Span siber güvenlik arenasında, siber olaylar sırasında hukuk ekiplerinin rolünü tartışmak için ISO sertifikalı Mišković ve Mišković hukuk firmasında ortak olan Iva Mišković ile oturdum. Avukatların neden en kötüsünü alması, hızlı bir şekilde koordine etmeleri ve bunu desteklemek için doğru soruları sormaları gerektiğini paylaştı.
Mišković, teknoloji iş akışlarını anlamaya dayanan yasal bir stratejinin, avukatların CISOS ile güven oluşturmasına ve siber tehditlere yanıt vermelerine yardımcı olduğunu açıkladı.
Her siber olay başlangıçtan itibaren hem teknik hem de yasal olarak ele alınmalıdır. Bir ihlalden şüphelenildikten sonra hukuk takımlarının yapması gereken ilk şey nedir?
Ne yazık ki, aynı anda gerçekleşmesi gereken çok fazla şey olduğu için takip edilecek kontrol listesi yok. Yani şunu söyleyebilirim:
1. En kötüsünü varsayın
Yasal en kötüsünü varsaymalı ve doğal yasal kötümserliklerine yaslanmalıdır. Tepki için çok az zaman var ve aşırı tepki vermek, yetersiz tepkiden (veya hiç tepki vermemek) daha iyidir. Siber olayların etrafındaki yasal bağlam geniştir, ancak en kötü senaryoyu büyük bir veri ihlali gibi varsayar. Eğer bu yanlış olursa, daha da iyi!
2. Koordinat
Kuruluşunuzun ayrıntılı bir olay müdahale planı olsa bile, hiç kimsenin okuması ve “bu benim işim olmadığını” iddia eden insanlar olacak. Buna yakalanma. Aynı tabloda yönetim, BT, PR ve yasal bir araya getiren ve çabaları yasal perspektiften koordine eden kişi olun.
3. Verilerinizin nerede olduğunu bilin
Bu, “DPO’m ropayı kontrol edecek” anlamına geliyorsa – tebrikler! Ancak süreçleriniz hala devam etmekte olan bir çalışma ise, hızlı, geçici bir veri envanteri çalıştırmak üzeresiniz: tüm departmanları dahil etmek, veri türlerini, konumları ve erişim kontrollerini tanımlamak. Evet, sistemler düştüğünde ve herkesin paniklediğinde olacak. Ama hey – şimdi huzur, daha sonra duygusal hasar. Bunun için kelimenin tam anlamıyla hukuk fakültesine gittin.
Hukuk ekiplerinin bir ihlalin ilk 72 saatinde yaptığı bazı yaygın hatalar nelerdir?
Kesinlikle yasallaştırma. Herkes doğal olarak BT departmanına odaklanacak, ancak eylemlerini yasal olarak kanıtlamak için diğer departmanlar üzerinde özerklik ve otorite kazanmak için yönetimin dikkatine ihtiyacınız var. Dolayısıyla, yasaya atıfta bulunmak yerine, tercihen potansiyel para cezaları veya finansal kayıplarla desteklenen süreklilik, sorumluluk ve itibar riskleri sunmaktadır.
Ayrıca, neyin acil ve neyin stratejik olduğu açısından yapılandırılmış karar seçenekleri sunmak yerine sorunlar sunmak.
Son olarak, medya kapsamını yasal bildirimle karıştırıyor. Zaten haberlerin her yerinde olsanız da, denetleyici otorite resmi bir bildirim olarak saymaz ve tek başına gözetim daha sert cezalara yol açabilir.
Birçok hukuk ekibi teknik uzmanlıktan yoksundur. Yanıtı yavaşlatmadan onunla ve adli tıp takımlarıyla etkileşime girmelerinin en iyi yolu nedir?
Evet, geleneksel olarak yoluna girmemeyi ve BT adamlarının bunu halletmesine izin vermemeyi tercih ettik, ama o günlerin bittiğini söyleyebilirim. Teknoloji hakkında en az şey bilen kişi olmaktan rahatsız olmak yerine, yasal yükümlülükler hakkında en çok bilen kişi olarak güçlendirilmiş hissetmeyi deneyin ve süreci daha büyük resim göz önünde bulundurarak süreci yönetin.
