Siber güvenliğin doğru kullanımı artık her zamankinden daha önemli. Artan tehditler nedeniyle saldırı riski de sürekli artıyor. Yasama organı da bunu fark etti ve NIS2 kılavuzunu oluşturdu. Axians, şirketlerin şimdi nasıl ilerlemesi gerektiğine dair ipuçları veriyor.
Çeyrek milyon yeni keşfedilen kötü amaçlı yazılım çeşidi, yazılım ürünlerinde ayda 2.000 tespit edilen güvenlik açığı, her gün 21.000 yeni virüs bulaşan sistem, 68 başarılı fidye yazılımı saldırısı ve yalnızca belediye tesislerine veya belediye şirketlerine yönelik ayda iki girişim. Federal Bilgi Güvenliği Dairesi'nin (BSI) güncel siber güvenlik durum raporunda endişe verici rakamlara yer veriliyor: Büro, suçluların geliştiği konusunda uyarıyor. Günümüzde profesyonel siber suçlular geniş bir ağ yapısına sahip ve bir iş bölümünde çalışıyorlar. Saldırılarında yapay zeka (AI) ve diğer modern teknolojileri kullanıyorlar.
Siber güvenlik ortamındaki bu koşullar nedeniyle AB, NIS2 Direktifini yayınladı. Direktifin gereklilikleri şu anda ulusal yasalara dahil ediliyor ve 17 Ekim 2024'e kadar yasalaştırılması gerekiyor. Etkilenen tüm kurumlar daha sonra bir dizi siber güvenlik önlemi uygulamakla yükümlüdür.
Şirketlerin NIS2 için hangi gereksinimleri karşılaması gerekiyor?
Diğer hususların yanı sıra şirketlerin bir risk yönetimi konseptine sahip olması, acil durum planları oluşturması ve güvenlik olaylarını BSI'ya bildirmesi gerekir. Sistematik veri yedekleme, erişim kontrolü kavramları, şifreleme ve güvenlik açığı yönetimi gibi teknik koruyucu önlemler gereklidir. BT Güvenlik Yasası 2.0'a benzer şekilde, NIS2 ayrıca suçluların tedarikçiler aracılığıyla sistemlere sızmasını önlemek için şirketlerin güvenlik konseptlerinde tedarik zincirlerindeki güvenlik açıklarını dikkate almaları gerektiğini şart koşuyor. NIS2'den önce en iyi uygulamalar olarak zaten önerilen güvenlik standartlarını ve süreçlerini birleştirerek en son teknolojiyi uygulamak önemlidir.
Son yıllarda işlerini suçlulara karşı geçerli standartlara uygun olarak güvence altına almaya dikkat eden herkesin, gereklilikleri karşılamak için yalnızca birkaç ayarlama yapması yeterlidir. Ancak artık ilk kez NIS2 alanına giren ve daha önce siber güvenlik konusunu ihmal eden şirket ve kurumlar artık büyük zorluklarla karşı karşıya. Gereksinimlere hazırlanmak için yeni şirketlerin koruyucu önlemleri erkenden alması gerekiyor. Hedefe giden yol beş adımdan oluşur.
Şirket NIS2 mevzuatından etkileniyor mu?
Öncelikle şirketlerin NIS2 düzenlemesinin genişletilmiş çemberine dahil olup olmadıklarını netleştirmeleri gerekiyor. İki ana grup vardır: kritik tesislerin işletmecileri ve “özellikle önemli” veya “önemli” tesisler. Önemli olan bu şirketlerin düzenlemeye tabi ekonomik sektörlerde faaliyet gösterip göstermediğidir. Burada hala çok fazla belirsizlik var. Netlik sağlamak için şirketlerin kendilerine şu soruları sorması gerekir: Düzenlenen sektörlerden birinde aktif miyim? İşletmem resmi eşikleri karşılıyor mu? Ciro yeterince yüksek mi ve çalışan sayısı doğru mu? Bu soruların cevabı evet ise NIS2 koruma gereklilikleri geçerlidir. Ancak, NIS2 kapsamına girip girmediklerine bakılmaksızın tüm şirketlerin kendi güvenlik konseptlerini test etmeleri ve en son teknolojiye uygun olup olmadıklarını kontrol etmeleri tavsiye edilir. BT sorumluları şirketin hangi alanlarının korunması gerektiğini belirlemeyi de unutmamalı.
BT altyapısı ne kadar güvenli?
