EY’nin 19. Küresel Bilgi Güvenliği Araştırması’na (GISS) göre, şirketler siber güvenlik tehditlerini tespit etmeye ve risklere karşı koymaya yönelik yatırım yapsa da 2016’da şirketlerin yüzde 57’si siber güvenlik tehdidi ile karşı karşıya kaldı.
Uluslararası denetim ve danışmanlık şirketi EY, dünya çapında yaklaşık bin 800 büyük ölçekli şirketin katılımı ile hazırladığı Küresel Bilgi Güvenliği Araştırması’nın (Global Information Security Survey – GISS) sonuçlarını açıkladı. Şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyan araştırmaya göre; küresel şirketler karmaşık bir siber saldırıyı öngörüp karşı koyabileceklerine dair her zamankinden daha yüksek bir güvene sahip. Ancak araştırma sonuçları, şirketlerin olası siber saldırıların ardından oluşan krizin yönetilmesi ve zararın giderilmesine yönelik hazırlık ve planlarının günümüzün gereksinimlerini karşılamada yetersiz olduğuna işaret ediyor.
Güncelliğini yitirmiş bilgi güvenliği sistemleri risk taşıyor
Bu yıl 19’uncusu açıklanan araştırmanın sonuçlarına göre; katılımcı şirketlerin yüzde 57’si 2016 yılı içerisinde en az bir siber güvenlik tehdidi ile karşı karşıya kaldığını belirtti. Bununla birlikte ankete katılan üst düzey yöneticilerin yaklaşık yarısı (yüzde 48) güncelliğini yitirmiş bilgi güvenliği sistemlerini, şirketlerinin en büyük zayıflığı olarak tanımlıyor. Katılımcıların yüzde 57’si iş sürekliliği ve krizle mücadele konularına öncelik verildiğini ifade ederken, yalnızca yüzde 39’u bu alana yatırım yapmayı planladığını belirtiyor. Veri sızdırılması ve veri kaybının önlenmesine yönelik yatırım yapmayı planlayan şirketlerin oranı ise yüzde 42 seviyesinde bulunuyor.
Öte yandan araştırma sonuçları, şirketlerin yüzde 42’sinin büyük bir siber saldırı karşısında net bir iletişim stratejisinin bulunmadığını ortaya koyuyor.
Şirketlerin % 64’ünün resmi bir tehdit analiz programı yok
EY araştırması, şirketlerin yaklaşık üçte ikisinde (yüzde 64) resmi bir tehdit istihbarat ve analiz programı ve bununla ilişkili bir sürecin bulunmadığına işaret ederken, yüzde 44’ünün siber saldırıların sürekli olarak takip edilmesini sağlayacak bir güvenlik operasyonu merkezine sahip olmadığını ortaya koyuyor.
Katılımcıların yüzde 50’si sürekli takip ve aktif savunma mekanizmaları, siber tehdit analizi ve güvenlik operasyonu merkezlerine yaptıkları yatırımlar ile karmaşık bir siber saldırıyı tespit edebileceklerini dile getirirken, yüzde 86’sı ise siber güvenlik sistemlerinin şirketlerinin ihtiyacını tam olarak karşılamadığını ifade ediyor.
Siber tehditler 2015’e göre arttı
Araştırmaya katılan üst düzey yöneticilerin tümü şirketlere büyük zarar verme potansiyeli taşıyan siber tehditlerde bir önceki yıla göre artış yaşandığını ifade ediyor. Buna göre; kötü amaçlı yazılım kaynaklı riskler yüzde 9, e-dolandırıcılık riskleri yüzde 7, finansal bilgi hırsızlığı riskleri yüzde 12 ve veri hırsızlığı riskleri ise yüzde 12 artış gösterdi.
Dünya genelinde şirketlerin siber güvenlik ihlallerine hazırlanmada kayda değer ilerleme gösterdiğini ancak siber saldırıların da aynı oranda karmaşık hale geldiğini dile getiren EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen, araştırma ile ilgili şunları söyledi:
“Şirketlerin siber güvenlikte pasif korunma yaklaşımının ötesine geçerek, istihbarat, tespit ve direnç mekanizmalarını güçlendirecek çalışmalara odaklanması gerekiyor. Şirketin bu alanda tüm birimlerini ve kollarını içine alacak kapsamlı bir hazırlık yapılması artık en önemli gündem maddelerinden biri haline geliyor. Bu hazırlığın bir parçası olarak bir siber saldırı sonrasında hızlı bir toparlanma getirecek planların yapılmış olması da önemli bir konu olarak karşımıza çıkıyor.”
