Veri ihlalleri konusunda 2017’nin kötü bir yıl olduğunu düşünüyorsanız, asıl 2018’i bekleyin. İşte işletmelerin anlaması gereken 5 global siber tehdit
Siber güvenlik ve enformasyon risk yönetimi üzerine odaklanan bağımsız bilgi güvenliği yapısı Information Security Forum (ISF), rakamlarda ve veri ihlallerinin etkisinde artış olacağını öngörüyor; çoğunlukla 2018’de organizasyonların yüz yüze kalacağı önde gelen beş global güvenlik tehdidi sebebiyle.
“Bilgi güvenliği tehditlerinin kapsamı ve temposu günümüzün en güvenilir organizasyonlarının doğruluğunu ve itibarını tehlikeye atıyor,” şeklinde konuşuyor ISF Genel Müdürü Steve Durbin. “2018’de tehditlerin hedeflerin zayıf noktalarına göre kişiselleştiğini ya da zaten yerli yerinde olan savunma mekanizmalarını hesaba katarak değişim göstereceğini, saldırıların giderek daha karmaşık bir hal alacağını göreceğiz. Bu günlerde tehlike her zamankinden daha büyük.”
Durbin, veri ihlallerindeki artışla birlikte tehlike altındaki veri hacminin de artacağını belirtiyor. Bu nedenle önümüzdeki yılın saldırıları her çaptaki organizasyonlar için çok daha pahalıya neden olacak. Ağ temizliği ve müşteri bilgilendirme gibi geleneksel alanlar bu maliyetlerin belli bir kısmını üstlenecek fakat hukuki ihtilaflar gibi yeni alanlardan ekstra maliyetler de ortaya çıkacak, diyor Durbin. ISF kızgın müşterilerin daha sıkı veri koruma mevzuatları için hükümetlere baskı kuracağını, bunun da maliyetlerin üstüne ekleneceğini öngörüyor.
Hizmet olarak suç
Geçtiğimiz yıl ISF, CaaS’in büyük özel sektör organizasyonlarını taklit eden kompleks hiyerarşiler, ortaklıklar ve işbirlikleriyle daha da ileri giderek çok büyük bir sıçrama yapabileceğini öngörmüştü.
Durbin bu öngörünün doğruluğunu kanıtladığını söylüyor; “2017’de siber suçlarda, bilhassa servis olarak suçta büyük bir artış görüldü.” ISF bu sürecin 2018’de süreceğini tahmin ediyor. Bu defa suçlu organizasyonların yeni pazarlara yayılarak ve etkinliklerini global bir seviyede gerçekleştireceğini belirtiyor. Bazı organizasyonlar mevcut suç yapılarına sahip olacakken sadece siber suç üzerine odaklanan diğerleri ortaya çıkacak, diyor ISF.
En büyük fark? 2018’de CaaS, aksi halde yapamayacakları saldırıları gerçekleştirmek üzere çok fazla teknik bilgiye sahip olmayan “aday siber suçluların” araç ve servisleri satın almasına imkân tanıyacak şeklinde konuşuyor Durbin.
Günümüzün en popüler malware kategorisi cryptoware’i ele alalım. Eskiden fidye yazılımlarını kullanan siber suçlular zıt bir güvene dayanıyordu: Onlar bilgisayarı kilitliyor, kurban parayı gönderiyor ve suçlu da ardından kilidi açıyordu. Ancak Durbin bu alana aday siber suçluların girmesinin “güvenin” kırılması manasına geldiğini söylüyor. Kurbanlar parayı göndermelerine rağmen verilerinin kilidini açacak anahtarı alamayabilirler ya da siber suçlular tekrar tekrar geri gelebilir.
Aynı zamanda Durbin siber suçluların sosyal mühendislik kullanımlarında daha karmaşık bir hale geldiklerini belirtiyor. Hedefler genellikle işletmeler yerine bireyler olsa da, bu türden saldırılar halen organizasyonlar için bir tehdit oluşturuyor.
IoT
Organizasyonlar her geçen gün daha fazla IoT cihazını benimsiyor fakat IoT cihazlarının çoğu tasarımları itibariyle güvenli değil. Bunun yanı sıra ISF, hızla gelişen IoT ekosisteminde şeffaflığın giderek azalacağı uyarısını yapıyor; müşterilerin amaçlamadığı yollardan organizasyonların kişisel verileri kullanmasına izin veren belirsiz koşul ve durumlarla. İşletme tarafında ise hangi verilerin ağı terk ettiğini bilmek ya da hangi verilerin gizlice yakalanıp akıllı telefon ve akıllı TV gibi cihazlara iletildiğini bilmek problem olacak.
Veri ihlalleri gerçekleştiğinde veya şeffaflık ihlalleri ortaya çıktığında organizasyonların düzenleyiciler ve müşteriler tarafından sorumlu tutulması muhtemel. En kötü senaryolardan birinde ise endüstriyel kontrol sistemleri içerisine gömülmüş IoT cihazlarının kötüye kullanımı fiziki zararlara hatta ölüme neden olabilir.
“İmalatçının görüş açısından sizin kullanım kalıplarınızı bilmek, bireyleri daha iyi anlamak açıkça çok önemli,” diyor Durbin. “Fakat tüm bunlar daha önce hiç olmadığı kadar çok tehdit rotasını ortaya çıkarmış durumda.”
