Öyle görünüyor ki, yüksek profilli devasa bir siber güvenlik ihlaline dair bir haber duymadan bir hafta geçemez. Şu anda oyun dünyasında kasabanın konuşulan konusu, Rhysida fidye yazılımı grubu tarafından Insomniac’ın son fidye yazılımı ihlalidir. Ancak son 30 günde meydana gelen daha büyük ihlallerden bazıları, 4 eyaletteki 30 hastaneyi etkileyen Ardent Hastanesi ihlali olabilir. Xfinity, geçen hafta 36 milyon müşterinin bilgilerinin etkilendiğini/çalındığını açıklayan bir ihlali doğruladı.
Bir şeylerin değişmesi gerekiyor ve yakın zamanda Microsoft CEO’su Satya Nadella bile daha fazla siber güvenlik düzenlemesi yapılması çağrısında bulundu. ABD’de siber güvenlik düzenlemelerinde yapılan son değişikliklerden bazılarına ve bunların şirketlerin siber saldırılardan korunmasına yardımcı olup olamayacağına bir göz atalım.
Daha önce de tartıştığımız gibi, son zamanlarda o kadar çok büyük siber güvenlik ihlali yaşandı ki, bunların hepsini isimlendirmek zor. Ayrıca, özellikle Insomniac’ın gelecek oyunlarının sızdırılması durumunda, sözde muhabirlerin veya gazetecilik kuruluşlarının veri ihlalinden kaynaklanan sızıntıları tartışmak istemedikleri hakkında da çok fazla konuşma yapıldı. Bu yayınların ileri sürdüğü argümanlardan bazıları, bir siber güvenlik uzmanı olarak insan unsurunu düşünmemiz gerektiği yönündeydi; bu beni rahatsız ediyor çünkü siber güvenlik departmanında insan unsurunu düşünmüyorlar.
Büyük bir şirkette çalışan çoğu kişi, en yetersiz fonlanan departmanların genellikle Bilgi Teknolojileri ve Siber Güvenlik departmanları olduğunu biliyor. Ne yazık ki şirketler, bir ihlal gerçekleşene kadar uygun siber güvenliğe yatırım yapmak istemiyor gibi görünüyor.
Siber Güvenlik Girişimleri küresel siber güvenlik ortamına ilişkin birçok harika istatistik ve araştırmaya sahiptir. Cybersecurity Ventures ekibi, 2023 yılında siber suçların tahmini zarar maliyetini tartışan bir video yayınladı.
Çoğu şirket, doğru bir şekilde fidye ödememeye karar verdiğinden, gevşek siber güvenliğe sahip olmanın hissedebilecekleri tek etki, planlarının sızdırılması nedeniyle mali kayıp olacaktır. Siber suçluların bu şirketlere saldırıp bundan paçayı sıyırmasına izin verilmesi gerektiğine inanmıyorum, ancak şirketlerin verilerinin ihlal edilmesinden daha fazla korkması ve bu korkuya dayanarak daha fazla siber güvenlik personelinin işe alınması ve fonlanması için yatırım yapması gerektiğini de düşünüyorum. şirketlerini korumak için. Şirketler verilerini koruma konusunda ihmalkar davranabilir, veri ihlaline maruz kalabilir ve ardından şirketin kârlılığı üzerinde nispeten az olumsuz etkiye sahip olabilirse, bu şirketler siber güvenlik departmanlarına yetersiz fon sağlamaya devam edecek.
Umarız bu düzenlemelerden bazıları bunun olmasını engeller. Halka açık şirketlerin siber güvenlik olaylarını dört gün içinde açıklamaya zorlanması ve ekonominin neredeyse her sektörü için zorunlu siber güvenlik minimumlarının uygulanması, bir şirketin ihmal nedeniyle ihlal edilmesi ihtimalini azaltacaktır ki bu da hem şirketler hem de şirket için en iyi senaryodur. siber güvenlik profesyonel endüstrisi.