Operasyonlar zarar görene kadar harekete geçilmiyor
Araştırma, küresel şirketlerin yüzde 62’sinin operasyonlarına zarar veren bir siber güvenlik ihlali yaşamadan önce bu alana harcama yapma eğilimlerinin düşük olduğunu ortaya koyuyor. Araştırma sonuçlarına göre; rakip bir şirketin (yüzde 58) veya bir tedarikçinin (yüzde 68) siber saldırıya uğraması da şirketlerin çoğunluğu için bilgi güvenliği harcamalarının artırılması için bir neden teşkil etmiyor.
Kriz yönetimi tüm şartlar olağan hale gelene kadar devam etmeli
Siber saldırıya uğrayan bir şirketin atması gereken en temel adımlar ile ilgili değerlendirmede bulunan EY Türkiye Kriz Yönetimi ve Devamlılık Program Lideri Ender Bebek şöyle konuştu:
“Bir siber saldırı sonrası ilk olarak saldırıya ilişkin tüm veriler sistemli şekilde ele alınmalı, öncelikle ilk tespit edilen hasar ve etki alanları belirlenerek, mevcut durumun siber kriz tanımı paralelinde kriz boyutunda olup olmadığına karar verilmelidir. Ardından olası tesirlerin kurum içinde oluşan ve oluşabilecek sonuçları değerlendirilmelidir. Kriz ekibi; müşterilerin etkilenmesi, sosyal medya yansımalarının ortaya çıkması ve düzenleyici kuruma intikal etmiş durumlar gibi siber saldırı hasarlarının kurum dışına ulaştığı hallerde hızlı bir şekilde hazır hale getirilmelidir. Kriz ekibi ve IT/teknoloji ekiplerinin etkin olay yönetimi amacı ile tercihen iki ayrı koldan çalışmalarına devamı sağlanmalı, her iki çalışma grubunun etkin iletişim içinde olması sağlanmalıdır. Saldırının tüm olası senaryoları ve etkileri değerlendirilmeli ve mercek altına alınmalıdır. İletişim planları, hissedar beklentileri, iç-dış bilgilendirme ve güncellemeler planlanarak hayata geçirilmelidir. İlk andan itibaren bir proje ekibi kurulmalı, tespit edilen tüm iyileştirme ve geliştirme fırsatları, bu proje ekibinin kontrol ve koordinasyonunda yönetilmelidir. Kriz yönetimi, tüm şartları olağan düzeylerine gelene kadar devam etmeli, bu karar tüm şirket üst yönetiminin katılacağı bir karar toplantısı ile alınmalıdır.”
Bu sektörler hedef alınıyor
Türkiye’deki kurumlar için siber güvenlik risklerinin dünyadaki gelişime benzer şekilde sürekli artış gösterdiğini ve özellikle hedefli saldırılarda yoğun bir artış gözlemlediklerini vurgulayan Ümit Şen, “2015 sonunda gerçekleşen hizmet dışı bırakma saldırıları ve 2016 sonlarında bankaları hedef alan siber saldırıları bu eğilim içinde değerlendirebiliriz. EY’nin ve bu alanda araştırma yapan başka kurumların raporlarında özellikle finans, ulaştırma, enerji, sağlık, haberleşme vb. kritik altyapı ve/veya veri ihtiva eden sektörlerin öncelikli hedefler arasında olduğunu görüyoruz. Ülkemizde risklerin algılanışı ve yönetimi sektörel bazda farklılık gösteriyor. Bu alandaki en büyük problemlerin başında siber güvenlik, bilgi güvenliği, kişisel verilerimizin korunması vb. konularda bilinç seviyesinin oldukça düşük olması geliyor. Bu durum doğal olarak çalıştığımız kurumlarda gerek yönetim kademelerinde gerekse de faaliyetlerin yürütülmesinde bu konulara dair kuralları sahiplenmemizi ve uygulamamızı zorlaştırıyor. Genç neslin girişimcilik heveslerini ve heyecanlarını, siber güvenlikle ilgili politika ve teknoloji geliştirme alanlarına da yönlendirebilirsek, yakın bir gelecekte ülke çapında önemli bir olgunluk seviyesini yakalayabileceğimizi öngörebiliriz” dedi.