Görüşler

Global Siber Güvenlik Yönetici Bilgilendirme Raporu

Dijital teknoloji ve bilgi ile şekillenen günümüz dünyasında, siber-tehdit yönetimi artık sadece bir stratejik gerek olmaktan çıkıp işimizin asli parçalarından biri haline gelmiştir. Ancak yine de, üst yönetimde ve yönetim kurulunda bulunan pek çok yönetici için bu kavram, belirsizliğini ve karmaşıklığını korumaktadır. Peki, muhtemelen sizin de stratejik öneminden dolayı gündeminizde olan siber güvenlik aslında ne demek ve şirketinizin güvenlik seviyesini güçlendirmek ve siber tehlikelere karşı korumak için neler yapılabilir? Doğru bilinen yanlışlardan biri, siber saldırıların, teknoloji sektöründe çalışan, yüksek profilli kurumlara özgü olduğunun sanılmasıdır. Oysa büyük veya küçük her kurumun kaybetmekten korktuğu değerli bilgileri vardır. Ve aslına bakılırsa karşı karşıya olduğumuz saldırılar, rastgele ve sektör ya da kurum gözetmeksizin otomatik araçlar ile yapılmaktadır. Bu sebeple, sistemler üzerindeki her zayıflık potansiyel bir açık anlamına gelmektedir.

Siber saldırıların birçok olumsuz etkisi olabilir. Olumsuz somut etkilere siber ortamda çalınan sermaye ve zarar gören sistemlerden,  saldırılar sonucunda düzenleyici kurumların verdiği cezalar, hukuki yaptırımlar ve tazminatlara kadar birçok örnek verilebilir. Ancak soyut etkiler tarafında karşı karşıya olunan resim çok daha ciddi olabilir. Fikri mülkiyet hak ihlalleri ile doğan rekabet gücü kayıpları, müşteriler ve iş ortakları nezdinde itimat kaybı, dijital varlıklarda yaşanan tehlikeler ile zora girebilecek şirket yapısı ve hepsi bir araya konduğunda oluşması muhtemel marka ve kurum imajına yönelik güvensizlikler ve itibar kayıpları sebebiyle bir kurumun hisse fiyatını bir anda aşağı doğru çekebilmekte ve bazı uç durumlarda şirketleri iflasa dahi zorlayabilmektedir.

Siber risklere dirençli olmak, üst yönetim ve yönetim kurulu seviyesinde farkındalık ile başlar. Bir noktada, bir şekilde siber saldırıların sizin kurumunuzu da hedef alacağının bilincinde olmak gerekir. En büyük tehlikelerin nerden gelebileceğini ve sizi siz yapan değerler olarak kurumun özünü oluşturan kaynak ve varlıkların büyük risk altında olduğunun farkına varmanız gerekmektedir.

Potansiyel saldırılar nereden gelir? Kim sizi neden hedef almak isteyebilir? En değerli varlıklarınız nelerdir? Muhtemel saldırı senaryoları nelerdir ve bu senaryolar gerçekleştiğinde iş süreçlerinize etkisi ne şekilde olur?

Bu tür sorular siber tehditlerin hangi seviyede ve ne kadar ısrarcı bir şekilde sizi hedef alabileceğine dair fikir verir. Bu sayede, üst yönetim veya yönetim kurulu seviyesinde bir kişi olarak, kurumunuzun risk iştahını belirleme, iç ve dış güvenlik profesyonelleri ile çalışarak iyi dengelenmiş bir siber güvenlik koruması oluşturma ve risk pozisyonunuzu kabul edilebilir seviyelere çekme şansınız olacaktır. %100 güvenlik mümkün olmasa da, koruma, teşhis ve müdahale süreçlerini içeren bir çerçeve oluşturmak ve siber riski yönetim tarafından belirlenen kabul edilebilir seviyelerin altında tutarak kurum faaliyetlerine gelebilecek zararı asgariye indirerek sürdürmek kesinlikle mümkündür.

