Pek çok işletmenin, hatta belki de çoğunun kirli sırlarından biri, her zamankinden çok daha fazlasının saldırıya uğradığını kabul etmesidir. Yine de diğerleri fidye yazılımı ödüyor, ancak bu derin, karanlık sırrı asla açıklamadılar. Sonuçta, kim dünyaya – ve müşterilerine – güvenlik pantolonu açıkken yakalandıklarını itiraf etmek ister.
Pekala, işler değişmek üzere. Yakın zamanda imzalanan 1,5 trilyon dolarlık devlet fonu faturasında şunlar vardı: şirketlerin veri ihlallerini ve fidye yazılımı ödemelerini hızla bildirmelerini gerektiren yeni siber güvenlik yasaları.
Vay canına.
Elbette, her zaman siber suçları FBI’a bildirmen gerekiyordu. İnternet Suçu Şikayet Merkezi (IC3)senin en yakın FBI saha ofisiveya şu adresten rapor edin: FBI İpuçları. Ama kaçınız bunu gerçekten yaptınız?
Göre Adalet Bakanlığı (DoJ) yedi siber suç kurbanından sadece biri vurulmuş olmak. Bu kadar çok kişinin bile başarılı bir şekilde saldırıya uğradıklarını ortaya çıkarmasına şaşırdım.
Kimse büyük bir hata yaptığını kabul etmekten hoşlanmaz. Bu, özellikle müşterileriniz güvenlik hatanızla ilgili haberlere bir göz attığında ve işlerini rakibinize götürdüğünde geçerlidir.
Diğer bir neden de, başarılı saldırıların büyük çoğunluğunun seçkin bir bilgisayar korsanları ekibi tarafından hedef alınmaktan değil, çalışanların cehaletinden ve ihmalinden kaynaklanmasıdır. Kimlik avından nasıl kaçınılacağı hakkında yazmaya devam etmemin bir nedeni var. Hala her zaman oluyor. Bir bağlantıya tıklamanızı veya bir dosyayı açmanızı sağlayan basit e-posta kimlik avı hileleri, bir saldırganın sistemlerinize girmesini sağlamanın en iyi yollarından biridir.
Şirketlerin saldırıya uğramasının diğer büyük nedeni, içeriden birinin kötü niyetli olarak – ya da aptalca, bazen farkı söylemek zor – bir saldırgana kapı açmasıdır. Her iki durumda da, şirket içindeki hiç kimse bu tür “beni şimdi kov” hatalarını kabul etmek istemez.
Eh, bu hatayı düzeltmek için elinizden gelenin en iyisini yapabileceğiniz ve sonra hiç olmamış gibi davranabileceğiniz günler sona eriyor.
Kesin düzenlemeler henüz yazılmamış olsa da, İç Güvenlik Bakanlığı’nın (DHS’ler) ileriye dönük olarak Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) güvenliğiniz ters gittiğinde onları döngüde tutmanızı isteyecektir.
Kesin olmak gerekirse, işletmeniz bunlardan birindeyse 16 kritik altyapı sektörü, başarılı bir şekilde saldırıya uğradığınızı CISA’ya bildirmeniz gerekir. Kesin olmak gerekirse, yeni yasa, bir olayın keşfedilmesinden itibaren 72 saat içinde ve fidye yazılımı ödemesi yaparsanız 24 saat içinde hack’leri bildirmenizi şart koşuyor.
Hiperventilasyon yapmadan önce derin bir nefes alın. Ülkenin kanunu olabilir ama o kanunu uymanız gereken bir şeye dönüştüren düzenlemeler henüz yazılmadı. Büyük uluslararası hukuk firması Holland & Knight’a göre, “Yeni Siber raporlama yükümlülükleri, CISA kuralları ilan edene kadar yürürlüğe girmeyecek Bu yasadan etkilenecek kritik altyapı sektörlerindeki varlıkları ve kapsadığı önemli siber olay türlerini tanımlamak.”
CISA’nın düzenlemeleri yazmak için iki yılı ve daha sonra nihai hale gelene kadar 18 ayı var. Kanun ve yönetmelik çıkarmak uzun ve meşakkatli bir süreçtir.
Ayrıca, hükümetteki herkes bu yeni yasaya hevesli değil. Bana klasik bir hükümet çim savaşı gibi görünen şeyde, Adalet Bakanlığı ve FBI bunu zerre kadar umursamıyor. FBI Direktörü Christopher Wray öyle düşünüyor “bazı ciddi kusurları var” ve “halkı siber tehditlere karşı daha az güvenli hale getirecektir” çünkü FBI’ı CISA lehine bir kenara itiyor.
Ne olursa olsun, işletmelerin izinsiz girişleri ve fidye yazılımı saldırılarını gerçekten rapor etmesi ve izlemesi konusunda bir tür yasal ısrar geliyor. Hazırlanmak.
Ve – sadece bir düşünce – yarın önemli bir olayı neden bildirmediğinizi açıklama konusunda endişelenmenize gerek kalmaması için bugün güvenliğinize daha iyi bakmaya ne dersiniz?
Telif Hakkı © 2022 IDG Communications, Inc.