Bir siber saldırının ardından her beş kuruluştan biri iflasın eşiğine geldi. Firmanız tehlikeyi atlatmaya hazır mı?
Siber saldırıların, kritik ticari risk unsuru olduğunu hepimiz biliyoruz. Peki ne kadar kritik olduğunu biliyor muyuz? Bazı firmaların yönetim kurulları güvenliğe sözde destek vermekten biraz daha fazlasını yapıyormuş gibi görünüp halen bunun ciddi sonuçlarından kaçınmayı başarabiliyor. Bu nedenle küresel sigorta şirketi Hiscox’ın yayınladığı yeni rapora göz atmak ilginç olabilir. Rapor aslında Avrupa ve Amerika'daki birçok kuruluşun, güvenlik ihlallerinin ardından iflasın eşiğine geldiğini ortaya koyuyor. Aynı zamanda rapor, siber güvenlik harcamaları artsa da her zamankinden daha az sayıda küresel firmanın siber saldırılara karşı hazır “uzman” olarak tanımlandığını göstermiştir.
Siber alanda nereye yatırım yapacağını bilmek her zamankinden çok daha önemli. Peki iflası önlemek için uzmanlar ne yapabilir? Rapora göre çözüm, çoğunlukla en iyi uygulamaların temel prensipleri ile yaşanan olaylardan ders çıkarmayı istemeye dayanıyor.
Varoluşsal bir tehdit
Rapor; ABD, Birleşik Krallık, Belçika, Fransa, Almanya, İspanya, Hollanda ve İrlanda'daki 5.000 firma ile yapılan görüşmelerden oluşuyor. Rapordaki bulguların bazılarını zaten biliyoruz. Ancak bazı ufak ayrıntılar da var. Örneğin:
Sekiz ülkenin yedisi, siber saldırıyı işletmelerine yönelik bir numaralı tehdit olarak belirtmiştir.
Ankete katılanların yarısı (%48) son 12 ay içinde bir siber saldırı yaşadığını bildirmiştir; bu oran bir önceki yıl %43’tü.
Ankete katılanların %16’sı bir önceki yıl bir fidye yazılımı saldırısı yaşarken bu oran şu an katılımcıların beşte birine yükselmiştir (%19). Kurbanların üçte ikisi de saldırgana ödeme yapmıştır.
Şu ana kadar her şey normal. Ancak bir saldırıya maruz kalanlarla kalmayanlar arasında büyük bir algı farkı var. Siber saldırı kurbanlarının yarısından fazlası (%55’i) siber saldırıyı yüksek risk alanı olarak görürken böyle bir saldırı yaşamamış olanlar için bu oran %36’ya kadar düşmektedir. Benzer şekilde mağdurların %41’i riske maruz kalma olasılıklarının arttığını söylerken diğer grup için bu oran dörtte birden az (%23).
Bir diğer ilginç ayrıntı; görünen o ki siber suçlular gitgide daha küçük firmaları hedefliyor. Yıllık 100.000 ila 500.000 ABD doları değerinde geliri olanlar firmalar da bugün 1 ila 9 milyon ABD doları değerinde geliri olan firmaların maruz kaldığı saldırı kadar çok saldırıya maruz kalabilir.
İLGİLİ MAKALE: #Kalkanlar Yukarı – Siber güvenlik süreçlerini ve operasyonlarını iki defa kontrol etme zamanı
Firmalar için ağır bedel
Saldırıya maruz kalan katılımcı firmaların beşte birinin, geçen seneye göre %24’lük bir artış ile ödeme güçlerinin tehdit altına girdiğini belirtmesi de önemli bir bulgu. Raporda yer almasa da güvenlik ihlalinin maliyetleri aşağıdakileri içerebilir:
Operasyonel kesintiler
Hukuki maliyetler
BT’nin fazla mesai maliyetleri ve üçüncü taraf adli bilişim maliyetleri
Düzenleyici cezalar
Müşteri kaybı
Üretim ve satış kaybı
Uzun süreli itibar kaybı
Bu durum siber güvenlik harcamalarının neden arttığını kısmen açıklamaktadır. Rapora göre, ankete katılanların ortalama siber güvenlik harcamaları geçen sene %60 artış göstererek 5,3 milyon ABD doları olarak gerçekleşirken 2019’dan bugüne söz konusu harcamalar %250 oranında artış göstermiştir.