Etkili ve dengeli bir siber savunmanın üç temel özelliği vardır: güvenli olmak,  farkında olmak ve dirençli olmak.

Güvenli olmak: Riske karşı koruma sağlamaya odaklanma anlamına gelir. Riskten kastedilen de kurum içinde hem siz, hem de düşmanlarınızın gözünden bakıldığında, en değerli addedilen varlıklara yönelik tehlikelerdir.

Farkında olmak: Kurum içinde her noktada farkındalık oluşturulması ve kritik önemi bulunan varlıklar üzerinde tehlike arz edebilecek her tür davranışı önceden teşhis edebilme kapasitesinin geliştirilmesi anlamına gelir.

Dirençli olmak: Hasara hızlı müdahale edebilme, yayılmasını engelleme, doğrudan maliyetler, iş kaybı, itibar kaybı ve markanın göreceği hasarlar gibi etkileri en düşük seviyede tutmak için gerekli ve çeşitli araçları harekete geçirebilme kapasitesine sahip olma anlamına gelir.

Bu Yönetici Bilgilendirme Raporu, kurumların karşı karşıya kaldığı önemli siber tehditleri anlamaları açısından bir başlangıç noktası olarak hazırlanmıştır. Yönetici Bilgilendirme Raporu, ileri teknoloji, online medya, sigortacılık, imalat, telekomünikasyon, e-ticaret ve online ödemeler, üretim ve perakende gibi yedi temel sektörde karşılaşılan önemli tehlikeleri ortaya koyduğu gibi, gerçek hayattan hikayeler ve pratik örneklerle kurumunuzun kendi risk değerlendirmesini yapmaya başlamasına ve kurumunuzun bu anlamda siber-suçluların bir adım önünde olmasına yardım etmek amacıyla hazırlanmıştır.

Gerçek vakalarla, “hacklenmenin” utanılacak bir şey olmadığını göstermeyi umuyoruz. İhlaller tüm kurumlarda ortaya çıkabiliyor, bunun sebebi kötü yönetilmeleri değil, hacker ve siber suçluların her gün daha akıllıca hareket etmeleridir. Yaşanan güvenlik ihlalleri ile ilgili bilgi paylaşımı, Dünya Ekonomik Forumu’nun Siber-Direnç2 inisiyatifinde de belirtildiği üzere, kendimizi daha iyi korumamızı sağlayacak bir gerekliliktir. 

Yaşananlar bize şunu net olarak göstermektedir: Güvenlik ihlalleri bir şekilde bir gün sizin de başınıza gelecek ve bu kaçınılmazdır. Aynı zamanda örneklerden görüyoruz ki, daha dirençli bir siber alanın yaratılması için birbirimize bağımlıyız. Örneğin, online medya kötü niyetli yazılımların yayılması için kullanılabilir, yüksek teknoloji sektöründeki kırılganlıklar dijital teknolojiyi kullanan diğer sektörlere etki edebilir ve online ödemelerde yaşanacak bir sıkıntı e-ticareti sekteye uğratabilir. Bu örnekleri anlayarak ve paylaşarak, üst yönetim ve yönetim kurulu seviyesinde sorumluluk alınması ile daha güvenli bir siber alanı hep birlikte yaratabileceğimize inanıyoruz. 

