Onur Özgür
Siber kriz olay müdahale firması The Crisis Team’in kurucusu ve CEO’su Bill Mew, gizlilik ve verilerin geleceği hakkında 8 tane problemi dile getirdi ve bu problemler hakkındaki cesur tahminlerde ve tavsiyelerde bulundu.
Üç yıl önce Avrupa Birliği (AB), bireylere verileri üzerinde daha fazla kontrol sağlamak için tasarlanmış bir yasa olan Genel Veri Koruma Yönetmeliğini (GVKY) çıkardı. Hem AB içindeki hem de dışındaki kuruluşların verileri “yasal, adil ve şeffaf” bir şekilde işlemesi gerekiyordu ve veri sorumluları AB’de yaşayan bireylere ilişkin minimum miktarda veriyi işliyordu.
Yönetmelik ayrıca, “uygun teknik ve organizasyonel önlemler” kullanılarak verilerin güvenli bir şekilde işlenmesini zorunlu kıldı. Kullanıcılar, kendilerinde toplanan verilerin bir kopyasını talep edebildi.
Veri gizliliği konusunda kamu bilinci önemli ölçüde arttı. GVKY yalnızca AB vatandaşlarının verileri için zorunlu olsa da, şirketlerin küresel müşteri güvenini korumak istemeleri halinde de iyi bir uygulamaydı.
İki yıl sonra, GVKY’ye dahil edilen gaddar para cezaları ve yaptırımlar nadiren kullanıldı (birkaç dikkate değer istisna dışında) – bu kesinlikle çoğu şirketin düzenlemelere bağlı kaldığının ve kişisel verilerimizin güvende olduğunun bir göstergesidir.
Şimdi Bill Mew’in bahsettiği bu 8 problemden ve onun bu konu hakkındaki tahmin ve tavsiyelerini inceleyelim:
Problem 1: Buluta geçiş, büyük bir veri yönetimi sorunu yaratıyor
Pandemi buluta geçişi hızlandırdı ancak doğru veri yönetimi yaklaşımının uygulanmaması büyük sorunlar yaratacaktır. Buluta geçiş sırasında çoğu kuruluş, hangi uygulamaların buluta, hangi sırayla ve nasıl taşınacağına karar vermekte zorlanıyor. Aynı kuruluşlar buluta girdikten sonra bir veri sorunu ile karşı karşıya kalırlar. IT bütçeleri baskı altında ve uygulamaların sayısı nispeten statik olma eğilimindeyken, veri hacimleri katlanarak artıyor (ve 5G ile daha da hızlı büyüyebilir). Net bir veri mimarisi olmadan, verilerin nerede kopyalandığını görmek veya düzenli olarak erişilmesi gereken veriler, arşivlenebilecek veriler ve atılabilecek veriler arasında ayrım yapmak imkansızdır. Kişisel verileri görüntülemek veya silmek için GVKY talepleri imkansız hale gelebilir. Veri depolama maliyetleri özellikle yüksek olmasa da, giriş ve çıkış ücretleri yüksektir. Veri mimarisi, farklı veri kümelerine öncelik vermesi gereken erişim kontrolleri (artan uzaktan çalışma seviyeleri ile) ve yedekleme ve kurtarma hizmetleri için de kritik öneme sahiptir.
Buluta geçiş sırasında çoğu kuruluş bir uygulama sorunu yaşar. Buluta girdiklerinde bir veri sorunu yaşarlar.
Tahmin: Salgının ardından şirketler güvenlik ve işbirliğine odaklanıyor ve verimlilik iyileştirmeleri ve maliyet tasarrufu için buluta bakıyor. Çoğu, geçişlerini veri yönetimini göz önünde bulundurarak planlamazlarsa oluşabilecek problemleri fark edemezler.
