Siber saldırılar iflas ettiriyor

 Siber saldırılar iflas ettiriyor

Küresel sigorta şirketi Hiscox, yayınladığı yeni rapor ile büyük bir tehlikeye dikkat çekti. Raporda yer alan veriler Avrupa ve Amerika’daki birçok kuruluşun, yaşadıkları güvenlik ihlalleri nedeniyle iflasın eşiğine geldiğini ortaya koyuyor. Siber güvenlik alanında nereye yatırım yapacağını bilmek her zamankinden çok daha önemli.

Hiscox sigorta şirketinin ABD, Birleşik Krallık, Belçika, Fransa, Almanya, İspanya, Hollanda ve İrlanda’daki 5 bin firma ile yaptığı görüşmelerden ortaya çıkan bulgulara göre sekiz ülkenin yedisi, siber saldırıyı işletmelerine yönelik bir numaralı tehdit olarak görüyor.

Ankete katılanların yarısı (%48) son 12 ay içinde bir siber saldırı yaşadığını bildiriyor. Yine ankete katılanların %16’sı bir önceki yıl bir fidye yazılımı saldırısı yaşarken bu oran şu an katılımcıların beşte birine (%19) yükselmiş durumda. Kurbanların üçte ikisi ise saldırgana ödeme yaptıklarını belirtiyor.

Siber saldırı kurbanlarının yarısından fazlası (%55) siber saldırıyı yüksek risk alanı olarak görürken böyle bir saldırı yaşamamış olanlar için bu oran %36’ya kadar düşüyor. Benzer şekilde mağdurların %41’i riske maruz kalma olasılıklarının arttığını söylerken diğer grup için bu oran dörtte birden az (%23). Bir diğer ilginç ayrıntı; siber suçlular gitgide daha küçük firmaları hedefliyor. Yıllık 100 bin ile 500 bin ABD doları değerinde geliri olan firmalar da bugün bir ile dokuz milyon ABD doları değerinde geliri olan firmaların maruz kaldığı saldırı kadar çok saldırıya maruz kalabiliyor.

FİRMALAR İÇİN AĞIR BEDEL

Saldırıya maruz kalan katılımcı firmaların beşte birinin, geçen seneye göre %24’lük bir artış ile ödeme güçlerinin tehdit altına girdiğini belirtmesi de önemli bir bulgu. ESET uzmanları raporda yer almasa da güvenlik ihlalinin maliyetlerinin operasyonel kesintiler, hukuki maliyetler, BT’nin fazla mesai maliyetleri ve üçüncü taraf adli bilişim maliyetleri, düzenleyici cezalar, müşteri kaybı, üretim ve satış kaybı, uzun süreli itibar kaybına da yol açmış olabileceğine dikkat çekiyor. Bu durum siber güvenlik harcamalarının neden arttığını kısmen açıklıyor. Rapora göre, ankete katılanların ortalama siber güvenlik harcamaları geçen sene %60 artış göstererek 5,3 milyon ABD doları olarak gerçekleşirken 2019’dan bugüne söz konusu harcamalar %250 oranında artış göstermiş durumda.

SALDIRGANLAR KURULUŞLARIN GİZLİLİĞİNİ NASIL İHLAL EDİYOR?

Kuruluşunuzun iflası nasıl önleyebileceğini daha iyi anlamak için ilk önce tehdit aktörlerinin bu kadar zararı nasıl verebildiğini bilmek gerekiyor. Rapora göre başlıca saldırılar şunlar:

  • Bulut sunucuları (%41)
  • Kurumsal e-postalar (%40)
  • Kuruluştaki sunucular (%37)
  • Uzaktan erişimli sunucular (%31)
  • Çalışanların mobil cihazları (%29)
  • Dağıtık Hizmet Engelleme (DDoS) saldırısı (%26)

Bu veriler, diğer raporların bulgularıyla ve uzaktan çalışmanın, salgınla ilgili bulut altyapı yatırımlarının ve uzaktan çalışmadaki güvenlik sorunlarının günümüzde kuruluşların karşılaştığı en büyük risklerden bazıları olduğuna yer veren açıklamalarla da benzerlik gösteriyor.

NE YAPMALI?

Hiscox tarafından tahmin edilen siber saldırıya karşı hazırlık oranlarının yılda %2,6 oranında düşerek “uzman” olarak sınıflandırılan firmaların sayısının %20’den %4,5’e gerileyip ciddi bir düşüş sergilemesi endişe verici. Acemiler olarak sınıflandırılan firmaların da kayda değer bir şekilde düşüş göstermesiyle çoğu firma “orta seviyede” kalmış. Raporun da gösterdiği üzere “siber acemiler” olarak sınıflandırılan firmalar için ortalama saldırı maliyetleri gelirlerin bir yüzdesi olarak iki buçuk kat daha yüksek olduğu için siber saldırılara karşı hazır olma durumu önem taşıyor.

SİBER SALDIRILARA KARŞI OLGUN SEVİYEDE HAZIR BİR KURULUŞUN NİTELİKLERİ NELER?

  • Siber güvenlik konusunu, açıkça tanımlamış roller ve yönetim kurulu ya da üst düzey yönetici desteği ile resmi hale getirin.
  • Üst düzey yöneticilerin siber güvenliği iyi bilmesini ve siber güvenlikle ilişkili olmasını sağlayın.
  • ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi gibi en iyi uygulama örneklerinin standartlarını uygulayın.
  • Yatırımınızı NIST’in tanımla, koru, tespit et, müdahale et ve kurtar şeklindeki beş temel işlevine yönelik yapın.
  • Mevcut jeopolitik belirsizlik ışığında olaya müdahale etme planlamasına ve saldırı simülasyonlarına odaklanın.
  • Kurumsal verilerinizi ve teknoloji altyapınızı düzenli olarak değerlendirmeye alın.
  • Etkili siber güvenlik farkındalık eğitimi sağlayın.
  • Tedarikçilerinizin ve iş ortaklarınızın güvenlik gerekliliklerine uymasını sağlayın
  • Yamalama, sızma testi ve düzenli yedeklemeler gibi kolay uygulanabilen süreçlere odaklanın.

İlginizi Çekebilir