ABD vatandaşları hakkında veri tutan kuruluşlar, siber güvenlik duruşlarındaki boşlukları ele almak ve artan yasal maliyetlere kurban düşmekten kaçınmak için olaylara zamanlı bir şekilde yanıt vermek için daha fazlasını yapmalıdır.
Sürekli Kontroller İzleme (CCM) uzmanı Panaseer tarafından yürütülen son altı aylık veri ihlali başvurusunun analizi, kuruluşların düzenleyici para cezaları, sınıf eylem yerleşimleri ve bireysel ödemelerde milyonlarca dolar ödediğini buldu.
Ağustos 2024’ten Şubat 2025’e kadar, üçüncü taraf kaynaklardan alınan veriler, 43 davanın açıldığını ve 73 yerleşimin ulaşıldığını ortaya koydu.
Panaseer, ABD kuruluşlarının geçen Ağustos ayından bu yana sınıf eylem maliyetlerinde toplam 154.557.000 $ (116.195.000 £) ödediğini ve yerleşimlerin ortalama 3 milyon dolar ve en büyük isabet 21 milyon dolar ödediğini buldu.
Etkilenen çalışanlara veya müşterilere bireysel ödemeler, 150 $ ‘dan 12.000 $’ a kadar değişiyordu, birçoğunun üçüncü taraf adli tıp ve iyileştirme hizmetleri gibi diğer maliyetler dikkate alındığında ekleyebileceği para.
Panaseer CEO’su Jonathan Gill, “İnsanlar – ve mahkemeler – bir şirketin bir saldırıya kurban edildiğinde anlama olabilirken, kuruluş veri etrafında bakım görevinde başarısız olduğu gibi göründüğünde çok daha az affediyorlar” diyor.
“Ancak çoğu ihlal gerçekleşmez çünkü şirketler güvenliği görmezden gelmezler. Bunun yerine, hedef risk pozisyonu belirleyecekler, daha sonra zamanla geri kayarlar ve amaçlanandan daha fazla maruz kalırlar, çünkü iyi niyetli kişilerin güvenebilecekleri bilgileri yoktur, anladıkları bir dilde sunulurlar, önemli işleri yapmak için bu bir süreç problemi, bir süreç problemi değil, bir süreç sorunu değil.”
Gill, olay hazırlığını kapsayan bir kayıt sistemi olmadan, işletmelerin nerede olduklarını düşündükleri ve gerçekte nerede oldukları arasındaki boşluğun, kuruluşların gerçeklik çok farklı olduğunda her şeyi doğru yaptıklarına inanana kadar genişleyebileceğini söyledi.
“Kapsamla ilgili varsayımlar kritik kör noktaları maskeleyebilir: yüzeyin altında devam eden eşleştirilmemiş sistemler, yanlış yapılandırmalar ve fark edilmemiş boşluklar” dedi. “Ve analizimizin de gösterdiği gibi, bu ‘bilinmeyen bilinmeyenler’ sadece para cezalarında ve yasal ücretlerde değil, itibar hasarı ve müşteri güveninin kaybında inanılmaz derecede maliyetli olabilir.”
Maliyetli ödemelere yol açan en yaygın başarısızlıklar, başvuruların% 50’sinde ve yerleşimlerin% 97’sinde kaydedilen yetersiz siber güvenlik önlemleriydi; verilerin şifrelememesi, dosyalamaların% 40’ında ancak yerleşimlerin sadece% 1’inde kaydedilen; ve başvuruların% 10’unda ve yerleşimlerin% 3’ünde not edilen bildirimleri ihlal etme gecikmeleri.
Benzeri görülmemiş seviyelerde ihlal davası
Genel olarak, veriler bize veri ihlali davalarının 2024’te rekor seviyelere ulaştığını ve dosyaların 2023’ün üzerinde iki katına çıktığını gösteriyor. Özellikle, Kaliforniya, Florida, Illinois ve New Jersey gibi daha sert gizlilik yasalarına sahip devletler, şaşırtıcı bir şekilde en sınıf eylem etkinliğini gördü.
Gill, kuruluşların bir ABD mahkemesinde sarılmaya karşı en iyi savunmanın, temel verilerinin ve BT varlıklarının net ve doğru bir resmini ve bunları korumak için mevcut önlemlerin resmini çizerek, güvenlikleri etrafında uygun ve etkili bir durum tespiti gerçekleştirdiklerini gösterebilmeleri ve kanıtlayabilmeleri gerektiğini söyledi.
“İyi niyetli bir çabayı göstermek, yasal işlemlere karşı en güçlü savunmalardan biri” dedi. “Yine de bugünün siber güvenlik zorluklarının temel nedeni sadece tehdit değil, onları yönetme şeklimiz.
Gill, “Saldırı yüzeyi genişliyor, görünürlük azalıyor ve güvenlik ekipleri sürekli büyüyen bir sessiz çözüm yığını-ortalama 83, 29 farklı satıcıdan hokkabazlık ediyor” dedi. “Bu görünürlük eksikliği dalgalanma etkisi yaratıyor. Güvenlik ekipleri varlıkları izlemek için mücadele ediyor, karar vericiler doğru anlayışlardan yoksun ve paydaşlar teknik karmaşıklığı iş riskine çeviremezler. Zamanla sürüklenme, uyarı yorgunluk setleri ve önlenebilir ihlaller meydana gelir.”
Bu döngüyü kırmak için, Baş Bilgi Güvenliği görevlilerini güvenliği, iş gününün İK liderleri için nasıl çalıştığına veya satış için Salesforce’a benzer şekilde işlev gören bir kayıt sistemi ile üç temel temellere (görünürlük, hizalama ve netlik) geri getirmeye çağırdı.
“[A] Güvenilir, doğru kaynak, ekiplere tüm paydaşlar tarafından anlaşılabilir olan tek, onaylanmış bir güvenlik verisi görünümünü verir ”dedi.
“Bu şekilde, kuruluşlar tırmanmadan önce sorunları önleyebilir, operasyonları kolaylaştırabilir ve reaktif itfaiyeden proaktif esnekliğe geçebilirler. Ve sonra, en kötüsü olsa bile, doğru şeyleri yaptıklarını gösterebilirler.”