Şu anda birçok kamu şirketi yatırımcılara siber güvenlik açıklamaları sağlıyor. Ancak bu açıklamanın daha tutarlı, karşılaştırılabilir ve karar verme açısından yararlı bir şekilde yapılmasının şirketler ve yatırımcılar açısından fayda sağlayacağını düşünüyorum. Bugünün kuralları, şirketlerin önemli siber güvenlik bilgilerini ifşa etmesinin sağlanmasına yardımcı olarak yatırımcılara, şirketlere ve onları birbirine bağlayan pazarlara fayda sağlayacaktır.”
SEC Başkanı Gary Gensler
ABD Hükümeti siber güvenliği artırmak için hangi düzenlemeleri uyguladı?
26 Temmuz 2023’te SEC bir rapor yayınladı basın bülteni halka açık tüm şirketleri, siber güvenlik olaylarını, şirketin olayı fark etmesinden sonraki dört gün içinde açıklamaya zorlayacak yeni kuralların yürürlüğe gireceğini söyledi. 15 Aralık 2023’te bu yeni kurallar yürürlüğe girdi, ancak çok az tantanayla.
26 Temmuz 2023’te SEC, halkın bir fidye yazılımı grubundan veri ihlali duyduğunu ancak bunun yerine bunu şirketin kendisinden duyduğu bir rapor yayınladı. Hisse senedi fiyatlarını olumsuz etkileyebileceği için şirketlerin konuyu görmezden gelme ve bu konuda rapor vermeme konusunda büyük bir teşviki var. Bununla birlikte, bu yeni düzenlemenin yürürlüğe girmesiyle şirketlerin, siber güvenlik olaylarına etkili bir şekilde tepki verebilmeleri, bunları düzeltebilmeleri, hangi verilerin etkilendiğini bulmak için keşif gerçekleştirebilmeleri ve tüm bunları yeni bir belgeye yazabilmeleri için olay müdahale ekiplerini güçlendirmeleri gerekecek. Olayın keşfedilmesinden sonraki sadece dört gün içinde Form 8-K’nın 1.05 maddesi.
Yeni kurallar, kayıt yaptıranların önemli olduğunu belirledikleri herhangi bir siber güvenlik olayını Form 8-K’nın yeni Madde 1.05’inde açıklamalarını ve olayın niteliği, kapsamı ve zamanlamasının yanı sıra maddi etkisi veya makul düzeydeki etkisinin yanı sıra olayın maddi yönlerini açıklamalarını gerektirecektir. tescil ettiren üzerinde muhtemel maddi etki. Madde 1.05 Form 8-K’nin teslim tarihi genellikle kayıt yaptıranın bir siber güvenlik olayının önemli olduğunu tespit etmesinden sonraki dört iş günü içinde gerçekleşir. Amerika Birleşik Devletleri Başsavcısı’nın derhal açıklamanın ulusal güvenlik veya kamu güvenliği açısından önemli bir risk oluşturacağına karar vermesi ve bu kararı Komisyon’a yazılı olarak bildirmesi durumunda açıklama gecikebilir.
ABD SEC
Bu yeni kural bir süre sonra geliyor Mayıs 2021 tarihli Yönetici Emri Bu da hükümetin siber güvenliğe ilişkin gözetimini büyük ölçüde artırdı. Pek çok kurum kendi düzenlemelerini uygulamaya koydu. Ulaştırma Güvenliği İdaresi’nin (TSA) yeni gereksinimleri, İç Güvenlik Bakanlığı (DHS) Satın Alma Yönetmeliği, 2022 Kritik Altyapı Yasası için Siber Olay Raporlaması (CIRCIA)ve Su Sektörü için Çevre Koruma Ajansı Siber Güvenliği.
