Deloitte Türkiye’nin “Global Siber Güvenlik Yönetici Bilgilendirme Raporu’na göre bilgi güvenliğini tehdit eden olayların %35’ini web saldırıları, %22’sini siber casusluk ve %14’ünü satış noktası ihlalleri (POS) oluşturuyor.
Türkiye’de profesyonel hizmetler alanında 28’nci yılını dolduran Deloitte Türkiye, günümüzde artan siber saldırılara yönelik “Global Siber Güvenlik Yönetici Bilgilendirme Raporunu” hazırladı. Rapor, geleneksel güvenlik sınırlarının bulanıklaştığı hatta artık tamamen yok olmaya başladığı bir ortama işaret ediyor.
Önce cep telefonlarının daha sonra sosyal medyanın ve bulut teknolojilerinin hayatımıza girişi ile işletmelerin geleneksel sınırlarının her geçen gün genişleyerek, “sınırsız” hale geldiğini vurgulayan rapor, artık her ölçekte ve her sektörden kurumların siber güvenlik tehditleri ile karşı karşıya olduğunun altını çiziyor.
Deloitte Türkiye Siber Güvenlik Hizmetleri Lideri Cüneyt Kırlar, “Küçük ve orta seviyeli şirketlere yapılan saldırılarda son bir sene içerisinde %42 oranında artış olduğu görülmektedir. Bütün şirketler artık risk altında. Günümüzde siber risk sadece bilgi teknolojileri konusu olmaktan çıkmış ve genel bir iş riski haline dönüşmüştür. Bu sebeple de, siber güvenlik konusunun yönetim kurulu seviyesinde masaya yatırılma zamanı çoktan gelmiştir” dedi.
Siber saldırlar en çok web sitelerine yönelik
Örnek vaka analizleriyle farklı sektörlerdeki siber saldırıları inceleyen rapor, bilgi güvenliği olaylarının %35’inin web saldırıları, %22’sinin siber casusluk ve %14’ünün satış noktası ihlallerinden (POS) oluştuğunu gösteriyor. Siber saldırılar en çok rekabet avantajı, müşteri güveni, kurum itibarı ve marka gibi kolay telafi edilemeyen varlıklara zarar veriyor. Rapor, siber saldırılara karşı duyarlı yedi sektörü inceleyerek bu sektörlerdeki örnek vakalara da yer veriyor.
İleri Teknoloji: İleri teknoloji sektörü, elinde bulundurduğu değerli bilgilerle, siber saldırılar açısından hem çok cazip, hem de çoğu zaman savunmasız durumdadır. Yeni teknolojileri en erken uygulayan şirketler olarak henüz olgunlaşmamış teknolojik araçların getirdiği tehlikeler karşısında diğer sektörlere kıyasla daha kırılgan durumdalardır.
Online Medya: Siber tehditlere karşı en savunmasız alanlardan biri online medya sektörüdür. Tamamen dijital çalışan bu sektör, izinsiz erişimi amaçlayan ya da değerli içeriğin hedef alındığı şahsi veya örgütlü saldırılara sıkça maruz kalmaktadır.
Telekomünikasyon: Telekom şirketleri büyük ölçekte olmalarının yanı sıra önemli verilerin iletilmesi ve depolanmasında yaygın olarak kullanılan kritik altyapıyı oluşturup yönetmeleri sebebiyle de siber saldırılar için önemli bir hedeftir.
E-ticaret ve Online Ödemeler: Şirketler hizmetlerini online platformlara kaydırma trendindedir. Çoğu e-ticaret sitesi veri işleme ve tedarik yönetimi için doğrudan hem internete hem de bir şirketin sunucu uygulama sistemine bağlı çalışmakta, bu da internet sitesini kurumun önemli bilgi varlıklarına erişmek için cazip bir saldırı noktası haline getirmektedir. Özellikle, online ödeme sistemleri sıklıkla saldırıya uğrayan kırılgan alanlardan biri haline gelmiştir.
Sigortacılık: Sigorta şirketleri müşterilerle daha yakın ilişkiler kurmak, müşterilere yeni ürünler sunmak ve müşterilerin finansal portföyünde daha fazla yer edinmek için dijital kanallara yönelmeye başlamıştır. Bu dijital yatırımlar yeni stratejik imkânlar sağlasa da, çok kanallı ortamın zorluklarıyla başa çıkmada nispeten deneyimsiz olan kurumlar için ciddi siber riskler doğurmaktadır. Dolayısıyla, sigorta sektöründeki siber saldırılar da hızla artmaktadır.
Üretim: Mevcut üretim sistemlerinin çoğu, siber güvenlik risklerinin daha az olduğu zamanlarda geliştirilmiştir. Dolayısıyla, üretim teknolojilerinin ana odağı geleneksel olarak güvenlik değil emniyet ve performans olmuştur. Bu da üretim sistemlerinde önemli güvenlik zafiyetlerinin oluşmasına yol açmıştır. Üretim sektöründeki firmalar artık sadece hackerlar ve siber suçlular gibi bilinen oyuncuların saldırılarına maruz kalmamaktadır. Rakip firmalar ve kurumsal casusluğa karışan devletler de siber güvenlik açısından tehlike arz etmeye başlamıştır.
Perakende: Kredi kartı bilgileri hackerlar ve suçlular için yeni gözde para birimidir; perakendeciler ise bu bilgilere fazlasıyla sahiptir. Bu durum perakende sektörünü siber saldırılar için karşı konulamaz bir hedefe dönüştürmektedir. Perakendeciler veri bazlı teknolojiler yoluyla satışlarını ve verimliliği artırmak istedikleri için sektörün siber saldırılara maruz kalma riski her geçen gün daha da artmaktadır.
Şirketlerin güvenli, farkında ve dirençli bir siber yaklaşıma sahip olabilmeleri için ise aşağıdaki 5 soruya cevap bulmaları gerekmektedir:
1. Doğru şeylere mi odaklanıyoruz? Değer, varlık ve zayıflıkların neler olduğunun bilinmesi, ne gibi tehditler olabileceğinin belirlenmesi ve derinlemesine savunma ile güvenlik kontrollerinin uygulanması şirketler için olmazsa olmaz…
2. Doğru yetkinliğe sahip miyiz? Şirkette her şeyi içeriden halledebilecek nitelikte çalışanların olması mümkün olmayabilir. Bu sebeple, kaynak alımı konusuna stratejik yaklaşılmalıdır. Ayrıca, siber güvenlik ekibinin de ana faaliyet alanlarına odaklanmış durumda olup olmadığı sorusunun cevaplanması gerekmektedir.
3. Proaktif mi yoksa reaktif mi olmalıyız? Geriye dönük iyileştirme yapmanın maliyetinin yüksek olması sebebiyle, gerekli altyapının önceden kurulmuş (proaktif) olması önem arz etmekte…
4. Açık sözlülüğü ve işbirliğini teşvik ediyor muyuz? İşbirliğinin teşvik edilmesi ve insanların riskleri gizleyerek kendilerini korumaya çalışmadıklarından emin olunması hayat kurtarabilir.
5. Değişikliğe ayak uydurabiliyor muyuz? Şirket kültürünün tehdit ve risklere uyum sağlayabilen bir anlayış üzerine kurulu olması önemlidir.