Küresel Siber Güvenlik Yönetici Bilgilendirme Formu

Yüksek Teknoloji

Yüksek teknoloji sektörü, elinde bulundurduğu değerli bilgilerle, siber saldırılar açısından hem çok cazip, hem de çoğu zaman savunmasız durumdadır. Diğer önemli bir sebepse, yüksek teknoloji şirketlerinin doğasında yatmaktadır: Yüksek teknoloji şirketleri ve çalışanları diğer sektörlere kıyasla, ortalama üstü bir risk iştahına sahiptirler. Yeni teknolojileri en erken alan ve uygulayan kişiler olarak henüz olgunlaşmamış bu teknolojik araçların tehlikelerine ve muhtemel saldırılara karşı açık ve kırılganlardır.  Örneğin, yüksek teknoloji çalışanlarının, henüz çok da güvenli olmayabilecek son model bir mobil cihaz ya da yeni bir uygulamayı ilk kullanan kişiler olması kuvvetle muhtemeldir. Yüksek teknoloji şirketleri genellikle açık ofis çalışırlar ve kurum kültürü yaratıcılık ve ortak çalışmayı özendirecek şekilde kurulmuştur. Ancak bu noktalar aynı zamanda siber tehlikelere karşı savunma söz konusu olduğunda korunması çok da kolay olmayan durumları ortaya çıkarmaktadır. Dolayısıyla, yüksek teknoloji şirketleri, güvenlik ihtiyacı söz konusu olduğunda, daha geniş bir alanı düşünmek ve korumak zorunda kalmaktadırlar. 

Online Medya

Siber tehditlere karşı en savunmasız alanlardan biri online medya sektörüdür. Bu kurumların online çalışıyor olmaları, saldırı yüzeylerini ciddi anlamda artırmaktadır. Ürünlerinin yüksek talep gördüğü ve tamamen dijital çalışan bu sektör, izinsiz erişimi amaçlayan ya da değerli içeriğin hedef alındığı şahsi veya örgütlü suç eylem ve saldırılarında çokça hedef haline gelmektedir. 

Telekomünikasyon

Telekom şirketlerinin büyük ölçekte ve önemli verinin iletilmesi ve depolanmasında yaygın olarak kullanılan kritik altyapıyı inşa etmeleri, kontrol etmeleri ve işletmeleri bu sektörü siber saldırılar için önemli bir hedef haline getirmektedir.

E-Ticaret ve Online ödemeler

Şirketler her geçen gün hizmetlerini daha fazla teknoloji alanına kaydırdığı için, suçlular da aynı şeyi yapmaya başlamıştır. Çoğu e-ticaret sitesi veri işleme ve tedarik yönetimi için doğrudan hem internete hem de bir şirketin sunucu uygulama sistemlerine bağlı çalışmakta, bu da internet sitesini kurum dahilindeki önemli bilgi varlıklarına erişmede önemli bir saldırı noktası haline getirmektedir.

Sigortacılık

Sigorta şirketleri müşterilerle daha sıkı ilişkiler kurmak, müşterilere yeni ürünler sunmak ve müşterilerin portföyünde daha fazla yer edinmek için dijital kanallara yönelmeye başlamıştır. Dolayısıyla sigorta sektöründeki siber saldırılar da gitgide artmaktadır. Bu yönelim enerji portalları, online poliçe uygulamaları, taleplerin açılması için web ve mobil tabanlı uygulamalar gibi entegre altyapı sağlama platformlarının yanı sıra geleneksel temel BT sistemlerine (örneğin, poliçe ve talep sistemleri) daha fazla yatırım yapılmasını gerektirmektedir. Bu dijital yatırımlar yeni stratejik imkânlar sağlasa da, çok kanallı ortamın zorluklarıyla başa çıkmada nispeten deneyimsiz olan kurumlar için yeni siber riskleri doğurmaktadır. Ayrıca, sigortacıların büyük veri ve ileri seviye analitik uygulamalara geçişi ile zorluklar da şekil değiştirip karmaşıklaşabilmektedir.

Sigortacılar veri analizinde yeni ve yenilikçi yöntemler bulurken, aynı zamanda siber saldırılara karşı verilerin güvenliğini sağlamanın da yollarını bulmak zorunda kalmışlardır.

Üretim

Üreticiler artık sadece hackerlar ve siber suçlular gibi bilinen oyuncuların saldırılarına maruz kalmamakta, rakip firmalar ve kurumsal casusluğa karışan devletler de tehlike arz etmeye başlamıştır. Saldırılar, para kazanmak, rekabet avantajı elde etmek, intikam almak ve stratejik zarar vermek gibi motivasyonlarla yapılabilmektedir. 