“Cihazın başkasının değil de bizim kontrolümüzde olması için onları nasıl güvenli hale getiririz? Bu alanda daha yüksek bir farkındalık göreceğiz,” diye ekliyor Durbin.
Tedarik zinciri
ISF yıllardır tedarik zincirindeki savunmasızlık sorununu öne çıkartıyor. Organizasyonun da belirttiği üzere değerli ve hassas veriler sıklıkla tedarikçilerle paylaşılıyor. Bu enformasyon paylaşıldığında doğrudan kontrol kaybediliyor. Bu da söz konusu verilerin gizliliği, bütünlüğü ya da ulaşılabilirliğinin daha fazla riske girmesi anlamına geliyor.
“Geçen yıl büyük imalat organizasyonlarının üretim kapasitelerini kaybettiklerini görmeye başladık çünkü onların tedarik zinciri etkilenmişti,” diyor Durbin.
“Hangi iş kolunda olduğunuz önemli değil. Hepimizde tedarik zinciri var,” diye ekliyor. “Yüz yüze kaldığımız güçlük şu ki yaşam döngüsünün tüm aşamalarında enformasyonumuzun nerede olduğunu gerçekten nasıl biliriz? Paylaşılan o bilgilerin bütünlüğünü nasıl koruruz?
2018’de organizasyonların tedarik zincirlerindeki en zayıf noktalara odaklanması gerekecek, diyor ISF. Tüm güvenlik ihlalleri zamanından önce önlenemeyeceğinden siz ve tedarikçilerinizin proaktif olması gerekecek. Durbin güçlü, ölçeklenebilir ve tekrarlanabilir süreçlerin karşılaşılan riskle orantılı olarak adapte edilmesi tavsiyesinde bulunuyor. Organizasyonlar tedarik zinciri enformasyon risk yönetimini mevcut tedarik ve firma yönetim süreçleri içerisine yerleştirmeli.
Yönetmelik
Yönetmelikler daha fazla karmaşıklık ekliyor ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR)ne geçiş 2018’in başlarında olacak ki bu da kritik varlık yönetimine bir karmaşıklık seviyesi daha ekleyecek.
“Dünyanın hiçbir yerinde GDPR hakkında konuşmadığımız muhtemelen tek bir kişi dahi yok,” diyor Durbin. “Bu sadece bir uyumluluk değil. İşletme ve tedarik zinciriniz çapında zaman içerisinde herhangi bir noktada kişisel verileri gösterebilme ve onun nasıl idare edilip korunduğunu anlama yeteneğine sahip olduğunuzu temin etmekle ilgili. Bunu zaman içinde sadece düzenleyicilere değil aynı zamanda bireylere de gösterebilmelisiniz.”
“Bunu gerçekten düzgün bir biçimde geliştireceksek, iş yapış şeklimizi değiştirmek zorunda kalacağız,” diye ekliyor Durbin.
ISF, GDPR zorunluluklarını çözmek için gereken ekstra kaynakların uyumluluk ve veri yönetim maliyetlerini muhtemelen arttıracağına ve diğer etkinlikler üzerindeki dikkat ve yatırımı uzaklaştıracağına dikkat çekiyor.
Karşılanmayan kurul beklentileri
ISF’e göre Yönetim kurulunun beklentileri ve enformasyon güvenliği fonksiyonunun sonuç sağlama yeteneği gerçeği ile aynı hizada olmamak 2018’de tehlikeye neden olacak.
“Yönetim kurulu, bir kural olarak, bunu anlıyor. Siber uzayda faaliyet gösterdiklerini anlıyorlar. Anlamadıkları şey, çoğu durumda, bunun tüm olası sonuçları,” diyor Durbin. “Onlar CISO’nun her şeyi kontrol altında tuttuğunu düşünüyor. Çoğu durumda kurul sorulması gereken doğru soruyu halen bilmeyebiliyor. Ve CISO da belki kurulla ya da dolayısıyla iş tarafıyla nasıl konuşacağını anlamamış olabilir.”
ISF’in açıklamalarına göre yönetim kurulları geçmiş yıllarda onayladıkları arttırılmış enformasyon güvenliği bütçelerinin CISO ve enformasyon güvenliği fonksiyonunun anında sonuçlar vermesini bekleyecek. Lakin tamamen güvenli bir organizasyon ulaşılmaz bir hedef. Bunu anlamış olsalar dahi birçok kurul bilgi güvenliğine yapılan önemli iyileştirmeler yapmanın zaman aldığını anlamaz; organizasyonlar doğru beceri ve imkânlara yerli yerinde sahip olsa dahi.
Bu durum önemli bir vaka gerçekleştiğinde etkilerini sadece organizasyonun hissetmeyeceği manasına geliyor; hem bireysel hem de kolektif olarak kurul üyelerinin itibarı üzerinde kötü etkiler bırakması muhtemel.
İşte bu sebepler CISO rolü gelişmek zorunda, diyor Durbin. “CISO rolü bugünlerde geleceği öngörmektir, sadece firewall’ların çalışır durumda olduğunu temin etmek değil,” şeklinde konuşuyor. “Yaklaşmakta olan güçlüklerin işletmeyi nasıl etkileyeceğini öngörmek ve bunu kurula açık bir şekilde söylemek zorundasınız. İyi bir CISO’nun hem satışçı hem de bir danışman olması şart. Dünyanın en iyi danışmanı olabilirim fakat şayet fikirlerim size satmazsam bu yönetim odasında herhangi bir yere varamayacaktır.”