Siber Güvenlik ve Altyapı Güvenliği Ajansı şunları kaydetti: 16 kritik altyapı sektörü Başkanlık Politikası Direktifi 21’e (PPD-21) uyması gereken: “Güvenli, işleyen ve dayanıklı kritik altyapıyı güçlendirmek ve sürdürmek için ulusal bir politika geliştiren” Kritik Altyapı Güvenliği ve Dayanıklılığı.
Raporlamayı ve uyumluluğu geliştirmek için hükümet ihbarcı korumalarını uygulamaya koydu.
“Bu Kritik Altyapı Sektörlerinden herhangi birinde çalışıyorsanız ve işvereninize veya düzenleyicilere kritik altyapıyla ilgili endişelerinizi dile getirdiğiniz için misillemeye maruz kaldığınızı düşünüyorsanız, ABD Çalışma Bakanlığı Mesleki Güvenlik ve Sağlık İdaresi (OSHA) ile iletişime geçebilirsiniz. OSHA’nın İhbar Koruma Programı, ihbarınızı koruyabilecek 20’den fazla misilleme karşıtı yasayı uygulamaktadır.”
CISA.gov
Bu ihbarcı korumaları, kritik olmayan sektörler için de daha geçerli hale geliyor. Başına JDSupra.com “Ekim 2022’de Penn State, eski bir bilişim sorumlusu (CIO) tarafından CUI’yi sözleşmenin gerektirdiği şekilde korumadığı ve bilerek sahte güvenlik uyumluluk raporları gönderdiği iddiasıyla dava edildi.”
Bu, durması gereken türden bir faaliyettir. Şirketler, siber güvenlik departmanlarına yetersiz fon ayıracak, işe aldıkları az sayıdaki siber güvenlik analistini tükenmişliğe ve imkansız beklentilere zorlayacak ve şirket asgari bir standardı karşılamadığında, uyumluluk raporlarını çarpıtıp standartları karşıladıklarını belirtiyorlar.
Bugün, bilgileri ve yardımları başarılı bir SEC yaptırım işlemine yol açan yedi ihbarcıya toplam 28 milyon dolardan fazla ödül vereceğini duyurduk.https://t.co/5yUT09r3yX22 Aralık 2023
Daha fazla gör
Siber güvenlik düzenlemeleri neden önemlidir ve siber güvenlik mesleğine nasıl yardımcı olurlar?
Buradaki konsepti kavramak biraz zorsa bunu bir NFL futbol takımı gibi düşünün.
NFL takımının sahibi bir şirketteki üst düzey yöneticidir.
Baş antrenör, Baş Bilgi Güvenliği Görevlisidir ve personeli, departmanın diğer siber güvenlik üyeleridir.
Bazen bir baş antrenör, takımın sağlayabileceği tüm fon, yetenek ve olanaklara sahip olmasına rağmen yine de oyunu kaybeder.
Ancak genellikle baş antrenör hangi draft hakkını seçeceği, hangi yeteneği takas edeceği konusunda sahiplik mücadelesi veriyor ve ihtiyaç duyduğu desteği alamıyor.
Bu durumda, eğer başantrenör başarısız bir sezon geçirirse, genellikle koçluk personelinin çoğuyla birlikte sorumlu tutulur ve kovulur.
Aynı durum Siber Güvenlik için de geçerlidir. Sektördeki çoğu kişi, bir şirketin başına bir ihlal gelmesi durumunda, genellikle CISO ve üst düzey siber güvenlik yönetiminin kılıçlarına basmak zorunda kalacağını biliyor ancak üst düzey yöneticiler normalde herhangi bir etkiye karşı dayanıklı.
Umarız, iyileştirilmiş düzenlemeler ve gözetim sayesinde şirketler, yetersiz fonlamanın ve siber güvenlik departmanını yeterince desteklememenin riskini ve maliyetini belirleyecek; çevik, uygun şekilde eğitilmiş ve her zaman sürekli değişen sorunlarla başa çıkmaya hazır, verimli, bakımlı bir siber güvenlik departmanı oluşturmaktan daha iyidir. ABD’nin düşmanlarının ve müttefiklerinin saldırıları.
