Uyumluluğun tehlikeli tuzaklarından kaçınmak

Fortune 1000 CISO'larının uyumluluk konusunda sıkıntı yaşadığı bir sır değil, ancak en çok öfkeyi körükleyen tuzaklar genellikle düzenleyicilerinkiler değil (her ne kadar düzenleyici argümanları hemen hemen aynı anda gelse de). Hayır, doğrudan güvenlik gereklilikleri olmayan bir dizi gizlilik kuralı olan Kaliforniya Tüketici Gizliliği Yasası (CCPA) ile yapılan yargı yetkisi kavgası gibi, savaş genellikle dahilidir ve bu da savaştır.  

Veya CISO kaygısı, her türlü PII'yi ve diğer hassas verileri istemeden yakalayabilen etkinlik ve reklam izleme yazılımıyla geniş bir gizlilik ve güvenlik koruma yelpazesini tehdit eden pazarlamadan gelebilir. Bazen, yapacaklarını söyledikleri güvenlik ve gizlilik korumalarını sağlamayan üçüncü taraf satıcılarla kavgalar olabiliyor.  

Ve bu üçüncü tarafları işe alan, kritik veriler konusunda onlara güvenen ve güvenlikten durum tespiti yapmasını isteme zahmetine girmeyenler, periyodik olarak diğer departmanlarla savaşan CISO'lardır. 

İster CCPA olsun, ister Avrupa Birliği'nin GDPR'si olsun, ister ABD Kongresi'nde aktif olarak takip edilen birkaçı da dahil olmak üzere önerilen birçok yeni gizlilik kanunundan biri olsun, bugünlerde gizlilik kuralları en çok ilgiyi çekiyor. Gizlilik CISO'nun görev alanının bir parçası mı olmalı?  

Bazı gizlilik kurallarının çok az özel güvenlik gereksinimi olmasına rağmen, şirketi kurumsal verilerin bir alt kümesine ekstra koruma sağlamaya zorlayarak güvenliği kesinlikle etkiledikleri yönünde bir iddia vardır. Bu da güvenlik analistlerinin farklı kararlar almasına neden oluyor.  

Bir kuruluş belirli şekerleme tariflerine erişim için prim talep ederse ve bir saldırı bu tariflerin tümünü açığa çıkarırsa uyumluluk tehlikesi söz konusu değildir. Bu, CFO'dan ve bazı LOB yöneticilerinden bir dizi iğrenç mesaj göndererek gelirde bir düşüşe neden olabilir, ancak düzenleyiciler muhtemelen bunu umursamayacaktır.  

Yoksa yapacaklar mı? İhlal, hassas PII verilerini veya ödeme kartı bilgilerini kolayca açığa çıkarabilen ancak bunu yapmayan güvenlik açıklarını ortaya çıkarmışsa, uyumluluk uygulayıcıları yine de birçok soru sorabilir. 

Uyumluluk açısından en büyük endişe kaynağı, yeni kuralların daha az dikkat çeken bölümleridir; örneğin, GDPR'nin (ABD şirketlerinin nadiren özellikle hassas olarak değerlendirdiği) IP adreslerini PII olarak tanımlaması ve bu adreslere bir IP adresiyle aynı şekilde davranılmaya zorlanması gibi. müşterinin Sosyal Güvenlik numarası, satın alma geçmişi veya ödeme kartı numarası.  

Tala Security'nin CEO'su ve kurucusu Aanand Krishnan, CCPA'nın az tartışılan farklı bir kısmına dikkat çekiyor: Tüketicilerin acenteleri kendi adına yetkilendirmesine izin veren bir gereklilik.  

CCPA'dan: “Tüketiciler üzerindeki idari yükü en aza indirmek amacıyla, Bölüm 1798.110 ve 1798.115'in amaçlarını ilerletmek ve bir tüketicinin veya tüketicinin yetkili temsilcisinin Bölüm 1798.130 uyarınca bilgi edinme yeteneğini kolaylaştırmak için kurallar ve prosedürler oluşturmak, Tüketici tarafından tutulan şifre korumalı bir hesap aracılığıyla gönderilen bir talebin değerlendirilmesi de dahil olmak üzere, bir tüketici tarafından alınan bilgi talebinin doğrulanabilir bir tüketici talebi olduğuna ilişkin işletmenin tespitini yönetmek için hesapta mevcut teknoloji, güvenlik kaygıları ve işletme üzerindeki yük. Tüketici, doğrulanabilir bir tüketici talebi olarak hesaba giriş yaptığında işletme ve işletmede hesabı bulunmayan bir tüketicinin, bu belgenin yürürlüğe girmesinden itibaren bir yıl içinde işletmenin tüketicinin kimliğini doğrulaması yoluyla bilgi talep etmesi için bir mekanizma sağlar. başlık ve bundan sonra gerektiği gibi. 