Yapmanız gerekenler: Buluta geçiş için acele etmeyin. Geçişi, verilerinizi haritalamak/profillendirmek ve erişim kontrolleri ve entegrasyonlardan yedekleme ve kurtarmaya kadar her şeyi desteklemek için stratejik bir veri mimarisi uygulamak için bir fırsat olarak kullanın.
- Bu da ilginizi çekebilir: Akbank’tan Sistem Krizine İlişkin Kamuoyu Açıklaması
Problem 2: Yeni normale uyum sağlamak
Konaklama, seyahat ve turizm gibi bazı sektörler pandemi tarafından orantısız bir şekilde etkilendi ve çok farklı bir gelecekle karşı karşıya olabilir, ancak neredeyse tüm sektörler uzun bir uzaktan çalışma ve işbirliği dönemi görecek. Verilerin nasıl saklandığına, paylaşıldığına ve korunduğuna ilişkin uyumluluk gereksinimleri, merkezi, uzak ve bulut tabanlı sistemler için eşit olarak geçerlidir.
Tahmin: Kısa vadede, uzaktan çalışmayı etkinleştirme telaşı, veri koruma ve uyumluluk pahasına işbirliğine ve gelişmiş verimlilik ve kullanıcı deneyimine daha fazla odaklanabilir. Personeliniz yüz yüze görüşmek için bir araya gelemeyecekleri için kişisel müşteri bilgilerini e-posta veya mesajlaşma yoluyla paylaşıyor mu? Ev geniş bantları güvenilmez ise verileri yerel olarak mı kaydediyorlar? Herhangi bir yerel veri setini koruma ve geri yükleme olanağınız var mı? Ne uyumlu ne de güvenli olan yerel cihazlara yedekleme yapmak için kendi inisiyatiflerini kullanıyorlar mı?
Uzaktan çalışma, gizlilik ve güvenlik kabusu olabilir.
Yapmanız gerekenler: Mümkün olan her yerde, veri yönetimi disiplininin uygulanabileceği, güvenli ve bulut tabanlı sistemler olan iş cihazlarının kullanımını zorunlu kılın.
Problem 3: Büyük teknoloji firmaları yasaların üzerinde görünüyor
Facebook, Google, Apple gibi büyük teknoloji firmalarına GVKY kapsamındaki çoğu şirketin Avrupa merkezinin bulunduğu İrlanda’daki veri düzenleyicisi tarafından tek bir dava açılmadı. İyi davranışın bir işareti olmaktan çok uzak, yerel düzenleyicilerin teknoloji devlerini önümüzdeki yıllarda yasal temyizlere bağlı tutmak için ne kadar yetersiz kaynaklandığını gösteriyor.
Tahmin: Etkin uygulamayı sağlamak için yeterli kaynaklar bulunana kadar düzenleme anlamsız olacaktır. Her ne kadar bu, Gizlilik Kalkanı’nın bozulduğu ve İrlandalı düzenleyici ile AB’deki meslektaşlarına harekete geçme görevlerinin olduğu söylendiği son kararda olduğu gibi değişebilir.
Yapmanız gerekenler: Bu davaların nasıl geliştiğini izleyin, hangi emsallerin oluşturulduğunu görün ve bu aktivistlerin Standart Sözleşme Maddelerine veya Gizlilik Kalkanına (her ikisi de büyük aksamalara neden olacak) karşı başarılı bir itirazı olup olmadığına bakın.
Problem 4: Tehdit ortamı her zaman daha da kötüleşiyor ve karmaşıklık da öyle
Şirketler yalnızca gelişen tehdit ortamına ayak uydurmak için mücadele etmekle kalmıyor, aynı zamanda karmaşık ve genellikle parçalanmış bir dizi güvenlik çözümüyle de mücadele etmek zorunda kalıyor.
Karmaşıklık, siber suçlar kadar büyük bir sorun haline geliyor ve birçok CISO (güvenlik başkanı), tehditlerle uğraşmaktan çok güvenlik teknolojisiyle başa çıkmak için zaman harcıyor.
