Clayton Utz’un siber ortağı Brenton Steenkamp, siber saldırılardan payına düşeni aldı. Amsterdam’da geçirdiği yedi yıllık görevin ardından Ekim ayında Avustralya’ya dönen kendisi, Avrupa’daki çok sayıda büyük fidye yazılımı saldırısıyla başa çıkma hikayelerinin yanı sıra bu saldırıların sağladığı veri yönetimi derslerini de eve getirdi.
Steenkamp, pek çok Avustralyalı kuruluşun, gelecekteki veri yönetişimi için gerekli olan veri varlıkları etrafındaki riske ilişkin “paradigma değiştiren” bakış açısını henüz üstlenmediğini gözlemlediğini ve yakında yerel CISO’ların, yeni bir küresel düzenleme dalgası olarak düzenleyici hedef tahtasına yakalanabileceğini söyledi. yerel kıyılarda eylem molaları.
Kuruluşların, veri kayıtlarını daha iyi sınıflandırmak, verilerin saklanmasının gerekip gerekmediğini sormak ve veri imhası yoluyla verileri en aza indirmek gibi önlemleri kullanarak veri varlıklarının üstesinden gelmelerini öneriyor. CISO’lar tüm paydaşları dahil ederek istedikleri zaman bir veri riski anlık görüntüsü sunabilmelidir.
Avustralyalı kuruluşlar veri saklama riskleriyle karşı karşıya değil
Steenkamp, büyük veri çağının başlamasıyla birlikte kuruluşların mümkün olduğu kadar çok bilgi toplamak istemesinin üzerinden çok zaman geçmediğini söyledi. Daha sonra pazarlamayı kişiselleştirmeyi ve satışları kolaylaştırmak gibi yapmaları gereken her şeyi yapmak için bu bilgilere kolayca ulaşabileceklerdi.
Ancak artık veri ihlallerindeki artışın da teşvik ettiği, bunun “yeni bir risk düzeyi” getirdiğinin farkına varılıyor. Kuruluşların defalarca tuzağa düşürüldüğünü, çoğu zaman bankada ne tür veri bulundurduklarının farkında olmadıklarını ve uyumluluk ve süreçlerinin “riski kaçırdığını” söyledi.
BAKIN: TechRepublic Premium’dan bir risk yönetimi politikası indirin
Avustralya’da ülkenin Gizlilik İlkeleri konusunda farkındalığın olduğunu söylese de, daha düşük miktarda düzenleyici eylem, kuruluşların henüz para cezası veya cezalar şeklinde “acıyı hissetmediği” anlamına geliyor – CISO’ların veya yönetim kurulu üyelerinin sorumlu tutulması gibi – bu nedenle riskler veriler tam olarak hesaba katılmamıştır.
OAIC’nin Avustralya Klinik Laboratuvarlarına karşı davası
Bir uyandırma çağrısı, Avustralya Bilgi Komisyonu Ofisi’nin Avustralya Klinik Laboratuarlarına karşı açtığı davadır. Davada OAIC, kuruluşun büyüklüğü nedeniyle kişisel bilgileri yetkisiz erişime karşı korumak için makul adımlar atmadığını veya makul bir güvenlik duruşu sergilemediğini iddia etti.
Steenkamp, davanın iki konuyu gündeme getirdiğini söyledi. Birincisi, işletmelerin CISO’nun tipik alanı olan ellerinde bulundurdukları verileri nasıl koruduklarıdır. İkincisi ise verilerle ilişkili risklerin siber güvenlik perspektifinden etkin bir şekilde değerlendirilmesi ve yönetilmesidir.
Kuruluşların veri riskinin tüm boyutlarını anlamaları istendi
Steenkamp’a göre Avustralyalı kuruluşların veri varlıklarıyla ilişkili riskler konusunda daha derin ve daha bütünsel bir değerlendirme yapması gerekiyor. Kuruluşlar, verileriyle ilgili riskleri anlamıyor ve bunu güvenlikle ilişkilendirmiyorsa, “riskli olabilecek farklı bir bakış açısına” sahip olduklarını söyledi.
“Risk tanımlama konusunda tamamen yeni bir yaklaşım gerektirecek” dedi. “Aynı zamanda gerçek riski, organizasyonlarınıza ve üçüncü taraflar aracılığıyla yerleştirdiğiniz veri varlıklarının doğasında olan riski ele almıyorsanız, güvenlik duruşunuz konusunda çıtayı yükseltemezsiniz.”