Krishnan, bu hükmün amacının belki de bir avukatın bazı hükümlerin dışında kalmak isteyen geniş bir tüketici grubunu temsil etmesine izin vermek olabileceğini savunuyor. Buradaki sorun, hükmün sadece böyle bir temsile izin vermesi değil, aynı zamanda hem tüketicinin talebini doğrulamak hem de avukatın belirli bir müşteri listesini temsil ettiğini doğrulamak için özel bir kimlik doğrulama mekanizması gerektirmesidir.  

Ancak yine de çok az şirket böyle bir mekanizma yarattı. Eğer öyleyse, hem müşterileri hem de yetkili temsilci için bulmayı kolaylaştırdılar mı? Ana sayfada her iki grubun da bulabileceği belirgin bir referans var mı? Her sayfada bulunması kolay bir açılır menü altında listeleniyor mu ve ne sunduğunu açıkça belirtecek şekilde ifade edilmiş mi? 

Kimlik doğrulamaya gelince, sürekli kimlik doğrulama, birden fazla biyometri yöntemi kullanma (yazma hızı, dakika başına hata, tuşlara uygulanan basınç, telefonun tutulduğu açı vb.) gibi daha karmaşık kimlik doğrulama yöntemlerinin çoğu, kimlik doğrulamak için tasarlanmıştır. bir kişiye ve ardından onlara ayrıcalık düzeyleri aracılığıyla erişilebilen her şeye erişim izni verin. Temsilcinin kimliğini doğrulamak yeterince basittir, ancak bu yaklaşım potansiyel olarak yüzlerce müşteri hesabına erişim izni vermek için nasıl uygulanır? Bunlar Kaliforniya düzenleyicilerinin muhtemelen soracağı sorulardır. Bu sadece uyumluluk değil, aynı zamanda gelecekteki uyumluluğa izin verecek mekanizmalar yaratmaktır. 

Krishnan'ın başka bir endişesi, CISO'nun veya CIO'nun onayı olmadan Pazarlama'dan gelen site izleme sistemleriyle ilgilidir. CISO'ların "web sitelerine yeterince ilgi göstermediğinden" endişe duyduğunu söyledi. Bazen Pazarlama, bilgileri izlemek için ücretsiz Google Analytics gibi trafik ve etkinlik analizi programlarını kullanır. Bu genellikle çevrimiçi formları dolduran kullanıcıların PII bilgilerini açığa çıkarır. Krishnan, "Pazarlamacılar web sitesine istediklerini koyuyorlar" dedi ve bir müşteri sitesini araştırdığını ve web sitelerinde "80 üçüncü taraf" bulduğunu ekledi. Pazarlama ekibinizle konuşun ve web sitesinde ne yaptıklarını görün, korkacaksınız." 

Bu web sitesi istilacılarından kaynaklanan riski en aza indirmek için Krishnan'dan bazı öneriler: Hassas içeriği korumak için HTML iframe etiketlerini kullanmayı deneyin ve kendi Google Analytics sürümünüzü barındırmayı teklif edin (Google'a "Bana bir kopyasını ver, ben de onu doğrudan sunacağım" deyin). Krishnan, verilerin toplanmaya devam etmesini, ancak sitenizden ayrılmamasını ve potansiyel olarak düzenleyicileri yatıştırmasını önerir. 

Bu veri sızıntısı yalnızca çeşitli gizlilik gereksinimleri açısından sorun teşkil etmekle kalmaz, aynı zamanda bir saldırı için harika bir başlangıç ​​noktası da olabilir. PCI kısa süre önce üçüncü taraf hizmetleri hakkında bir tavsiye niteliğinde yayınlayarak, pazarlama yoluyla yapılan bu hamlenin aynı zamanda PCI uyumluluğunu da tehlikeye atabileceği konusunda uyardı.  

Şunları söyledi: “Kuruluşun PCI DSS kapsamı üzerindeki etkiyi belirlemek için üçüncü taraf hizmetleri ve ürünleri gözden geçirilmelidir. Kuruluşların kart sahibi verilerini kabul eden sayfalarda harici varlıkları yasaklaması önerilir
kart sahibi verileri ortamının kapsamını bu varlıkları barındıran tüm ortamları kapsayacak şekilde genişlettiği için. Müşteri iletişim portalı satıcıları, kuruluşun kapsamının bir parçası olarak gözden geçirilmesi gereken üçüncü taraf hizmet sağlayıcılarına örnektir. Gereksiz eklentilerin ve hizmetlerin kaldırılması veya devre dışı bırakılması da önerilir. Web sitesinin diğer alanlarında bulunan üçüncü taraf komut dosyalarının ödeme sayfalarına veya diğer hassas alanlara erişememesini sağlamak önemlidir." 

