Küresel sigorta şirketi Hiscox, yayınladığı yeni rapor ile büyük bir tehlikeye dikkat çekti. Raporda yer alan bilgiler Avrupa ve Amerika’daki birçok kuruluşun, yaşadıkları güvenlik ihlalleri nedeniyle iflasın eşiğine geldiğini ortaya koyuyor. Siber güvenlik alanında nereye yatırım yapacağını bilmek her zamankinden çok daha değerli. Siber güvenlik şirketi ESET bu bahiste neler yapılabileceğini inceledi.
Hiscox sigorta şirketinin ABD, Birleşik Krallık, Belçika, Fransa, Almanya, İspanya, Hollanda ve İrlanda’daki 5.000 firma ile yaptığı görüşmelerden ortaya çıkan bulgulara nazaran sekiz ülkenin yedisi, siber saldırıyı işletmelerine yönelik bir numaralı tehdit olarak belirtmiş.
Ankete katılanların yarısı (%48) son 12 ay içinde bir siber hücum yaşadığını bildirmiş. Yeniden ankete katılanların yüzde 16’sı bir evvelki yıl bir fidye yazılımı saldırısı yaşarken bu oran şu an iştirakçilerin beşte birine yükselmiş (%19). Kurbanların üçte ikisi de saldırgana ödeme yapmış.
Siber taarruz kurbanlarının yarısından fazlası (%55’i) siber saldırıyı yüksek risk alanı olarak görürken bu türlü bir taarruz yaşamamış olanlar için bu oran yüzde 36’ya kadar düşüyor. Misal formda mağdurların yüzde 41’i riske maruz kalma olasılıklarının arttığını söylerken öteki küme için bu oran dörtte birden az (%23). Bir öbür değişik detay; siber hatalılar gittikçe daha küçük firmaları hedefliyor. Yıllık 100 bin ile 500 bin ABD doları pahasında geliri olan firmalar da bugün bir ile dokuz milyon ABD doları kıymetinde geliri olan firmaların maruz kaldığı hücum kadar çok hücuma maruz kalabiliyor.
Saldırıya maruz kalan iştirakçi firmaların beşte birinin, geçen seneye nazaran yüzde 24’lük bir artış ile ödeme güçlerinin tehdit altına girdiğini belirtmesi de değerli bir bulgu. ESET uzmanları raporda yer almasa da güvenlik ihlalinin maliyetlerinin operasyonel kesintiler, tüzel maliyetler, BT’nin fazla mesai maliyetleri ve üçüncü taraf isimli bilişim maliyetleri, düzenleyici cezalar, müşteri kaybı, üretim ve satış kaybı, uzun müddetli prestij kaybına da yol açmış olabileceğine dikkat çekiyor. Bu durum siber güvenlik harcamalarının neden arttığını kısmen açıklıyor. Rapora nazaran, ankete katılanların ortalama siber güvenlik harcamaları geçen sene yüzde 60 artış göstererek 5,3 milyon ABD doları olarak gerçekleşirken 2019’dan bugüne kelam konusu harcamalar yüzde 250 oranında artış göstermiş durumda.
Kuruluşunuzun iflası nasıl önleyebileceğini daha düzgün anlamak için birinci evvel tehdit aktörlerinin bu kadar ziyanı nasıl verebildiğini bilmemiz gerekiyor. Rapora nazaran esas ataklar;
- Bulut sunucuları (%41)
- Kurumsal e-postalar (%40)
- Kuruluştaki sunucular (%37)
- Uzaktan erişimli sunucular (%31)
- Çalışanların taşınabilir aygıtları (%29)
- Dağıtık Hizmet Engelleme (DDoS) saldırısı (%26)
Bu bilgiler, başka raporların bulgularıyla ve uzaktan çalışmanın, salgınla ilgili bulut altyapı yatırımlarının ve uzaktan çalışmadaki güvenlik meselelerinin günümüzde kuruluşların karşılaştığı en büyük risklerden kimileri olduğuna yer veren açıklamalarla da benzerlik gösteriyor; insan yanılgısıyla bir ortaya gelerek tehdit aktörlerinin hedefleyebileceği daha büyük bir akın alanı oluşturuyor.
