Yazan: Baan Alsinawi, Genel Müdür, Strateji ve Risk, CISO Global ve bir CISO Global şirketi olan TalaTek’in Kurucusu
Bugünlerde herkesin konuşmak istediği tek şey yapay zekadır ve ABD’nin önde gelen yedi yapay zeka teknolojisi üreticisi yakın zamanda siber güvenliği kendi platformlarına gönüllü olarak dahil etme kararlılığıyla öne çıktığında, her yerdeki siber güvenlik uygulayıcıları temkinli bir iyimserliğe sahipti. Biden-Harris yönetimiyle yapılan görüşmelerin ardından Amazon, Anthropic, Google, Inflection, Meta, Microsoft ve OpenAI temsilcileri kamuoyuna açık bir şekilde “AI firmalarının güvenliğe öncelik veren sistemler oluşturma görevine sahip olduğu konusunda anlaştılar.” Bu, yapay zeka modellerini siber tehditlere ve içeriden gelen tehditlere karşı korumak ve kötüye kullanımı önlemek, topluma yönelik riskleri azaltmak ve ulusal güvenliği korumak için en iyi uygulamaları ve standartları paylaşmak anlamına geliyor.” Sorun bunun yeterince ileri gidip gidemeyeceğidir. İyi yapay zeka siber hijyeni ile “birinci” olma ihtiyacı arasındaki savaşta kimin kazanacağına gerçekten inanıyoruz?
Düzenleyicilerden Daha Olumlu Baskı
Kaç ABD’li startup, pazara çıkmadan önce platformlarını ve IoT cihazlarını güvenli hale getirmek için gerçekten yatırım yapmaya istekli olacak? Bu soru Federal İletişim Komisyonu Başkanı Jessica Rosenworcel ve birkaç arkadaşı geçen baharda şirketleri teknolojik ürünlerin kullanıma hazır güvenlik durumu hakkında bilgi eklemeye teşvik edecek ve özel standartları karşılayanları ödüllendirecek yeni bir gönüllü program önerdi. ABD Siber Güven Markası ile. Tasarım ve varsayılan güvenlik yeni bir kavram değil, ancak işletmelerin, siber güvenlik profesyonellerinin tavsiyelerini tüm kalbiyle benimsemeye istekli olmadan önce, riskin gerçek maliyetlerini ve bunu azaltmanın çeşitli yollarını anlamaları genellikle zaman alıyor gibi görünüyor.
Bu Trendi En Son Gördüğümüz Zaman
Mark Zuckerburg’un hem ABD Senatosu hem de AB Parlamentosu önünde, CEO’nun iyi ifade edilmiş pek çok gizlilik ve güvenlik sorusunu atladığı kötü şöhretli görünümüne karşı kamuoyunun tepkisinin ardından, hem yasa koyucuların hem de tüketicilerin gerekli koruma eksikliğinden bıktıkları açıkça ortaya çıktı. bu devlerden. Big Tech’in düzenlemeyi önlemeye yönelik önceki lobicilik çabalarından vazgeçen Apple, Google, AT&T ve Charter daha sonra Big Tech sürüsünden uzaklaşmaya karar verdi ve federal veri gizliliği yasalarını destekleyen değişim rüzgârlarını – doğrudan desteklemese de – açıkça kabul etti. tüketici koruması. Big Tech’in neden bu değişimi yaptığına dair çok güçlü görüşler var ama önemli olan değişimin başlamış olması. Eyaletler, federal korumalar ve uygun bir denetim organı sorunu çözülene kadar veri gizliliği düzenlemesindeki boşluğu dolduruyor. Bloomburg Yasasına göre, toplam dokuz eyalet şu anda gizliliği koruma yasalarını kabul etti ve bunlara ek olarak on altı eyalet de yalnızca 2022-23 yasama döngüsü sırasında yeni gizlilik yasa tasarıları sundu.
Bu, ABD’deki Teknoloji Startup’ları İçin Ne Anlama Gelebilir?
