Şirketlerin çoğu siber saldırıya karşı çaresiz

Dünya çapında yaklaşık bin 800 şirketin üstdüzey yöneticilerinin katıldığı araştırmaya göre 2016’da şirketlerin yüzde 57’si siber güvenlik tehdidi ile karşı karşıya kaldı ve bu oran 2017’de daha da artacak.

YAYINLAMA
GÜNCELLEME

Uluslararası denetim ve danışmanlık şirketi EY, dünya çapında yaklaşık bin 800 büyük ölçekli şirketin katılımı ile hazırladığı Küresel Bilgi Güvenliği Araştırması’nın (Global Information Security Survey - GISS) sonuçlarını açıkladı. Şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyan araştırmaya göre; küresel şirketler karmaşık bir siber saldırıyı öngörüp karşı koyabileceklerine dair her zamankinden daha yüksek bir güvene sahip. Ancak araştırma sonuçları, şirketlerin olası siber saldırıların ardından oluşan krizin yönetilmesi ve zararın giderilmesine yönelik hazırlık ve planlarının günümüzün gereksinimlerini karşılamada yetersiz olduğuna işaret ediyor.

Bilgi güvenliği sistemleri riskli

Bu yıl 19’uncusu açıklanan araştırmanın sonuçlarına göre; katılımcı şirketlerin %57’si 2016 yılı içerisinde en az bir siber güvenlik tehdidi ile karşı karşıya kaldığını belirtti. Bununla birlikte ankete katılan üst düzey yöneticilerin yüzde 48’i güncelliğini yitirmiş bilgi güvenliği sistemlerini, şirketlerinin en büyük zayıflığı olarak tanımlıyor.

Katılımcıların yüzde 57’si iş sürekliliği ve krizle mücadele konularına öncelik verildiğini ifade ederken, yalnızca yüzde 39’u bu alana yatırım yapmayı planladığını belirtiyor. Veri sızdırılması ve veri kaybının önlenmesine yönelik yatırım yapmayı planlayan şirketlerin oranı ise yüzde 42 seviyesinde bulunuyor. Öte yandan araştırma sonuçları, şirketlerin yüzde 42’sinin büyük bir siber saldırı karşısında net bir iletişim stratejisinin bulunmadığını ortaya koyuyor.

Resmi bir tehdit analiz programı olmalı

EY araştırması, şirketlerin yüzde 64’ünde resmi bir tehdit istihbarat ve analiz programı ve bununla ilişkili bir sürecin bulunmadığına işaret ederken, yüzde 44’ünün siber saldırıların sürekli olarak takip edilmesini sağlayacak bir güvenlik operasyonu merkezine sahip olmadığını ortaya koyuyor.

Katılımcıların yarısı sürekli takip ve aktif savunma mekanizmaları, siber tehdit analizi ve güvenlik operasyonu merkezlerine yaptıkları yatırımlar ile karmaşık bir siber saldırıyı tespit edebileceklerini dile getirirken yüzde 86’sı ise siber güvenlik sistemlerinin şirketlerinin ihtiyacını tam olarak karşılamadığını ifade ediyor.

Araştırmaya katılan üst düzey yöneticilerin tümü şirketlere büyük zarar verme potansiyeli taşıyan siber tehditlerde bir önceki yıla göre artış yaşandığını ifade ediyor. Buna göre kötü amaçlı yazılım kaynaklı riskler yüzde 9, e-dolandırıcılık riskleri yüzde 7, finansal bilgi hırsızlığı riskleri yüzde 12 ve veri hırsızlığı riskleri ise yüzde 12 artış gösterdi.

SİBER GÜVENLİK İÇİN NE DEDİLER?

Pasif korunma yaklaşımı sona ermeli

EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen:

“Şirketlerin siber güvenlikte pasif korunma yaklaşımının ötesine geçerek, istihbarat, tespit ve direnç mekanizmalarını güçlendirecek çalışmalara odaklanması gerekiyor. Şirketin bu alanda tüm birimlerini ve kollarını içine alacak kapsamlı bir hazırlık yapılması artık en önemli gündem maddelerinden biri haline geliyor. Bu hazırlığın bir parçası olarak bir siber saldırı sonrasında hızlı bir toparlanma getirecek planların yapılmış olması da önemli bir konu olarak karşımıza çıkıyor. Araştırma, küresel şirketlerin yüzde 62’sinin operasyonlarına zarar veren bir siber güvenlik ihlali yaşamadan önce bu alana harcama yapma eğilimlerinin düşük olduğunu ortaya koyuyor. Araştırma sonuçlarına göre; rakip bir şirketin (%58) veya bir tedarikçinin (%68) siber saldırıya uğraması da şirketlerin çoğunluğu için bilgi güvenliği harcamalarının artırılması için bir neden teşkil etmiyor.”

Öncelikle hasar ve etki alanları belirlenmeli

EY Türkiye Kriz Yönetimi ve Devamlılık Program Lideri Ender Bebek:

“Bir siber saldırı sonrası ilk olarak saldırıya ilişkin tüm veriler sistemli şekilde ele alınmalı, öncelikle ilk tespit edilen hasar ve etki alanları belirlenerek, mevcut durumun siber kriz tanımı paralelinde kriz boyutunda olup olmadığına karar verilmelidir. Ardından olası tesirlerin kurum içinde oluşan ve oluşabilecek sonuçları değerlendirilmelidir. Kriz ekibi; müşterilerin etkilenmesi, sosyal medya yansımalarının ortaya çıkması ve düzenleyici kuruma intikal etmiş durumlar gibi siber saldırı hasarlarının kurum dışına ulaştığı hallerde hızlı bir şekilde hazır hale getirilmelidir. Kriz ekibi ve IT/teknoloji ekiplerinin etkin olay yönetimi amacı ile tercihen iki ayrı koldan çalışmalarına devamı sağlanmalı, her iki çalışma grubunun etkin iletişim içinde olması sağlanmalıdır. Saldırının tüm olası senaryoları ve etkileri değerlendirilmeli ve mercek altına alınmalıdır.”

Bu konularda ilginizi çekebilir