Siber güvenlik konusu kritik bir noktaya geldi. Onlarca yıllık özel sektör kuruluşlarının siber olaylarla kendilerince başa çıkma çabalarının ardından, siber saldırıların şu anki derecesi ve etkisi, bu olayların etkilerinin toplumlar ve sınırlar arasında cereyan edebileceğini gösteriyor.
Şimdi, hükümetler “bu işe bir el atma” ihtiyacı duyuyor ve birçoğu yeni kanun ve düzenlemeler getirmeyi düşünüyor. Yine de kanun koyucular, genellikle siyasi aciliyeti düşünerek teknolojiyi düzenlemeye çabalıyor ve çoğu, kontrol etmeyi amaçladıkları teknolojiyi tam anlamıyla kavrayamıyor bile. Şirketler üzerindeki sonuçlar, etkiler ve belirsizlikler genellikle iş işten geçene kadar fark edilmiyor.
Amerika Birleşik Devletlerinde, bir dizi yeni düzenleme ve uygulamalar yapılmakta: Federal Ticaret Komisyonu, Gıda ve İlaç İdaresi, Ulaştırma Bakanlığı, Enerji Bakanlığı, Siber Güvenlik ve Altyapı Güvenliği Ajansı yeni kurallar üzerinde çalışmakta. Ek olarak 2021 yılında, 36 eyalet yeni siber güvenlik yasası çıkardı. Dünya çapında, Çin ve Rusya'da veri yerelleştirme, Hindistan'da bilgisayar ve acil müdahale ekibi CERT-In'in olay raporlama, AB'de ise GDPR (Genel Veri Koruma Tüzüğü) ve olay raporlaması gibi birçok girişim ve gereksinim mevcut.
Ancak şirketlerin öylece oturup kuralların yazılıp uygulanmasını beklemelerine gerek yok. Bunun yerine, şu anda üzerinde çalışılmakta olan düzenlemeleri anlamak, belirsizlikleri ve potansiyel etkileri tespit etmek, harekete geçmek için hazırlık yapmaları gerek.
Bugüne kadar, çoğu ülkenin siber güvenlikle ilgili düzenlemeleri, siber güvenlikten ziyade mahremiyete odaklanmış ve bu nedenle çoğu siber güvenlik saldırısının rapor edilmesine gerek duyulmamıştır. İsimler ve kredi kartı numaraları gibi özel bilgilerin çalınması durumunda, bunun ilgili makama bildirilmesi gerekir. Ancak, örneğin, Colonial Pipeline, ABD doğu kıyısının yaklaşık %50'sine yakıt sağlayan boru hattının kapanmasına neden olan bir fidye yazılımı saldırısına maruz kaldığında, hiçbir kişisel bilgi çalınmadığı için bunu bildirmedi. (Tabii ki binlerce benzin istasyonu akaryakıt alamazken bir şeyleri gizli tutmak oldukça zordu.)
Sonuç olarak, gerçekte kaç tane ve ne şekilde siber saldırı olduğunu bilmek mümkün değil. Bazıları siber güvenlik olaylarının sadece %25'inin rapor edildiğini, diğerleri sadece %18'inin, bir başkaları ise %10 veya daha azının rapor edildiğini söylüyor.
Görünen o ki neyi bilmediğimizi bile bilmiyoruz. Bu gerçekten berbat bir durum. Yönetim dehası Peter Drucker'ın meşhur sözünü hatırlayalım: "Ölçemediğiniz şeyi yönetemezsiniz."
Hükümetler bu yaklaşımın kabul edilemez olduğuna karar verdiler. Örneğin Amerika Birleşik Devletlerinde Beyaz Saray, Meclis, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ve diğer birçok kurum ve yerel yönetim, özellikle enerji, sağlık, iletişim ve finansal hizmetler gibi kritik altyapı endüstrilerinde iş yapan şirketlerin siber olayları bildirmelerini gerektirecek yeni kuralları düşünüyor, koyuyor veya uygulamaya başlıyor. Bu yeni kurallar altında, Colonial Pipeline'ın fidye yazılımı saldırısını bildirmesi gerekirdi.
Bu gereksinimler bir ölçüde, uçaklar için “ramak kala” veya “kıl payı kurtulma” durumları için önerilen raporlamalardan esinlenmiştir. Uçakların yaşadıkları çarpışma tehlikesinin ardından, buna neden olan arızaların belirlenmesi ve gelecekte bunlardan kaçınılması gerekir.
İlk bakışta, siber güvenlik açısından benzer bir gereklilik kulağa oldukça mantıklı gelmektedir. Sorun şu ki, siber güvenlik "olayı" olarak sayılması gereken şey, iki uçağın izin verilenden daha yakın olmasının "ramak kalasından" çok daha bulanık bir olaydır. Bir siber "olay", bir siber ihlale yol açabilecek, ancak gerçek bir siber ihlal haline gelmemesi mümkün bir olaydır. Resmi bir şekilde tanımlamak gerekirse, siber olay yalnızca bir sistemi "gerçekleşmesi yakın bir tehlikeye atan" veya bir yasanın çiğnenmesi açısından "tehlike arz eden" bir eylemi gerektirir.