Şu anda Amerika Birleşik Devletleri’nde 70.000’den fazla aktif teknoloji girişimi var. Bunların çoğu hala fon sağlamak ve yatırımcılara yatırım getirisi konusunda yanıt vermek için yarışıyor; peki kaçı güvenliği geliştirme süreçlerine gerçekten yapılması gerektiği şekilde dahil etmek için bütçelerinden yeterince ayırmaya istekli? Yıllık kalem testi bu bağlamda neredeyse sayılmaz. Talep edilen şey, eklenti veya özel çözümler değil, tasarım gereği güvenliktir; saldırganları ilk günden itibaren teknolojiden uzak tutmaya ve varsayılan olarak güvenli olacak şekilde önceden yapılandırılmış ürünleri piyasaya sunmaya yönelik gerçek bir mimari yaklaşımdır. NIST Özel Yayını 800-160, güvenli sistemler oluşturmak için bir çerçeve sağlar.
CISA ve FBI, Son Kullanıcıların Korunmasını Destekliyor
Sürekli performans baskısı, start-up yöneticilerini pazara hızlı giriş konusunda gaz pedalına basmaya teşvik edebilir ve genellikle geliştirme ekiplerini, güvenlik mimarisi, çok sayıda güvenlik testi turu ve güvenli kod incelemeleri konusunda kapsamlı çabalardan geçmemiş yazılımları çıkarmaya zorlar. her yeni sürüm için. Bunun yerine üreticiler genellikle hata ödülü avcılarının harekete geçmeden önce güvenlik açıklarını belirlemesini bekler. Bu, son kullanıcılara, yeni teknolojilerini saldırı işaretlerine karşı sürekli olarak izleme sorumluluğunu yüklemektedir; bu, istemciler bu görev için tasarlanmış çözümlere yatırım yapmış olsa bile, tespit edilmesi kolay olmayabilir. CISA ve FBI adlı bir belgenin ortak yazarı Siber Güvenlik Riski Dengesini Değiştirmek: Tasarım ve Varsayılan Güvenlik İlkeleri ve YaklaşımlarıHaziran 2023’te yayınlanan şunu belirtir:
[We] Her teknoloji üreticisini, müşterilerinin siber saldırıları azaltmak için sistemlerinde sürekli izleme, rutin güncellemeler ve hasar kontrolü yapmak zorunda kalmasını önleyecek şekilde ürünlerini oluşturmasını şiddetle teşvik ediyoruz. Üreticilerin, müşterilerinin güvenlik sonuçlarını iyileştirme sorumluluğunu üstlenmeleri teşvik edilmektedir. Geçmişte teknoloji üreticileri, müşteriler ürünleri dağıttıktan sonra bulunan güvenlik açıklarını düzeltmeye güveniyordu ve müşterilerin bu yamaları masrafları kendilerine ait olmak üzere uygulamasını gerektiriyordu. Yalnızca Tasarım Yoluyla Güvenlik uygulamalarını dahil ederek düzeltme oluşturma ve uygulama kısır döngüsünü kırabiliriz.
Dolayısıyla gelecekteki düzenlemeler için gereken destek yerine oturmaya başlıyor gibi görünüyor, ancak sektördeki kapsamlı gönüllü değişim, sonuçlarıyla birlikte yasaları geciktirebilir. Trendlerin gönüllü olarak değişeceğini varsaymak hayalciliktir! Çoğu endüstri standardı için büyük ölçüde yeterince kullanılmayan parasal cezalarla birlikte mevzuata uygunluk ve buna eşlik eden yaptırımların kullanılmasının yerini alacak başka bir şey yoktur. FedRAMP, standarda sıkı sıkıya bağlılığın uygulandığı ve izlendiği ve herhangi bir sapmanın hem iş dünyası hem de hükümet açısından sonuçlarıyla birlikte derhal harekete geçildiği kopyalanacak bir model örneğidir. Kararı endüstriye bırakan bu kadar katı bir model olmadığında, Wall Street’in ödüllendirdiği tek ölçüm olan kârlılık her zaman kazanacaktır!
Bu Adımları Takip Etmek Gerçekten Siber Saldırıları Durdurmaya Yardımcı Olacak mı?
