2016’da küresel şirketlerin %57’si siber güvenlik tehdidi yaşadı

EY’nin bu yıl 19.’sunu gerçekleştirdiği Küresel Bilgi Güvenliği Araştırması (GISS), şirketlerin siber güvenlik tehditlerini tespit etmeye ve karşı koymaya yönelik yatırım yaptığını ortaya koyarken, olası saldırılardan toparlanmaya yönelik hazırlıkların yetersiz olduğuna işaret ediyor. Dünya çapında yaklaşık bin 800 şirketin katıldığı araştırmaya göre; 2016’da şirketlerin %57’si siber güvenlik tehdidi ile karşı karşıya kaldı

Uluslararası denetim ve danışmanlık şirketi EY, dünya çapında yaklaşık bin 800 büyük ölçekli şirketin katılımı ile hazırladığı Küresel Bilgi Güvenliği Araştırması’nın (Global Information Security Survey – GISS) sonuçlarını açıkladı. Şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyan araştırmaya göre; küresel şirketler karmaşık bir siber saldırıyı öngörüp karşı koyabileceklerine dair her zamankinden daha yüksek bir güvene sahip. Ancak araştırma sonuçları, şirketlerin olası siber saldırıların ardından oluşan krizin yönetilmesi ve zararın giderilmesine yönelik hazırlık ve planlarının günümüzün gereksinimlerini karşılamada yetersiz olduğuna işaret ediyor.

Güncelliğini yitirmiş bilgi güvenliği sistemleri risk taşıyor

Bu yıl 19’uncusu açıklanan araştırmanın sonuçlarına göre; katılımcı şirketlerin %57’si 2016 yılı içerisinde en az bir siber güvenlik tehdidi ile karşı karşıya kaldığını belirtti. Bununla birlikte ankete katılan üst düzey yöneticilerin yaklaşık yarısı (%48) güncelliğini yitirmiş bilgi güvenliği sistemlerini, şirketlerinin en büyük zayıflığı olarak tanımlıyor. Katılımcıların %57’si iş sürekliliği ve krizle mücadele konularına öncelik verildiğini ifade ederken, yalnızca %39’u bu alana yatırım yapmayı planladığını belirtiyor. Veri sızdırılması ve veri kaybının önlenmesine yönelik yatırım yapmayı planlayan şirketlerin oranı ise %42 seviyesinde bulunuyor.

Öte yandan araştırma sonuçları, şirketlerin %42’sinin büyük bir siber saldırı karşısında net bir iletişim stratejisinin bulunmadığını ortaya koyuyor.

Şirketlerin %64’ünde resmi bir tehdit analiz programı bulunmuyor

EY araştırması, şirketlerin yaklaşık üçte ikisinde (%64) resmi bir tehdit istihbarat ve analiz programı ve bununla ilişkili bir sürecin bulunmadığına işaret ederken, %44’ünün siber saldırıların sürekli olarak takip edilmesini sağlayacak bir güvenlik operasyonu merkezine sahip olmadığını ortaya koyuyor.

Katılımcıların %50’si sürekli takip ve aktif savunma mekanizmaları, siber tehdit analizi ve güvenlik operasyonu merkezlerine yaptıkları yatırımlar ile karmaşık bir siber saldırıyı tespit edebileceklerini dile getirirken, %86’sı ise siber güvenlik sistemlerinin şirketlerinin ihtiyacını tam olarak karşılamadığını ifade ediyor.

Siber tehditler 2015’e göre arttı

Araştırmaya katılan üst düzey yöneticilerin tümü şirketlere büyük zarar verme potansiyeli taşıyan siber tehditlerde bir önceki yıla göre artış yaşandığını ifade ediyor. Buna göre; kötü amaçlı yazılım kaynaklı riskler %9, e-dolandırıcılık riskleri %7, finansal bilgi hırsızlığı riskleri %12 ve veri hırsızlığı riskleri ise %12 artış gösterdi.

Dünya genelinde şirketlerin siber güvenlik ihlallerine hazırlanmada kayda değer ilerleme gösterdiğini ancak siber saldırıların da aynı oranda karmaşık hale geldiğini dile getiren EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen, araştırma ile ilgili şunları söyledi:

“Şirketlerin siber güvenlikte pasif korunma yaklaşımının ötesine geçerek, istihbarat, tespit ve direnç mekanizmalarını güçlendirecek çalışmalara odaklanması gerekiyor. Şirketin bu alanda tüm birimlerini ve kollarını içine alacak kapsamlı bir hazırlık yapılması artık en önemli gündem maddelerinden biri haline geliyor. Bu hazırlığın bir parçası olarak bir siber saldırı sonrasında hızlı bir toparlanma getirecek planların yapılmış olması da önemli bir konu olarak karşımıza çıkıyor.”

