Şirketlerin teknolojik dönüşümleri, yeni siber risklerle karşılaşmalarına sebep oluyor. İşletmeler, her geçen gün iş yapış şekillerini değiştirerek maliyetlerini düşürmek, verimliliklerini artırmak, hızlanmak ve müşterileriyle daha etkin etkileşime geçerek rakiplerinin önüne geçmek için dijital teknolojilere ve veriye dayalı sistemlere yatırım yapıyorlar.
Siber Riskler Artışta
Bütün bu gelişmeler siber saldırı alanını hızla genişletiyor ve daha önce olmayan yeni riskler doğuyor. Siber suçlular da, eş zamanlı olarak yetkinliklerini daha ileri seviyelere taşımaya devam ediyor. Özellikle organize suç örgütleri ve devlet destekli siber saldırıların sıklıkları artıyor ve kapsamları genişliyor.
Aon Türkiye Eş CEO’su Selda Oknas, rapor hakkında şöyle konuştu:
“2018’de dünya genelinde proaktif bir yaklaşımla siber saldırı riskini azaltacak önleyici tedbirlere yatırım yapan şirketlerin kazançlı çıktığını görüyoruz. 2019’da dijitalleşen dünyada oluşan büyük fırsatlar büyük riskleri de beraberinde getiriyor ve bu nedenle siber risklere karşı tedbir alma ihtiyacının katlanarak artacağını öngörüyoruz. Teknoloji ve dijital dönüşümün sunduğu fırsatlardan yararlanırken, şirketleri siber saldırılara karşı koruyacak tedbirleri de eş zamanlı olarak hayata geçirmelerini yönetim kadrolarına tavsiye ediyoruz. 2019 Siber Riskler Raporu, kurumların özellikle tehdit istihbaratı paylaşımına destek vermelerinin önemini ortaya koyuyor. Farklı sektörler ve kurumlar arasındaki siber güvenlik dayanışması, şirketlerin en değerli varlıklarının başında yer alan dijital bilgilerin güvenliğinin sağlanmasına önemli katkıda bulunacaktır.”
2019’da dijitalleşme sürecindeki şirketlerin karşı karşıya kalması muhtemel riskler raporu; teknoloji, tedarik zinciri, nesnelerin interneti, iş faaliyetleri, personel, şirket birleşmeleri ve satın almalar, yasal düzenlemeler ve yönetim kurulu başlıkları altında toplanıyor. Rapordan şirketleri tehdit eden 8 siber risk şöyle:
Teknoloji: Teknolojinin daha yoğun ve geniş kapsamda kullanılması şirketlerin iş yapış biçimlerinde köklü değişikliklere neden oluyor ve siber saldırılara yönelik yeni zafiyetler yaratıyor. Şirketler, bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam ederken bu riskleri yönetebilmelidir.
Tedarik zinciri: Şirketlerin her geçen gün daha fazla iş birliğinde bulunduğu üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının, siber saldırganların şirketlerin tedarik zincirine sızabilecekleri açıklara sebebiyet veriyor. Ponemon Institute’un 2018 yılındaki araştırmasına göre, ABD ve İngiltere’deki şirketlerin yüzde 59’u üçüncü taraf aracılığıyla en az bir kez veri ihlaline maruz kaldıklarını belirtirken, yalnızca yüzde 35’i üçüncü taraf risk yönetimi programlarının yeterli olduğunu düşünüyor.
Nesnelerin İnterneti Cihazları Güvenli Yönetilmiyor
Nesnelerin interneti(IoT): Bir çok şirketin, ağ bağlantılı nesnelerin interneti cihazlarının (konferans sistemleri, güvenlik kameraları, yazıcılar, otomasyon sistemleri, vb.) sayısı şirketlerin yönetimindeki tüm bilişim teknolojileri varlıklarının sayısını aşabiliyor. Öyle ki, 2018 Ponemon Institute anketine göre, şirketlerin yüzde 52’si 1000 adet cihazın yer aldığı bir nesnelerin interneti envanterini yönettiğini söylerken, çalışmanın sonucunda ortalama 15 binin üzerinde nesnelerin interneti cihazının kullanıldığı ortaya çıktı. Yani, şirketler nesnelerin interneti cihazlarının tamamını güvenli bir şekilde yönetemiyor, hatta envanter kaydını dahi tutmuyor. Bu da şirketleri saldırılara açık hale getiriyor.