Hiscox tarafından varsayım edilen siber akına karşı hazırlık oranlarının yılda yüzde 2,6 oranında düşerek “uzman” olarak sınıflandırılan firmaların sayısının yüzde 20’den yüzde 4,5’e gerileyip önemli bir düşüş sergilemesi kaygı verici. Acemiler olarak sınıflandırılan firmaların da kayda paha bir biçimde düşüş göstermesiyle birden fazla firma “orta seviyede” kalmış. Raporun da gösterdiği üzere “siber acemiler” olarak sınıflandırılan firmalar için ortalama atak maliyetleri gelirlerin bir yüzdesi olarak iki buçuk kat daha yüksek olduğu için siber akınlara karşı hazır olma durumu kıymet taşıyor.
- Siber güvenlik konusunu, açıkça tanımlamış roller ve idare şurası ya da üst seviye yönetici dayanağı ile resmi hale getirin
- Üst seviye yöneticilerin siber güvenliği güzel bilmesini ve siber güvenlikle bağlantılı olmasını sağlayın
- ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi üzere en güzel uygulama örneklerinin standartlarını uygulayın
- Yatırımınızı NIST’in tanımla, koru, tespit et, müdahale et ve kurtar halindeki beş temel fonksiyonuna yönelik yapın
- Mevcut jeopolitik belirsizlik ışığında olaya müdahale etme planlamasına ve taarruz simülasyonlarına odaklanın
- Kurumsal datalarınızı ve teknoloji altyapınızı tertipli olarak değerlendirmeye alın
- Etkili siber güvenlik farkındalık eğitimi sağlayın
- Tedarikçilerinizin ve iş ortaklarınızın güvenlik gerekliliklerine uymasını sağlayın
- Yamalama, sızma testi ve sistemli yedeklemeler üzere kolay uygulanabilen süreçlere odaklanın
Birlikte ele alındığında bu adımlar, nihayetinde kuruluşun iflasına neden olabilecek bir atak ihtimalini azaltmaya yardımcı olacaktır.
Küresel sigorta şirketi Hiscox, yayınladığı yeni rapor ile büyük bir tehlikeye dikkat çekti. Raporda yer alan bilgiler Avrupa ve Amerika’daki birçok kuruluşun, yaşadıkları güvenlik ihlalleri nedeniyle iflasın eşiğine geldiğini ortaya koyuyor. Siber güvenlik alanında nereye yatırım yapacağını bilmek her zamankinden çok daha değerli. Siber güvenlik şirketi ESET bu bahiste neler yapılabileceğini inceledi.
Hiscox sigorta şirketinin ABD, Birleşik Krallık, Belçika, Fransa, Almanya, İspanya, Hollanda ve İrlanda’daki 5.000 firma ile yaptığı görüşmelerden ortaya çıkan bulgulara nazaran sekiz ülkenin yedisi, siber saldırıyı işletmelerine yönelik bir numaralı tehdit olarak belirtmiş.
Ankete katılanların yarısı (%48) son 12 ay içinde bir siber hücum yaşadığını bildirmiş. Yeniden ankete katılanların yüzde 16’sı bir evvelki yıl bir fidye yazılımı saldırısı yaşarken bu oran şu an iştirakçilerin beşte birine yükselmiş (%19). Kurbanların üçte ikisi de saldırgana ödeme yapmış.
Siber taarruz kurbanlarının yarısından fazlası (%55’i) siber saldırıyı yüksek risk alanı olarak görürken bu türlü bir taarruz yaşamamış olanlar için bu oran yüzde 36’ya kadar düşüyor. Misal formda mağdurların yüzde 41’i riske maruz kalma olasılıklarının arttığını söylerken öteki küme için bu oran dörtte birden az (%23). Bir öbür değişik detay; siber hatalılar gittikçe daha küçük firmaları hedefliyor. Yıllık 100 bin ile 500 bin ABD doları pahasında geliri olan firmalar da bugün bir ile dokuz milyon ABD doları kıymetinde geliri olan firmaların maruz kaldığı hücum kadar çok hücuma maruz kalabiliyor.