Bu, kuruluşların bir adım geri adım atmasını ve riskin ne olduğu, tuttukları veriler açısından ne anlama geldiği ve bu riski azaltmak için nasıl makul adımlar atabilecekleri konusundaki politika ve süreçlerine bakmalarını gerektirecektir. Bu aynı zamanda sürekli olarak değerlendirilmesi ve uygulanması gereken bir şeydir.
“İhlalin varsayıldığı” bir dünyada var olan organizasyonel riskler
Şubat 2024’te, ABD tıbbi taleplerinin yaklaşık %50’sini işleyen büyük bir ABD sağlık sigortacısı olan UnitedHealth, bilgisayar korsanları tarafından başarıyla ihlal edildi. Şirketten yapılan açıklamaya göre, fidye ödenmesine rağmen “Amerika’daki insanların önemli bir kısmının” sağlık ve kişisel verileri çalındı.
Steenkamp, ihlale ilişkin soruşturmanın halen devam ettiğini, ancak yeterli güvenlik kontrollerine sahip olmasına rağmen örgütün hâlâ ihlale uğradığının görüldüğünü söyledi. Böyle durumlarda risk perspektifinden sorunun şu olduğunu söyledi: Veri açısından perde arkasında ne yaptınız?
Steenkamp, kuruluşların veri tutmalarının daha geniş risk yönlerini ele almaması ve riski en aza indirmek ve azaltmak için veri yönetişimi ve güvenlik kontrollerini uygulamaya koymaması durumunda, UnitedHealth hack’inin gösterdiği şeyin “kuruluşun yaşayabilirliğinin potansiyel olarak zarar gördüğünü” söyledi.
Yakında Avustralya kıyılarına bir düzenleme ve yaptırım dalgası gelebilir
Gizlilik Yasası’nda önerilen mevcut değişikliklerin yasalaşmasının ardından bir düzenleyici yaptırım dalgası Avustralya kıyılarını vurabilir.
Steenkamp, CISO’ların, kuruluşun güvenlik hazırlık durumunu yanlış beyan etmeleri, uygun kontrolleri uygulamaya koymamaları veya sorunları yönetim kurulunun dikkatine sunmamaları durumunda ihmal nedeniyle takip edilebileceğini söyledi.
Bazı durumlarda, dış pazarlardaki güvenlik profesyonellerinin, yeni sorumlulukların onları kurumsal veriler ve güvenlik kusurları nedeniyle tuzağa düşürebileceği korkusuyla CISO rollerine terfi etmekten tamamen kaçındıkları bildirilmektedir; bu durum bazen doğrudan kendi yetkilerinin dışında gibi görünebilir kontrol.
Küresel vakalar, cansız veri yönetimini ortadan kaldırmaya yönelik bir hamleyi gösteriyor
Steenkamp, küresel pazarlardan bir dizi örneğin yakında Avustralya’da da çoğaltılabileceğini söyledi.
- ABD Menkul Kıymetler ve Borsa Komisyonu, Uber’in eski finans müdürü hakkında, diğer şeylerin yanı sıra, şirketin veri riski ve güvenlik duruşu hakkında yanıltıcı ve yanlış izlenim vermek, büyük miktarda sürücü ve müşteri verilerini riske atmak suçlamasıyla dava açıyor.
- SEC ayrıca SolarWinds’in CISO’su Timothy Brown hakkında, SolarWinds’in siber güvenlik uygulamalarını abarttığı ve bilinen riskleri küçümsediği veya açıklamadığı için yatırımcılara yalan söylediğini iddia ederek dava başlattı. Bu durum, 2021’deki büyük bir hack olayından sonra gün yüzüne çıktı.
- Google, kısa süre önce Fransa’daki düzenleyiciler tarafından, şirketin Fransız yayıncıların izni olmadan topladığı veriler hakkında verdiği yanlış beyanlar nedeniyle 250 milyon Euro (271,73 milyon ABD Doları) para cezasına çarptırıldı. Google, verileri yapay zeka modellerini eğitmek için kullanıyordu.