Çeşitli firmalara veri gizliliği görevlisi (DPO) vekili olarak hizmet veren Birleşik Krallık merkezli bir uyumluluk danışmanı olan Nick Baskett, CISO iletişim aksaklıklarından kaynaklanan daha fazla CISO uyumluluk sorunu gördüğünü söylüyor.  

“CISO'lar hâlâ iletişim konusunda pek iyi değil. Baskett, aynı dili konuşmadıkları zaman patronlarının veya iş arkadaşlarının tavsiyelerine uymalarının zor olduğunu söylüyor. Örnek olarak, birlikte çalıştığı bir DPIA (veri koruma etki değerlendirmesi) imzalamayı reddeden ve sorunun çözülmesini isteyen beş proje yöneticisiyle bitmek bilmeyen bir tavuk-yumurta tartışmasına giren bir CISO'dan bahsetti. 

Bu savaşı başlatan şey, İK'nın bir maaş bordrosu satıcısını elinde tutması ve İK'nın Güvenlik'in onayını alma veya maaş bordrosu firmasının uygun güvenlik mekanizmalarına sahip olduğundan emin olmak için durum tespiti yapma zahmetine girmemesiydi. Maaş bordrosu satıcısının uygun güvenlik mekanizmalarına sahip olmadığı ortaya çıktı, dolayısıyla CISO'nun DPIA talebini reddetmesi oldukça meşruydu.  

Baskett, güvenlik tedarikçilerinin İK'ya "büyük müşterilerimiz var, bu yüzden bize güvenmeniz gerektiğini" savunduklarını ve bu iddianın İK'nın desteğini kazandığını söyledi. “Hangi süreçleri uyguladılar? Kimin erişimi vardı? Bunu nasıl kontrol ettiler? [Güvenlik test etmeye başladığında] her şey dağılmaya başladı." 

Maaş bordrosu satıcısının politik bir dinamiği de vardı; onları işe alan çalışan yönetim kurulunda içeriden bir görevliydi. 

Kısacası yönetim kurulu üyesi onayladığında CISO dışında kimse itiraz etmedi.  

Şimdiye kadar, çok iyi. İletişim sorunu, üç proje yöneticisinin CISO'dan vazgeçmesini ve DPIA'yı imzalamasını istememesiydi. Yalnızca maaş bordrosu satıcısının güvenlik gereksinimlerini karşılamak için neyi değiştirmesi gerektiğini soruyorlardı. Ama yine de CISO imzalamayacağını tekrarlayıp duruyordu. Yöneticiler şunları söyledi: “Bizi duymuyorsunuz. Dinlemiyorsun. Neden bizi dinlemiyorsun? Üç hafta içinde hayata geçmeyi umuyoruz. Ne yapmamız gerekiyor? Hangi koşullar altında imzalayabilirsiniz?” Baskett'e göre.  

Sonunda birisi iletişim çıkmazını kırdı ve CISO "belirli koşullar altında canlı veri göndermek de dahil olmak üzere atmaları gereken bir dizi kilometre taşı" önerdi Baskett diyor.  

Şirket, maaş bordrosu firmasına bazı test verileri verdi ve onlara testleri yürütmeleri için ayrı bir güvenli ortam verildi. Bordro firmasına ayrıca güvenlik duvarına beyaz liste eklemesi söylendi. Baskett, sonunda CISO'nun kendi koşulları karşılandığında DPIA'yı onayladığını söylüyor. 

Baskett'in bahsettiği ve özellikle yeni gizlilik kurallarıyla uğraşan ABD şirketleri için geçerli olan bir diğer uyumluluk endişesi, bazı CISO'ların veri sahiplerine yönelik risk, yani müşterilerin riskleri ile karşılaştırıldığında iş risklerine aşırı derecede odaklanmasıdır. CISO'ların risk kayıtlarını nasıl kullandığına dikkat çekti.  

“Kırmızı, kırmızı, kırmızı renklerin yer aldığı 30, 40 sayfalık Excel elektronik tablosundan oluşan bu risk kayıtlarını görüyorum. Yönetim kurulu bunun ne anlama geldiğini bilmiyor. Kişilere verilen zararı değerlendirmeden işletmenin zararını değerlendiremezsiniz. (Bireysel riskler) risk listesinde yönetim kurulunun anlayabileceği bir şekilde ele alınmalıdır. Örnek: Web sunucularımızda bu etkiye ve bu olasılığa sahip bir güvenlik açığı bulunmaktadır. Çok sayıda riski listelemek yerine sadece birkaç risk listeleyin ve onlara bağlamı verin," diyor Baskett. 