Tahmin: Kuruluşlar, daha kapsamlı koruma sağlayabilecek yedekleme ve kurtarmada Commvault gibi her alanda stratejik tedarikçilerle daha az sayıda satıcıyla daha derin ilişkilere sahip olmaları gerektiğini sonunda öğreneceklerdir.
Yapmanız gerekenler: Siber güvenlik konusunda eksik kalmayın veya her biri, çoğunu asla kullanmayacağınız uzun bir özellik listesine sahip çok sayıda nokta güvenlik teknolojisi ürünü tarafından kör edilmenize izin vermeyin. Bunun yerine, yüksek kalibreli stratejik ortaklarla işbirliği yaparak yönetim ek yükünüzü basitleştirin ve savunmanızı optimize edin.
Problem 5: Şirketler GVKY için bir onay kutusu yaklaşımı benimsiyor
Çok fazla kuruluş, GVKY’nin, sürekli ihtiyatla benimsemeleri gereken bir zihniyet yerine, üç yıl önce aceleyle yaptıkları bir şey olduğunu düşünüyor. Çok az kuruluş, GVKY’nin gerektirdiği şekilde siber güvenlik süreçlerini düzenli olarak test eder ve değerlendirir; ve çoğu kuruluş, büyük bir siber olaydan yalnızca bir adım ötededir.
Veri koruma, hazırlama ve önleme öngörüsünde bulunmak mutlaka ucuz değildir, ancak sonradan görmeden ve yanlış anlamanın teknik, yasal ve itibari maliyetinden çok daha ucuzdur.
Tahmin: Halihazırda Avrupa düzenleyicilerinden birkaç önemli GVKY cezasının yanı sıra ABD’deki Federal Ticaret Komisyonu’ndan alınan para cezalarını da gördük. Ayrıca, dokuz milyon kaydı içeren bir ihlal için easyJet’e karşı 18 milyar sterlinlik talep gibi büyük toplu dava iddialarını görmeye başlıyoruz. Siber olayların sayısı arttıkça çok daha fazla para cezası ve iddia takip edecek. Çok fazla firma zor yoldan öğrenecek iken siber güvenlik ve siber hukuk gün geçtikçe büyüyecek.
Yapmanız gerekenler: Önlemeye yatırım yapın ve yüksek düzeyde uyanıklığı sürdürün. Siber güvenlik süreçlerinizi düzenli olarak test edin ve değerlendirin. Verilerinizi, neye sahip olduğunuzu ve nerede olduğunu anlayın. Ve bir siber olaydan kaçınamasanız bile, müdahale etmek ve kurtarmak için iyi bir konumda olduğunuzdan emin olun, böylece etkiyi en aza indirin.
Problem 6: Üst yönetim hala veri gizliliğini ciddiye almıyor
Gizliliği ciddiye almama, üst yönetimin bunu CISO’ya devredilebilecek ve unutulabilecek bir şey olarak görmesiyle, genellikle en tepeden gelir.
Tahmin: Mali suçla mücadele girişimleri, Kıdemli Yöneticiler ve Sertifikasyon Rejimi gibi şirket yöneticilerini sorumlu tutan düzenlemeler getirene kadar etkisizdi. Aynı şekilde, sağlık ve güvenlik suistimali ile mücadeleye yönelik tedbirler, kurumsal adam öldürme hükümlerine yol açtı. Pek çoğu zaten GVKYyi acımasız olarak görecek olsa da, bu yazar, gizlilik hatalarına yönelik yaptırımların şirket yöneticilerine de genişletilmesinin muhtemelen sadece bir zaman meselesi olduğuna inanıyor.
Yapmanız gerekenler: Bir şirket yöneticisiyseniz veya yönetici olma hedefiniz varsa, bu tür bir mevzuat çıkarılmadan çok önce kuruluşunuzun siber güvenlik yasasını bir araya getirdiğinden emin olun.
