Yeni bir dava dönemi siber güvenlik topluluğunu tehdit ediyor. Sadece son 18 ayda, Tesla, iki eski çalışanına siber güvenlik ihlalleri nedeniyle dava açtıFederal Ticaret Komisyonu (FTC) Uber’in eski bilgi güvenliği şefi (CISO) başarıyla suçlandı bir veri ihlalini gizlemek için ve Menkul Kıymetler ve Borsa Komisyonu (SEC) ücretli SolarWinds ve CISO’su Şirketin siber riskine ilişkin ifşa edilmemesi ve yanlış beyanlar nedeniyle dolandırıcılık ile. Kurumsal ve devlet yaptırımlarına ek olarak, şirketlere toplu davalar veri ihlalleri için.
Halka açık şirketler için, iç kontrol eksikliklerinin ve olayların rapor edilmemesi veya ifşa edilmemesi, SEC ve ilgili yargı mercileri tarafından araştırılır. Özel şirketler bu yükümlülüklerden muaf değil, Federal, eyalet ve yerel yetki alanları siber güvenlik konusunda hesap verebilirliği zorunlu kıldığından. Örneğin New York Başsavcılığı düzenleyici otoriteden yararlanmak Dijital varlıklarla ilgili olarak eyaletin Finansal Hizmetler Departmanı’nın (DFS) Başka bir örnekte, FTC, çevrimiçi alkol pazarı Drizly’ye karşı harekete geçtiözel bir şirkete, veri ihlaline yol açan güvenlik arızaları iddiaları nedeniyle dava açıldı.
Bazıları SEC’in yalnızca halka açık şirketleri düzenlediğini ancak kurumun aynı zamanda birçok özel şirket üzerinde de yargı yetkisine sahip olduğunu söylüyor. Altında federal menkul kıymetler kanunlarıHisse veya yatırım satın alan veya satan her menkul kıymetin SEC’e kayıtlı olması gerekir. Bu, özel ve kamuya ait her büyüklükteki şirketi içerir.
Güvenlik Görevlileri Darbeyi Alıyor
Bu ortamda, birçok siber güvenlik lideri daha az riskli bir yol izleyerek CISO rollerinden kaçınırken, diğerleri tüm mesleklerinin geleceği hakkında endişe duyuyor. Yasal sonuçlara istatistiksel olarak maruz kalmalarını azaltmak amacıyla, bazı şirketler sık sık CISO’larını değiştiriyor, bazı CISO’lar ise birkaç yılda bir şirket değiştiriyor. Uber, dağıtılmış sorumluluk modelini benimsemek için CISO rolünü tamamen feshetti. Görünüşe göre pek çok kişi geri adım atıyor ve farklı yönlere doğru ilerliyor. Bu bir ilerleme mi? Gelecekte herhangi bir CISO olacak mı?
Siber güvenlik tehditleri ve hükümet yaptırımları arttıkça şirketler ve CISO’lar her zamankinden daha savunmasız hale geliyor. Dengeli bir “havuç ve sopa” yaklaşımı esas olmakla birlikte, eksikliklerin giderilmesine yardımcı olacak programlara da ihtiyacımız var. İşte topluluk olarak kolektif olarak gelişebileceğimiz bazı alanlar.
İşlerin Tamamlanması için Yeterli Güvenlik Bütçesi
Şirketler siber güvenlik bütçesinden sorumlu tutulmalıdır. Siber güvenlik girişimleri tepeden belirlenen tavırla başlar. CEO’lar, CFO’lar ve yönetim kurulları, insan kaynakları, finans ve BT gibi diğer temel arka ofis işlevlerine eşit veya daha yüksek siber güvenlik bütçeleri oluşturma sorumluluğunu üstlenmelidir. Siber güvenlik, rolünü etkili bir şekilde yerine getirmek ve iç kontrol eksikliklerini azaltmak için araçlara ve kaynaklara ihtiyaç duyar.
Üçüncü Taraf Onayının Tüm Riskleri Gidermeyebileceğinin Kabulü
Kendimi sıklıkla uyumluluk veya güvenlik riski denetimleri hakkındaki tartışmaların içinde buluyorum. Şirketler, uyumluluk kapsamının ötesindeki güvenlik risklerini ele almak için risk bazlı denetimler yapmalıdır. Bu proaktif yaklaşım, bağımsız siber risk raporlaması için hem yukarıdan aşağıya hem de aşağıdan yukarıya doğru iletilen bir yönetişim yapısı oluşturabilir.
Güvenlik Araştırmacıları ile Suçluları Ayırmak Zor Olabilir
Sızma testleri daha fazla ağırlık taşıyordu çünkü anlamlı istismar edilebilir saldırılar bulmaya odaklanıyorlardı. Ancak son 10 yılda penetrasyon testleri, uyumluluk odaklı maliyetli bir göreve dönüştü. Pen-test bulguları önemli olmasına rağmen rutin güvenlik açığı taramalarıyla kolayca tespit edilebilir. Bunun yerine, bazı CISO’lar bireyleri yazılım hatalarını bildirdikleri için takdir ve tazminatla ödüllendirmek amacıyla hata ödül programlarına yöneliyor. Ancak, hata ödül programlarının mutlaka Güvenlik araştırmacıları ile kötü aktörler arasındaki ince çizgiyi fark edin. Hata ödül programları ek bir karmaşıklık katmanı oluşturabilir: Bir hata ödülü ne zaman bir olaya dönüşür? Kiminle iletişim kuruyorsunuz ve bu kişi bir güvenlik araştırmacısı mı, bir suçlu mu, yoksa aradaki ince çizgide yürüyen biri mi? Penetrasyon stratejilerinin iş etkisini artırmak için daha iyi bir yaklaşıma ihtiyacımız var. Belki de insanların hata bulma hobilerini siber güvenlik alanında verimli bir mesleğe dönüştürmelerine yardımcı olacak yöntemlere de yatırım yapmamız gerekiyor.
Devletin Memur Olmayanlara Yönelik Yaptırımları Adil Değil
CISO’lar için mevcut yönetişim yapısı önemli zorluklar yaratmaktadır. Raporlama iş akdinin feshedilmesiyle sonuçlanabilirken, raporlama yapılmaması devletin kişisel hesap vermesine yol açabilir. Bu kutuplaştırıcı çatışma tüm siber güvenlik topluluğu için sağlıksız.
Güvenlik görevlileri, işletmeleri korumak üzere sözleşmeli çalışanlardır. Çalışanlar sadece işlerini yaptıkları için kişisel olarak kovuşturulmamalıdır. Kurumsal yönetim tepeden gelmelidir: görevliler ve yönetim kurulu. Bu nedenle, açıkça tanımlanmış angajman kuralları olmadan bireyleri sorumlu tutmak konusunda dikkatli olmalıyız. Tıpkı açıkça tanımlanmış yanlış tedavi kurallarının bir doktorun doktorluk yapma haklarını yönetmesi gibi, hükümet ve özel sektör de güvenlik görevlileri için oyun alanını eşitlemek amacıyla yanlış tedavi kuralları oluşturmalıdır.