Bazı CISO'ların neyin riske girmeye değer olduğuna karar verme eğiliminde olduklarını, ancak bir noktada bunun CISO'nun yapma çağrısı olmadığını açıklıyor. Bunun yerine, CISO'ların kurula gitmesi, seçenekleri ve ilgili sonuçları ortaya koyması ve kurulun, kurulun risk iştahı ve risk toleransını belirlemesine izin vermesi gerektiğini öne sürüyor. Baskett, daha sonra CISO'nun bu yürüyüş emirlerini alabileceğini ve uygun kararlar alabileceğini söylüyor. 

Bazıları uyumluluk kurallarının ya çok kuralcı ya da çok belirsiz olma eğiliminde olduğunu savunuyor. JPMorgan Chase'in eski bilgi güvenliği yöneticisi ve Republic Bank'ın eski CISO'su olan Anthony Meholic, "Beni deli eden şeylerden biri, buna 'makul bir zamanda' gibi genel olarak çok belirsiz ifadeler koymaları" diyor. Merkezi Delaware'de bulunan Bancorp Bank'ın mevcut baş güvenlik görevlisi (CSO). Meholic, Bancorp Bank'ın Visa hediye kartı da dahil olmak üzere ABD'nin ikinci büyük hediye kartı veren kuruluşu olduğunu söylüyor.  

Meholic, "Yasa taslağı bu alanla ilgisi olmayan kişiler tarafından hazırlanıyor" diyor. “CCPA başlangıçta berbattı. Bu sektörden hiç kimse tarafından yazılmadı. İçerik tam bir karmaşaydı.” 

Uyum kurallarının spesifik ve genel mücadelede kazanması zordur. Pek çok ülkede uyumluluğa tabi olan, farklı boyutlarda ve farklı sektörlerdeki çok sayıda şirket göz önüne alındığında, hepsi için uygun ve adil olan belirli kurallar oluşturmak neredeyse imkansızdır.  

Belirsizliğin ardındaki amaç (evet, kural yazanlar, bu bir hata değil bir özelliktir) sahadaki düzenleyicilere bir işletmenin ne yaptığına ve bunu neden yaptığını söylediğine bakma ve gerektiği şekilde uygun kararlar almaya çalışma esnekliği kazandırmaktır. işletmenin kuralın amacına uyup uymadığı. 

Bununla birlikte, CISO'ların kurallar bu kadar belirsiz olduğunda ne yapmaları gerektiğini bilmeleri zor. GDPR'nin veri ihlali bildirim kuralını göz önünde bulundurun: "Kişisel veri ihlali durumunda, kontrolör, aşırı gecikme olmaksızın ve mümkün olduğunda, bunun farkına vardıktan sonra en geç 72 saat içinde, kişisel veri ihlalini denetleyiciye bildirecektir. Kişisel veri ihlalinin gerçek kişilerin hak ve özgürlüklerine yönelik bir risk yaratma ihtimali bulunmadığı sürece, 55. madde uyarınca yetkili makam.  

Bildirim için belirli bir zaman çizelgesi (72 saat) belirliyormuş gibi görünüyor, ancak denetleyici (kurumsal olan) farkına vardığında saatin çalışmaya başlamasını istiyor. Boeing veya Walmart ne zaman bir şeyin farkına varır? Bir güvenlik analistinin bir günlük anormalliğini ilk fark ettiği zaman mı bu? CISO'ya olası bir ihlal ilk kez ne zaman bildirilir? CISO bunun gerçek bir ihlal olduğuna ikna olduğunda mı? CEO'ya ne zaman söylenecek? CEO ne zaman ikna olur? Belki de yönetim kuruluna söylendiğinde veya yönetim kurulu üyelerinin çoğunluğu ikna olduğunda? Kural hiçbir pratik ipucu sunmuyor. 

Meholic, ifadelerin dışında ekibinin uyum sorunları üzerinde fazla sıkıntı çekmeden çalıştığını söylüyor. Örneğin Meholic, bulut ortamlarında (Amazon'un AWS ve Microsoft Azure'u), bulutun kendilerine kendi şifreleme anahtarını vermesini talep ediyor; bu anahtarlardan biri diğer bulut kiracılarından farklı. Ve Meholic, AWS ile Amazon'un periyodik kalem testi yapma hakkı konusunda pazarlık yaptı ve bunu Amazon'a başlamadan hemen önce anlattılar. Habersiz değil ama neredeyse hiçbir uyarı yapılmadan duyuruluyor. 