Problem 7: Siber sigorta amacına uygun değil
Warren Buffet bir keresinde, “Siber sigorta teminatı yazarken ne bizim ne de başka birinin gerçekten ne yaptığını bildiğini sanmıyorum” dedi. Ne yazık ki, işler çok az gelişti ve şu anda siber sigortacılar tarafından siber riski değerlendirmek ve fiyatlandırmak için kullanılan teknikler inanılmaz derecede kaba. Çoğu sigortacı, kendilerini korumak için, herhangi bir olay için sorumluluk kabul etmeyen bir dizi istisna içerir; bu, poliçelerinin genellikle yazıldığı kağıdı israf ettiği anlamına gelir. Örneğin, ABD hükümeti siber saldırıların Rus ordusunun işi olduğunu söylediğinde, sigortacılar NotPetya iddialarını ödemekten kaçınmak için “savaş eylemi” bahanesini kullandılar. Doğu ile batı arasında artık siber bir “soğuk savaş” olduğunu iddia eden birçok kişiyle birlikte, Rusya, Çin, Kuzey Kore ve İran’dan gelen neredeyse tüm saldırıların bu şekilde dışlandığını görebiliriz.
Tahmin: Bir hesaplaşma geliyor. Bir noktada sigortacılar, bir dizi yıkıcı ödemeyle karşılaşmak veya etkisiz olarak ifşa edilmekle karşı karşıya kalacaklar. Bu noktada, uzman olmayanlar piyasadan çıkacak ve kalanlar, politikaları daha titiz bir şekilde fiyatlandırmak için siber denetimleri kullanacak. Bu, bu tür politikaların maliyetini artıracaktır, ancak en azından o zaman etkili olacaktır.
Yapmanız gerekenler: Yukarıdaki bağlantıda listelenen istisnalar için poliçenizi kontrol edin ve risk iştahınıza uygun bir poliçe bulmak için uzman bir broker ile birlikte çalışın. Ayrıca cevap olarak sigortaya güvenmeyin. Öncelikler önleme, tespit ve kurtarmadır.
Problem 8: Siber silahlanma yarışına gidiyoruz
Siber savunmalarımızda titiz olmalıyız ve her zaman şanslı olmalıyız, oysa siber suçlular fırsatçıdır ve sadece ara sıra şanslı olmaları gerekir. Her iki taraf da hem tespit hem de savunma için olduğu kadar tespit ve saldırı için kullanılan yapay zeka ile daha da karmaşık hale geliyor. Saldırganlar, algılanmayı önlemek için metamorfik ve polimorfik kötü amaçlı yazılım kullanırken, savunucular buna karşı koymak için Güvenlik Düzenleme, Otomasyon ve Yanıt gibi teknikler kullanıyor.
Tahmin: Güvenlik teknolojisi pazarı şu anda parçalanmış ve aşırı kalabalık. Bu silahlanma yarışına ayak uydurmak için gereken yenilik düzeyine yalnızca en büyük oyuncular yatırım yapabilecek. Piyasada birçok küçük oyuncunun başarısız olduğu veya kazanıldığı bir konsolidasyon göreceğiz.
Yapmanız gerekenler: Yine, her biri sınıfının en iyisi ve kendi alanında tanınmış liderler olan ve bu silahlanma yarışında liderliği korumak için kaynaklara sahip olacak stratejik tedarikçilere odaklanın. Ayrıca her tehdide her zaman karşı koyabileceğinize güvenmeyin, bu nedenle siber olay yönetimi planınızın (yedekleme ve kurtarma/olağanüstü durum kurtarma dahil) iyi prova edildiğinden emin olun.
Kaynak: Commvault
Kriptoparalar hakkında; merak ettikleriniz, öğrenmek istedikleriniz, soru-cevap, güncel analizler için Telegram kanalımızda bizi takip edin ve iletişimde kalın. KoinSaati’nin Telegram Kanalına katılmak için tıklayınız.