Bir sonraki adım en büyük zayıf noktaların nerede olduğunu bulmaktır. Şirkette siber güvenlik nasıl yapılandırılmıştır? Mevcut koruma seviyesi nedir? Risk değerlendirmesi, güvenlik stratejisinin en iyi nerede başlayacağını, yani şirketlerin en hızlı iyileştirmeleri nerede başarabileceğini gösterir. Daha sonra kullanıcıların belirli aralıklarla işlemi tekrarlaması gerekmektedir. Sürekli değerlendirme, BT dayanıklılığının kademeli olarak artırılmasına yardımcı olabilir.
Tedarik zincirinin güvenliği nedir?
Zorunlu risk değerlendirmesinde sadece kendi şirketinizin riskleri rol oynamamalı, aynı zamanda tedarik zincirinin belirli zayıf noktaları da dikkate alınmalıdır. Güvenlik açıkları tespit edilirse, düzenleyici gerekliliklere uymak ve arayüzleri korumak için karşı önlemler alınmalıdır. Örneğin Harici Saldırı Yüzeyi (EAS) taramaları bu konuda yardımcı olabilir. Tedarik zincirlerindeki olası zafiyetlerin tespit edilmesi için proaktif davranılması ve risk analizi yapılması tavsiye edilmektedir. Etkilenen tesisler daha sonra tedarikçi şirketleriyle ortak bir güvenlik konsepti geliştirebilir.
Saldırı tespiti için hangi sistem uygundur?
Bilgi sistemlerinin gerekli güvenliğinin sağlanabilmesi için saldırı tespit sistemlerinin de kullanılması önerilmektedir. Birçok şirket için, izinsiz giriş tespit sistemlerinin çoğunluğunun temelini oluşturduğu için bir güvenlik bilgisi ve olay yönetimi çözümünün (SIEM sistemi) uygulanması tavsiye edilir. SIEM, bir güvenlik operasyon merkezinde (SOC) de değerlendirilebilecek verileri toplar. Yanlış yapılandırma göstergeleri gibi BT operasyonları için yararlı bilgiler sağlar. SIEM seçeneklerinin çeşitliliği, şirketin kendi ihtiyaçlarını karşılamak için çok sayıda olanak sunar. Örneğin şirketler, kendi kendini yöneten bir SIEM sistemini mi yoksa profesyonel bir SOC'nin hizmetlerini mi kullanacağına karar verebilir. Sunulan hizmet yelpazesi, kendi şirket içi operasyonunuzdan veya ortak yönetilen SIEM'den, Axians gibi harici ICT hizmet sağlayıcılarının tam olarak yönetilen BT/OT SOC hizmetlerine kadar uzanır.
NIS2 için mantıklı bir güvenlik konsepti neye benzer?
Yalnızca donanım ve yazılımdan oluşan BT güvenlik sistemlerinin satın alınması değil, aynı zamanda bilgi güvenliğini sürekli tanımlayan, yöneten, izleyen, sürdüren ve sürekli geliştiren kural ve prosedürler oluşturmak da önemlidir. Şirketler modüler prensibe göre ilerleyebilir: Öncelikle güvenlik seviyesini hızla artıracak adımların atılması gerekiyor. Koruma daha sonra seviye seviye genişletilebilir. BSI-Grundschutz veya ISO 2700x gibi güvenlik standartlarının yanı sıra sıfır güven mimarisi de yol gösterici olabilir. Özellikle Temel Koruma Özeti'ne yönlendirme, güvenlik önlemlerine ilişkin en iyi uygulama kataloğunu içerdiğinden büyük yardım sağlar.
Yasama organı durumun ciddiyetini fark etti ve gereklilikleri yeni düzenlemelerle sıkılaştırdı. Artan tehdit durumu, şirketlerin uygulamaya doğrudan müdahale etmesi gerektiğini gösteriyor. Detaylı teknik kararların içinde kaybolmamak için Axians gibi deneyimli bilişim hizmet sağlayıcılarından destek alabilirsiniz. Bunlar, NIS2 yönetmeliğinin gerektirdiği şekilde müşteriler için günlük olarak sistemler uygular. Profesyonel değerlendirmeler, ileri tavsiyeler ve sürekli destek, uygun bir stratejinin hızlı bir şekilde geliştirilmesine ve şirketlerdeki BT departmanlarının yükünün hafifletilmesine yardımcı olur.
Daha fazlası Axians.com'da
Axisliler Hakkında
Axians, özel şirketlerin, kamu kurumlarının, ağ operatörlerinin ve hizmet sağlayıcıların dijital altyapılarını ve çözümlerini modernleştirmelerine destek oluyor. Uygulamalar veya veri analitiği, kurumsal ağlar, paylaşılan çalışma alanı, veri merkezleri, bulut çözümleri, telekomünikasyon altyapıları veya internet güvenliği.