Veri ihlalleri her geçen gün artıyor. Şirketler dijital yeteneklerini ve hizmet yelpazelerini geliştirdikçe risklerini de artırıyorlar. Siber güvenlik şirketi ESET artan veri ihlalleri sonrasında yapılması ve yapılmaması gerekenleri sıraladı. Günümüzde dünya genelindeki veri ihlalleri, olay başına 4,2 milyon Amerikan dolarından daha fazlaya mal oluyor. Kuruluşlar dijital altyapılarını güçlendirirken, şirketin saldırı yüzeyini de genişletiyorlar. ABD’de 2021 yılının üçüncü çeyreğinde bildirilen ihlallerin sayısı, 2020 yılının tümünde bildirilenlerin sayısından daha fazla. Ortalama büyüklükteki bir kuruluşun veri ihlalini bulması ve ihlali kontrol altına alması oldukça uzun sürüyor ve bunun günümüzde 287 gün sürdüğü tahmin ediliyor. Peki, ihlal alarmları çaldığında ne yapmak gerekir? ESET uzmanları dikkat edilmesi gerekenler ile ilgili şu bilgileri paylaştılar;
Modern veri ihlallerinin öncüsü olan ve giderek yaygınlaşan fidye yazılım aktörleri olayların daha da karmaşık hale gelmesine neden oluyor.
Sakin olun
Veri ihlali, bir kuruluş açısından en çok baskı yaratan durumlardan biridir. Özellikle bu olay ana sistemleri şifreleyen ve ödeme talep eden fidye yazılım aktörleri tarafından gerçekleştiriliyorsa büyük baskı yaratır. Ancak, düşünmeden verilen tepkiler yarardan çok zarar getirebilir. Şirketin tekrar çalışır hale gelmesini sağlamak kuşkusuz çok önemlidir, ama bu durumda bir yönteme göre hareket etmek hayati öneme sahiptir. Olay tepki planını devreye sokmalı ve önemli adımlar atmadan önce ihlalin kapsamını anlamalısınız.
Olay tepki planınıza uyun
Kuruluşun ihlale uğraması hakkında “ne zaman olacak” değil, “eğer” bugün olursa ihtimalini ve olay tepki planının siber güvenlikle ilgili en iyi uygulama olduğunu göz önünde bulundurmalısınız. Bunun için de gelişmiş bir planlama gerekir; ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) veya İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) gibi kuruluşların rehberliğine başvurulabilir. Ciddi bir ihlal tespit edildiğinde, şirket genelinde paydaşların yer aldığı, önceden belirlenmiş bir olay tepki ekibi, süreçler üzerinde adım adım çalışmalıdır. Düzenli olarak bu planları test etmek iyi fikirdir, bu sayede herkes hazırlıklı olur ve belgeler güncel tutulur.
İhlalin kapsamını değerlendirin
Başlıca bir güvenlik olayından sonraki en önemli adımlardan biri, şirketin ne kadar kötü etkilendiğini anlamaktır. Bu sayede bildirimde bulunma ve düzeltme gibi ihlal sonrası eylemlerle ilgili bilgi sahibi olursunuz. Kötü amaçlı kişilerin sistemlere nasıl girdiğini ve saldırının “etki çapının” ne kadar büyük olduğunu, yani bu kişilerin hangi sistemlere erişim sağladıklarını, hangi verilerin risk altında olduğunu ve bu kişilerin halen ağda olup olmadığını öğrenmelisiniz. Bu noktada genellikle üçüncü taraf adli bilişim uzmanları devreye girer.
Hukuk birimini dahil edin
Bir ihlalden sonra kuruluşunuzun bulunduğu noktayı bilmelisiniz. Yükümlülükleriniz neler? Hangi düzenleyici kuruluşların bilgilendirilmesi gerekir? Daha fazla zaman kazanmak için saldırganlarla pazarlık etmeli misiniz? Müşteriler ve/veya iş ortakları ne zaman bilgilendirilmelidir? Şirket içi hukuk birimi, bu konuda ilk başvuracağınız yer olmalıdır. Ancak, siber olay tepki alanındaki uzmanları da olaya dahil edebilirsiniz. Gerçekten ne olduğuyla ilgili adli bilişim bilgileri bu noktada hayati öneme sahiptir, böylece bu uzmanlar bilgiye dayalı karar verebilir.