Ancak bu şirketlerin belirsizlik içinde olmaları anlamına geliyor. Örneğin, birisi sisteminizde oturum açmaya çalışır ancak parola yanlış olduğu için reddedilirse. Bu "yakın bir tehdit" midir? Peki ya oltalama e-postasına ne dersiniz? Veya sisteminizde log4j güvenlik açığı gibi bilinen, yaygın bir güvenlik açığı arayan biri hakkında ne düşünürsünüz? Ya bir saldırgan gerçekten sisteminize girdiyse ancak herhangi bir zarar vermeden önce bulunup çıkarıldıysa?
Bu belirsizlik, şirketlerin ve düzenleyicilerin bir denge oluşturmasını gerektiriyor. Saldırganların ne yapmaya çalıştığı hakkında daha fazla bilgiye sahip olunduğunda tüm şirketler daha güvenli hale gelir. Ancak bu, şirketlerin olayları zamanında bildirmeleriyle gerçekleşebilir. Örneğin, güncel olay raporlarından toplanan verilere dayanarak, Ulusal Güvenlik Açığı Veritabanındaki (NVD) bilinen yaklaşık 200.000 güvenlik açığından yalnızca 288'inin fidye yazılımı saldırılarına aktif olarak uğradığını öğrendik. Bunu bilmek, şirketlerin bu güvenlik açıklarına öncelik vermelerini sağlar.
Öte yandan, aşırı geniş bir tanım kullanmak tipik büyük bir şirketin günde binlerce olayı, ki çoğu göz ardı edilen veya geri gönderilen spam e-postalar bile olsa, bildirmesi gerekebileceği anlamına gelebilir. Bu, hem raporları hazırlayan şirkete hem de böyle bir rapor selini işlemesi ve anlamlandırması gereken ajansa çok büyük bir yük olacaktır.
Ayrıca, uluslararası şirketlerin bir raporun ne kadar hızlı dosyalanması gerektiği de dahil olmak üzere Avrupa Birliği, Avustralya ve başka yerlerdeki farklı raporlama standartlarına uyması gerekir. Bunun ister Hindistan'da altı saat, GDPR (Genel Veri Koruma Tüzüğü) kapsamında AB'de 72 saat veya Amerika Birleşik Devletlerinde dört iş günü olması isterse çeşitli kurumlardan gelen bir dizi yönetmeliğe göre çeşitli ülkelerdeki varyasyonlar olması fark etmez.
Amerika Birleşik Devletlerindeki çoğu büyük şirketi içeren SEC (ABD Menkul Kıymetler ve Borsa Komisyonu) düzenlemelerine tabi şirketlerin, bu yeni düzenlemeler ışığında "önceliklerini" hızlı bir şekilde tanımlamaları ve bu "önceliğin" geçerli olup olmadığını belirlemek için mevcut politika ve prosedürlerini gözden geçirmeleri gerekmektedir. Özellikle bu tür kararların sık ve hızlı bir şekilde alınması gerekiyorsa, işlemlerini düzene sokmak için onları gözden geçirmeleri gerekecektir.
Fidye yazılımı saldırılarını bildirme ve hatta fidye ödemeyi suç haline getirme gibi alanlarda da düzenlemeler yapılıyor. Fidye yazılımı ödemeye ilişkin şirket politikalarının ve siber sigorta politikalarındaki olası değişikliklerin gözden geçirilmesi gerekiyor.
Çoğu şirket, sistemlerinde log4j güvenlik açığı olduğunu bilmiyordu çünkü bu yazılımlar genellikle başka yazılımlarla birlikte gelen yazılımlarla bulaşırdı. Şirketlerin, karmaşık bilgisayar sistemlerinde gömülü olan tüm farklı yazılım parçalarını hızlı ve doğru bir şekilde bilmeleri için ayrıntılı ve güncel bir Yazılım Malzeme Listesi (SBOM) tutmalarını gerektiren düzenlemeler önerilmiştir.
Bir SBOM, başka amaçlar için de faydalı olsa da, şirketinizde bu yazılımın geliştirilme ve edinilme yöntemleri açısından önemli değişiklikler gerekebilir. Bu değişikliklerin etkisinin yönetim tarafından gözden geçirilmesi gerekmektedir.
Birisi veya muhtemelen şirketinizdeki bir grup, bu yeni veya önerilen düzenlemeleri gözden geçirmeli ve kuruluşunuz üzerinde ne gibi etkileri olacağını değerlendirmelidir. Bunlar çoğunlukla şirket genelinde etkileri ve kuruluşunuz genelinde birçok politika ve prosedürde olası değişiklikleri yapan bilgi teknolojisi veya siber güvenlik ekibinize bırakılmayan teknik ayrıntılardır. Bu yeni düzenlemelerin çoğu hala şekillendirilebilir olduğu ölçüde, kuruluşunuz bu düzenlemelerin hangi yönde ilerlediğini ve bunların nasıl uygulanıp uygulanmayacağını değiştirmek isteyebilir.
Kaynak: Harvard Business Review