözünde bunu talep eden kurumsal Amerika vatandaşları siber saldırılardan korumak için daha fazlasını yapıyor. Şirketlerden gönüllü işbirliği isteyerek siber zararı durduramayacağının farkına varan şirket, davranışlarda değişiklik yapmaya zorlamak için mevcut yasalar kapsamında sahip olduğuna inandığı yaptırım araçlarını da kullanıyor. Güncel bir örnek Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) Yazılım şirketi SolarWinds’e karşı dava ve güvenlik şefi. Bu dava, özellikle güvenlik liderinin kişisel olarak dava edilmiş olması nedeniyle dikkatleri çekti.
Sırada Neden CEO Var?
Her büyük şirketin içinde, müşterilerini korumak için suçlularla ve despotik hükümetlerle savaşmaya kendini adamış, akıllı, teknik açıdan bilgili profesyonellerden oluşan bir güvenlik ekibi bulunur. Çoğunun personeli yetersiz ve işlerini kolaylaştırmak için daha fazla yatırım yapılması için çabalıyorlar. Bu ekiplerin başında, çoğuna bilgi güvenliği şefi (CISO) unvanı verilmeyen kıdemli güvenlik uygulayıcıları yer alıyor. Ve son zamanlarda hükümetimiz uygulama gözünü bu ekip liderlerine çevirdi.
Hükümet bu tür vakaları daha derinlemesine araştırdıkça, bir şirket içindeki halkın en büyük savunucusunu hedef almanın bir hata olduğu sonucuna varması kaçınılmazdır. Güvenlik liderlerine yönelik mevcut odaklanma kusurludur çünkü bu liderlerin güvenliği en yüksek standartlarda sunmak yerine yanıltmayı seçtiklerini varsaymaktadır. Buna karşılık, konuştuğum hemen hemen her CISO, kurumsal yatırım eksikliğinden kişisel olarak sorumlu tutulmaktan endişe duyuyor. Bazı büyük CISO’lar artık bu rolden ayrılıyor çünkü başkalarına yardım etme arzuları, kendilerini koruma arzularına karşı kaybediyor.
Çok az istisna dışında, CISO veya en üst düzey güvenlik lideri kesinlikle “sorumlu şirket yetkilisi” değildir. CEO Güvenlik liderleri, işlerini iyi yapmak için gereken bütçeyi nadiren elde ederler. Kurumsal bütçeyi kontrol eden CEO’lar ve yönetim kurulları, siber risklerini anlamak için nadiren zaman ayırır ve bunun yerine kaynakları başka yönlere tahsis eder.
Hükümetin dikkati şimdiden CEO’ya doğru kaymaya başladı. Uber’deki bir güvenlik olayını örtbas etmekle suçlandığım davanın son duruşmasında yargıç, Adalet Bakanlığı’na itiraz etmeyi ve CEO’nun neden mahkemeye çıkarılmadığını sormayı uygun buldu. Federal Ticaret Komisyonu (FTC) da aynı sonuca ulaştı ve güvenliğe yeterince yatırım yapmadığı için Drizly’nin CEO’su ile anlaşmaya vardı. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) artık CISO’ların değil CEO’ların sözleşmeyi imzalamasını istiyor Yazılım satarken tasarım gereği güvenli ilkeleri kullanma taahhüdü yazılım satarken. Ve SEC, katmanları soyup SolarWinds’te bütçe süresi boyunca neler olduğunu gözden geçirdiğinde bunu görecek. Bir güvenlik ekibinin bir olaya nasıl tepki verdiğine veya olayı önlemeye çalıştığına bakmanın yeterli olmadığını anlayacaktır. Kusurlu atamak için şirketin kaynakları yukarıdan aşağıya nasıl tahsis ettiğine bakılmalıdır. Sen. Ron Wyden (D-Ore.), son konuşmasında FTC ve SEC’ye mektupayrıca Change Healthcare fidye yazılımı vakasıyla ilgili United Health Group’u araştırırken CEO seviyesine odaklanmalarını istedi.
Güvenlik liderleri kaynaklar için daha güçlü bir şekilde talepte bulunmaya başlıyor. Bunları alamadıklarında, bu bütçe kararlarını açıkça belgeliyorlar. Aynı zamanda CEO’ları ve diğer yöneticileri siber olaylara müdahale süreçlerine daha doğrudan dahil eden politikaları öne çıkarıyorlar ve güvenlik olaylarının nasıl olduğunu belgeleyen BreachRx’e (tam açıklama: şirkete yakın zamanda kıdemli danışman olarak katıldım) benzer yeni ürünler dağıtıyorlar. çapraz fonksiyonel bir şekilde ele alınır. Tüm bu adımlar, güvenlik liderinin yalnız olmadığını, hatta çoğu durumda tüketicilerin zarar görmesine yol açan kararlara dahil olmadığını göstermeyi kolaylaştıracak.
Sonuç olarak, CEO’nun devletin yaptırım eylemlerinin hedefi olmaktan kaçınmasının tek yolu, şirketin siber güvenliğe doğru şekilde yatırım yapmasını sağlamakla kişisel olarak ilgilenmesidir.