Hollanda Veri Koruma Otoritesi'nin (AP) güvenlik standartlarının “yıllardır çok düşük kaldığı” konusunda uyarması ve daha güçlü önleyici gözetim yetkileri çağrısı yapmasının ardından, ülkedeki şirketlerin dijital dayanıklılığına ilişkin endişelerin arttığı bir dönemde, Hollanda parlamentosu 20 Mayıs'ta siber güvenlik konusunda bir oturum düzenleyecek.
Tartışma öncesinde yayınlanan bir görüş belgesinde bağımsız düzenleyici, Hollanda'da siber güvenliğe yönelik “acilen ihtiyaç duyulan üç iyileştirmeyi” belirledi:
- kuruluşlar ve tedarikçiler içindeki temel güvenlik standartlarının arttırılması;
- daha sıkı veri yönetimi yoluyla veri ihlallerinin etkisinin sınırlandırılması; Ve
- Yetkililerin daha önleyici, risk bazlı denetim yapabilmesi için denetim kapasitesinin genişletilmesi.
AP, siber olayların ve veri ihlallerinin Hollanda'da rutin hale geldiğini ve bu durumun rapor edilen ihlal sayısında keskin bir artışa işaret ettiğini söyledi. Gazete, düzenleyiciye 2024 yılında 38.000 civarında olan veri ihlali sayısının 2025 yılında 44.000'den fazla olduğunu bildirdi. Denetleyici makamın denetiminin bir kısmı, Genel Veri Koruma Yönetmeliği'nin (GDPR) yasal çerçevesi kapsamında zorunlu raporlama yükümlülüklerini ve risk bazlı denetimi içerir.
Düzenleyici, “Önleme tedavi etmekten daha iyidir” diyerek, sınırlı kaynakların onu saldırılar meydana gelmeden önce proaktif gözetim yerine öncelikle ihlaller meydana geldikten sonra en ciddi olaylara odaklanmaya zorladığı konusunda uyardı.
Hollanda fidye yazılımı saldırılarına, veri hırsızlığına ve tedarik zinciri açıklarına karşı dijital savunmayı güçlendirme yönünde artan baskıyla karşı karşıya olduğundan Çarşamba günkü toplantının hükümet yetkililerini, düzenleyicileri, şirketleri ve siber güvenlik paydaşlarını bir araya getirmesi bekleniyor.
AP, yıllardır süren ihlal raporlarının hem teknik güvenlik hem de kurumsal yönetimdeki kalıcı zayıflıkları ortaya çıkardığını söyledi. Düzenleyiciye göre, ankete katılan kuruluşların yüzde 33'ü olayların yeterli politikaların bulunmamasından kaynaklandığını kabul ederken, yüzde 40'ı politikaların var olduğunu ancak kötü uygulandığını veya yeterince izlenmediğini söyledi.
AP, daha yüksek siber güvenlik standartları ve daha güçlü gözetim çağrısında bulunuyor
AP, kuruluşların karşılaştıkları siber güvenlik riskleri ve veri işleme ve depolama da dahil olmak üzere almaları gereken önlemler hakkında kapsamlı bir anlayışa sahip olmalarını istedi ve şunları ekledi:
“Ayrıca siber güvenliği bireysel çalışanların omuzlarına yükleyerek değil, merkezi olarak sağlayarak ve yöneticilerin gündeminin üst sıralarına yerleştirerek sorumluluk ve kontrol almaları gerekiyor.”
Düzenleyici, denetimlerin, güvenlik testlerinin ve teknik önlemlerin “bu bağlamda hataların erken tespit edilmesi ve düzeltilmesi açısından hayati önem taşıdığını” belirtti.
Riskler mevzuata maruz kalmanın ve operasyonel aksamanın ötesine uzanıyor. Müşteri verilerini içeren ihlaller, tüketicinin güvenini zedeleyebilir, dijital hizmetleri bozabilir ve hesapların dondurulması, ödeme kesintileri, dolandırıcılığa maruz kalma ve destek yanıtındaki gecikmeler yoluyla müşteri deneyimine zarar verebilir.
Zayıf veri yönetimi, aşırı veri saklama ve ihlallerin ardından zayıf iletişim, özellikle kuruluşların etkilenen kullanıcıları hızlı bir şekilde bilgilendirmediği veya koruyucu önlemler konusunda net rehberlik sağlayamadığı durumlarda bireyler üzerindeki etkiyi artırabilir.
AP, tedarikçi zayıflıklarının tedarik zinciri boyunca yayılabileceği için bilgi ve iletişim teknolojisi (BİT) tedarikçilerini önemli bir endişe kaynağı olarak gösterdi. AP kısa süre önce, yetersiz koruma nedeniyle ihlal riskini azaltmaya yardımcı olmak için satıcıların güvenlik duruşları üzerinde önleyici kontroller uygulama planlarını duyurdu.
Düzenleyici ayrıca şirketlerin güvenlik ihlalleri meydana geldiğinde etkilerini sınırlamak için önlem almalarının önemini de vurguladı:
“Veri ihlali her kuruluşun başına gelebilir. Bu nedenle veri ihlallerini önlemek için yalnızca güvenlik önlemleri almak önemli değil, kuruluşların aynı zamanda veri ihlalinin sonuçlarını sınırlandıracak önlemler alması da gerekiyor.”
AP, şirketleri ve kamu kurumlarını daha katı veri minimizasyon uygulamaları benimsemeye, veri saklama sınırlarına uymaya ve ihlallerin ardından hızlı ve net uyarı mesajları yoluyla mağdurlarla iletişimi iyileştirmeye çağırdı.
AP, GDPR kapsamında gerekli olmasına rağmen bu önlemlerin hala sıklıkla ihmal edildiğini söyledi.
Düzenleyici, caydırıcı bir etki yaratmak için daha güçlü uygulama yetkilerine ve ek kaynaklara ihtiyaç duyulduğunu savundu: “[I]Kuruluşların güvenlikleri iyi olmadığı için saldırıya uğraması durumunda yaptırımlar söz konusu olabilir. Bu da kuruluşları kendi siber güvenliklerini geliştirmek için harekete geçmeye teşvik ediyor.”
Düzenleyici, “Veri ihlallerinin, siber saldırıların ve kurban sayısının giderek arttığı bir dünyada AP'nin buna dikkat çekmekten başka seçeneği yok” diye ekledi.
Parlamento oturumu, artan jeopolitik gerilimler ve hem kamuyu hem de özel sektörü hedef alan giderek karmaşıklaşan siber tehditlerin ortasında, Avrupa hükümetlerinin siber güvenlik kurallarını güçlendirme ve kritik altyapının korunması çabalarını yoğunlaştırmasıyla gerçekleşti.
Bir yanıt yazın