İşletmeler 2024'te Riskleri Nasıl Azaltabilir ve Uyumluluğu Nasıl Koruyabilir?

Veri gizliliği ve uyumluluk risklerini yönetmek, işletmeler için her geçen yıl giderek daha zor hale geliyor. Siber suçlular, stratejilerini son derece hızlı bir şekilde geliştirmeye devam ederek, kötü niyetli saldırıların tespit edilmesini, durdurulmasını ve zararının azaltılmasını zorlaştırıyor. Ayrıca, başarılı bir saldırıyla binlerce şirketi ve milyonlarca kaydı ihlal edebileceklerini fark eden çoğu kişi, kötü niyetle tedarik zincirine yöneldi.

Ne yazık ki 2024 hiç de kolay olmayacak. Hassas içerik iletişimlerinin gizliliğini ve uyumluluğunu yönetmenin bu kadar zor olmasının bir nedeni de, pek çok ortak aracın silolarda bulunması ve farklı bir çağda geliştirilmiş olmasıdır. Peki 2024'te dikkat edilmesi gereken diğer önemli konular nelerdir?

Büyük dil modellerinin ortaya çıkışı

Yasaklara ve kısıtlamalara rağmen, rekabet avantajları göz ardı edilemeyecek kadar önemli hale geldiğinden, kullanımdaki üretken yapay zeka (GenAI) büyük dil modellerinin (LLM'ler) sayısı gelecek yıl artacaktır. 

Bu, tehdit yüzeyini genişletecek ve hassas içeriğin yanlışlıkla veya kasıtlı olarak açığa çıkma potansiyelini artıracaktır.

Güvenlik kontrollerindeki ilerlemelere rağmen, GenAI LLM'nin kötüye kullanımından kaynaklanan veri ihlalleri 2024'te artacak. Düzenleyici incelemeye tabi tutulan yüksek profilli örneklerin ne yazık ki olması muhtemel. Bu, veri güvenliğini herhangi bir GenAI LLM stratejisinin merkezi bir parçası olmaya zorlayacaktır. Uyum sağlamakta yavaş olan kuruluşlar, marka itibarının zarar görmesi, gelir fırsatlarının kaybedilmesi, potansiyel düzenleyici para cezaları ve cezalar ve devam eden dava maliyetleriyle karşı karşıya kalacaktır. 

Eski MFT araçlarının amaca uygun olmaması

Verilerin otomatik, güvenilir ve güvenli bir şekilde dijital aktarımı için bir süredir yönetilen dosya aktarımı (MFT) araçları kullanılıyor. Ancak birçoğu artık amaca uygun olmayan onlarca yıllık teknolojiye dayanıyor. Bu nedenle, son birkaç yılda haydut ulus devletlerin ve siber suçluların MFT'lere ve yazılım tedarik zincirinin diğer unsurlarına yönelik siber saldırılarının giderek arttığına tanık olduk. 

2023 yılında hedeflenen iki yüksek profilli MFT aracı vardı. Her iki durumda da birden fazla sıfır gün güvenlik açığından yararlanıldı: 130'dan fazla kuruluşu etkileyen Fortra GoAnywhere durumunda uzaktan kod yürütme (RCE) ve MOVEit durumunda 2.000'den fazla kuruluşu ve 62 milyon kişiyi etkileyen bir SQL enjeksiyonu .

E-posta büyük bir saldırı vektörü olmaya devam edecek

E-posta, siber suçlular için bir numaralı saldırı vektörü olmaya devam ediyor ve yerini kaybetme emaresi göstermiyor. Aslında, son 12 ayda e-posta aracılığıyla başlatılan kötü amaçlı yazılım saldırıları %29 oranında artarken, kimlik avı saldırıları da aynı oranda arttı. İş e-postası ihlali (BEC) saldırıları %66 oranında artış gösterdi. Bu, on veri ihlalinden sekizinden fazlasının sosyal mühendislik stratejilerini kullanarak ilk erişim hattı olarak insanları hedef almasına yol açtı.  

Eski MFT çözümlerinde olduğu gibi, pek çok eski e-posta sistemi de ne yazık ki modern güvenlik özelliklerinden yoksundur. Bazı şeylerin değişmesi gerekiyor. Kuruluşlar, tek kiracılı barındırma ile sıfır güven politikası yönetimini kullanarak e-postaların gönderildiği, alındığı ve depolandığı bir e-posta koruma ağ geçidini benimseyene kadar, e-posta güvenliği ne yazık ki ciddi bir risk faktörü olmaya devam edecektir. 