Steenkamp, ”Bunun ciddi bir uyandırma çağrısı olduğunu düşünüyorum” dedi. “Dünya çapında, Amerika’da ve aynı zamanda Avrupa’daki düzenleyiciler arasında, özellikle anakara Avrupa ve İrlanda’da, verilerle ilgili tüm meseleye karşı agresif bir duruş sergileme eğilimi var” dedi.
Kuruluşların “makul testi” geçmeleri gerekecek
Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu, veri ihlali durumunda, şirketleri siber saldırılara karşı gerektiği kadar hazırlıklı olmayan yönetim kurulu üyeleri veya yöneticileri için yasal yollara başvurarak örnek teşkil etmeye çalışacağını açıkça belirtti.
Steenkamp, sonuçta “makul testin” Avustralyalı kuruluşların karşılaması gereken çıta olacağını söyledi. Bu, kuruluşların karşı karşıya kaldıkları veri riski ortamının özel doğasını anlamalarını, verileri korumak için yeterli önlemleri uygulamaya koymalarını veya güvenlikte tespit edilebilecek herhangi bir tespit edilen açıkları ele almak için harekete geçmelerini gerektirecektir.
Kuruluşların veri riski üzerinde daha fazla kontrol sahibi olmasına yardımcı olabilecek pratik adımlar
BT ve güvenlik liderlerinin veri riskini daha iyi ele almak için izleyebileceği pratik adımlar var. Steenkamp, veri söz konusu olduğunda “daha az artık daha fazla” dedi ve öncelikler arasında, sahip olduğunuz verileri bilme, bunları sınıflandırma ve yalnızca ihtiyacınız olanı yalnızca ihtiyacınız olduğu sürece saklama şeklinde sürekli bir süreç yer alıyor.
Bu nokta, Medibank ve Optus’ta bu kuruluşlardaki büyük veri ihlallerinin ardından açılan toplu davaların etkisiyle açıkça ortaya çıkıyor. Davalar, ilk olarak verileri korumak için yeterli güvenlik kontrollerinin bulunup bulunmadığı, ikinci olarak da kuruluşların verilere ihtiyaç duyup duymadığıyla ilgili.
Steenkamp’ın tavsiye ettiği kuruluşlar aşağıdaki gibi adımlara öncelik vermelidir:
Veri sınıflandırma ve saklama sürelerinde daha iyi olun
Kuruluşlar, kendi varlıkları genelindeki veri kayıtlarını denetlemeli ve sınıflandırmalı ve veri saklama ve imha konusunda pratik yönergeler uygulamalıdır. Steenkamp, büyük veri ihlallerinin kuruluşların “bilselerdi asla saklamayacaklarını” fark ettikleri verileri içerdiğini defalarca söyledi.
Maksimuma çıkarmak yerine veri minimizasyonuyla meşgul olun
Veri riskinin en aza indirilmesi, verilerin en aza indirilmesini içerir. Steenkamp, veri depolarının nerede olduğunu belirlemeye yardımcı olmak için teşhis ve teknolojilerden yararlanılmasını ve daha sonra bu verilerin, özellikle de sağlık verileri veya kişisel olarak tanımlanabilir bilgiler gibi hassas veriler olduğu durumlarda en aza indirilmesini önerdi.
Risk anlık görüntüsünü sağlayacak kadar riski iyi anlayın
CISO’lar ve ticari risk görevlileri, herhangi bir zamanda kuruluşun verilerle ilgili risk duruşunun resmini gösterebilmeli veya resmini çizebilmelidir. Bu, kuruluşun gerekli riskleri ele aldığını ve olası boşlukları azaltmak için yeterli adımların atıldığını gösterecektir.
Veri risklerini ve hafifletici önlemleri yönetim kuruluna bildirin
Yönetim kurullarının veri riski ortamı hakkında bilgilendirilmesi gerekiyor. Steenkamp, bunun gerçekten yasal bir sorun mu yoksa yönetim kuruluyla ilgili bir sorun mu olduğunu sorarak bundan kaçınmak cazip gelse de, verilerin ifşa edilmesi durumunda yönetim kurulunun soracağı ilk sorunun kendilerine neden bilgi verilmediği veya etraftaki riskler hakkında gerekli içgörünün verilmediği olacağını söyledi. veri.
Kaynak: https://www.techrepublic.com/article/data-breach-risk-australia/