PwC, CIO ve CSO tarafından hazırlanan 2015 Global State of Information Security araştırmasına göre siber güvenlik vakaları her geçen yıl daha sık görülüyor; şirketlere maliyeti de bir o kadar artıyor. Buna karşın siber güvenlik önlemleri için ayrılan bütçeler azalıyor. Üst yönetimleri de etkilemeye başlayan bu durum, şirket içinde yaşanan vakalardan yüksek nitelikli suçlara kadar uzanıyor.
CIO ve CSO ile birlikte PwC tarafından yayımlanan 2015 Global State of Information Security Araştırmasına göre, dünya çapında bilgi güvenliği alanında raporlanan vaka sayısı yüzde 48 artarak, 42,8 milyonu buldu. Bu rakam, 2013 yılında günde 117.339 saldırı yapıldığı anlamına geliyor. Araştırma verileri, 2009’dan bu yana tespit edilen güvenlik vakalarının yıldan yıla yüzde 66 artış gösterdiğini ortaya koyuyor.
Güvenlikle ilgili olayların daha sık yaşanmasıyla, söz konusu ihlallerin yönetilmesi ve azaltılmasıyla ilgili maliyetler de artış gösteriyor. Küresel çapta bakıldığında, siber güvenlik vakalarının neden olduğu, tahmini olarak raporlanan ortalama mali zarar, 2013 yılı süresince yüzde 34 artış göstererek, 2,7 milyon dolar oldu. 20 milyon doları aşan maddi kayıp rakamları açıklayan organizasyonların sayısı neredeyse iki katına ulaştığı için büyük çaplı zararlara bu yıl daha fazla tanık olduk.
Artan kaygılara rağmen, araştırma, küresel bilgi güvenliği bütçelerinin 2013 yılına kıyasla yüzde dört düşüş gösterdiğini ortaya koydu. Bilgi teknolojisi harcama bütçelerinin yüzdesi olarak bakıldığında da güvenlik harcamaları, geçtiğimiz beş yıllık süreçte yüzde dört veya daha düşük bir oranda asılı kaldı.
PwC Küresel ve ABD Danışmanlık birimi Siber Güvenlik Lideri David Burg görüşlerini şu şekilde belirtiyor: “Raporlanan güvenlik ihlali vakalarının ve bunlarla ilgili mali sonuçların yıllar içinde tırmanmayı sürdürmesi şaşırtıcı değil. Buna karşın, bu vakalara yönelik yapılan tespitlerin ve raporlamaların niteliği dikkate alındığında söz konusu ihlallerin gerçek boyutu daha da büyük.”
PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri A. Burak Sadıç ise konuyu şu sözlerle değerlendiriyor: “Stratejik güvenlik, işletmelerin bugünün gelişmiş saldırılarıyla bağlantılı bilgi güvenliği ve siber güvenlik alanlarını tespit edip bunlara yatırım yapmasını gerektiriyor. Siber saldırıların etkisini en aza indirmek amacıyla; proaktif öngörü gücüne sahip, önleyici, tespit edici ve müdahale edip önlem alıcı yetkinliklerin hepsinin kurumsal iş süreçleriyle entegre edilmesi gerekiyor.”
Herkes Bu Tehdidin Farkında
Büyüklük ve sektör fark etmeksizin tüm organizasyonlar, siber güvenlikle ilgili ciddi riskleri biliyor. Bu farkındalığa rağmen, daha büyük ölçeğe sahip şirketler, her yıl daha fazla sayıda saldırıya maruz kalıyor. Yıllık 1 milyar veya daha fazla brüt gelire sahip büyük ölçekli organizasyonlar, bu yıl, yüzde 44 daha fazla vaka tespit ettiler. 100 milyon dolar ile 1 milyar dolar arası gelire sahip orta ölçekli organizasyonlar, tespit edilen vaka sayısı açısından yüzde 64’lük bir artışa tanık oldular. Risk küresel bir zemin kazanırken, araştırma, mali zararların organizasyonun ölçeğine göre büyük oranda değiştiğini de gösteriyor.