Gelişen düzenleyici standartlar

Düzenleyici kurumlar, 2024 yılında veri gizliliği düzenlemelerini geliştirmeye ve cezalarını artırmaya devam edecek. GDPR kapsamında Marriott ve British Airways'e verilenler gibi son zamanlardaki büyük para cezaları büyük ölçüde veri güvenliğindeki eksikliklerden kaynaklanıyordu. Düzenleyicilerin, kişisel verileri ihmalkar bir şekilde ifşa eden herhangi bir şirkete sert bir şekilde saldırmaya devam edeceği açıktır. Ve iyi bir sebepten dolayı. Bu, işletmelerin içerik erişimini her zamankinden daha fazla izlemesi ve kontrol etmesi ve uyumluluğu göstermek için denetim günlüğü raporları oluşturması gerektiği anlamına gelecektir. 

Bu ortadan kalkacak bir sorun değil. Aslında Gartner, 2024 yılı sonuna kadar dünya nüfusunun dörtte üçüne ait kişisel verilerin veri gizliliği düzenlemeleri kapsamında olacağını ve bir şirkette gizlilik için ayrılan ortalama yıllık bütçenin 2,5 milyon doların üzerine çıkacağını öngörüyor. 

Veri egemenliğinin artan önemi

Artan veri yerelleştirmesi ihtiyacı, bu yıl veri egemenliğini kuruluşlar için gerçek bir zorluk haline getirecek, büyüyen bir trend. Yeni ortaya çıkan gizlilik yasalarının çoğu artık kuruluşların verilerin bulunduğu ülkeyi kontrol etmesini gerektiriyor. Bu çok uluslu şirketler için önemli bir zorluk olabilir. 

Aynı zamanda, verilerin demokratikleştirilmesi, yani verilerin teknik beceriye bakılmaksızın bir kuruluştaki herkes için erişilebilir ve tüketilebilir hale getirilmesi uygulaması, veri egemenliğini de etkileyecek bir trend. Veri egemenliği, kuruluşlara, yasal riskleri en aza indiren, sorumlu veri işleme konusunda itibar kazandıran ve şirketlerin ağır para cezalarından kaçınmasına yardımcı olan yerel ve uluslararası veri düzenlemelerine uyumu sürdürme yetkisi verir. Kuruluşlar, veri egemenliğine öncelik vererek müşteriler ve paydaşlar nezdinde güven oluşturabilir, marka itibarını artırabilir ve maliyetli yasal sorunlardan kaçınabilir.

Dosya boyutları büyümeye devam ediyor

Gittikçe daha büyük dosyaların (özellikle de hassas içerik içerenlerin) işlenmesiyle ilgili zorluklar, 2024'te kuruluşlar için giderek daha fazla baskı yaratacak. Kuruluşlar, hassas içerikleri daha sağlam çözümlerle korumayı hedefledikçe dijital haklar yönetiminin (DRM) benimsenmesi hızlanacak. düzenleyici baskılar. 

2024 için, veri sınıflandırması ve DRM politika yönetimi, büyük ve küçük kuruluşları, düşük riskli veriler için en az ayrıcalıklı erişim ve filigranlar, orta riskli veriler için salt görüntülenebilir DRM ve engelleyen güvenli video akışlı düzenleme kullanarak veri koruma kurmaya yönlendirecektir. yüksek riskli veriler için indirmeler ve kopyalayıp yapıştırma. 

Sıfırlama düğmesine basmanın zamanı geldi

2024 yılında işletmeler, artan siber tehditler karşısında gizli verileri korumak ve gelişen uluslararası düzenleyici standartlara uyumu sağlamak konusunda artan bir baskı altında kalacak. 

Sıfır güven mimarilerini, içeriğe dayalı ayrıntılı güvenlik modellerini, güçlü erişim yönetimini, entegre DRM, DLP'yi ve diğer ileri düzey güvenlik önlemlerini benimseyen kuruluşlar, riskleri azaltabilir ve uyumluluğu destekleyebilir. 

Kuruluşların hassas içerik iletişim stratejilerinde sıfırlama düğmesine basmasının ve iletişimlerini korumak için doğru teknolojilere sahip olduklarından emin olmak için çalışmalarının zamanı geldi.