Operasyonlar zarar görene kadar harekete geçilmiyor

Araştırma, küresel şirketlerin %62’sinin operasyonlarına zarar veren bir siber güvenlik ihlali yaşamadan önce bu alana harcama yapma eğilimlerinin düşük olduğunu ortaya koyuyor.

Araştırma sonuçlarına göre; rakip bir şirketin (%58) veya bir tedarikçinin (%68) siber saldırıya uğraması da şirketlerin çoğunluğu için bilgi güvenliği harcamalarının artırılması için bir neden teşkil etmiyor.

Kriz yönetimi tüm şartlar olağan hale gelene kadar devam etmeli

Siber saldırıya uğrayan bir şirketin atması gereken en temel adımlar ile ilgili değerlendirmede bulunan EY Türkiye Kriz Yönetimi ve Devamlılık Program Lideri Ender Bebek şöyle konuştu:

“Bir siber saldırı sonrası ilk olarak saldırıya ilişkin tüm veriler sistemli şekilde ele alınmalı, öncelikle ilk tespit edilen hasar ve etki alanları belirlenerek, mevcut durumun siber kriz tanımı paralelinde kriz boyutunda olup olmadığına karar verilmelidir. Ardından olası tesirlerin kurum içinde oluşan ve oluşabilecek sonuçları değerlendirilmelidir. Kriz ekibi; müşterilerin etkilenmesi, sosyal medya yansımalarının ortaya çıkması ve düzenleyici kuruma intikal etmiş durumlar gibi siber saldırı hasarlarının kurum dışına ulaştığı hallerde hızlı bir şekilde hazır hale getirilmelidir. Kriz ekibi ve IT/teknoloji ekiplerinin etkin olay yönetimi amacı ile tercihen iki ayrı koldan çalışmalarına devamı sağlanmalı, her iki çalışma grubunun etkin iletişim içinde olması sağlanmalıdır. Saldırının tüm olası senaryoları ve etkileri değerlendirilmeli ve mercek altına alınmalıdır. İletişim planları, hissedar beklentileri, iç-dış bilgilendirme ve güncellemeler planlanarak hayata geçirilmelidir. İlk andan itibaren bir proje ekibi kurulmalı, tespit edilen tüm iyileştirme ve geliştirme fırsatları, bu proje ekibinin kontrol ve koordinasyonunda yönetilmelidir. Kriz yönetimi, tüm şartları olağan düzeylerine gelene kadar devam etmeli, bu karar tüm şirket üst yönetiminin katılacağı bir karar toplantısı ile alınmalıdır.”

Finans, ulaştırma, enerji, sağlık ve haberleşme gibi önemli sektörler hedef alınıyor

Türkiye’deki kurumlar için siber güvenlik risklerinin dünyadaki gelişime benzer şekilde sürekli artış gösterdiğini ve özellikle hedefli saldırılarda yoğun bir artış gözlemlediklerini vurgulayan Ümit Şen, “2015 sonunda gerçekleşen hizmet dışı bırakma saldırıları ve 2016 sonlarında bankaları hedef alan siber saldırıları bu eğilim içinde değerlendirebiliriz. EY’nin ve bu alanda araştırma yapan başka kurumların raporlarında özellikle finans, ulaştırma, enerji, sağlık, haberleşme vb. kritik altyapı ve/veya veri ihtiva eden sektörlerin öncelikli hedefler arasında olduğunu görüyoruz. Ülkemizde risklerin algılanışı ve yönetimi sektörel bazda farklılık gösteriyor. Bu alandaki en büyük problemlerin başında siber güvenlik, bilgi güvenliği, kişisel verilerimizin korunması vb. konularda bilinç seviyesinin oldukça düşük olması geliyor. Bu durum doğal olarak çalıştığımız kurumlarda gerek yönetim kademelerinde gerekse de faaliyetlerin yürütülmesinde bu konulara dair kuralları sahiplenmemizi ve uygulamamızı zorlaştırıyor. Genç neslin girişimcilik heveslerini ve heyecanlarını, siber güvenlikle ilgili politika ve teknoloji geliştirme alanlarına da yönlendirebilirsek, yakın bir gelecekte ülke çapında önemli bir olgunluk seviyesini yakalayabileceğimizi öngörebiliriz” dedi.