Kurumların Daha Kapsamlı Veri İhlali ile Müdahale Planlarına İhtiyacı Var

Günümüzde şirketlerin önemli kısmı, bir siber güvenlik tehdidi ile karşılaştıklarında hızla yanıt vermelerine yardımcı olacak uygun sistemlerden yoksun. Dünyanın birçok ülkesinde yasalarla sunulan açık yönergeler ve protokollerle şirketlere yardımcı olunuyor, ancak ihlale maruz kaldıklarını bunu açıklamaktan caymalarına neden olabilecek bazı durumlar da söz konusu. Örneğin kimi şirketler bir güvenlik olayı meydana geldiğinde müşterilerinin kendilerine dava açması konusunda endişeliler…

Forrester’ın olay müdahalesi ve kriz yönetimi ile güvenlik eğitiminde uzmanlaşmış kıdemli analisti Jess Burn, pek çok şirketin toplu davalar veya diğer olası yasal işlemlerle ilgili durumlardan kaçınmak istediğini belirtiyor.

Burn, bir video röportajda sigorta ve avukat-müvekkil ayrıcalığının özellikle Kuzey Amerikalı şirketlerde genellikle tam şeffaflığın önüne geçtiğini söylüyor. Kurumların çoğu, bir ihlalin ardından soruşturmaları, avukat-müvekkil gizliliği altında tutulmasını sağlayan özel bir sözleşme kapsamında ele almaya meyilli. Bu, soruşturmaya dahil olan herhangi bir tarafın, ihlal edilen örgüt ile avukatları arasındaki gizli görüşmeleri ifşa etmesinin engellenebileceği anlamına geliyor.

Burn, şirketlerin bir ihlalle ilgili olarak yaptıkları her türlü iletişime avukatların giderek daha fazla dahil olduğunu gözlemledi. Kurumların bir olaya maruz kaldıklarında gerçekleştirmeleri ve ödemeleri gerekebilecek ihlal değerlendirmesine ilişkin raporlar ve belgeler de sıkı bir şekilde kontrol ediliyor.

Olay müdahale planı hayati derecede kritik olabilir

Herhangi bir ihlalin kapsamını belirlemenin ve anlamanın zorluğu, sorunu daha da karmaşık hale getiriyor. Burn, örneğin bazı siber sigorta sağlayıcılarının devlet destekli saldırıları kapsamayacağını kaydediyor, ancak bu tür ihlalleri çok geniş şekilde tanımlıyor. Buna göre saldırıların resmi olarak atfedilmesi için biraz çaba lazım. Burn bu noktada, “bu, bazı kuruluşları ihlali bildirmeden önce konumlarını tam olarak tespit edene kadar sessiz kalmaya itebilir” diyor.

Yasal sorunlar bir yana, kuruluşların siber güvenlik olayı yaşandığında hızlı şekilde hareket etmelerine yardımcı olacak planları olmalıdır. Bu konuda birçok şirketin hala eksik olduğuna işaret ediliyor.

Ernst & Young (EY) Global’in Asya-Pasifik siber güvenlik danışmanlığı lideri Richard J. Watson, çok fazla kişinin bir güvenlik olayı durumunda nasıl yanıt vermeleri gerektiğini tanımlamak yerine hala bunu “gereksiz giderler” arasında gördüğünü ifade ediyor ve ekliyor; şirketler için en büyük öncelik, bir ihlale nasıl yanıt verecekleri konusunda belirli bir çerçeveye sahip olmaları. Watson “bu, özellikle uzaktan çalışma döneminde, siber direncin oluşturulmasında ve ağ kullanılabilirliğinin sağlanmasında kritik öneme sahiptir” diye de ekliyor.

Şirketler veri ihlallerine karşı hazırlıklı değil

CrowdStrike’ın Asya-Pasifik Japonya servis direktörü Mark Goudie, şirketlerin çoğunun veri ihlallerine hazırlıklı olmadığını ve bir güvenlik olayının ortasında nasıl tepki vermeleri gerektiğini bulmaya çalıştıklarını söylüyor.

Olay müdahale planı, kurumların bir tehdidi daha hızlı tanımlamasına ve hızlı yanıt vermesine çok daha iyi şekilde olanak sağlıyor. Buradaki amaç, güvenlik olayının bir veri ihlaline dönüşmesini önlemek.