Perakende

Kredi kartı bilgileri hackerlar ve suçlular için yeni gözde para birimine dönüşmüştür ve perakendecilerde bu bilgilerden fazlasıyla bulunmaktadır. Bu durum perakende sektörünü siber saldırılar için karşı konulamaz bir hedefe dönüştürmektedir.

Sonuçlar

Bu raporda, siber saldırıların hedef aldığı yedi temel sektöre odaklandık. Sonraki raporlarda siber güvenlik kırılganlığı yüksek diğer sektörleri de ele alıyor olacağız. Özetle, raporun ortaya koyduğu en önemli nokta şudur: Güvenlik ihlalleri kaçınılmazdır, hiçbir kurum ya da sektör bundan muaf değildir. Sizin firmanız da bir gün bir şekilde hacklenecektir.   

Saldırıların çalınan maldan, idari para cezalarına, yasal zararlardan maddi tazminata kadar önemli maddi zararları beraberinde getirmekte olduğu görülmüştür. Ancak üzücü bir şekilde bunlar buzdağının sadece görünen kısmıdır. Asıl önemli zararlar başta rekabet avantajının yitirilmesi, müşterinin güveninin yitirilmesi, kurumun itibarının ve markasının zedelenmesi olmak üzere maddi olmayan varlıklarda görülmektedir. Bu gibi maddi olmayan varlıklar kurumun stratejik pazar konumu ve hisse fiyatları üzerinde önemli bir etkiye sahip olabilmektedir.

İyi haber ise siber tehditlerin yönetilebilir bir sorun olmasıdır. Daha önce de belirttiğimiz üzere, iyi dengelenmiş bir siber savunmanın güvenli, farkında ve dirençli olması gerekmektedir. Bir kurumun %100 güvenli olması mümkün olmasa da, bu üç temel özelliğe odaklanmak suretiyle siber tehditleri etkilerini azaltarak ve potansiyel iş zararını en aza indirerek yönetmesi kesinlikle mümkündür.

Son olarak, güvenli, farkında ve dirençli bir siber güvenlik yaklaşımı açısından beş önemli soruya yer veriyoruz:

1.     Doğru şeylere mi odaklanıyoruz?

Sıklıkla sorulan, ancak doğru uygulanması güç bir konu: Kurumunuzda değerin nasıl oluştuğu, kritik varlıkların neler olduğu, bu varlıkların ne gibi zayıflıkları olduğu ve ne gibi tehditlerle karşılaşılabileceğinin belirlenmesi ve derinlemesine savunma (defense-in-depth) ile güvenlik kontrollerinin uygulanması gerekmektedir.

2.     Doğru yetkinliğe sahip miyiz?

Nicelikten ziyade nitelik: Şirkette herşeyi içeriden halledebilecek nitelikte çalışanlar olması mümkün olamayabilir. Bu nedenle kaynak alımı kararlarında stratejik bir yaklaşımla hareket edilmesi gerekmektedir. Güvenlik ekiplerinin ana faaliyet ve iş alanlarına odaklanmış durumda olup olmadığı sorusunun cevaplanması gerekmektedir.

3.     Proaktif mi yoksa reaktif miyiz?

Geriye dönük donanım iyileştirmesi çok pahalıdır. Bu nedenle yönetim süreçlerinizin, uygulamalarınızın ve altyapınızın önceden kurulmuş (proaktif) olması gerekmektedir.

4.     Açık sözlülüğü ve işbirliğini teşvik ediyor muyuz?

Ortaklarınızla, güvenlik güçleriyle, düzenleyicilerle ve satıcılarla güçlü ilişkiler kurulması gerekmektedir. İşbirliğinin teşvik edilmesi ve insanların riskleri gizleyerek kendilerini korumaya çalışmadıklarından emin olunması gerekmektedir.

5.     Değişikliğe ayak uydurabiliyor muyuz?

Tehdit ve risklere uyum sağlayabilen bir şirket kültürü oluşturmak için politika ve süreçlerde gözden geçirme; değerlendirme ve olay müdahele testlerinin düzenli bir şekilde yapılması gerekmektedir. 

Faydalı buldunuz mu?