Veri Güvenliği Hakkında By Trevor J Morgan, comforte AG Ürün Müdürü tarafından yapılan bir açıklama:
Bulut, büyük miktarda bilgiyi işleyen işletmeler ve işletmeler için inanılmaz derecede yararlı bir araçtır. Son yıllarda, bulutun benimsenmesi önemli ölçüde artmıştır. Gerçekten de genel bulut hizmetleri pazarının 2023 yılına kadar dünya çapında 623,3 milyar dolara ulaşması bekleniyor, çünkü daha fazla işletme operasyonları genişletmeye çalışıyor, ancak şirket içi bulut operasyonlarını dağıtmak için yeterli araç veya kaynağa sahip değil. Bu, özellikle kişisel olarak tanımlanabilir bilgiler (PII) gibi finansal veya biyografik verileri işleyen işletmeler için geçerlidir. Gerçekten de verilerin “yeni altın” olarak kabul edildiği bir toplumda yaşıyoruz, bu nedenle giderek daha fazla şirket ödeme kartı ayrıntılarından kişisel sağlık bilgilerine kadar hassas bilgileri saklıyor ve işliyor. Aslında, 2018 yılında yapılan bir araştırma, sigortacıların %70’inden fazlasının bulut bilişime dayandığını buldu. Bulut bilişimin bu artan benimsenmesi, geleneksel sistemlere kıyasla artan verimlilik, esneklik ve hız ile açıklanabilir.
Bununla birlikte, bulut bilişimin benimsenmesindeki son artış ve veri değerindeki önemli artış nedeniyle, birçok siber suçlu, sahip oldukları değerli bilgilerin zenginliği nedeniyle odaklarını bulut mimarisini hedeflemeye kaydırıyor. Bu, özellikle işletmelerin, özellikle analitik amaçlar için düz metin verilerine güveniyorlarsa, bulutta bulunan bilgilerini düzgün bir şekilde koruyamadıkları için özellikle önemlidir. Aslında, yakın zamanda yapılan bir araştırmaya göre, şirketlerin yaklaşık %80’i son bir buçuk yılda bir bulut veri ihlali yaşadı ve endişe verici bir şekilde gözenekli bir saldırı vektörü olarak belirledi. Bu, sınırlı kaynaklar, buluttaki varlıkların görünürlüğünün azalması veya sadece güvenlik ilgisizliği gibi çeşitli nedenlerden kaynaklanabilir, çünkü bazen ekipler verileri varsayılan güvenlik ayarları altında veya zayıf, tahmin edilmesi kolay şifrelerle buluta yükler. Gerçekten de kötü düşünülmüş bulut bilişim işlemleri, Magecart saldırılarından sızdıran kovalara kadar birtakım sonuçlara sahip olabilir, bulutta kötü siber hijyen riski felaket olabilir.
Aslında, yıkıcı veri ihlallerinin tekrarlayan döngüsü, dünya çapında ortaya çıkan çeşitli veri koruma düzenlemelerine katkıda bulunan faktörlerden biridir. Avrupa’da özellikle, veri korumaya gelince yerde yasal çerçeveler vardır. Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA), kişisel veri ihlallerinin ciddiyetinin değerlendirilmesi için tavsiyelerde bulunan bir çalışma kılavuzu sağlamak için üye devlet veri koruma yetkilileriyle birlikte bir 2013 makalesi yayınladı. Bu makale yasal olarak bağlayıcı olmasa da veri ihlallerinin ciddiyetini ölçmek için emsal niceliksel kriterler sağlamayı amaçladığı için tarihsel öneme sahiptir.
Aslında, ENISA tarafından belirlenen kriterlere göre en ciddi veri ihlali şekli, “bireylerin üstesinden gelemeyecekleri önemli sonuçlarla karşılaşabileceği” zamandır. Bu, “önemli borç veya çalışamama” gibi finansal sıkıntıları içerir. Ayrıca, bu makalenin öneriler bölümünde, enısa ihlal edilen finansal bilgileri veri ihlallerini değerlendirmek için en yüksek puanlardan biri olarak sıralamaktadır. Gerçekten de ” herhangi bir finansal veri türü (örn. gelir, finansal işlemler, banka ekstreleri, yatırımlar, kredi kartları, faturalar, vb.) “4 üzerinden üç ön temel puanı vardır. Bu durumda, ihlal edilen bilgilerin “finansal bilgilere önemli bir bakış açısı sağlamaması ” durumunda, ihlalin tehdit puanı önemli ölçüde azaltılır. Tersine, finansal bilgiler belirli induvial ile doğrulanabilecek belirli veri kümeleri içeriyorsa, enısa yönergelerine göre, söz konusu ihlal maksimum dört puan alacaktır. Bu, bu bilgilerin gerçekte ne kadar kritik olduğunu ve veri güvenliğini sağlamak için neden bu kadar çok düzenleyici çerçevenin oluşturulduğunu vurgulamaktadır.