Ne zaman, nasıl ve kime bildirimde bulunacağınızı bilin
GDPR (AB Genel Veri Koruma Regülasyonu) ve KVKK (Kişisel Verileri Koruma Kanunu) koşulları uyarınca yerel düzenleyici, ihlal keşfedildikten sonra 72 saat içerisinde bilgilendirilmelidir. Ancak, bu durum bazı olaylar için gerekli olmadığından böyle bir bildirim için minimum gerekliliklerin ne olduğunu anlamak önemlidir. Bu noktada, ihlalin etki çapıyla ilgili derinlemesine bilgi önemlidir. Ne kadar verinin alındığını veya tehdit aktörlerinin sistemlere nasıl girdiğini bilmiyorsanız, düzenleyiciyi bilgilendirirken en kötüsünü varsaymalısınız. GDPR’nin oluşturulmasında önemli bir rol oynayan İngiltere Bilgi Komisyonu Ofisi’nin (ICO) bu konuda yararlı kılavuzları bulunur.(Haber Merkezi)
Modern veri ihlallerinin öncüsü olan ve giderek yaygınlaşan fidye yazılım aktörleri olayların daha da karmaşık hale gelmesine neden oluyor.
Sakin olun
Veri ihlali, bir kuruluş açısından en çok baskı yaratan durumlardan biridir. Özellikle bu olay ana sistemleri şifreleyen ve ödeme talep eden fidye yazılım aktörleri tarafından gerçekleştiriliyorsa büyük baskı yaratır. Ancak, düşünmeden verilen tepkiler yarardan çok zarar getirebilir. Şirketin tekrar çalışır hale gelmesini sağlamak kuşkusuz çok önemlidir, ama bu durumda bir yönteme göre hareket etmek hayati öneme sahiptir. Olay tepki planını devreye sokmalı ve önemli adımlar atmadan önce ihlalin kapsamını anlamalısınız.
Olay tepki planınıza uyun
Kuruluşun ihlale uğraması hakkında “ne zaman olacak” değil, “eğer” bugün olursa ihtimalini ve olay tepki planının siber güvenlikle ilgili en iyi uygulama olduğunu göz önünde bulundurmalısınız. Bunun için de gelişmiş bir planlama gerekir; ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) veya İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) gibi kuruluşların rehberliğine başvurulabilir. Ciddi bir ihlal tespit edildiğinde, şirket genelinde paydaşların yer aldığı, önceden belirlenmiş bir olay tepki ekibi, süreçler üzerinde adım adım çalışmalıdır. Düzenli olarak bu planları test etmek iyi fikirdir, bu sayede herkes hazırlıklı olur ve belgeler güncel tutulur.
İhlalin kapsamını değerlendirin
Başlıca bir güvenlik olayından sonraki en önemli adımlardan biri, şirketin ne kadar kötü etkilendiğini anlamaktır. Bu sayede bildirimde bulunma ve düzeltme gibi ihlal sonrası eylemlerle ilgili bilgi sahibi olursunuz. Kötü amaçlı kişilerin sistemlere nasıl girdiğini ve saldırının “etki çapının” ne kadar büyük olduğunu, yani bu kişilerin hangi sistemlere erişim sağladıklarını, hangi verilerin risk altında olduğunu ve bu kişilerin halen ağda olup olmadığını öğrenmelisiniz. Bu noktada genellikle üçüncü taraf adli bilişim uzmanları devreye girer.
Hukuk birimini dahil edin
Bir ihlalden sonra kuruluşunuzun bulunduğu noktayı bilmelisiniz. Yükümlülükleriniz neler? Hangi düzenleyici kuruluşların bilgilendirilmesi gerekir? Daha fazla zaman kazanmak için saldırganlarla pazarlık etmeli misiniz? Müşteriler ve/veya iş ortakları ne zaman bilgilendirilmelidir? Şirket içi hukuk birimi, bu konuda ilk başvuracağınız yer olmalıdır. Ancak, siber olay tepki alanındaki uzmanları da olaya dahil edebilirsiniz. Gerçekten ne olduğuyla ilgili adli bilişim bilgileri bu noktada hayati öneme sahiptir, böylece bu uzmanlar bilgiye dayalı karar verebilir.
Ne zaman, nasıl ve kime bildirimde bulunacağınızı bilin
GDPR (AB Genel Veri Koruma Regülasyonu) ve KVKK (Kişisel Verileri Koruma Kanunu) koşulları uyarınca yerel düzenleyici, ihlal keşfedildikten sonra 72 saat içerisinde bilgilendirilmelidir. Ancak, bu durum bazı olaylar için gerekli olmadığından böyle bir bildirim için minimum gerekliliklerin ne olduğunu anlamak önemlidir. Bu noktada, ihlalin etki çapıyla ilgili derinlemesine bilgi önemlidir. Ne kadar verinin alındığını veya tehdit aktörlerinin sistemlere nasıl girdiğini bilmiyorsanız, düzenleyiciyi bilgilendirirken en kötüsünü varsaymalısınız. GDPR’nin oluşturulmasında önemli bir rol oynayan İngiltere Bilgi Komisyonu Ofisi’nin (ICO) bu konuda yararlı kılavuzları bulunur.(Haber Merkezi)
