Davada özgüllük çok önemlidir. Ceza davalarında delil standardı “makul şüphenin ötesinde”dir ve savcıların, delillerin sanığın suçu hakkında hiçbir makul şüphe bırakmadığına jüriyi ikna etmesi gerekir. Hukuk davalarında standart “kanıtların üstünlüğü”dür, yani davacının bir gerçeğin doğru olmama ihtimalinden daha yüksek olduğunu göstermesi gerektiği anlamına gelir.
Kurumsal siber güvenlik uygulamalarını denetleyen düzenleyiciler için kanıt standardı “makul siber güvenlik” veya makul derecede basiretli bir kişinin benzer durumlarda yapacağı şeye dayanarak verileri korumak için önlemler almaktır. Son RSA Konferansında İnternet Güvenliği Merkezi (CIS) ayrıntılı bir rapor yayınladı. Beyaz kağıt makul siber güvenlik ve kavramın gizlilik yasalarıyla nasıl kesiştiği hakkında.
Makul siber güvenlik kasıtlı olarak belirsizdir ve büyük ölçüde bağlama bağlıdır. Bir siber sigorta şirketi sıklıkla çeşitli güvenlik kontrollerinin uygulanıp uygulanmadığını soran bir anket kullanır ve sigortacılar bir poliçeyi onaylayabilir veya onaylamayabilir. Ancak daha sonra bir ihlal meydana gelirse sigortacı, 2022’de olduğu gibi hak talebine itiraz edebilir. Seyahat Sigortası davayı kazandı Yanlış beyan edilen güvenlik kontrolleri nedeniyle Uluslararası Kontrol Hizmetlerine karşı.
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) gibi bazı standartlar kural koyucudur; Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gibi diğerleri ise daha fazla esneklik sunar. AB yasası, bir kuruluşun “insanlara verilerinin nasıl kullanıldığını ve bu verilere kimlerin erişebileceğini kontrol etme araçlarını vermek için iyi niyetle çaba göstermesi” gerektiğini söylüyor. Bunu başarmak için onlara anlamaları gereken bilgileri şeffaf ve açık bir şekilde sağlamalısınız. verilerinin nasıl toplandığı ve kullanıldığı.”
Cornell Hukuk Fakültesi web sitesine göre, yasal tanım “Makul” kelimesi kısmen “Adil, rasyonel, uygun, sıradan veya duruma göre olağan” anlamına gelir. Gerçekte makul, kurumsal yönetimin kast etmesini istediği hemen hemen her şey anlamına gelebilir.
Siber Riskin Ölçülmesi
McKinsey’in ortağı Charlie Lewis, yönetim kurulu ve üst düzey yönetimin kendi işlerinde kuruluşları için siber yetenek perspektifinden neyin anlamlı olduğunu tanımladığını söylüyor. Lewis, siber riskin ölçülmesinin neyin makul olup olmadığının belirlenmesinde uzun bir yol kat ettiğini belirterek, Federal Reserve Denetimden Sorumlu Başkan Yardımcısı Michael Barr’ın bu yeni ortaya çıkan teknolojiyi geliştirme ihtiyacının altını çizdiğini belirtti. açıklamalarda Ocak ayında Finansal Hizmetler Sektöründe Siber Riskin Ölçülmesine İlişkin Konferansa katıldık.
Barr, “Siber tehditler ve güvenlik açıklarına ilişkin daha iyi veriler, bankalara ve finansal sisteme yönelik tehditleri belirlememize ve değerlendirmemize olanak tanıyacak” dedi. “Ayrıca, finansal kurumlar ile hizmet sağlayıcılar arasındaki karşılıklı bağlantıya ilişkin iyileştirilmiş veriler, bir olayın daha geniş finansal sistem üzerindeki etkisinin belirlenmesine ve ölçülmesine yardımcı olacaktır.”
Lewis, “Siber riski ölçmekten bahsettiğimde, risk toleransımı, kontrol performansımı ve yeteneklerimin ne kadar iyi performans gösterdiğini anlamamı sağlayacak şekilde ayarlayabilirim” diyor. “Bu tanımlamaya yardımcı olur mantıklı“
Makul teriminin yanı sıra Lewis’in yönetim kurullarının odaklanması gerektiğini söylediği başka bir kelime de şu: önemlilik. Menkul Kıymetler ve Borsa Komisyonu’nun son kural değişikliklerinin, açıklama amacıyla önemliliğin tanımlanmasına yardımcı olduğunu belirtiyor ve diğer düzenleyici gerekliliklerin aynı zamanda gerekli belirli güvenliği de belirlediğini ekliyor. Bu gerekli kontrolleri ve bunların kurumsal ortamda nasıl kullanıldığını bilmek, makul bir siber güvenlik savunması geliştirmeye yardımcı olur.
Güvenlik Kontrollerini Etkinleştirme
CIS’in başkan yardımcısı ve genel müdürü Curtis Dukes, önemlilik ile makullük arasında denge kurulmasının şart olduğu konusunda hemfikir. Yakın zamanda SEC’e yapılan 10 bin dolarlık bir başvuruda bir şirket, bir ihlale ilişkin adli tıp soruşturmasının, kazançlar veya faaliyetler üzerinde önemli bir etki olmadığını tespit ettiğini söyledi. Ancak bu açıklama mevzuat gerekliliklerini karşılasa da, ihlalin tam etkisi belirlenmeden önce söylendi. Adli tıp soruşturmasının ilk sonuçları eksik veya tamamen yanlış olabilir.
Dukes, makullük standardını karşılamanın “son derece öznel” olduğunu söylüyor. “Karar vermek genellikle bir yargıcın veya jürinin sorumluluğundadır.” [and] Bunun için bazı dava türlerinde kusuru değerlendirin.”
Karışıklığın çoğunu ortadan kaldırmak için NIST Siber Güvenlik Çerçevesi (CSF), CIS’in kendi Kritik Güvenlik Kontrolleri (CIS Kontrolleri) ve diğer güvenlik çerçeveleri gibi güvenlik çerçevelerinin kuruluşlara makullüğü karşılamak için ihtiyaç duydukları kontrolleri sağladığını söylüyor. yasal gerekliliklerin karşılanması için gerekli kontrollerin sağlanmasının yanı sıra. Çerçeveleri uygulayan kuruluşlar genel olarak siber sigorta gerekliliklerini de karşılıyor.
Dukes, makul siber güvenliğin yapay zeka saldırılarına karşı da güçlü bir savunma olduğunu ekliyor. “İyi bir verileriniz ve yönetişim programının öncelikli ilkeleri varsa ve verileri koruyorsanız, kontroller ve temel güvenlik önlemleri şeklinde bir dizi siber güvenlik en iyi uygulamasını kullanarak, yapay zeka tehdidini büyük ölçüde azaltıyorsunuz demektir. “