Siber suç artışı teknolojinin gelişimiyle doğru orantılı
Türk Nippon Sigorta Genel Müdürü Dr. E. Baturalp Pamukçu, günümüzde giderek artan siber riskleri değerlendirdi. “Siber risk, bir kurumun bilgi teknolojisi altyapısında meydana gelebilecek beklenmedik bir teknik arıza ya da bu altyapı sistemlerine yönelik olarak gerçekleştirilen siber saldırılar sonucu kaynaklanabilecek finansal kayıpları ifade eden risk durumudur” diyen Pamukçu, gerek Türkiye’de, gerek global ölçekte hızla yayılan dijitalleşmenin, pek çok artısının yanı sıra hem kurumsal hem de bireysel bazda çok sayıda risk de içerdiğini ifade etti.
Türkiye’de hemen hemen hepimizin evlerimizdeki bilgisayarlardan ya da akıllı telefonlarımızdan internete erişebildiğimizi, kredi kartlarımızla online ortamda alışveriş yapabildiğimizi ve tüm bilgileri bilgisayarlarda saklama imkanı bulduğumuzu kaydeden Pamukçu, “Her geçen gün teknolojinin ve bu teknolojilere erişilebilirliğin artmasına bağlı olarak, bilişim sistemlerine yönelik işlenen suçlar da doğru orantılı olarak artıyor. Geçen yıl Avrupa’ya düzenlenen siber saldırıların çoğunun hedefinde Türkiye’nin bulunduğu belirtiliyor” dedi.
“DOĞAL AFET RİSKİNDEN DAHA CİDDİYE ALINIYOR”
“Ponemon Institute” tarafından yapılan bir anketten bahseden Pamukçu, “Buna göre, firmalar artık siber güvenlik risklerini, doğal afet riskinden ya da olağan iş risklerinden daha çok ciddiye alıyor, risklere karşı sigorta teminatı araştıran ve bu alanı yeni keşfeden şirket sayısı da giderek artıyor. Söz konusu ankete katılan katılımcıların birçoğu güvenlik ihlallerinin doğurabileceği sonuçların; yangın, doğal afetler ya da iş kayıpları gibi risklerin doğurabileceği sonuçlardan daha ciddi olduğunu düşünüyor” ifadelerini kullandı.
“SALDIRILARIN SIKLIĞI VE ETKİLERİ ARTIYOR”
“Bununla beraber, son zamanlarda siber saldırıların sıklığının ve etkilerinin arttığını gerek görsel, gerekse yazılı medyadan takip ediyoruz. Sosyal medyanın yaygınlaşması, pek çok e-dönüşüm projesinin devreye girmesi ve gelişen mobil teknolojiler gibi teknolojik ilerlemelerle kurumlar da siber tehditlere daha açık hale geliyor” diyen Pamukçu, teknolojiye olan bağımlılık arttıkça, bilişim teknolojisi altyapısından kaynaklanan aksamaların ve siber ataklara maruz kalma riskinin de doğru orantılı olarak arttığını dile getirdi.
Pamukçu, sözlerine şu şekilde devam etti: “Wanna Cry; Mayıs 2017’de eski Windows işletim sistemlerinde bulunan bir zafiyeti kullanarak, 90’dan fazla ülkede 200 binin üzerinde bilgisayarı etkisi altına aldı ve İngiltere ve İskoçya’da Ulusal Sağlık Sistemi’nin çökmesine neden oldu. Bu olay 2017 yılında gerçekleşen en önemli siber saldırılardan biri. Her ne kadar fiziksel ve teknolojik önlemler alınmış olsa da, siber güvenliğin %100 oranında sağlanabildiğini söylememiz oldukça zor.”
“YETERLİ UZMAN VE BİLGİ BİRİKİMİ YOK”
Durumu sigorta şirketleri tarafından da ele alan Pamukçu, “Henüz ülkemizde olgunlaşmamış siber güvenlik sigortaları her ne kadar ticari bir fırsat gibi görünse de, risklerin değerlendirilmesi, fiyatlandırılması ve meydana gelebilecek hasarların ekspertizi konusunda yeterli uzman ve bilgi birikiminin ne yazık ki tatmin edici düzeyde olmadığını açıkça görüyoruz” dedi.
Risklerin belirlenmesi aşamasında, şirketlerin almış olduğu teknik önlemlerin değerlendirilmesi ve meydana gelen risklerin ekspertizinin yapılmasında siber güvenlik uzmanlarına ihtiyaç olduğuna dikkat çeken Pamukçu, “Bu durum, kaçınılmaz bir gerçek olarak sigorta şirketlerinin karşısına çıkıyor. Böyle bir ortamda, risk ve performans arasındaki bağlantı giderek güçlenmekte, yönetim kurulu ile üst ve orta düzey yöneticilerin siber riskleri yönetme sorumluluğu artıyor. Üst yönetim düzeyindeki yöneticiler, kurumlarının güvende ve dirençli olduğundan emin olmak istiyor, ancak günlük iş yoğunlukları sebebiyle gelişen siber risklerin takibi ve tespiti gibi günlük zorlu süreçlerden uzak kalabiliyor” şeklinde konuştu.
“SİBER SUÇ YÖNTEMLERİ KARMAŞIKLAŞIYOR”
Bilgi güvenliği yönetimi kapsamında risklerden doğabilecek kötü sonuçların önüne geçebilmek için, riskten kaçınma, riski azaltma, riski kabul etme ve riski transfer etme gibi temel yöntemlerin izlenebildiğini belirten Dr. E. Baturalp Pamukçu, şu ifadeleri kullandı:
“Siber suçluların uyguladıkları işlemler, son zamanlarda gittikçe daha karmaşık bir hal alıyor. Bu sebeple, sektör olarak bu risklerden korunmanın en önemli adımları olan, tüm bilgilere kolay ulaşılarak güvenli bir şekilde yedeklenmesi, zararlı yazılımlara karşı anti-virüs programlarının kullanılması ve güncellenmesi konularında gerekli çalışmaların yapılması önem arz ediyor. Bazen tek bir siber saldırının, bir şirket faaliyetini tamamen sonlandırmasına neden olabileceği düşünülerek, şirketlerdeki maliyet hesaplarının ilgili riskler göz önüne alınarak yapılması gerekiyor.”
“İŞ SÜREKLİLİĞİ VE KRİZ YÖNETİMİ EĞİTİMLERİ ÖNEMLİ”
Siber risklerin, bilgi ve bilgi sistemleri dünyasının bir gerçeği olduğunu vurgulayan Pamukçu, sözlerini şu şekilde tamamladı: “İster mobil cihazlarında, bilgisayarlarında, ister sunucularında veya internet ortamında elektronik veri kullanan tüm şirketler bu risklerle sürekli karşı karşıyadır. Bilindiği gibi iş sürekliliği ve kriz yönetimi, şirketlerin iş kesintisine neden olabilecek bir olay veya kriz öncesinde, sırasında ve sonrasında olayı en etkin şekilde yönetme çalışmalarının bütünüdür. Siber risklerin, şirketler içerisindeki var olma ihtimali için çalışanların bu konuyla ilgili eğitimlere tabi tutulmaları ve iş sürekliliği / kriz yönetimi konusunda da hazırlıklı olmaları sağlanmalıdır.”