YORUM
Kuruluşunuzun statüsü ne olursa olsun, bir siber saldırının kurbanı olabilir. Örnek olaylar: Şubat ayında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) hacklendi ajansın kullandığı Ivanti ürünlerindeki zaafların istismarı yoluyla. Uluslararası Para Fonu (IMF) da aynı ay saldırıya uğradı ve bu da en azından 11 IMF e-posta hesabıMart ayında, çokuluslu teknoloji devi Fujitsu, mağdurun kendisi olduğunu doğruladı Bilgisayar korsanlarının kötü amaçlı yazılım kullanarak kişisel ve müşteri bilgilerini sızdırdığı bir siber saldırı.
Veri ihlalleri 2023’te 2022’ye kıyasla %78 oranında arttı. Kimlik Hırsızlığı Kaynak Merkezi’nden (ITRC) araştırmaITRC’nin “2023 Yıllık Veri İhlali Raporu”na göre 2023’te 353.027.892 kişiyi etkileyen 3.025 adet kamuya açık veri ihlali bildirildi. Bu ihlallerin %78’i 343.338.964 kurbanı etkileyen siber saldırılardı.
Ayrıca, “2024 Thales Veri Tehdit Raporu“Geçtiğimiz yıl fidye yazılımı saldırılarında %27’lik bir artış görüldü ve şirketlerin %8’i fidye ödedi; bu ödemeler genellikle sistemlerini şifre çözmek veya müşterilerinin hassas verilerinin ifşa edilmeyeceği “vaadi” karşılığında yapılıyor.
Kısacası, veri sızdırma, gerçekleşip gerçekleşmeyeceği değil, gerçekleştiğinde sonuçları azaltmak için ne yapılması gerektiği sorusudur. Sorunun önüne geçmenin en iyi yolu, bir olay meydana gelmeden önce veri toplamanızı gözden geçirmek ve azaltmaktır.
Veri bir Varlık mı yoksa bir Yükümlülük mü? Evet
Veri sızdırma, gasp amacıyla kişisel veya hassas ticari verilerin çalınmasıdır, olayların maliyetini ve karmaşıklığını artırır ve itibar kaybı için daha büyük potansiyel getirir. Veri sızdırma vakaları her yıl artıyor, 2019’daki olayların %40’ından 2022’de %80’e ve 2023’te “önemli ölçüde daha yüksek”e, Allianz TicariAyrıca, yapay zeka (AI) araçlarının kullanımı Şirketleri, içeriden kaynaklanan veri ifşası, kaybı ve sızıntıları yoluyla veri sızdırma riskine karşı giderek artan bir şekilde karşı karşıya bırakıyor.
Tehdit aktörleri daha karmaşık hale geldikçe, fidye talep etmek ve kimlik dolandırıcılığı ve diğer sosyal mühendislik saldırılarını sürdürmek için belirli hassas bilgilerin sızdırılmasına daha fazla odaklanma eğiliminde oluyorlar.
Veri toplama söz konusu olduğunda, “daha fazlası daha iyidir” zihniyeti yanlıştır. Ne kadar çok veri saklarsanız, hassas verileri içerme olasılığı o kadar artar — tehdit aktörlerinin aradığı şey budur, çünkü bunu paraya çevirebilirler.
Veri Koleksiyonunuzu Nasıl Düzenlersiniz?
Olay sayısı ve veri sızdırma oranı arttıkça, siber saldırı riskini azaltmak her zamankinden daha kritik hale geliyor. Bu, hassas verilerin nerede saklandığını daha iyi anlamak ve ihtiyacınız olmayan her şeyi silmek için verilerinizi değerlendirmenin tam zamanı olduğu anlamına geliyor. Başlamak için beş ipucu:
-
Verilerinizi sınıflandırın ve takip edin. Veri eşleme, verilerinizin görsel bir temsilini oluşturma sürecidir. Kuruluşunuzun bilgilerinin manzarasını, nerede bulunduğunu ve hassas verilerin nerede saklandığını anlamanıza yardımcı olur. Kuruluşunuzun büyüklüğüne bağlı olarak, veri eşlemeyi manuel olarak yürütmeyi veya bir bağlam tabanlı AI tarama aracı Hassas verilerin nerede saklandığına ve ne kadarının kopyalandığına dair ilk değerlendirme için.
-
Veri temizliğini teşvik edin. Kuruluşunuzdaki çalışanların veri depolama uygulamalarını yeniden düşünmelerine yardımcı olun. Örneğin, bir çalışan müşteri verilerini iş ürününü veya biçimlendirmeyi yeniden kullanmak istediği için saklıyorsa, bunun yerine genel bir şablon oluşturmalarını ve müşteri bilgileri içeren tüm kopyaları silmelerini önerin.
-
BT ve bilgi güvenliği ekiplerinin her departmanla düzenli toplantılar yapmasını sağlayın. BT ve bilgi güvenliğinden uygun kişilerin her departmanla bir araya gelerek verilerinin envanterini çıkarmalarını, bu verilerin nerede saklandığını ve departmanın hangi hassas verileri sakladığını öğrenmelerini sağlayın. Departmanı hassas veriler için uygun depolama teknikleri konusunda eğitin, örneğin parola koruması ve şifrelemeVeri uyumluluk standartlarına uymak için, hassas verilerin ilk etapta toplanıp toplanmayacağını veya saklanıp saklanmayacağını belirlemek de büyük önem taşır.
-
Kullanılmayan müşteri verilerinin otomatik olarak silinmesini sağlayın. Müşterilerinize, verilerinin 60 günden uzun süre kullanılmayacağı süre boyunca saklanmayacağını ve 60 günlük sürenin sonunda verilerini yeniden paylaşmaları gerekeceğini önceden bildirin.
-
Aktif silmeyi de uygulayın. Kuruluşunuz her zaman bunu yaptığı için eski kurumsal verileri saklamaya devam etmeyin. Sürekli artan siber olay sorumluluğu riski ve değişen tehdit ortamıyla, statüko politikalarına bağlı kalmak artık doğru yol değil. Veri saklamayla her zamankinden çok daha fazla risk ilişkilendiriliyor, bu yüzden silmeyi deneyin.
Hassas dijital materyale sahip olmak, kuruluşunuzu potansiyel olarak ciddi yasal ve ticari sonuçlara maruz bırakır. Unutmayın, verileri depolamanın gerçek ve önemli finansal, yasal ve fiziksel maliyetleri ve sonuçları vardır. Özellikle sizi bir siber saldırıda daha yüksek riske maruz bırakan hassas verileri, gerektiğinden daha uzun süre depolamayı bırakın. Kullanılmayan veya eski verileri en aza indirmek için herkes için süreçler uygulayın. Bu şekilde, verileri depolamanın fiziksel ve finansal maliyetini en aza indirebilir ve kuruluşunuzun kârını artırabilirsiniz.