Siber güvenlik olgunluğunun Asya’daki kuruluşlar arasında gelişmekte olduğu ve dijital dayanıklılık oluşturma yarışında ilerleme kaydetme fırsatları olduğu gözlemleniyor. Mayıs 2023’te Black Hat Asia, bölgedeki siber güvenlik eğilimlerine ilişkin bilgiler sunarak veri ifşası, gizlilik ve veri minimizasyonu hakkında sorular ortaya çıkardı.
Asya’da, oldukça büyük veri ifşasına yol açan baş döndürücü bir dizi güvenlik ihlali, bölgedeki vatandaşları uyuşuk hale getirdi.
Malezya’da olduğu iddia edilen bir dizi veri sızıntısını ele alalım. Mayıs 2022’de, 1940 ile 2004 yılları arasında doğan yaklaşık 22,5 milyon Malezyalıya ait olduğu iddia edilen bir bilgi verisinin Ulusal Kayıt Departmanından (NRD) çalındığı ve Dark Web’de 10.000 dolara satıldığı söylendi. Çeşitli raporlar, bilgilerin muhtemelen devlet kurumları tarafından kullanılan merkezi bir veri paylaşım platformu olan MyIdentity’nin API’si aracılığıyla NRD’den çekildiğini belirtti. Ancak Malezya İçişleri Bakanı, kişisel detayların NRD’den kaynaklanmadığını belirtti.
Aralık 2022’de Astro (ülkenin uydu televizyonu ve IPTV sağlayıcısı), Malezya Seçim Komisyonu ve Maybank’tan yaklaşık 13 milyon hesabı içeren biri de dahil olmak üzere daha fazla şüpheli veri sızıntısı ortaya çıktı. Bu raporlar, İletişim ve Dijital Bakanı Fahmi Fadzil’in Malezya CyberSecurity ve Kişisel Verileri Koruma Departmanını daha fazla soruşturma başlatmaya çağırmasına yol açtı. Üç kuruluş da veri sızıntısı iddialarının yanlış olduğunu iddia etti.
Çin’de, Temmuz 2022’de meydana geldiği iddia edilen başka bir vakada, “1 milyar Çinli uyruklu ve ad, adres, doğum yeri, ulusal kimlik numarası, cep telefonu numarası dahil olmak üzere birkaç milyar vaka kaydı” içeren Şangay Ulusal Polisi (SHGA) veri tabanının ele geçirildiği iddia edildi. , tüm suç/vaka ayrıntıları”, Breach Forums’ta duyurulduğu üzere ChinaDan adlı anonim bir bilgisayar korsanı tarafından. Reuters, gönderinin gerçekliğini doğrulayamadıancak, tartışmalı bir şekilde, şok değeri açıktır.
Endonezya’da vatandaşlar, veri ihlallerinin ve ifşalarının meydana geldiği sinir bozucu düzenliliğe atıfta bulunarak, ülkeyi “açık kaynak ülkesi” olarak sınıflandırdı. Eylül 2022’de “Bjorka” takma adlı bir saldırgan Endonezya’da 1,3 milyar SIM kaydına girerek cep telefonu numaralarını, ulusal kimlik numaralarını, telekomünikasyon sağlayıcılarını ve daha fazlasını ifşa etti. 10 Eylül’de attığı bir tweet’te Bjorka, “öncelikle hükümet tarafından yönetiliyorsa, korkunç bir veri koruma politikası nedeniyle çeşitli kapılara girmenin” ne kadar kolay olduğunu göstermek için bunu yaptığını iddia etti. Yayılma etkileri, vatandaşların açıkta kalan verilerden yararlanan spam çağrıları, hedefli kimlik avı ve diğer sosyal mühendislik yöntemleriyle karşı karşıya kalacağını görecek.
Basit Veri Gösterilerinden Daha Fazlası
Omdia’nın Güvenlik İhlalleri İzleyici 2019’dan bu yana 4.998 duyurunun %14’ünün Asya ve Okyanusya bölgesinden kaynaklandığını tespit etti, ancak Omdia duyurulanlardan daha fazlasının olduğunu iddia ediyor. Bölgedeki güvenlik ihlallerinin çoğu hükümetleri, BT firmalarını, imalat, perakende ve profesyonel hizmet sektörlerini hedef alıyor. Ülke düzeyindeki en önemli hedefler arasında Hindistan (%20), Avustralya (%18), Japonya (%12), Çin (%10) ve Singapur (%7) yer almaktadır.
Küresel eğilimlerle tutarlı olarak, Asya ve Okyanusya bölgesindeki ihlallerin ardından ana sonuç (2019’dan bu yana olayların %68’i) veri açığa çıkmasıdır. Kötü amaçlı bilgisayar korsanlığının yanı sıra, bu bölgedeki kuruluşların güvenliği genellikle kazara açığa çıkma (%19), fidye yazılımı (%13), tedarik zinciri saldırıları (%10) ve kimlik avı (%7) nedeniyle ele geçiriliyor. Kazara maruz kalmalar ve kimlik avı ile insan faktörlerine yapılan vurgu küçümsenemez. Güvenlik İhlalleri İzleyicisi, ihlallerin %24’ünün özensizlik veya ihmalden, %5’inin ise kazalardan kaynaklandığını tespit etti ve bu da kuruluşların siber güvenlik bilincini güçlendirmeleri için pek çok fırsat olduğunu gösteriyor.
Kişisel olarak tanımlanabilir bilgileri (PII) etkileyen yinelenen ihlaller, bu bölgedeki kuruluşların savunmaları artırmak ve sistemleri korumak için neler yaptığı konusunda soru işaretleri uyandırıyor. Önde gelen güvenlik sağlayıcılarının tehdit algılama, olay müdahalesi ve sürekli izlemeye olanak tanıyan, büyüyen ürün teklifleri paketi arasında kuruluşlar hangi alanlara yatırım yapmak istiyor? Ek olarak, güvenlik ihlallerinin ana nedenlerinden birini ele almak için bölgedeki işletmeler arasında son kullanıcı güvenlik bilinci nasıl teşvik edilir ve teşvik edilir? Bunlar, bu bölgedeki kuruluşların proaktif siber güvenlik stratejilerine öncelik vermesi için fırsatlar olmaya devam ediyor.
Asgarinin Erdemi
Black Hat Asia ayrıca veri minimizasyonu kavramını gündeme getirdi – bu, sadece ihtiyacınız olanı toplamak belirli bir amacı gerçekleştirmek için. Avrupa Birliği (AB) ve Birleşik Krallık’taki Genel Veri Koruma Yönetmeliği (GDPR) kapsamında, kavram, kişisel verileri işlerken veri korumasının temel ilkelerini kapsayan 5. Madde kapsamında yer almaktadır. Veri toplama durumunda “daha fazlasını tutmamak” veri koruma davasını güçlendirebilir.
Açıkçası, hükümetleri, kuruluşları ve işletmeleri siber güvenliğe katmanlı bir yaklaşımın önemi konusunda uyarmak, bir veya iki büyük tavizden çok daha fazlasını gerektirecektir. Siber güvenliğe proaktif yaklaşımın tamamlanmasına yardımcı olan yeterli araçlarla desteklenen yönetişim, düzenlemeler ve ciddi para cezaları – sadece bir bilek tokatının ötesinde – veri yönetimine daha fazla özen gösterme sorumluluğunu güçlendirmeye yardımcı olacaktır.