Enısa’nın makalesi ayrıca veri ihlallerinin içine girdiği dört kategoriyi de özetlemektedir: gizlilik kaybı, bütünlük kaybı, kullanılabilirlik kaybı ve kötü niyetli niyet. Her kategori arasında bazı tutarsızlıklar ve örtüşmeler olsa da bu koşulların her birinin hem şimdiki hem de gelecekteki müşterilerle olan ilişkinizi olumsuz yönde etkileyeceğini hatırlamak önemlidir. Veri ihlallerinin çeşitli tanımları, her biri uygun şekilde dikkate alınması gereken kendi benzersiz zorluklarını getirir. Bu nedenle, akbaba sürüsü gibi veri ihlalleri çevrelerin olumsuz tanıtım aza indirmek amacıyla, işletmelerin mevzuata düşen faul olasılığını sınırlamak, hala analitik kavrama sağlarken hassas bilgileri korumak ve işletmeler ve müşterileri arasında ekili başarı ve güven katkıda bulunacak çok sayıda kontrol dağıtmaya başladı.
Bu çözümlerden biri, özellikle birden fazla çapraz düzenleyici gereksinimi karşılamak ve yalnızca düzenleyici çerçeveleri karşılamakla kalmayıp aynı zamanda hassas verilerin kolaylaştırılmasını ve analiz edilmesini sağlayan bir güvenlik çözümü sağlamak için benzersiz bir kapasiteye sahiptir. Takma ad hem veri güvenliği hem de yasal uyumluluk için en iyi yöntem olarak sıklıkla lanse edilmiştir. Takma veri uygulaması, IP adresleri, e-posta adresleri, finansal bilgiler, biyografik veriler ve analiz gibi çeşitli tanımlayıcı türlerinde veri koruma, fayda, ölçeklenebilirlik ve kurtarma için çeşitli uygulamalara sahiptir. Bir düzeltme-tüm-çözüm yok ederken aynı anda veri işleme için gerekli programı derecesini koruyarak, düzgün kullanıldığında pseudonymisation, ayrımcı ya da yeniden tanımlama saldırısı tehdidi azaltmak gibi birçok faydası vardır. Bu son teknoloji ürünü çözüm, güvenlik ekiplerine ölçülebilir bir yatırım getirisi ve daha kapsamlı bir güvenlik duruşu sağlayacak bir endüstri tanımlama sürecidir.
Aslında, takma ad, enısa tarafından yakın tarihli bir raporda önerilen bir tekniktir. Bununla birlikte, siber güvenlik çalışmalarına nispeten yeni bir takma ad eklenmesi, en iyi uygulamalar ve kullanım durumları hakkında eğitim gerektiren bazı belirsizliklerin hala olduğu anlamına gelir. Basitçe söylemek gerekirse, GDPR tanımlarına göre, “pseudonymisation kişisel veriler artık veri belirli bir konu için ek bilgilerin kullanımı, bu tür ek bilgiler ayrı ayrı tutulur ve kişisel veriler, belirli veya kimliği belirlenebilir gerçek kişiye atfedilir değil,” bunu sağlamak için teknik ve örgütsel önlemleri çerçevesinde olması kaydıyla olmadan bağlanabilir şekilde kişisel veri işleme. Bu nedenle, kuruluşlar ilk serbest bırakıldığında ENISA tarafından öngörülen yönergeleri izlediyse, GDPR’NİN uygulanması için güçlü bir temel oluşturacağını varsayabiliriz. Daha fazla işletme, bilgi komiserlerinin tavsiyelerine uyan veri merkezli güvenlik uygulamaları kullansaydı, belki de manşetlere isabet eden daha az büyük veri ihlali görecektik. Bunun yerine, birçok kuruluş sadece bilginin ne kadar değerli olduğunu anlıyor ve veri güvenliği söz konusu olduğunda catchup oynuyor, rakiplerine ve siber suçlulara bir başlangıç yapıyor.
Çeşitli veri takma ad biçimlerinden, tokenizasyon bir öncü olarak kurulmaktadır. Bu yöntem, hassas bir veri öğesini hassas olmayan bir eşdeğer ile değiştirerek çalışır. Kritik verileri belirterek, analitik, aynı belirteçlerle induvial’ı gözlemleyerek gizli verileri açığa çıkarmadan elde edilebilir. Bu yöntem, hassas verileri yaşam döngüsü boyunca korur ve en önemlisi, birisi bu tokenize edilmiş bilgilere rastlarsa, onlar için paha biçilmez olacaktır. Bu nedenle, sadece verilerin bulunduğu yeri değil, verilerin kendisini koruyan bir güvenlik sistemi kurarak, işletmeler aynı anda düzenlemelere uyurken verileri istenmeyen gözlerden koruyacak bütünsel bir veri merkezli güvenlik zihniyetine ulaşma yolunda olacaklar.
Belirteçlere ayırma veya benzer şekilde kabul pseudonymisation teknikleri doğru uygulama aynı anda veri koruma ve analitik değeri sağlayan süre hem HIPAA, PCI DSS, CCPA ve diğerleri gibi ilgili düzenlemelerin çeşitli kutuları keneler, bu güvenlik çözümü tedarik sorunla karşı karşıya olan şirketler için oldukça yararlı olabilir.
