28 Ocak Cumartesi, Avrupa, Amerika Birleşik Devletleri ve Kanada ve İsrail dahil düzinelerce başka ülkede Veri Koruma Günü. Mevcut durumu ve aynı zamanda veri korumayı yöneten düzenlemelerin geleceğini yansıtma fırsatı. Şu anda, siber güvenlikteki görünüşte tutarsız eğilimler, veri korumasını iyileştirmeye yönelik bulut girişimlerini tehdit ediyor.
Verilerin korunması amacıyla alınan bu girişimler de eksik değil. İyi niyetle, veri ihlallerine ve diğer yasa dışı veri ifşalarına ilişkin günlük raporlara mantıklı bir yanıt verirler. Veri koruma savunucuları ve yasa koyucular, siber güvenlik gerekliliklerini veri koruma yasalarıyla uyumlu hale getirme ihtiyacının giderek daha fazla farkına varmaktadır. Ancak, verileri yerelleştirmeye yönelik öneriler devam ediyor ve bu da geniş çapta veri korumayı ve özel olarak da siber dayanıklılığı iyileştirme girişimlerini baltalama tehdidi oluşturuyor.
Ortak siber güvenlik gereksinimleri gizliliğin önünü açıyor
Avrupa’da Genel Veri Koruma Yönetmeliği (GDPR), Kaliforniya’da Kaliforniya Tüketici Gizliliği Yasası (CCPA), Japonya’da Kişisel Verileri Koruma Yasası (APPI) gibi yönergelerde yer alan veri koruma yükümlülüklerinin çoğalmasının neden olduğu karışıklığın ötesinde, değişiklikler Avustralya mahremiyet yasası ve Amerika Birleşik Devletleri’nde büyüyen bir mahremiyet mevzuatı nedeniyle, küresel bir program oluşturmak isteyen kuruluşlar için gelişmeler olumlu. Bu farklı düzenlemeler, aslında, bu risk karşısında “uygun” veya “makul” koruyucu önlemlerin uygulanmasını şart koşan apriori ortak güvenlik gerekliliklerini paylaşır. Yıllardır bu gerekliliklerin, şirketlerin veri koruma düzenlemelerine uyumu statik bir durum olarak değil, aksine sürekli değişen koşullar karşısında veri korumayı iyileştirmeye yönelik bir dizi yöntem olarak görmelerini sağlamak için tasarlandığı kabul edildi. değişen tehditler ve teknolojiler.
2023 başlarken, neyin “doğru” veya “makul” olduğu konusunda hem daha fazla görünürlüğün hem de daha geniş bir fikir birliğinin tadını çıkarıyoruz. Ortak siber güvenlik uygulamaları ve teknolojileri, Avrupa Siber Güvenlik Ajansı (ENISA) tarafından yayınlanan “Son Durum” raporunda, Amerika Birleşik Devletleri’nin siber güvenliğinin iyileştirilmesine ilişkin Başkanlık Kararnamesi’nde (EO) ve en son yönergelerde bulunabilir. New York Eyaleti Finansal Hizmetler Departmanı tarafından yayınlandı.
Bu en iyi uygulamalar şu teknolojileri kapsar: uç nokta tespiti ve yanıtı (EDR), karanlık web izleme, bağlantı günlüğü yönetimi, tehdit avı ve sıfır güven kimlik koruması. Ayrıca, Federal Ticaret Komisyonu’nun (FTC) Log4Shell güvenlik kusuruyla ilgili açıklamasının ardından, bilinen güvenlik açıklarına yama yapılmasının bir uyumluluk önceliğine yükseltildiği görülüyor.
Belirli siber güvenlik uygulamalarının bu şekilde yaygın olarak tanınması, profesyonellerin düzenleyici uygulama veya dava durumunda artık temel standartlara daha fazla güven duyması anlamına geliyor.
Kafa Karıştıran Politika Eğilimleri Siber Güvenlik En İyi Uygulamalarına Zarar Verebilir
Eşzamanlı olarak, ancak veri koruma kanunları tarafından belirlenen güvenlik gerekliliklerine uyum sağlama yönündeki artan çabanın aksine, yeni veri yerelleştirme önerileri, öncelikleri zorlama tehdidinde bulunuyor. Siber güvenlikteki mevcut eğilimler, siber saldırıların mahremiyet için büyük bir tehdit oluşturmaya devam ettiğini açıkça göstermektedir. Temel olarak, güvenlik gereksinimleri ve kabul edilen uygulamalar, verilere yetkisiz erişimi engellemeyi amaçlar. Bununla birlikte, dünya çapında sunulan pek çok teklif, aksi takdirde izin verilen erişimi – örneğin, bir yargı yetkisinin ötesindeki bir ağın yönetimi – reddetmeyi amaçlamaktadır ve savunucuların kendilerini herhangi bir yetkisiz erişime karşı korumaları için mevcut araçları fiili olarak sınırlandırmaktadır.
