Kurumsal siber güvenlikteki en zor konulardan biri – bir şey ABD Menkul Kıymetler ve Borsa Komisyonu şimdi açıkça — bir kuruluş bir veri ihlalini ne zaman bildirmelidir?
İşin kolay kısmı, “şirket ihlali öğrendikten ne kadar süre sonra ifşa etmelidir?” Farklı uyumluluk rejimleri farklı sayılara sahiptir, ancak GDPR’nin 72 saatinden en son tarihine kadar nispeten yakındırlar. SEC’in ilk dört günü.
Zor olan kısım, herhangi bir kurumsal varlığın gerçekten bir şey olduğunu “bildiğini” tanımlamaktır. Walmart veya ExxonMobil tam olarak hangi anda bir şey biliyor? (Dilde “şirketin CFO’su bir veri ihlalinin gerçekleştiğine ikna olduğunda” deseydi, bu çok daha açık olurdu.)
Bu farkındalık sorununu anlamak için önce onu iki farklı öğeye ayırmamız gerekiyor:
- Veri ihlalinin makul kanıtını ne oluşturur?
- Bir kuruluş için veri ihlali kararını kim vermelidir? Güvenlik Operasyonları Merkezi’nin (SOC) başkanı mı? CISO’yu mu? CIO’yu mu? CEO’su mu? Kurulun bir alt kümesi mi? Tüm yönetim kurulu mu? Belki sadece yönetim kurulu başkanı?
Birinci elementle başlayalım. Fidye ile izinsiz giriş kanıtının alındığı fidye yazılımı saldırısı gibi bariz saldırılar dışında, çoğu saldırı yavaş yavaş kendini gösterir. SOC’deki biri bir anormallik veya şüpheli başka bir şey tespit etti. Rapor etmek yeterli mi? Neredeyse kesinlikle hayır. Sonra SOC’de daha kıdemli biri devreye giriyor.
İşler hala kötü görünüyorsa, CISO’ya veya STK’ya bildirilir. Bu yönetici, “Beni sattınız. Bunu derhal CIO’ya, CFO’ya ve belki de CEO’ya bildirmem gerekiyor.” Eğer öyleyse, bu hala açıklama aşamasına ulaşmadı. Diğer yöneticilerin ağırlığını koyması gerekiyor.
Ancak daha büyük olasılıkla, CISO/CSO, “Sizin insanlar bunu henüz halletmediniz. Hala yüzlerce farklı şeyden biri olabilir. Bazı yedeklemelere bakın, karşılaştırmalar yapın, herhangi bir onay için darkweb’i kontrol edin. Araştırmaya devam edin.”
Saat daha başlamadı mı? Yine, muhtemelen değil. Bir kuruluş, her bir siber güvenlik soruşturmasını rapor edemez. Kamuya açıklamayı hak etmek için gereken kanıt düzeyi yüksektir. Ne de olsa, daha sonra hiçbir şey olmadığı ortaya çıkan bir ihlali bildiren zavallı yöneticiye acıyın.
Başka bir faktör: Çoğu siber hırsız ve siber terörist, hem izlerini gizleme hem de yanıltıcı ipuçları bırakma konusunda mükemmeldir. Günlüklerle dolaşmak yaygındır, yani BT güvenliğinin yalnızca şu ana kadar günlüklere güvenebileceği anlamına gelir – en azından başlangıçta. İlk adli tıp raporunun, ikinci adli tıp raporundan maddi olarak ne kadar farklı olduğunu unutmayın. Deneyimli adli tıp müfettişleri için bile gerçeği saldırganların bıraktığı yanıltıcı bir şeyden ayırması zaman alır.
İkincisine gelince, bir veri ihlali için nihai karar vericinin kim olacağına kim karar veriyor? En iyi siber güvenlik uzmanı (muhtemelen CISO/CSO) veya kuruluştan en sorumlu kişiler (CEO veya yönetim kurulu) için bir tartışma yapılabilir, ancak bazı kuruluşlar için Baş Risk Sorumlusu iyi bir aday olabilir.
Her işletme kendisi için seçim yapar mı? Düzenleyiciler karar vermeli mi? Yoksa düzenleyiciler, her işletmenin söz konusu kişinin kim olacağına kendi başına karar vermesine ve bu unvanı düzenleyicilere bildirmesine izin vermeli mi?
Siber güvenlik satıcısı SecurID’nin baş ürün sorumlusu Jim Taylor, tetikleyicinin tam orada SOC’de gerçekleşmesi gerektiğini savunuyor. “Çitinize bir şey ping atmak bir tetikleyici değildir. Belki kıdemli analisttir, belki de SOC yöneticisidir,” dedi Taylor. “Bunların bir kusuru, sorumluluğu olmalı.”
Ancak çok erken bir karar vermek zorunda kalmak sorunlu olabilir. Bir ihlali zamanından önce bildirin ve başınız belaya girer. Bir ihlali çok geç rapor ederseniz, başınız belaya girer. Taylor, “Yaparsan lanetlenirsin, yapmazsan lanetlenirsin” dedi.
Gerçek şu ki, bu şeyler zor ve meli zor ol. Her ihlal farklıdır, her kuruluş farklıdır ve katı tanım kuralları muhtemelen çözdüklerinden daha fazla sorun yaratacaktır.
Başka bir siber güvenlik firması olan Kryptowire’ın CTO’su Alex Lisle, “İhlalin nasıl gerçekleştiğinin doğası, ne zaman ifşa edileceği konusunda muazzam bir faktör” dedi. “Bir adli tıp ekibini elinizde tutacak kadar bunu düşünüyorsanız, o zaman bunu rapor etmeyi ciddi olarak düşünmelisiniz.”
Eski ‘Scrubs’ TV şovunda, bir test laboratuvarından sorumlu bir doktorun, testin yeniden yapılmasını isteyen birine “Sence yanıldığımı mı düşünüyorsun yoksa yanılmış olduğumu mu umuyorsun?” diye sorduğu harika bir replik vardı. Bu çizgi, çeşitli kişiler işletmenin gerçekten saldırıya uğrayıp uğramadığını belirlemeye çalışırken sıklıkla devreye girebilir. Takım bir tür/tür bilmek Saldırıya uğradıklarını ve daha fazla soruşturmanın bunu çürüteceğini umduklarını mı? Yoksa ekip gerçekten bilmiyor mu?
İşte tam da bu noktada, deneyime ve dürüst olmak gerekirse, güçlü bir içgüdüye dayalı olarak atanmış bir ihlal tespiti başkanının devreye girmesi gerekir. Siber güvenliğin bazı bölümleri saf bilimdir. Verilere gerçekten dokunulup dokunulmadığına dair çok erken bir karar vermek çoğu zaman değildir.
Telif Hakkı © 2022 IDG Communications, Inc.
