Devletin her seviyesindeki düzenleyici kurumlar, bu yıl daha katı gizlilik ve ifşa gereklilikleri – ve buna uygun cezalar – muğlak bir dil ve yumuşacık yönergelerle hazırlanmış, siber güvenlik ekiplerini son derece sorumluluk altında bırakıyor ve uyumluluğa giden net bir yol yok.
Siber olayların ifşasına ilişkin yakın zamanda yayınlanan Güvenlik ve Borsa Komisyonu (SEC) yönergeleri, muğlak düzenleyici dilin neden olabileceği türden bir kafa karışıklığına örnektir. Siber güvenlik uzmanı Adam Shostack, Dark Reading’e kuralların büyük ölçüde yanlış yorumlandığını gözlemlediğini belirtiyor.
Shostack, “Şeffaflık gereksiniminin genel olarak iyi olduğunu düşünüyorum ve bunun, bir ihlali keşfettikten sonraki dört gün içinde değil, bunun maddi bir ihlal olduğunun belirlenmesinden sonraki dört gün içinde olduğuna dikkat etmek önemlidir.” “Pek çok insan bu önemli farkı kaçırıyor.”
Shostack, aralarında Mike Hintze, Daniel P. Cooper ve Leslie R. Katz’ın da bulunduğu bir uzman paneliyle birlikte, “Siber ve Gizlilik Alanında Sıcak Konular Düzenleme.”
Belirsiz Dil, Daha Fazla Uygulama
Shostack, siber düzenlemenin bazı muğlak dillerinin gerekli olduğuna dikkat çekiyor.
“Ayrıca açık konuşalım. Bu standartların belirsiz olmasının nedeni genellikle [because] endüstri esneklik talep ediyor” diye ekliyor. “Standartların çok açık uçlu olması nedeniyle sorun yaşıyorsak, bunu sektör gruplarımıza ve lobicilerimize göstermeliyiz.”
Bir avukat ve eski teknoloji yöneticisi olan Katz, kural koyma tartışmalarını eğitmeye ve şekillendirmeye yardımcı olmanın siber güvenlik topluluğuna düştüğünü kabul ediyor. Teknik rehberlik olmadan, SEC gibi düzenleyici kurumların cezalandırmanın ötesinde çok az etkisi kaldığını da ekliyor.
Katz, siber güvenlik uzmanlığının eksikliğinin, SEC’in şirketin 2020 ihlali nedeniyle bireysel SolarWinds yöneticilerine karşı cezai eylemini körüklediğini söylüyor.
“Bu, SEC’in yaptırım yoluyla düzenlemeye yönelik başka bir çabası gibi görünüyor. Daha net yönergeler sağlamak yerine, böyle bir eylem yoluyla bir mesaj gönderiyorlar,” diyor Katz, Dark Reading’e.Her şey için bir uyarı atışı, daha fazla uyanıklık ve hızlı tepkiler gerekecek.”
Panel, ABD gizlilik yasası, yapay zeka ile ilgili Avrupa Birliği düzenlemeleri, AB-ABD Veri Koruma çerçevesi ve güvenlik profesyonellerinin uyumluluk ve kural koyma sürecine en iyi nasıl dahil olabileceği gibi konuları kapsayan konularda rehberlik sağlayacak.
Shostack, devam eden düzenleyici belirsizliğin, hem hazırlık sırasında hem de gerçek bir siber olay müdahalesi sırasında hukuk ve uyumluluk uzmanlarıyla giderek daha yakın işbirliği gerektirdiğini söylüyor. Siber ekiplerin başlaması için en iyi yerin, Ulusal Standartlar ve Teknoloji Enstitüsü, Siber Güvenlik Çerçevesi veya Güvenli Yazılım Geliştirme Çerçevesi’nden teknik standartlar.