Hükümet son zamanlarda o kadar ileri gitti ki aslında Büyük bir ihlale yol açan ihmalkar bireyleri ve şirketleri dava etmek Bu, kötü niyetli aktörlerin ABD Hükümeti kurumlarına erişmesine olanak tanıdı ve ulusal güvenliği doğrudan etkiledi.
SEC, SolarWinds ve o zamanki güvenlikten sorumlu başkan yardımcısı Tim Brown’un, hem şirketin “zayıf siber güvenlik uygulamalarını hem de artan ve artan siber güvenlik risklerini” gizleyen “yanlış beyanlar, ihmaller ve planlar yoluyla” yatırımcıları ve müşterileri dolandırdığını söylüyor.
Frank Bajak VIA Fortune
Bu, hükümetin eşi benzeri görülmemiş bir eylemidir ve ülke çapındaki şirketleri uyarmaktadır. Normalde hükümet düzenlemelerinin taraftarı değilim ama siber güvenlik söz konusu olduğunda neredeyse otomobil sigortası ihtiyacını düzenleyen yasalar kadar önemli görünüyor. Araç sigortasını zorunlu kılan bir yasa olmasaydı, birçok kişi sadece dikkatli araç kullanıp kaza yapmayacağını düşünerek bu yasadan vazgeçerdi.
Aynı şey, bu devasa şirketleri yöneten üst düzey yöneticiler için de geçerli gibi görünüyor; bir siber güvenlik departmanını kolayca bir araya getirebileceklerini, onları uygun kaynaklardan mahrum bırakabileceklerini ve siber güvenlik saldırılarından kaçabileceklerini veya siber güvenlik saldırılarını atlatabileceklerini düşünüyorlar. bir ihlalle karşı karşıya kalırlarsa, yalnızca bunun etkileriyle ve iyileşmeyle ilgileneceklerdir. Halkın veri ihlallerine karşı son derece duyarsız hale gelmesi dünyanın üzücü bir durumu. Artık çoğu insanın isim, DOB ve sosyal güvenlik numarası dahil olmak üzere özel bilgilerinin o kadar çok kez çalındığı noktadayız ki, hepimiz yıllarca ücretsiz kredi izleme hizmeti aldık (verileriniz her çalındığında, siz ücretsiz kredi takibi alın).
Bütün bunlar göz önüne alındığında hükümetin siber güvenliği ciddiye almasına sevindim. Hata yapmayın, savaş tüm teknolojimize güç veren 1’ler ve 0’lar aracılığıyla yürütülebilir ve her şey birbirine bağlıdır. Şirketlerin kendilerini, çalışanlarını ve müşterilerini koruması gerekiyor. Elbette, Xfinity’nin bir ihlal nedeniyle 63 milyon müşteri kaydını kaybetmesi ulusal güvenliği doğrudan etkilemeyebilir, ancak ya bu Xfinity müşterilerinden biri bir NSA analistiyse ve parolanın yeniden kullanılmasına ilişkin yaygın uygulama nedeniyle saldırganlar analistin diğer hesaplarına erişebilirse ne olur? sistemler? Bu tür varsayımlar, özellikle de ulus devlet aktörlerinin devreye girmesi durumunda olasılık dışı değildir.
Siber güvenliğe mi girmek istiyorsunuz? Siber güvenlik kılavuzumuza nasıl başlayacağınıza göz atın.
Hükümetin genel siber güvenliği iyileştirmek amacıyla şirketlere yönelik düzenlemeleri artırmaya çalışması hakkında ne düşünüyorsunuz? Haberlerde duyduğumuz ihlallerin sayısını azaltmaya yardımcı olabileceğini düşünüyor musunuz? Yorumlarda bize bildirin.