Neden birçok kuruluş sürekli değişen tehdit ortamına ayak uydurma ve siber riskleri etkili şekilde yönetme konusunda zorluk yaşıyor?
Finansal hizmetler sunan şirketler, uzun süredir siber suçlular için popüler bir hedeftir. Finans şirketlerinin parayla ilgili işler yürütmesinin yanı sıra suçluların çeşitli dolandırıcılık yöntemlerinde kullanabileceği veya karanlık ağda satabileceği hassas müşteri verilerine sahip olmaları, bu sektörü dolandırıcılar için cazip kılıyor. Verizon’un 2020 Veri İhlali İncelemeleri Raporu’na göre finans sektörü yalnızca geçtiğimiz yıl 1500’den fazla olayla ve verilerin yanlış kişilerin eline geçtiği 448 onaylanmış durumla karşılaştı.
Uzun süredir devam eden tehditlerin yanı sıra birçok şirket uzaktan çalışmaya hızlı bir şekilde geçiş yaptığı için birçok tehditle karşı karşıya kaldı. Oldukça kısa bir sürede uzaktan çalışmaya geçmek zorunda kaldıklarından, şirketlerin uygun siber güvenlik önlemlerini almak veya çalışanlarını siber tehditlere karşı hazırlamak üzere çok az zamanları oldu. Pandemi sona erdikten sonra dahi uzaktan çalışmanın devam edeceğini düşünürsek, şirketler siber güvenlik planlarını ve politikalarını hazırlarken şirketlerinin başa çıkması gereken zorluklar listesine uzaktan çalışmanın getirdiği zorlukları da eklemelidir. Şirketler, çeşitli etkenlerden ötürü sıklıkla bir çok zorlukla karşılaşıyorlar, bu etkenleri beş başlık altında topladık:
Yetenek farkı
Birçok şirket çeşitli tehditlere karşı savunmalarını güçlendirmek üzere deneyimli veya yetenekli siber güvenlik uzmanlarına kadrolarında yer vermek adına yarış halinde olsa da bu özelliklere sahip yeterli sayıda kişi bulunmamaktadır. Aslında uzun yıllardır ilk defa siber güvenlik alanındaki iş gücü farkı azalmıştır ancak yine de dünya genelinde 3,12 milyon çalışan ihtiyacı bulunmaktadır. Dünya çapındaki bu uzman açığını gidermek için istihdam seviyesi Amerika %41, dünya genelinde ise %89 artmalıdır. Bu yüzden en iyi ve en parlak siber güvenlik uzmanlarını cezbetmek amacıyla şirketler rekabeti artıran maaşlar ve memnun edici çalışma olanakları sunmalıdır.
Yetersiz bütçe
Siber güvenliğe yeterince bütçe ayırmamaları, şirketlerin karşılaştıkların tehditlerle mücadele etmesini engelleyen temel nedenlerdendir. Ernst & Young danışmanlık firması tarafından yürütülen bir ankete göre, ankete katılan kuruluşlardan %87’si hedefledikleri siber güvenlik seviyesine ve dayanıklılığına ulaşmak için yeterli bütçeye sahip olmadığını belirtmiştir. Yeterince kaynağa sahip olmayan şirketler yeterli siber güvenlik uzmanı çalıştıramamakta veya çeşitli siber tehditlere karşı dayanıklı olmak için ihtiyaç duydukları teknik önlemleri alamamaktadır.
Kendi siber güvenliklerine fazla güvenme
Şirketlerin yaptığı en yaygın hatalardan biri, şirketlerinin siber güvenlik önlemlerini olduğundan daha iyi görmektir. Şirketler her alanda en iyi olanaklarına sahip olduğunu düşünse de, ihlallere karşı yama yönetimi konusunda en iyi politikalara sahip olmayabilir. Bu duruma iyi ama aynı zamanda da talihsiz bir örnek ise Windows’taki BlueKeep zafiyetidir. Yama 2019 Mayıs ayında yayımlandı ve Microsoft herkesin derhal yamayı yüklemesini istedi. Bir ay sonra Ulusal Güvenlik Ajansı da bu konuda uyarı yayımladı, ancak Temmuz ayına gelindiğinde güvenlik açığına sahip, saldırıya açık 805,000’den fazla makine bulunuyordu ve bu durum Kasım ayında ilk BlueKeep saldırıları ortaya çıktığında en kötü noktaya ulaştı. Bu kadar ciddi bir güvenlik açığına karşı bir yama yüklemek hiç bir koşulda altı ay sürmemelidir.
Farkındalıkla ilgili eğitim eksikliği
Bir şirketin siber güvenliğini tehlikeye atan konulardan birisi de çalışanların yeterli siber güvenlik farkındalığı eğitimi görmemesidir. Çalışanların kötü amaçlı yazılım indirerek veya şirket kimlik bilgilerini farklı platformlarda kullanarak dolandırılmaları gibi riskler, COVID-19 dolayısıyla uzaktan çalışmaya geçişle birlikte oldukça artmıştır. Ponemon Institute, tarafından yürütülen bir çalışmaya göre, şirketlerin pandemi esnasında siber saldırılarda (kimlik avı hırsızlığı ve sosyal mühendislik saldırıları dahil) ciddi bir artış olduğunu belirtmesine rağmen, katılımcıların %24’ü kuruluşlarının uzaktan çalışmayla ilgili risklere karşı yeterli eğitimi sağlamadığını ifade ediyor. Ayrıca aynı çalışma, şirketlerin yarısından fazlasının uzaktan çalışanlar için tüm gereksinimleri karşılayan güvenlik politikalarına sahip olmadığını da belirtiyor.
Siber güvenliği yeterince önemsememe
Bazı kuruluşlar işletmeleri açısından siber güvenliğin öneminin farkında değildir. Finansal genişleme veya yeni ürünler geliştirme gibi daha önemli gördükleri diğer alanlara yatırım yapmayı tercih eder. Siber güvenlik önlemlerinin, bir veri ihlali sonucu olası kayıplardan daha yüksek maliyetli olması gibi nedenlerden ötürü siber güvenliğin yararına oranla yüksek maliyetli olduğunu düşünebilirler. Ancak olası cezalar ve kayıplar kısa vadede çok yüksek maddi kayıplara neden olmasa da, şirketin ününü göz önünde bulundurduğumuzda müşteri güveninin kaybolması gibi daha büyük çapta zarar verecek uzun vadeli sonuçlar doğurabilir. Buna ek olarak, başarılı olmaları durumunda siber suçlular, karanlık ağda satabilecekleri müşteri verilerinin yanı sıra fikri mülkiyet haklarına erişim sağlayabilir. Bu nedenle siber güvenlik, şirketi ve şirket müşterilerini koruduğundan göz ardı edilmemelidir.
Sonuç
Bir siber saldırı durumunda, yukarıda belirtilen etkenlerin birkaçının veya tümünün bir araya gelmesi kuruluşun ciddi şekilde etkilenmesine neden olabilir. Finansal hizmet şirketlerinin siber güvenlik konusuna öncelik vererek bu konuyu ciddiye alması sevindirici bir gelişmedir. Dünya genelinde bir danışmanlık firması olan McKinsey’e göre ankete katılan yönetim kurullarından %95’i yılda en az dört kez siber risklere ve teknolojik risklere toplantılarında yer verdiğini belirtiyor. Ancak üst düzey yönetimde bu konudaki farkındalığın artmasıyla siber güvenlik çözümlerine ve mümkün olan en iyi olası standartlarda çalışan eğitimine yeterli yatırımın yapılması bir arada sağlanmalıdır.