Bu bir CISO olmak için zorlu bir zamandır. Güvenlik topluluğu, son birkaç hafta içinde Uber ile ilgili çok sayıda hikayeyi hevesle takip ediyor. itibaren son büyük hacklerinin oyun bazında oynamasıEski Uber güvenlik şefi Joe Sullivan’ın geçen haftaki suçlu kararına göre, CISO’lar önemli zorluklarla karşı karşıya.
Sullivan davasındaki karar, onu federal bir soruşturmayı engellemek ve hükümetten bir suç gizlemekten suçlu buldu. Göre New York Times: “Kaliforniya Kuzey Bölgesi’nin ABD’li avukatı Stephanie M. Hinds yaptığı açıklamada şunları söyledi: ‘Önemli bilgilerin kamudan daha fazla kendi itibarlarını ve işverenlerinin itibarını korumakla ilgilenen şirket yöneticileri tarafından gizlenmesine müsamaha göstermeyeceğiz. kullanıcıları korumak. Bu tür davranışların federal yasayı ihlal etmesi durumunda kovuşturma yapılacaktır.'”
Hükümet ABD’deki CISO’lara bir mesaj gönderiyor – ifşa edin ve potansiyel olarak işinizi kaybedin ya da örtbas edin ve hapse girin. Bilgileri hükümete ifşa ederlerse, uyumluluk düzenlemelerini karşılarlar, ancak işleri tehlikede olacaktır. Özellikle kişisel olarak tanımlanabilir bilgilerin (PII) ele geçirildiği bir ihlal, bir dava ile sonuçlanacak ve CISO büyük olasılıkla kovulacaktır.
Ancak, uyumsuzluk, tam açıklamayı gösterememe veya ortadaki herhangi bir gri bölgenin cezası artık kişiseldir (uyumsuzluğun şirket için para cezasıyla sonuçlandığı diğer düzenlemelerin aksine). Uber davasında bir ihlali örtbas etmek ve ardından federal bir soruşturma bağlamında saldırının ayrıntılarını daha fazla gizlemek hapis cezasına neden olabilir.
Bu vaka aynı zamanda CISO’lar için yeni bir zorluğu da gün ışığına çıkarıyor: “Ne biliyordunuz?” Bilgilerin gizlenmesi bu davanın ve kararın önemli bir parçasıdır. “Bilmiyordum” diyerek bilgileri gizlemek, veri ihlali olan bir CISO için bir cevap değildir – en iyi ihtimalle ihmali yansıtır ve en kötü ihtimalle bir yalandır. Güvenlik ekiplerinin bilmesi gerekir – ve büyük olasılıkla yapmak kullandıkları birçok güvenlik aracından güvenlik duruşları hakkında bilgi sahibi olurlar – ve bildikleri gizlenemez.
Sullivan davasının güvenlik sektörü için çok büyük bir ağırlığı var. CISO’lardan ne bekleyebiliriz? Bu beklentiler adil mi?
Önerilen mevzuata göre, beklentiler aşağıdaki gibidir. itibaren Form 8-K (6-K) Maddi Siber Güvenlik Olaylarına İlişkin Açıklama (PDF) — aşağıdaki kurallar eklenecektir:
Soru şu ki, CISO’lar ne yapmalı? Halihazırda birden fazla güvenlik çözümü dağıtıyorlar. Şirket içi, bulut, uç nokta algılama, güvenlik duvarları, fidye yazılımı kurtarma, iş yükü koruması… liste uzayıp gidiyor. Yine de, bilgisayar korsanları – Uber’in durumunda olduğu gibi – genellikle bir çalışanın bir kimlik avı bağlantısını tıklaması için dırdır ederek içeri girer. Saldırı önleme ve “XYZ kullanıcısı” için milyonlarca dolar sistemi çökertiyor.
Kariyerimin çoğu için güvenlik alanında çalıştım ve bilgisayar korsanlarını dışarıda tutan araçları geliştirdim. CISO’lara içinde bulundukları karmaşık durumdan kurtulmalarına yardımcı olabileceğimiz birkaç yol önermek istiyorum.
siber-1