PwC, CIO ve CSO tarafından hazırlanan 2015 Global State of Information Security araştırmasına göre siber güvenlik vakaları her geçen yıl daha sık görülüyor; şirketlere maliyeti de bir o kadar artıyor. Buna karşın siber güvenlik önlemleri için ayrılan bütçeler azalıyor. Üst yönetimleri de etkilemeye başlayan bu durum, şirket içinde yaşanan vakalardan yüksek nitelikli suçlara kadar uzanıyor
CIO ve CSO ile birlikte PwC tarafından yayımlanan 2015 Global State of Information Security Araştırmasına göre, dünya çapında bilgi güvenliği alanında raporlanan vaka sayısı yüzde 48 artarak, 42,8 milyonu buldu. Bu rakam, 2013 yılında günde 117.339 saldırı yapıldığı anlamına geliyor. Araştırma verileri, 2009’dan bu yana tespit edilen güvenlik vakalarının yıldan yıla yüzde 66 artış gösterdiğini ortaya koyuyor.
Güvenlikle ilgili olayların daha sık yaşanmasıyla, söz konusu ihlallerin yönetilmesi ve azaltılmasıyla ilgili maliyetler de artış gösteriyor. Küresel çapta bakıldığında, siber güvenlik vakalarının neden olduğu, tahmini olarak raporlanan ortalama mali zarar, 2013 yılı süresince yüzde 34 artış göstererek, 2,7 milyon dolar oldu. 20 milyon doları aşan maddi kayıp rakamları açıklayan organizasyonların sayısı neredeyse iki katına ulaştığı için büyük çaplı zararlara bu yıl daha fazla tanık olduk.
Artan kaygılara rağmen, araştırma, küresel bilgi güvenliği bütçelerinin 2013 yılına kıyasla yüzde dört düşüş gösterdiğini ortaya koydu. Bilgi teknolojisi harcama bütçelerinin yüzdesi olarak bakıldığında da güvenlik harcamaları, geçtiğimiz beş yıllık süreçte yüzde dört veya daha düşük bir oranda asılı kaldı.
Tehditlerin Varlığı konusunda Herkes Hemfikir
Büyüklük ve sektör fark etmeksizin tüm organizasyonlar, siber güvenlikle ilgili ciddi riskleri biliyor. Bu farkındalığa rağmen, daha büyük ölçeğe sahip şirketler, her yıl daha fazla sayıda saldırıya maruz kalıyor. Yıllık 1 milyar veya daha fazla brüt gelire sahip büyük ölçekli organizasyonlar, bu yıl, yüzde 44 daha fazla vaka tespit ettiler. 100 milyon dolar ile 1 milyar dolar arası gelire sahip orta ölçekli organizasyonlar, tespit edilen vaka sayısı açısından yüzde 64’lük bir artışa tanık oldular. Risk küresel bir zemin kazanırken, araştırma, mali zararların organizasyonun ölçeğine göre büyük oranda değiştiğini de gösteriyor.
Şirket içindekilerin, siber güvenlik olaylarının en fazla bahsi geçen kaynakları haline gelmesine rağmen çoğu durumda, bu kişiler, mobil cihazları kaybederek veya hedeflenen e-dolandırıcılık planlarının bir parçası olarak farkında olmadan verileri tehlikeye atıyor. Katılımcılar, mevcut ve önceki hizmet sağlayıcılarından, danışmanlardan ve yüklenicilerden kaynaklanan vakaların sırasıyla yüzde 15 ve 17 arttığını ifade ederken şu anki çalışanların sebep olduğu vakaların yüzde 10 arttığını belirtiyor. Çoğu organizasyon, yasal uygulamalar veya maddi yaptırımlar yerine şirket içi siber suç vakalarının getirdiği sonuçları genellikle şirket içinde hallediyor. Böyle yaparak, bu organizasyonlar, gelecekte bu çalışanları işe almaları halinde diğer organizasyonları savunmasız hale getirebilir.
Aynı zamanda, ulus devletlerce gerçekleştirilen yüksek nitelikli saldırılarla birlikte organize suçlar ve rakipler, en az görülen fakat en hızlı büyüme gösteren siber tehditler arasında bulunuyor. Bu yıl, ulus devletlerce yapılan siber saldırıları raporlayan katılımcıların oranı, yüzde 86 artış gösterdi. Üstelik bu vakalar yüksek ihtimalle eksik raporlanıyor. Araştırma ayrıca, bazılarına ulus devletlerin destek sağlayabildiği rakiplerle ilgili yaşanan güvenlik vakalarında yüzde 64’lük çarpıcı bir artışı da ortaya koymuş durumda.
Şirketlerin Siber Güvenlik Konusunda Stratejileri Yok
Etkin güvenlik bilinci, en alt makamdan en üst makama kadar bağlılığı, iletişimi ve araştırmaya göre çoğu organizasyonun sahip olmadığı bir taktiği gerekli kılıyor. Katılımcıların sadece yüzde 49’u, bilgi güvenliği konularında konuşmak, işbirliği yapmak ve haberleşmek amacıyla düzenli olarak bir araya gelen organizasyon çapında bir ekibe sahip olduklarını belirtiyor.
Bu konuda güvenlik saldırılarının hızlı tespitine odaklanmanın ve etkili, zamanında müdahalede bulunmanın şirketler açısından çok önemli bir konu olduğunun altını çizmemizde fayda var. Günümüzün bağlantılı iş ekosistemine bakıldığında, bu adım, işletmeyle etkileşimde bulunan üçüncü taraflara yönelik politikaların ve süreçlerin oluşturulması kadar önemli.
Siber riskler hiçbir zaman tamamen ortadan kalkmayacak. Siber suçun yukarı yönlü ivmesiyle, organizasyonların sürekli değişen manzara karşısında tetikte ve çevik olması gerekiyor. Organizasyonların, vakaları önlemeyi ve kontrolleri odak noktası yapan güvenlik anlayışından, bir organizasyonun en değerli varlıklarını ve ilgili en önemli tehditleri öncelik sırasına göre sıralayan risk merkezli bir yaklaşıma geçmesi bir zorunluluk. Şirket içinde güçlü güvenlik bilincine yönelik politikalara ve süreçlere yatırım yapılması, tüm organizasyonların başarısı açısından kritik bir rol oynuyor.
2015 The Global State of Information Security Araştırması PwC, CIO ve CSO tarafından dünya çapında hazırlanan bir çalışmadır. Çalışma, 27 Mart 2014 ve 25 Mayıs 2014 tarihleri arasında internet üzerinden yapılmıştır. Tüm dünyadan CIO ve CSO dergilerinin okuyucuları ve PwC’nin müşterileri e-posta yoluyla çalışmaya katılmaları için davet edilmiştir. Bu rapor kapsamında ele alınan sonuçlar, 154’ten fazla ülkeden CEO, CFO, CIO, CISO, CSO’larla beraber başkan yardımcılarının, IT ve güvenlik uygulamaları direktörlerinin oluşturduğu 9.700’den fazla yöneticiden alınan cevaplara dayanmaktadır. Katılımcıların yüzde 35’i Kuzey Amerika, yüzde 34’sı Avrupa, yüzde 14’i Asya Pasifik, yüzde 13’ü Güney Amerika ve yüzde dördü Orta Doğu ve Afrika bölgesindendir. Hata marjı yüzde birden azdır.