Watson, ağ içinde şüpheli faaliyetler olduğunda tespit etmenin kolay olduğunu, buna karşın potansiyel bir ihlalin ciddiyetini belirlemenin daha zor olduğunu düşünüyor. Ve kurumlara, iki eylem planının gerçekleşmesi gereken ihlallerde gezinmelerine yardımcı olmak için bir olay müdahale sağlayıcısıyla birlikte çalışma önerisinde bulunuyor. Şirketler öncelikle herhangi bir veri hırsızlığı ya da gizlilik ihlali olup olmadığını araştırmalı ve bu nedenle ilgili makamlara güvenlik olayının bildirilmesi gerekip gerekmediğine karar vermeli…

Watson, etkilenen kurumların daha sonra meydana gelen ihlal türünü anlaması ve potansiyel olarak veri korumaya hazırlanmaları gerektiğini sözlerine ekliyor.

Düzgün bir şekilde hazırlanamayan şirketler, operasyonlarını başlatmanın ve çalıştırmanın en hızlı yolu olduğundan, büyük olasılıkla sistemlerini yeniden inşa etmeliler. Ancak bu yapılırken, tüm kanıtlar ortadan kaldırılabilir.

Watson’a göre bu, şirketler açısından ihlalin ana hatlarını belirleyip nedenini anlayamayacakları anlamına geliyor. “Öte yandan bir saldırıda kanıtları korumak için çaba sarf etmeyen şirketlerin, sigorta talebinde bulunma yeteneklerinin sınırlanacağı da unutulmamalı” diye ekliyor.

Bilgi paylaşımı özendiren yönetmeliklere ihtiyaç var

Çoğu düzenlemenin şu anda veri ihlalleri ve yeterli ifşanın sağlanmasına odaklandığının altını çizen Watson, ayrıca fidye yazılımı ve tehlike göstergeleri gibi diğer türdeki olaylar hakkında daha fazla bilgi paylaşımı çağrısında bulunuyor. Kurumları, ağlarında tanımladıkları ve engelledikleri saldırı faaliyetleri hakkında bilgi paylaşmaya zorlamak sektöre fayda sağlayabilir.

Watson; finans, kamu hizmetleri ve imalat gibi kritik sektörlerdeki kurumların bu tür bilgi ağlarından yararlanabilmeleri için hükümetlerin, uzlaşma göstergeleri hakkında bilgi paylaşımı için ortak standartlar ile platformlar oluşturma çabalarına öncülük ettiğini öne sürdü. Ayrıca standart protokollere sahip olmanın da bu tür süreçleri otomatikleştireceğini ve verilerin gönderilmesini ve paylaşılmasını kolaylaştıracağını ekledi.

Goudie, görev ve cezaların, halihazırda bir ihlalin kurbanı olan örgütleri daha fazla cezalandırmaya yol açabileceğini kaydetti. Aşırı derecede kısıtlayıcı olan düzenlemeler, şirketlerin güvenlik olayının kendisine yanıt vermekten çok, görevlere yanıt vermek için daha fazla zaman harcadıklarını da görebileceğini söyledi. Ek olarak endüstrinin tehdit aktörlerinin ihlal edilen ağlara nasıl eriştiğini daha iyi anlayabilmesi ve öğrenebilmesi için bilgi paylaşımını yönlendirmek için metriklere duyulan ihtiyacı dile getirdi. Bu tür veriler ilgili makamlara dağıtılabilir ve etkilenen sektördeki şirketler arasında paylaşılabilir. Tehdit aktörlerinin, belirli endüstrileri hedef alanlar da dahil olmak üzere, saldırıları gerçekleştirmek için tipik olarak aynı taktikleri ve prosedürleri kullandığını hatırlattı.

Burn, saldırılarla daha iyi mücadele etmek için daha fazla veri paylaşımının olması gerektiği bir dönemde, bilgi sağlama konusundaki isteksizliğin ve şeffaflık eksikliğinin güvenlik endüstrisine zarar verdiğini kaydetti. Ancak Forrester analisti, işletmelerin bir ihlal konusunda daha az açık sözlü olduğu ve gerçeği müşterilerden gizlemek için çaba sarf ettiği tespit edilirse, bunu yapmaya daha az meyilli olacaklarını söyledi.

2019’da bir fidye yazılımı saldırısına maruz kaldıktan sonra açıklığı ve şeffaflığı nedeniyle büyük övgü toplayan Norveçli üretim şirketi Norsk Hydro’ya dikkat çekti. Fidye ödemeyi reddettikten sonra olay ve bundan kurtulmak için nasıl çalıştığı hakkında ayrıntıları paylaştı.

Burn, “Davalarla ilgili endişeleri ele almanın ve şeffaflıkla saldırılarla mücadele etmenin bir yolunu bulmamız gerektiğini düşünüyorum” dedi ve ihmaller bir ihlalin nedeni olduğu tespit edilirse şirketler cezalandırılmalı, ancak kurumlara doğruyu söyledikleri için cezalandırılmamaları için biraz izin verilmesi gerektiğini de sözlerine ekledi.