Deneyimden, teknik ekiple aynı dili konuşmanın her zaman kolay olmadığını biliyorum, ancak her zaman doğru yasal soruları sorabilirsiniz:
- Saldırının kanıtı belgeleniyor mu?
(Bu temel bir gereksinimdir ve GDPR altında evrensel olarak zorunludur.) - Verilere erişildi, değiştirildi, şifrelendi mi yoksa çalındı mı?
(İhlalin kapsamı sonraki adımlarınızı ve potansiyel sonuçlarınızı belirler.) - Yedeklememiz var mı?
(İş sürekliliği, veri konularının haklarını doğrudan etkiler.) - Dinlenme veya transit olarak şifreleme gibi ihlalin sonuçlarını azaltabilecek herhangi bir önlemimiz var mı?
(Saldırganlar verileri alırsa ancak okuyamazsa, durum önemli ölçüde daha az şiddetlidir.) - Bir şeyleri düzeltmek için ne yapıyoruz?
(Etkilenen bireyler için riski nasıl en aza indirdiğimizi bilmek önemlidir; örneğin sistem izolasyonu, yedekleme restorasyonu veya karanlık ağın izlenmesi.)
Yalnızca bu sorular size ilk 72 saat içinde ihtiyaç duyduğunuz temel bilgileri sağlayacaktır.
Cisos ve avukatlar bir kriz vurmadan önce nasıl güven ve iletişim kurabilir?
Hepimiz bunun bir takım çabası olduğunu anlamamız gerekiyor. GDPR’den beri oldu, ancak NIS2’den sonra artık şüphe yok.
Onu aşırı romantikleştirebileceğimin farkındayım, çünkü çoğu zaman yasal olarak CISO’yu yapıcı bir şekilde karşıladığı bir kriz sırasında.
Bu yüzden yönetimin bu çok ihtiyaç duyulan ortaklık hakkında net bir vizyona sahip olması gerekiyor. Başka bir nedenden dolayı, en azından daha önce ana hatlı üçlü tarafından yönlendirilirse: erken koordinasyon yoksa süreklilik, sorumluluk ve itibar riskleri.
Ayrıca, ISO 27001 gibi güvenlik sertifikalarını takip etmeyi düşünün. Bu, her iki rolü de bir araya getiren ve bunu yaparken, siber yasa sadece “yasal şeyler” değil, örgütsel bir sorun haline geliyor.
Hukuk ekipleri bir sonraki olay için daha hazırlıklı olmak için bugün ne yapmaya başlamalıdır?
Şirket içi veya dış yasal destek olarak, organizasyonu ve teknoloji iş akışlarının gerçekte nasıl çalıştığını anlamanız gerekir. Avukatların nihayet “sadece yasal şeyleri yapacağız” demeyi bıraktığı bir dünya hayal ediyorum, çünkü “yasal şeyler” soyut kalır ve bu nedenle belirli bir kuruluş bağlamına koymazsanız etkisizdir.
Ayrıca, kendimizi sadece bir destek işlevi düşünmeyi bırakalım. Özellikle hizmet sağlayıcıları seçerken veya dijital araçlar uygularken temel karar vermenin bir parçası olmalıyız.
Üçüncüsü, süreçler mükemmel belgelerden daha önemlidir. Zaman veya bütçeyle sınırlısanız, yazılanlardan ziyade gerçekten neyin işe yaradığına odaklanın.
Son olarak, eğitim söz konusu olduğunda, unutmayın: bir beden hiçbirine uymuyor! Aynı genel web seminerini tekrarlamak yerine, bir kimlik avı simülasyonu veya gerçek bir veri ihlali senaryosu çalıştırın. İlhamı, ayrıntılı vaka örnekleri içeren EDPB Yönergeleri 01/2021’de bulabilirsiniz.