İş faaliyetleri: Endüstriyel kontrol sistemleri ve kritik kamu hizmetleri altyapıları geleneksel anlamda bağımsız ağlar olarak işletilmekle birlikte, her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta. Bu durum, siber saldırı alanını da genişletmekte ve saldırganlar için şirketin bilişim ağının tamamına erişme riskini artırmaktadır. Öte yandan, yetersiz olan yedekleme süreçleri de siber saldırıların, şirketler üzerindeki yıkıcı etki çapını arttırıyor. Şirketlerin, WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan, siber saldırılarılar karşı farkındalık kazanmaları ve iş devamlılığı için tedbirler almaları gerekiyor.
Personel: Gerek kötü niyetli, ihmal veya bilgisizlik sebepli olsun, personeller, veri ihlallerinin en yaygın sebepleri arasında yer alıyor. Aon’un anketine göre, katılımcıların yüzde 53’ü 2018 yılında şirket içinden siber saldırı yaşadığını söyledi. Personeller, şirketlerinin siber güvenliği için büyük bir tehdit oluşturduklarının çoğu zaman farkında olmayabiliyor. Şirketlerin, şirket içi siber güvenlik risklerini en aza indirgemek için kapsamlı bir çalışma gerekiyor. Bunun için, güçlü veri yönetimi, şirket genelinde siber güvenlik politikalarının iletişimin yapılması, etkin erişim ve veri koruma kontrollerinin uygulanması gerekiyor.
Şirket birleşmeleri ve satın almalar: IMAA Institute’un verilerine göre, 2018’de şirket birleşmeleri ve satın almaların tüm dünyada toplam değerinin 4 trilyon dolara ulaştığı düşünülüyor. Bu siber güvenlik risklerini de hızla arttırıyor. Siber saldırganlar, sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor. Yeni bir birleşme veya satın alma sürecinde, anlaşma tamamlanmadan önce meydana gelebilecek bir siber saldırı, satın alma fiyatını ciddi oranda düşürebiliyor. Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve sorunsuz olsa da, özellikle satın alınacak ya da birleşilecek şirketin aynı siber güvenlik önceliklerini gerçekleştirmesine dikkat etmek gerekiyor.
Avrupa Birliği, Siber Güvenlik İhlallerine Yüklü Cezalar Getirdi
Yasal düzenleme: 2018’de tüm dünyada siber güvenlikle ilgili bir çok yasal düzenleme yürürlüğe girdi. Buna bağlı olarak şirketlerin yasal düzenlemelere uyum riskinin 2019’da daha dikkatli bir şekilde değerlendirmesi ve gerekli tedbirleri alması gerekiyor. Mayıs 2018’de yürürlüğe giren ve AB üyesi ülkelerde uygulanmaya başlanan GDPR (Avrupa Birliği Genel Veri Koruma Yönetmeliği), ihlali durumunda, siber güvenlikle ilgili olarak 20 milyon avroya ya da bir kuruluşun yıllık global cirosunun yüzde 4’üne varan ciddi yaptırımları da beraberinde getiriyor.
Yönetim Kurulu: Siber güvenlik yönetimi, yönetim kurulları için önemli bir gündem maddesi olmaya devam ediyor. Yakın geçmişe bakıldığında, yönetim kurulu üyeleri, siber yönetimle ilgili artan kişisel sorumluluk riskiyle de karşı karşıya olduğu görülüyor. Hissedarların, yüksek profilli veri ihlallerinden bazılarında yöneticilere karşı tazminat talebinde bulunabiliyor. Yönetim kurulu üyelerinin siber güvenlikle ilgili daha kararlı bir tutum sergileyerek, hem siber güvenlik yönetimiyle ilgili alınan aksiyonlar, hem de etkin tedbirler konusunda tüm şirkete önderlik etmesi de büyük önem arz ediyor. Aon’un raporu, 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan yönetim kurulu üyelerinin dörtte üçünün bir yıl öncesine göre siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor.
Kaynak: aon.com