Son örnekler, Hindistan’da tanıtılan Dijital Kişisel Verileri Koruma Yasası’nın belirli hükümlerini, bulut bilgi işlem hizmet sağlayıcılarının kalifikasyonu için Fransız SecNumCloud karşılaştırmasını, kritik verilerin dayanıklılığına ilişkin Avrupa Direktifi NIS 1.0’ı uygulayan İtalyan cumhurbaşkanlığı kararnamesinin ilk versiyonunu içerir. , Schrems II kararının ardından kişisel verilerin uluslararası transferlerine ilişkin belirli yorumlar ve hanehalkı bilgilerini toplamak veya endüstriyel politika amaçları doğrultusunda veri egemenliğini teşvik eden diğer kurallar. Tartışmalar canlı kalsa da gerçek şu ki: Verileri yerelleştirme zorunluluğu, dünya çapında fikir birliğine varan iyi siber güvenlik uygulamalarının kullanımını sınırlayacaktır. Bunu yapmak için savunucuların SaaS platformlarına, birleştirilmiş güvenlik verilerine, kuruluşlar genelinde birleştirilmiş görünürlüğe, merkezi günlük yönetimine, yanal hareketleri izleme becerisine ve ayrıca her zaman veri akışı gerektiren 7/24 operasyonel hizmetlere ihtiyacı vardır.
İronik bir şekilde, tehdit aktörleri kurallara uymuyor, bu nedenle analitik yeteneklere ve gezegen ölçeğinde tehdit avlama araçlarına sahip olmayan savunucular, verileri doğal olarak sınırların ötesine sızdırmanın yanı sıra küresel bir ağ içinde yatay olarak hareket etmeye çalışan saldırganlarla mücadele etmek zorunda kalıyor. Başka bir deyişle, veri yerelleştirme gereklilikleri, şirketlerin verilerini ihlallere karşı korumak için uygun teknolojilerin kullanılmasını şart koşan kendi ülkelerinin gerekliliklerine uymak yerine, yurtdışında geçerli yasal işlemlerin varsayımsal risklerine karşı kendilerini korumaya teşvik edebilir. Neyse ki, veri konumunun savunucuları tarafından dile getirilen endişelerin birçoğunu ele alan, Özel Sektör Kuruluşları Tarafından Tutulan Kişisel Verilere Hükümetin Erişimine İlişkin OECD Deklarasyonu da dahil olmak üzere bazı olumlu gelişmeler gerçekleşti.
Siber güvenlik sorunları, günümüzün gizlilik gereksinimlerine yeni bir anlam kazandırıyor
Güvenlik ve gizlilik ekipleri, riske “makul” ve “uygun” modern veri koruma standartlarına uymak için el ele çalışırken ve düzenleyiciler veri yerelleştirme konusuna olan ilgiyi değerlendirirken, mevcut tehditlerin nasıl etkilendiğini vurgulamak önemlidir. gelişti. Veri sızıntısı gaspı, gizlilik ve güvenlik için büyük bir tehdittir. Taktik bir bakış açısından, modern saldırılar artık kimlik merkezli ve meşru kimlik bilgilerinin istismarına dayanıyor.
Modern saldırıların ve kullanılan tekniklerin zorluklarıyla karşı karşıya kalan şirketler, ağlarında kurdukları güvenlik araçlarının risk için “uygun” olup olmadığını, yürürlükteki yasal gerekliliklere uyup uymadıklarını ve yaygın en iyi uygulamaları yansıtıp yansıtmadıklarını kendilerine sormalıdır. . Benzer şekilde, bu standartlar, belirli tekliflerin daha iyi siber güvenlik sonuçlarına yol açıp açmayacağı konusunda tartışmalara bilgi verebilir.
Veri Koruma Günü’nde, bütünsel veri korumasının neyi gerektirdiğini ve siber güvenliğin önemini ister uyum ister koruma, mahremiyet ve insan hakları açısından yansıtmak önemlidir. Veri ihlalleri mahremiyet için önemli bir tehdit oluşturmaktadır. Bu nedenle yasa koyucular ve devlet kurumları, şeffaflığı savunarak ve aynı zamanda verileri ihlal riskine karşı korumayı amaçlayan en iyi uygulamaların benimsenmesini teşvik ederek mahremiyet korumasını geliştirebilir. Verilerin yerelleştirilmesi gibi görünüşte keyfi önlemlerden ziyade mahremiyetin korunmasına öncelik verilmesi gereken bu yaklaşımdır. Bugün, modern BT altyapıları, siber güvenlik ve gizlilik programları, küresel veri akışlarına dayanmaktadır. Veri aktarımlarına güvenlik ve güvence sağlayan çerçevelerin uygulanması, bütünsel veri korumasının önemli bir unsurudur.