CSO dergisi yayıncısı Bob Bragdon, “Daha değerli bilgileri sunmaları nedeniyle büyük ölçekli şirketlerin tehdit unsurlarının hedefi haline gelmesi daha yüksek ihtimal taşıyor. Bunun sonucu olarak, söz konusu şirketler, daha fazla vaka tespit ediyor. Buna karşın, büyük şirketler daha etkili güvenlik önlemleri aldıkları için, tehdit oluşturan oyuncular, saldırılarını orta sınıf şirketler üzerinde yoğunlaştırıyor. Maalesef, bu organizasyonların büyük şirketlerinkine benzer etki oluşturacak mevcut güvenlik uygulamaları henüz bulunmuyor olabilir” şeklinde görüşlerini belirtiyor.
Şirket içindekilerin, siber güvenlik olaylarının en fazla bahsi geçen kaynakları haline gelmesine rağmen çoğu durumda, bu kişiler, mobil cihazları kaybederek veya hedeflenen e-dolandırıcılık planlarının bir parçası olarak farkında olmadan verileri tehlikeye atıyor. Katılımcılar, mevcut ve önceki hizmet sağlayıcılarından, danışmanlardan ve yüklenicilerden kaynaklanan vakaların sırasıyla yüzde 15 ve 17 arttığını ifade ederken şu anki çalışanların sebep olduğu vakaların yüzde 10 arttığını belirtiyor. Bragdon konuyla ilgili şu yorumda bulunuyor: “Çoğu organizasyon, yasal uygulamalar veya maddi yaptırımlar yerine şirket içi siber suç vakalarının getirdiği sonuçları genellikle şirket içinde hallediyor. Böyle yaparak, bu organizasyonlar, gelecekte bu çalışanları işe almaları halinde diğer organizasyonları savunmasız hale getirebilir.”
Aynı zamanda, ulus devletlerce gerçekleştirilen yüksek nitelikli saldırılarla birlikte organize suçlar ve rakipler, en az görülen fakat en hızlı büyüme gösteren siber tehditler arasında bulunuyor. Bu yıl, ulus devletlerce yapılan siber saldırıları raporlayan katılımcıların oranı, yüzde 86 artış gösterdi. Üstelik bu vakalar yüksek ihtimalle eksik raporlanıyor. Araştırma ayrıca, bazılarına ulus devletlerin destek sağlayabildiği rakiplerle ilgili yaşanan güvenlik vakalarında yüzde 64’lük çarpıcı bir artışı da ortaya koydu.
Şirketlerin Siber Güvenlik Konusunda Stratejileri Yok
Etkin güvenlik bilinci, en alt makamdan en üst makama kadar bağlılığı, iletişimi ve araştırmaya göre çoğu organizasyonun sahip olmadığı bir taktiği gerekli kılıyor. Katılımcıların sadece yüzde 49’u, bilgi güvenliği konularında konuşmak, işbirliği yapmak ve haberleşmek amacıyla düzenli olarak bir araya gelen organizasyon çapında bir ekibe sahip olduklarını belirtiyor.
PwC, güvenlik saldırılarının hızlı tespitine odaklanmanın ve etkili, zamanında müdahalede bulunmanın şirketler açısından çok önemli olduğunun altını çiziyor. Günümüzün bağlantılı iş ekosistemine bakıldığında, bu adım, işletmeyle etkileşimde bulunan üçüncü taraflara yönelik politikaların ve süreçlerin oluşturulması kadar önemli.
Burg sözlerine şu şekilde devam ediyor: “Siber riskler hiçbir zaman tamamen ortadan kalkmayacak. Siber suçun yukarı yönlü ivmesiyle, organizasyonların sürekli değişen manzara karşısında tetikte ve çevik olması gerekiyor. Organizasyonların, vakaları önlemeyi ve kontrolleri odak noktası yapan güvenlik anlayışından, bir organizasyonun en değerli varlıklarını ve ilgili en önemli tehditleri öncelik sırasına göre sıralayan risk merkezli bir yaklaşıma geçmesi bir zorunluluktur. Şirket içinde güçlü güvenlik bilincine yönelik politikalara ve süreçlere yatırım yapılması, tüm organizasyonların başarısı açısından kritik bir rol oynayacak.”
Son Yorumlar