Ancak Meholic, farklı uyumluluk kurallarıyla ilgilenme konusundaki ana sorumluluğun kuruluşta nerede olduğu konusunda endişeleri olduğunu söylüyor. CCPA'nın Uyumluluk bünyesinde yer almasını tercih edeceğini söylüyor. “Kurumsal hiyerarşide nerede durması gerektiği konusunda bir çekişme var. Mükemmel bir dünyada tüm uyumluluk, uyumluluk grubunda olmalıdır." 

Diğer bir endişe ise mahremiyetin uygulanmasının güvenlik uygulamasından çok farklı bir bakış açısı gerektirmesidir. Brian Rizman, bir güvenlik ve uyumluluk danışmanlık firması olan Edgile'nin ortağıdır. Rızman
;iki ekibin bir gruptaki bir uzmanı diğer grupta çalışması için serbest bırakması gerektiğini, DevSecOps'un (bir güvenlik uzmanının LOB birimlerine yerleştirildiği) bir tür gizlilik sürümü olması gerektiğini savunuyor. Rizman, "Bir gizlilik görevlisi güvenlikle birlikte çalışmalıdır" diyor. 

Diğer uzmanlar ise daha temel usul meselelerine işaret ediyor. Danışmanlık firmasının gizlilik ve siber müdahale uygulamalarına liderlik eden EY'nin (eski adıyla Ernst & Young) genel müdürü Shawn Fohs, müşterileri için uyumluluk istek listesinin, birlikte çalıştıkları üçüncü tarafları soruşturma çabalarını iki katına çıkarmak olduğunu söyledi. Ayrıca Fohs, hâlâ işletmelerin doğru küresel veri haritaları elde etmeye odaklanmasına ihtiyaç duyduğunu, bunun da gölge BT'yi daha iyi ele almak anlamına geldiğini söyledi. 

Veri haritası zorluğuna gelince, Fohs şunları söylüyor: “Bu kesinlikle en karmaşık yönlerden biri. Hala neye sahip olduklarını ve nerede sahip olduklarını bilmiyorlar.”  

Bir diğer endişe ise uyumun uygulanmasının makullük yönleridir. Fohs, bir kural işletmenin yerine getirmesi imkansız olan bir şeyi gerektiriyorsa, CISO'nun hem maliyet hem de operasyonel açıdan uygulanabilir bir şey önerme sorumluluğunu uyumluluk düzenleyicisine geri vermesi gerektiğini söyledi.  

"Bir düzenleyicinin bunu uygulayabilmesi için, [düzenleyicilerin] bunun nasıl yapılmasını beklediklerini söyleyebilmeleri gerekir." 

Ping Identity'nin müşteri bilgileri sorumlusu Richard Bird, güvenlik uyumluluğuyla ilgili en büyük endişelerinden birinin, CISO'ların çeşitli nedenlerle güvenliği test ederken kendilerini hiçbir siber hırsızın sınırlandıramayacağı şekilde sınırlamaları olduğunu söylüyor.  

Dolayısıyla bu tür testlerin gerçekçi sonuçlar verip vermediğini sorguluyor. 

''Teknologlar, en iyi niyetlerle, 'masajlanmış' veya 'temizlenmiş' verileri denetim kuruluşlarına iletirler. Bird, kalem testçilerinin yalnızca önceden belirlenmiş eylemlerle sınırlı olduğunu, örneğin üretim ortamına yaklaştıklarında kalem testini hemen sonlandırmak gibi "diyor. “Saldırganlar bu tür uyum odaklı davranışları tanımıyor veya bunlara saygı duymuyor. Hiçbir siber hırsız, istismar edilebilir bir yol bulmak için örnek kümedeki hesapların ve kullanıcıların listesine koşmaz. Numunede tam olarak neyin yer almadığını bulmak için teknoloji yığınının her parçasını parçalıyorlar." 

Bird, tipik olandan çok daha kapsamlı ve gerçekçi bir hazırlık ortamı kullanmayı öneriyor.  

Blazing Saddles'taki sahte Batı sınır kasabası sahnesinin yanı sıra, mühendislik yıkıcı test ortamına benzer bir yaklaşım önererek, "Tamamen gerçekleştirilmiş bir üretim ortamı yaratın ve sonra onu def edin" diyor.  

2020'de kurumsal güvenliği çalıştırırken bir CISO, CISO'nun alabileceği her yerden ilham almalıdır.

SC Media'nın Şubat 2020 Sayısından