Tabii ki, yalnızca geçen yıl dünyanın siber güvenliğe 262 milyar dolar harcadığı, ancak siber saldırılardan kaynaklanan küresel kayıpların 2023’te 8 trilyon dolara ulaşmasının beklendiği bir dünyada hiç kimse işletmeleri şüpheci olmakla suçlayamaz. etkililik sorunudur ve çoğu deneyimli uygulayıcı da aynı fikirdedir. Peki kopukluk nerede?
Tam Zamanlı, Kurum İçi Yardım için Yeterli Uzman Yok
Başlangıç olarak, ABD’deki tüm IoT teknolojisi üreticilerine ve SaaS geliştirme şirketlerine yardım etmek için gerekli becerilere sahip yeterli sayıda insan yok. Devam eden 3,4 milyon siber güvenlik uzmanı açığı nedeniyle uzman bulmak son derece zor. Dolayısıyla, teknoloji üretimi ve gelişimini güvence altına alan yeni taahhütler önemli adımlar olsa da kuruluşların uygun mimariyi, yapılandırmaları, test ve iyileştirme döngülerini uygulamada onlara kimin yardımcı olacağı sorununu çözmeleri gerekecektir. Kesirli CISO hizmetleri, insanların bu sorunu çözmeyi tercih ettiği yollardan biridir ve uzmanları hem zaman açısından hem de orta ölçekli pazar ve altı için mali açıdan daha erişilebilir hale getirir. Ve bir de uygulama sorunu var: Düzenleme gerekliliklerini uygulayan nitelikli denetim kaynaklarının kıtlığı, sektöre uyumun gevşek olmasına katkıda bulunuyor.
Satıcı Yayılımı Bir Zorluktur
Uzman sıkıntısı nedeniyle çoğu şirket siber güvenlik sorunlarını teknolojiyle çözmeyi denemeyi tercih etti. Bu mantıklı bir adımdır ancak sonuçları sınırlıdır. Ortalama bir kuruluş şu anda çoğunun kendi raporları, portalları ve görselleştirmeleri olan 76 farklı siber güvenlik aracı kullanıyor. Tüm bu araçlarda toplu olarak görünürlük eksikliği, siber yöneticilerin büyük resmi doğru bir şekilde anlamalarını engelliyor. Her zaman birbiriyle ilişkili olmayan uyumsuz veri kaynaklarıyla teknoloji sorunu çözmek için yeterli olmuyor ve aslında daha fazlasının daha iyi olmadığı yepyeni bir dizi zorluk yaratıyor. Sonuçta, bir araca sahip olan vasıfsız bir uygulayıcı yine de vasıfsız bir uygulayıcıdır. Bu nedenle, satıcı ve araç yayılımının ele alınmasına yardımcı olmak için veri iyileştirme ve görünürlük alanında önemli çalışmaların yapılması gerekmektedir.
Sonuçta, teknoloji şirketlerini gönüllü olarak siber güvenlik önlemleri almaları nedeniyle ödüllendirme hamlesi, teknoloji geliştirmedeki sıkıntılarımızı, sıkı düzenleyici gereklilikler yoluyla izleme ve uygulama eksikliğini çözmeyecektir.
Siber güvenlik şöyle dursun, hiçbir sektörde değişim bir gecede gerçekleşmez. Geçtiğimiz 50 yıla bakıldığında, teknolojinin düzenlemelerden, alıcıların bilgi tabanından ve etkili yasaları yazmak ve uygulamak için gerekli teknolojik anlayıştan çok daha hızlı bir oranda geliştiğini ve olgunlaştığını görmek kolaydır. Dolayısıyla attığımız her adımın övülmesi ve desteklenmesi gerekiyor. Ben bir sertifikasyon rozetinin yanı sıra yasa koyucuların, sonradan akla gelen bir düşünce veya kutuyu işaretlemek yerine, süreçlerini tasarım ve varsayılan olarak siber güvenliği içerecek şekilde iyileştirmeye istekli üreticiler ve geliştiriciler için yaratabilecekleri diğer olumlu teşviklerden yanayım.
Resim rawpixel.com tarafından Freepik’te
Reklam