HP, Ponemon Institute’un küresel araştırma sonuçlarını açıkladı ve siber saldırıların maliyetinin, sıklığının ve yol açtığı sorunların giderilme süresinin 4 yıldır kesintisiz bir şekilde arttığını gösterdi.
Ponemon Institute tarafından yürütülen ve sponsorluğunu HP Kurumsal Güvenlik Ürünleri’nin üstlendiği 2013 Siber Suçların Maliyeti Araştırmasında, siber suçların ABD kurumlarına yıllık ortalama maliyetinin 11,56 milyon dolara ulaştığı saptandı. Bu da ilk çalışmanın yapıldığı dört yıl öncesine göre yüzde 78 oranında bir artış ortaya koyuyor. Sonuçlar siber saldırıların neden olduğu sorunların giderilme süresinin aynı zaman aralığında yaklaşık yüzde 130 arttığını ve tek bir saldırının çözülmesinin ortalama maliyetinin toplamda 1 milyon doları aştığını gösteriyor.
Siber saldırılar son yıllarda gittikçe kompleks bir hal alıyor ve siber saldırı teknolojisi hızlanarak gelişiyor. Siber saldırıları düzenleyen kişilerin uzmanlaşarak duyarlı verileri elde etmek ve kritik kurumsal fonksiyonlara zarar vermek için bilgi paylaşımında bulunması bunda önemli rol oynuyor. 2013 Siber Suçların Maliyeti Araştırmasına göre, güvenlik bilgisi ve olay yönetimi (SIEM) gibi gelişmiş güvenlik zekası araçları, ağ zekası sistemleri ve büyük veri analizi, veri risklerini önemli ölçüde azaltarak siber suç maliyetlerini sınırlıyor.
2013 araştırmasının ana bulguları:
- Siber suçların kurum başına yıllık ortalama maliyeti 11,56 milyar dolar oldu. Minimum maliyet 1,3 milyon dolar, maksimum maliyet 58 milyon dolar olarak gerçekleşti. 2012 yılına göre ortalama maliyette yüzde 26 veya 2,6 milyon dolar artış görüldü.
- Organizasyonlara haftada ortalama 122 başarılı saldırı yapıldı. 2012 yılında haftada 102 başarılı saldırı yapılıyordu.
- Siber saldırıların yol açtığı sorunların ortalama giderilme süresi 32 gün olarak tespit edildi. Bu sürede ortalama maliyet 1.035.769 dolar veya günde 32.469 dolar olarak gerçekleşti. Bu da geçen yılın 24 günde 591.780 dolarlık maliyet öngörüsüne göre yüzde 55’lik bir artışa karşılık geliyor.
HP Başkan Yardımcısı ve Çözümler Grubu Kurumsal Güvenlik Ürünleri Genel Müdürü Frank Mong konuyla ilgili açıklamasında şunları söyledi: “Siber saldırılar gittikçe karmaşık bir hal alır ve saldırı sıklığı ile mali etkiler artarken risk ortamı da sürekli değişiyor. Son dört yılda zeki güvenlik araçları ile yönetişim uygulamalarının organizasyonlarında maliyet tasarrufu sağladığını gördük. HP olarak siber saldırıları düzenleyen kişilerin faaliyetlerini önlemek amacıyla hem sektör lideri çözümler hem de araştırma sonuçları sağlamaya kararlıyız.”
Siber saldırıların gerçek maliyetleri
- En maliyetli siber suçlar hizmet reddi saldırıları, kötü niyetli personel ve web tabanlı saldırılardan oluşuyor. Bunlar kurum başına yıllık bazda siber suç maliyetlerinin yüzde 55’inden fazlasına karşılık geliyor.
- Bilgi hırsızlığı, harici saldırılar içinde en maliyetli olanı ve bunun hemen ardından işyerinde hizmetlerin aksaması geliyor. Yıllık bazda bilgi kaybı toplam harici maliyetlerin yüzde 43’ünü oluşturuyor ve 2012’ye göre yüzde 2’lik bir gerileme sağlanmış bulunuyor. İşlerin aksaması ya da üretkenlik kaybı ise 2012’ye göre yüzde 18 artışla harici maliyetlerin yüzde 36’sına karşılık geliyor.
