Güvenlik konusunda ciddi bir taahhüt olmaksızın uyumluluk kutularını kontrol etme dönemi sona erdi Yaşamlar ve jeopolitiğin geleceği tehlikede
Hassas verileri işleyen kuruluşlar artık, zorunlu minimum siber güvenlik standartlarını karşılamanın güvene dayalı görev ve federal yükleniciler için ulusal güvenlik açısından gerekli olduğu yeni bir hesap verebilirlik ve inceleme dönemiyle karşı karşıyadır SEC, kamu şirketlerinin ve hatta belirli yöneticilerin artık hukuk ve ulusal güvenlik meselesi olarak siber güvenlikten sorumlu tutulacağını gösterdi Paydaş verilerini, yatırımı, güveni ve rekabet avantajını korumak için yöneticilerin siber güvenliği birinci öncelik haline getirmesi gerekiyor
Uyumluluğun sağlanamaması veya güvenlik duruşunun yanlış sunulması, mevcut ve gelecekteki hükümet sözleşmelerinin kaybına neden olabilir; bu da gelire ve hissedar değerine büyük bir darbe indirir
Hata yapma; bu sadece SEC’in düzenleyici gücünü göstermesi değil
Bekleyen bir federal yasa, Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) 2 Hükümet şaşmaz bir mesaj verdi; artık “güven ama doğrulama” yaklaşımını benimsemeye istekli değil Savunma Bakanlığı, savunma sanayii tabanındaki ana yüklenicilerin ve alt yüklenicilerin yıllardır federal bir veri tabanına uyumluluk puanları girerek siber güvenlik seviyelerini kendilerinin doğrulamasını zorunlu kılıyordu A Merrill Research tarafından yürütülen çalışma şunu buldu: Geçen yılın açılış raporuna göre 10 puanlık bir düşüşle müteahhitlerin yalnızca %36’sı bu puanları sundu SolarWinds, siber güvenlik gerekliliklerini uygulamaya yönelik koordineli bir federal girişimin açılış salvosudur
Ancak zarar, hukuki ve mali sonuçların çok ötesindedir En kötü senaryoda, halka açık bir savunma yüklenicisinin uyumluluk denetiminde başarısız olduğu ancak daha önce tam uyumluluğu bildirdiği tespit edilirse, bu yüklenici artık SEC tarafından eyleme tabi tutulacak
Savunma Bakanlığı’ndaki (DoD) federal yükleniciler, hükümetin siber güvenlik uyumluluğunu sağlamak için ne kadar ileri gitmeye istekli olduğunu görmek için bekliyorlar Herkesin beklediği kumsaldaki çizgi nihayet çekildi
siber-1
Bazı şirketler, hükümet adına bildirilen puanları doğrulayacak aktif bir program bulunmadığını ve dolayısıyla siber güvenlik riskinin yanlış raporlanmasının herhangi bir sonucu olmadığını bilerek, basitçe mükemmel puanlar girme yaklaşımını benimsemiştir
Merrill Research çalışması, birçok müteahhidin kazançlı sözleşmeler imzalamalarına rağmen uymak zorunda olduklarını düşünmediklerini gösterdi zorlayıcı uymaları 0 programı, yaklaşık on yıl öncesine ait 1 milyondan fazla sözleşmede yer alan zorunlu siber güvenlik minimumlarına uyumu zorunlu kılarak ve denetleyerek, yakında yüz binlerce Savunma Bakanlığı yüklenicisini etkileyecektir Ancak %40’ı yasaların gerektirdiğinin ötesine geçiyor ve Federal İletişim Komisyonu’nun (FCC) Huawei Technologies ürünlerinin kullanımını açıkça reddediyor Yarım tedbirler ve gizleme, kuruluşları önemli sorumluluklarla karşı karşıya bırakacaktır
Boeing’in fidye yazılımı çetesi LockBit tarafından ihlal edildiği iddiası aciliyetin altını çiziyor Bu SEC davası, savunma sanayii tabanındaki halka açık şirketleri anında açığa çıkarıyor ve mevcut siber güvenlik talimatlarına uyumu doğru bir şekilde raporlamazlarsa birçok ek yasal risk ortaya çıkıyor Gerçek şu ki, kararlı ve bilgili düşmanlar sürekli olarak hassas hükümet ve ticari verilere erişim arayışındadır ve tüm bu bilgileri korumak için en iyi şansımız olan siber güvenlik gerekliliklerinin geliştirilmesinde yıllarca süren kamu-özel sektör ortaklığı harcanmıştır
Menkul Kıymetler ve Borsa Komisyonu’nun yanıltıcı siber güvenlik açıklamaları nedeniyle SolarWinds’e açtığı dava sadece manşetlere çıkmakla kalmadı, tarih yazdı
Mesela geçen yaz Aerojet Rocketdyne 9 milyon dolar ödemeyi kabul etti Adalet Bakanlığı’nın, şirketin güvenlik duruşunu bilerek yanlış beyan ettiğini söylediği Yanlış İddialar Yasası davasını çözüme kavuşturmak için
Kumdaki ÇizgiPratik olarak bu, halka açık şirketlerdeki bilgi güvenliği yöneticilerinin (CISO’lar) siber güvenlik programlarını tasarlama, uygulama ve yönetme konusunda çok daha düşünceli ve belgeli olmaları gerektiği anlamına geliyor