BLACK HAT AVRUPA 2023 — Londra — İşletmelerin büyük saldırılara karşı savunma sağlayamaması ve ihlallerin gerçekleşmesini durduramaması durumunda hükümetlerin daha yüksek düzeyde siber güvenlik düzenlemeleri getirmesini bekleyin.
Bu, bu hafta Londra’daki Black Hat Avrupa’da konuşan Black Hat’in kurucusu Jeff Moss’un bir tahmini. Kendisi, eninde sonunda dünyanın, çok fazla etkili ihlalin ve ulus devlet destekli saldırganların altyapı saldırılarının artmasının hükümetleri harekete geçmeye teşvik edeceği bir devrilme noktasına geleceğine inanıyor.
Açılış aşamasında “Öz düzenleme çalışmıyor” dedi.
Moss ayrıca güvenliğin bir soruna doğru ilerleyebileceğini de söyledi. Sarbanes Oxley (SOX) anı, 2001’deki çöküşten sonra uygulanan bir ABD yasası Enron halka açık şirketlerdeki hileli muhasebe ve şüpheli mali uygulamaları denetleyerek yatırımcıları koruyan bir kuruluştur. Başarmak SOX uyumluluğu Bir şirketin mali verilerinin doğru olduğunu ve mali verileri korumak için yeterli kontrollerin mevcut olduğunu göstermek için mali raporların bir iç kontrol raporu içermesini gerektirir ve bunun siber güvenlik denetimine nasıl dönüşebileceğini kolayca görebilirsiniz.
Düzenlemenin İncelenmesi Gerekiyor
Bu arada Black Hat Europe açılış konuşmacısı ve eski Uber CISO’su Joe Sullivan (kendisi de araç paylaşımı devindeki 2016 siber güvenlik ihlali konusunda düzenleyicileri uyarmadığı için dolandırıcılıktan hüküm giymiş ve denetimli serbestlikle yargılanmıştı), düzenleyicilerin insanları güvende tutmaktan kimin sorumlu tutulması gerektiği konusunda aklı başında olmaları gerektiğini vurguluyor ve veri ihlallerinin ve bunların kontrol altına alınmasının sahada nasıl gerçekleştiğine dair gerçekleri göz önünde bulundurun. Örneğin birisi sosyal mühendisliğe yenik düştüğü için hapis cezasıyla mı karşı karşıya kalmalı? İki faktörlü kimlik doğrulamanın şirket bütçesine uygun olmadığını düşünen CFO, hesabın ele geçirilmesi fidye yazılımı saldırısına yol açtığında para cezasına mı çarptırılacak? Durumu uygun şekilde ortaya koyamayan güvenlik ekibine ne dersiniz?
Dark Reading’e konuşan Sullivan, SEC’in yeni uygulamaya konulan veri ihlali raporlama kuralları örneğini kullanıyor; ne zaman SEC talepte bulundu Kendisi, bir kurallar dizisi taslağına ilişkin geri bildirim için, siperlerde çalışanların görüşlerinin dahil edilmediğini iddia ediyor.
“Keşke güvenlik topluluğu onlara sadece geri bildirim vermekle kalmayıp geri bildirimde bulunsa [victims affected by breaches]”diyor. “Sanırım bu hükümet koltuklarında oturan insanların çoğu hiçbir zaman CISO koltuğuna veya güvenlik mühendisi koltuğuna oturmadı ve empati kurmayacaklar.”
Öyle olsa bile, düzenleyici bir yaklaşım, eğer doğru şekilde uygulanırsa, güvenliği tüm şirketin odak noktası haline getirebilir, bu da hazırlık ve savunma açısından olumlu sonuçlara yol açabilir, diyor.
“[The] düzenleyicilerin mesajı şu: ‘Eğer insanları güvende tutmazsanız, bunun sonuçları olacaktır'” diye belirtiyor ve ekliyor: “Bunun sadece güvenlik seviyesinde değil, şirketin en üst seviyelerinde de duyulmasına ihtiyacımız var. şirketten ayrılacağız ve o zaman gerçek bir değişim elde edeceğiz.”