- Sistemi ayağa kaldırma ve saldırıların tespit edilmesi en yüksek dahili maliyetleri oluşturuyor. Geçen yıl kurtarma ve tespit aşamaları birlikte toplam dahili maliyetlerin yüzde 49’una karşılık geldi. Nakit harcamalar ve sorunu çözmeye yönelik işgücü kaybı bu maliyetlerin büyük kısmını oluşturdu.
- Siber suçların maliyetleri şirket sayısına göre değişiyor. Ancak tekil bazda, siber suçlar küçük organizasyonlar için büyük şirketlerden daha maliyetli oluyor.
- Finansal hizmetler, savunma sanayisi, enerji ve kamu hizmetleri sektöründeki kurumlar ise perakende, konaklama–catering ve tüketici ürünleri sektörlerinden daha büyük maliyetlerle karşılaşıyor.
- Güvenlik zekası teknolojileri kullanan organizasyonlar siber saldırıları saptamak ve kontrol altına almakta daha verimli oluyor. Bu kurumlar diğer teknoloji kategorileriyle karşılaştırıldığında yılda ortalama 4 milyon dolar maliyet tasarrufu ve yüzde 21 yatırım getirisi sağlıyor.
- Doğru kaynaklara yatırım, üst düzey güvenlik yöneticisi atama ve sertifikalı ya da uzman kadroların atanması gibi kurumsal güvenlik yönetişim uygulamalarına yapılan yatırımlar, siber suç maliyetlerini azaltıyor ve kurumların yılda ortalama 1,5 milyon dolar tasarruf etmesini sağlıyor.
Güvenlik zekası çözümleri ve yönetişim uygulamaları fark yaratıyor
Ponemon Institute Başkan ve Kurucusu Dr. Larry Ponemon siber saldırılarla ilgili durumu şöyle değerlendiriyor: “Bir kurumun siber güvenlik cephaneliğindeki en güçlü silahlardan biri bilgi sahibi olmaktır. Gerçek dünyadaki tecrübelerle ve dünya çapında 1000’den fazla güvenlik profesyoneliyle yapılan detaylı söyleşileri baz alan Siber Suçların Maliyeti araştırması, siber saldırıların nedenleri ile maliyetleriyle ilgili değerli bilgiler sağlıyor. Bu araştırma kurumların şirketlere yönelik büyük riskleri minimuma indirgemek için en uygun maliyetli kararlar almasını sağlamak amacıyla tasarlandı.”
ABD şirketlerinin dördüncü yıllık araştırmasına ek olarak Ponemon Institute diğer ülkeleri de inceledi ve Avustralya, Almanya, Japonya ile İngiltere’de geçen yıl olduğu gibi bu yıl da siber suç maliyetleri araştırması yaptı. Araştırmaya bu yıl ilk kez Fransız şirketleri de dahil edildi. Araştırma yapılan ülkeler arasında en yüksek toplam ortalama siber suç maliyetleri 11,6 milyon dolarla ABD örnek grubunda tespit edildi. En düşük maliyetler 3,7 milyon dolarla Avustralya örnek grubunda görüldü. Küresel sonuçlar hakkında bilgi almak için 2013 Global Siber Suçların Maliyeti Raporu’nu inceleyebilirsiniz.
Bu araştırmaların bulguları 29–30 Ekim 2013 tarihlerinde iki web semineriyle açıklanacak. Seminerlere https://www.brighttalk.com/r/
Sektör lideri ArcSight, Fortify ve TippingPoint ürünlerini sunan HP, kurumların siber güvenliği bilgi bağıntısı, derin uygulama analizi ve ağ düzeyinde savunma mekanizmalarını birleştiren proaktif bir yaklaşımla sağlamasına olanak tanıyor. HP Kurumsal Güvenlik Ürünleri’nden yararlanan işletmeler siber saldırganları engellemekte, risk yönetiminde ve güvenlik kapasitesini artırmakta daha başarılı olarak organizasyonlarını daha etkili bir şekilde koruyabiliyor.