Yetersiz siber güvenliğin faturası çok ağır
İş yapış şekillerinin, süreçlerin, işlemlerin, kısacası tüm dünyanın dijitalleşmesi, siber dünyadaki tehditlerin de büyümesine neden oldu. Uzun zamandır siber tehdit raporlarında ilk sıralarda yer alan fidye yazılımları ve sosyal mühendislik gibi yöntemler, 2020’nin başından itibaren siber güvenlik dünyasında çok daha fazla duyulur ve görülür hale geldi.
Bu tür siber saldırılarda ele geçirilen şirket bilgileri, finansal bilgiler, şirket bünyesindeki mali kaynaklar, kurumların daha fazla ücreti gözden çıkarması için siber saldırganlar tarafından bir koz olarak kullanılıyor.
Öte yandan tüm dünyada yaşanan dijital dönüşüm ile birlikte üretilen veri miktarı da katlanan ölçüde artıyor ve verilerin kendisi de en az kazanılan gelir kadar önemli hale geliyor. Bu yüzden ülkelerde veri sızıntısına karşı önlem oluşturulacak yasalar gün geçtikçe daha da önem kazanıyor. Olası bir veri ihlali durumunda şirketin yaşayacağı maddi kaybın yanı sıra bilgi güvenliği için çıkartılan KVKK ve Avrupa’daki muadili GDPR gibi yasal cezalar da kaybı artırıyor.
Türkiye’de 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu kapsamında faaliyet gösteren Kişisel Verilerin Korunması Kurulu, 2019 sonu itibarıyla “veri güvenliğine ilişkin yükümlülükleri yerine getirmemek”, “ihlalleri belirlenen 72 saat içinde bildirmemek” gibi nedenlerden dolayı toplam 14 milyon 100 bin lira idari para cezası uyguladı. Kamuoyu duyuruları (veri ihlali bildirimi) Kişisel Verileri Koruma Kurumu web sitesinde yayınlanıyor.
Tüm bu cezalar şirketlere büyük faturalar çıkardığı gibi iflas etmelerine bile neden olabiliyor. Güvenlik derecelendirme hizmeti şirketi BitSight’ın Forrester Consulting ile gerçekleştirdiği Better Security And Business Outcomes With Security Performance Management araştırmasına katılanların neredeyse yüzde 40’ı, şirketlerinin güvenliği yeterince iyi olmadığı için işlerinin son bulduğunu belirtiyor.
Veri ihlali cezaları farklı ülkelerde de görülüyor
İhlallerin ve cezaların tüm dünyada örneklerini görmek mümkün. 2019’da büyük bir veri ihlali yaşayan finansal kuruluş Capital One’a kritik BT sistemlerini genel buluta aktarmadan önce gerekli risk değerlendirme sistemlerini oluşturmadığı için yetkili kurum tarafından 80 milyon dolarlık ceza kesildi.
Aynı yıl 500 binden fazla yolcu verisinin ihlali neticesinde British Airways’e ICO (Information Commissioner’s Office) tarafından 183 Milyon İngiliz sterlini tutarında rekor ceza kesildi. İhlalden olumsuz etkilenen tüm yolculara ödenecek tazminatlarla birlikte bu tutarın 3 Milyar’a kadar çıkma olasılığı var.
Türkiye’deki cezaların temeline baktığımızda ise Kişisel Verileri Koruma Kanunu kapsamında gereklilikleri karşılamayan ve verileri ele geçirilen şirketlerin 1 milyon TL’ye varan cezalarla karşı karşıya kalması öne çıkıyor.
Cezalar dışında saldırıların kendisi de büyük kayıplara neden oluyor
2018’de WannaCry fidye yazılımını geliştiren siber saldırganlar, İngiliz Ulusal Sağlık Sistemi bünyesindeki 16 hastanenin bilgisayar sistemlerini şifreleyip kilitledikten sonra 92 milyon sterlin fidye talep etti. Yakın zamanda Amerika’daki en büyük hasta zincirlerinden birini hedef alan bir başka siber saldırı 250 hastanede ameliyatların iptal olmasına ve hastane ekibinin kalem ve kağıda geri dönmesine neden oldu. 2020’nin Eylül ayında Düsseldorf’taki büyük bir hastanenin bilgisayar sistemlerini hedef alan başka bir siber saldırı sonucunda ilk kez bir insan hayatını kaybetti. Sene başında ise Kanada’nın en büyük medikal test şirketlerinden birisi olan LifeLabs’den 15 milyon hastanın verisi internete sızdırıldı.
Sonuçlar bunlarla sınırlı değil
Şirketler olası bir siber saldırıda sadece itibar ve para değil, müşteri de kaybediyor. Güvenli kişisel cihazlar ve yönetilen hizmetler sunan uluslararası bir dijital güvenlik şirketi Gemalto’nun gerçekleştirdiği araştırmaya göre şirketlerin yüzde 70’i, birlikte çalıştığı bir firma siber saldırıya uğradıktan sonra var olan ilişkisini sonlandırıyor.
Şirketler aynı zamanda stok yenileme zamanını belirlemek ve hangi ürünün daha fazla talep gördüğü gerçekleştirdiğini öğrenmek gibi birçok iş için kullandığı uygulamalar ve bilgisayarlarla envanter yönetimini gerçekleştirebiliyor. Siber saldırganların yaratabileceği tehdit ile bu süreçlerin de ağır bir sekteye uğraması mümkün.
Tüm olası yıkıcı sonuçlar göz önünde bulundurulduğunda hepsi tek bir çatı altında toplanıyor: gelir kaynakları azalıyor.
Yeni nesil ve etkili yöntemlerle yıkıcı siber saldırılardan kaçınabilirsiniz
Şirketler internete açık olan sistemlerini, yazılım ve uygulamalarını BugBounter platformunda çalışan yüzlerce sözleşmeli araştırmacıya test ettirip, bulunan güvenlik zafiyeti doğrulandıktan sonra kendisine raporlanmasını isteyebiliyor. Ödül avcılığı (bug bounty) olarak bilinen bu hizmet ile şirketler risk gördükleri kritik alanları çok uygun maliyetler ile sürekli denetimde tutabiliyor ve hacklenme ihtimallerini en aza indirebiliyor. Bir siber saldırı gerçekleştiğinde bile bu saldırının yarattığı etki minimum düzeyde oluyor.
BugBounter olarak platform üzerinden buluşturduğumuz farklı ülkelerden gelen, çok çeşitli ve üstün becerilere sahip yüzlerce bağımsız güvenlik araştırmacısı sayesinde şirketler sistemlerini kolayca ulaşamayacakları sayıda ve yetenekteki uzmana güvenle denetletebiliyor. Kötü niyetli hackerların keşfedeceği güvenlik açığını onlardan daha önce öğrenerek, açıklarını siber saldırıya geçit vermeden ve zarara uğramadan giderebiliyor. Sızma testlerine alternatif veya tamamlayıcı olarak çıkan bu yeni nesil siber güvenlik testi sayesinde tüm süreç, çok kısa bir sürede ve uygun bir bütçe ile sonuçlandırılıyor.