Saldırganlar, kuruluşların gizliliğini nasıl ihlal ediyor?
Kuruluşunuzun iflası nasıl önleyebileceğini daha iyi anlamak için ilk önce tehdit aktörlerinin bu kadar zararı nasıl verebildiğini bilmemiz gerekiyor. Rapora göre başlıca saldırı vektörleri şöyle:
Bulut sunucuları (%41)
Kurumsal e-postalar (%40)
Kuruluştaki sunucular (%37)
Uzaktan erişimli sunucular (%31)
Çalışanların mobil cihazları (%29)
Dağıtık Hizmet Engelleme (DDoS) saldırısı (%26)
Bu vektörler, diğer raporların bulgularıyla ve uzaktan çalışmanın, salgınla ilgili bulut altyapı yatırımlarının ve uzaktan çalışmadaki güvenlik sorunlarının günümüzde kuruluşların karşılaştığı en büyük risklerden bazıları olduğuna yer veren açıklamalarla da benzerlik gösteriyor. Söz konusu vektörler insan hatasıyla bir araya gelerek tehdit aktörlerinin hedefleyebileceği daha büyük bir saldırı alanı oluşturuyor.
Peki ne yapmalı?
Hiscox tarafından tahmin edilen siber saldırıya karşı hazırlık oranlarının yılda %2,6 oranında düşerek “uzman” olarak sınıflandırılan firmaların sayısının %20’den %4,5’e gerileyip ciddi bir düşüş sergilemesi endişe verici. Çaylaklar olarak sınıflandırılan firmaların da kayda değer bir şekilde düşüş göstermesiyle çoğu firma “orta seviyede” kalmıştır. Raporun da gösterdiği üzere “siber çaylaklar” olarak sınıflandırılan firmalar için ortalama saldırı maliyetleri gelirlerin bir yüzdesi olarak iki buçuk kat daha yüksek olduğu için siber saldırılara karşı hazır olma durumu önem taşıyor.
Peki siber saldırılara karşı olgun seviyede hazır bir kuruluşun nitelikleri nelerdir? Neyse ki bu tamamen ne kadar para harcanabileceğine bağlı değil. Aşağıdakiler de dahil olmak üzere birkaç en iyi uygulama örnekleri öne çıkmaktadır:
Siber güvenlik konusunu, açıkça tanımlamış roller ve yönetim kurulu ya da üst düzey yönetici desteği ile resmi hale getirin
Üst düzey yöneticilerin siber güvenliği iyi bilmesini ve siber güvenlikle ilişkili olmasını sağlayın
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi gibi en iyi uygulama örneklerinin standartlarını uygulayın
Yatırımınızı NIST’in tanımla, koru, tespit et, müdahale et ve kurtar şeklindeki beş temel işlevine yönelik yapın
Mevcut jeopolitik belirsizlik ışığında olaya müdahale etme planlamasına ve saldırı simülasyonlarına odaklanın
Kurumsal verilerinizi ve teknoloji altyapınızı düzenli olarak değerlendirmeye alın
Etkili siber güvenlik farkındalık eğitimi sağlayın
Tedarikçilerinizin ve iş ortaklarınızın güvenlik gerekliliklerine uymasını sağlayın
Yamalama, sızma testi ve düzenli yedeklemeler gibi kolay uygulanabilen süreçlere odaklanın
Birlikte ele alındığında bu adımlar, nihayetinde kuruluşun iflasına neden olabilecek bir saldırı ihtimalini azaltmaya yardımcı olacaktır.
Daha fazla bilgi edinmek için:
Ransomware runs rampant, so how can you combat this threat?
Küçük ve orta ölçekli işletmeler: fidye yazılımı saldırıları için büyük hedefler
Küçük şirketler için siber güvenliğe yönelik ipuçları: 2022 sürümü