NIS2, DORA ve şifrelenmiş veri saklamanın önemli rolü – Uzmanların görüşleri

NIS2 Yönetmeliğin Genel Bakış

NIS2 Yönetmeliği, AB genelinde kritik altyapıların siber güvenlik dayanıklılığını arttırmayı amaçlamaktadır. Clarke, bu yönetmeliğin hedefinin tehlikeye girmesi halinde nüfusun büyük bir bölümünü önemli ölçüde etkileyebilecek sektörleri olduğunu söylüyor. Bunlar arasında havacılık, gemicilik, çiftçilik, büyük perakende zincirleri gibi sektörler sayılabilir. Ayrıca, NIS2, tehlikeye girmeleri halinde çok sayıda müşteriyi etkileme potansiyelleri dikkate alındığında, artık yönetilen IT hizmet sağlayıcılarını da kapsamaktadır.

Yönetmelik, siber dayanıklılık ve üçüncü taraf yönetiminin önemini vurguluyor. Şirketlerin ayrıca gerekli siber güvenlik standartlarını karşılamak için IT tedarikçilerini etkin bir şekilde yönettiklerini göstermeleri gerekiyor. Uyum sağlanmaması, dünya çapında gelirinin %2'sine (veya 10 Milyon Avro'ya - hangisi daha yüksekse) kadar para cezasıyla sonuçlanabilmektedir. Bir ihlal olmasa bile, şirketler uygunluk konusunda yeterli kanıt sunmadıkları için de para cezasına çarptırılabilirler.

DORA Düzenlemesini Anlamak

Diğer yandan DORA (Digital Operational Resilience Act - Dijital Operasyonel Dayanıklılık Yasası) sadece finans sektörüne odaklanmaktadır. Ocak 2025'te yürürlüğe girecek olan bu düzenleme, finansal kurumların operasyonel dayanıklılığından emin olmak için katı siber güvenlik önlemleri alınmasını zorunlu kılmaktadır.

Clarke, DORA'nın para cezalarının kuruluşun dünya genelinde gelirinin %1'ine ulaşabileceğini ve sorunların derhal giderilmemesi halinde günlük para cezalarının da uygulanabileceğini vurguluyor. DORA, finansal kuruluşların tehditlerin yönlendirdiği sistem giriş testleri yapmalarını ve sistemlerinde hiçbir hata noktası olmadığından emin olmalarını gerektirmektedir.

Donanım tabanlı şifrelemenin avantajları

NIS2 ve DORA ile uyumluluk için USB sürücülerin güçlü güvenlik özelliklerine sahip olması gerekir. Clarke, yazılım tabanlı çözümlere göre çeşitli avantajlar sunan donanım tabanlı şifrelemenin önemini belirtiyor. Donanım tabanlı şifreleme, saldırganlara karşı güçlü güvenlik ve koruma sağlayan kapalı bir ekosistemdir.

Diğer yandan mobil veri saklama alanındaki yazılım şifrelemesi yeniden biçimlendirme yoluyla kolayca kaldırılabilir. Bu da uyumluluğu tehlikeye atabilir ve veri ihlali riskini artırır. Ayrıca, parola korumalı ve yazılımla şifrelenmiş dosyalar, internette kolayca bulunabilen parola tahmin araçları kullanılarak ele geçirilebilir.

Kuruluşlara “altın standart” olarak NIST'in FIPS sertifikasyonuna bakmaları gerekip gerekmediği sorulduğunda yanıt: “Kesinlikle.” Clarke, “İnsanların daha iyi güvenlik ve şifrelemeye sahip olduklarını iddia ettikleri ve ancak bunun gerçekleşmediği, güvenlik siteminin kırıldığı pek çok vaka oldu” diyor.

Kingston IronKey D500S ve Keypad 200 sürücüleri FIPS 140-3 Seviye 3 (beklemede) sertifikasına sahiptir. Bu sayede kuruluşlar hassas verilerin günümüzde piyasadaki en güçlü askeri sınıf şifreleme korumalarından biriyle korunduğundan emin olabilmektedirler. Yüksek kapasiteli depolama için FIPS 197 sertifikalı IronKey Vault Privacy 80 Harici SSD sürücüler, 8 TB'a kadar ölçeklendirilerek kritik verilerin bağlantısız (air-gapped) yedeklenmesini sağlar.

Sonuç

Siber güvenlik tehditleri giderek yoğunlaşmaya ve yayılmaya devam ediyor. Bu nedenle NIS2 ve DORA gibi yönetmelikler ve düzenlemeler kritik altyapıların ve finansal kurumların dayanıklılığının sağlanmasında önemli bir rol oynamaktadır. Clarke'ın görüşleri bunlara uyumluluğun, etkili olay raporlamasının, güçlü güvenlik önlemlerinin ve donanım şifrelemeli veri saklamanın kullanılmasının önemini vurguluyor. Kuruluşlar bu düzenlemeleri benimseyerek hem güvenlik duruşlarını geliştirebilir hem de uyumluluğu bir rekabet avantajı olarak kullanarak avantaj elde edebilirler.

Tam videoyu izleyin

#KingstonIronKey