Saldırıya maruz kalan iştirakçi firmaların beşte birinin, geçen seneye nazaran yüzde 24’lük bir artış ile ödeme güçlerinin tehdit altına girdiğini belirtmesi de değerli bir bulgu. ESET uzmanları raporda yer almasa da güvenlik ihlalinin maliyetlerinin operasyonel kesintiler, tüzel maliyetler, BT’nin fazla mesai maliyetleri ve üçüncü taraf isimli bilişim maliyetleri, düzenleyici cezalar, müşteri kaybı, üretim ve satış kaybı, uzun müddetli prestij kaybına da yol açmış olabileceğine dikkat çekiyor. Bu durum siber güvenlik harcamalarının neden arttığını kısmen açıklıyor. Rapora nazaran, ankete katılanların ortalama siber güvenlik harcamaları geçen sene yüzde 60 artış göstererek 5,3 milyon ABD doları olarak gerçekleşirken 2019’dan bugüne kelam konusu harcamalar yüzde 250 oranında artış göstermiş durumda.
Kuruluşunuzun iflası nasıl önleyebileceğini daha düzgün anlamak için birinci evvel tehdit aktörlerinin bu kadar ziyanı nasıl verebildiğini bilmemiz gerekiyor. Rapora nazaran esas ataklar;
- Bulut sunucuları (%41)
- Kurumsal e-postalar (%40)
- Kuruluştaki sunucular (%37)
- Uzaktan erişimli sunucular (%31)
- Çalışanların taşınabilir aygıtları (%29)
- Dağıtık Hizmet Engelleme (DDoS) saldırısı (%26)
Bu bilgiler, başka raporların bulgularıyla ve uzaktan çalışmanın, salgınla ilgili bulut altyapı yatırımlarının ve uzaktan çalışmadaki güvenlik meselelerinin günümüzde kuruluşların karşılaştığı en büyük risklerden kimileri olduğuna yer veren açıklamalarla da benzerlik gösteriyor; insan yanılgısıyla bir ortaya gelerek tehdit aktörlerinin hedefleyebileceği daha büyük bir akın alanı oluşturuyor.
Hiscox tarafından varsayım edilen siber akına karşı hazırlık oranlarının yılda yüzde 2,6 oranında düşerek “uzman” olarak sınıflandırılan firmaların sayısının yüzde 20’den yüzde 4,5’e gerileyip önemli bir düşüş sergilemesi kaygı verici. Acemiler olarak sınıflandırılan firmaların da kayda paha bir biçimde düşüş göstermesiyle birden fazla firma “orta seviyede” kalmış. Raporun da gösterdiği üzere “siber acemiler” olarak sınıflandırılan firmalar için ortalama atak maliyetleri gelirlerin bir yüzdesi olarak iki buçuk kat daha yüksek olduğu için siber akınlara karşı hazır olma durumu kıymet taşıyor.
- Siber güvenlik konusunu, açıkça tanımlamış roller ve idare şurası ya da üst seviye yönetici dayanağı ile resmi hale getirin
- Üst seviye yöneticilerin siber güvenliği güzel bilmesini ve siber güvenlikle bağlantılı olmasını sağlayın
- ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi üzere en güzel uygulama örneklerinin standartlarını uygulayın
- Yatırımınızı NIST’in tanımla, koru, tespit et, müdahale et ve kurtar halindeki beş temel fonksiyonuna yönelik yapın
- Mevcut jeopolitik belirsizlik ışığında olaya müdahale etme planlamasına ve taarruz simülasyonlarına odaklanın
- Kurumsal datalarınızı ve teknoloji altyapınızı tertipli olarak değerlendirmeye alın
- Etkili siber güvenlik farkındalık eğitimi sağlayın
- Tedarikçilerinizin ve iş ortaklarınızın güvenlik gerekliliklerine uymasını sağlayın
- Yamalama, sızma testi ve sistemli yedeklemeler üzere kolay uygulanabilen süreçlere odaklanın
Birlikte ele alındığında bu adımlar, nihayetinde kuruluşun iflasına neden olabilecek bir atak ihtimalini azaltmaya yardımcı olacaktır.