İşletmeler her geçen gün iş yapış biçimlerini değiştirerek maliyetlerini düşürmek verimliliklerini artırmak hızlanmak ve müşterileriyle Sex Hikayeleri daha faal bir halde etkileşime geçerek rakiplerinin önüne geçmelerini sağlayacak dijital teknolojilere ve bilgi tabanlı sistemlere daha fazla yatırım yapıyorlar Bütün bu gelişmeler potansiyel siber atak alanını süratle genişletiyor ve kurumlar için daha evvel geçerli olmayan yeni riskler oluşturuyor Siber hatalılar da eş vakitli olarak yetkinliklerini daha ileri düzeylere taşımaya devam ediyor Bilhassa organize kabahat örgütleri ve devlet takviyeli siber taarruzların sıklıkları artıyor ve kapsamları genişliyor
Şirketleri etkileyebilecek siber tehditler şirketlerin faaliyet gösterdiği dala büyüklüklerine ve bağlı oldukları bölgeye nazaran değişkenlik gösteriyor Aon bu manada şirketlerin maruz kaldıkları siber riskleri yanlışsız tahlil etmeleri gerektiğini savunuyor ve bunları proaktif bir temelde ele almalarını öneriyor
Raporun bulgularını kıymetlendiren Aon Türkiye Eş CEO su Selda Oknas
Raporun bulgularını pahalandıran Aon Türkiye Eş CEO su Selda Oknas şunları söyledi
2018 de dünya genelinde proaktif bir yaklaşımla siber akın riskini azaltacak önleyici önlemlere yatırım yapan şirketlerin yararlı çıktığını görüyoruz 2019 da dijitalleşen dünyada oluşan büyük fırsatlar büyük riskleri de beraberinde getiriyor ve bu nedenle siber risklere karşı önlem alma gereksiniminin katlanarak artacağını öngörüyoruz Teknoloji ve dijital dönüşümün sunduğu fırsatlardan yararlanırken şirketleri siber akınlara karşı koruyacak önlemleri de eş vakitli olarak hayata geçirmelerini idare takımlarına tavsiye ediyoruz Aon un 2019 Siber Riskler Raporu kurumların bilhassa tehdit istihbaratı paylaşımına takviye vermelerinin kıymetini ortaya koyuyor Farklı dallar ve kurumlar ortasındaki siber güvenlik dayanışması şirketlerin en bedelli varlıklarının başında yer alan dijital bilgilerin güvenliğinin sağlanmasına değerli katkıda bulunacaktır
Aon un raporunda öne çıkan tespitler şöyle
Teknoloji Bugüne kadar fiziki ofisler ve mağazalar vasıtasıyla müşterilerine ulaşan klasik şirketlerin bulut bilişim vasıtasıyla süratle dijital iktisadın XaaS servis sağlayıcılarına dönüşmesi onları yeni ve potansiyel olarak şimdi bilinmeyen risklerle karşı karşıya bırakıyor Teknolojinin daha ağır ve geniş kapsamda kullanılması şirketlerin iş yapış biçimlerinde esaslı değişikliklere neden oluyor ve siber ataklara yönelik yeni zafiyetler yaratıyor Şirketler bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam ederken bu riskleri yönetebilmelidir
Tedarik zinciri Tedarik zinciri tarafında yaygın görülen iki eğilimin önümüzdeki yıllarda siber risklerin bariz biçimde artmasına neden olabileceği öngörülüyor Bunlardan biri taşınabilir ya da objelerin interneti özellikli yeni kuşak aygıtlar vasıtasıyla bulut ortamlarına genişleyen ve siber akın riskine maruz operasyonel bilgilerin süratle artması olarak kabul ediliyor İkincisi ise şirketlerin her geçen gün daha fazla bel bağladığı üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının siber saldırganların şirketlerin tedarik zincirine ulaşabilecekleri yeni art kapılar sunması olarak öne çıkıyor Ponemon Institute un 2018 yılında yaptığı bir araştırma ABD ve İngiltere deki şirketlerin yüzde 59 u üçüncü taraf aracılığıyla en az bir sefer bilgi ihlaline maruz kaldıklarını belirtirken sadece yüzde 35 i üçüncü taraf risk idaresi programlarının kâfi olduğunu düşünüyor
Nesnelerin interneti Günümüzde artık ömrün her alanına dahil olan objelerin interneti aygıtları potansiyel bir güvenlik riski teşkil ediyor Pek çok şirketin işlerini yürütürken kullandığı ağ irtibatlı objelerin interneti aygıtlarının konferans sistemleri güvenlik kameraları yazıcılar bina otomasyon sistemleri vb sayısı şirketlerin idaresindeki bilişim teknolojileri varlıklarının sayısını aşabiliyor O denli ki 2018 Ponemon Institute anketine nazaran şirketlerin yüzde 52 si 1000 adet aygıtın yer aldığı bir objelerin interneti envanterini yönettiğini söylerken çalışmanın sonucunda ortalama 15 binin üzerinde objelerin interneti aygıtının kullanıldığı ortaya çıktı Yani şirketler objelerin interneti aygıtlarının tamamını inançlı bir biçimde yönetemiyor hatta bu aygıtların envanter kaydını dahi tutmuyor Bu da şirketlerin data ihlaline uğramasına neden oluyor
İş faaliyetleri Endüstriyel denetim sistemleri ve kritik kamu hizmetleri altyapıları klâsik manada bağımsız ağlar olarak işletilmekle birlikte her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta ve klasik Bilişim Teknolojileri ortamlarına entegre olmaktadır Bu durum operasyonel verimliliği artırırken potansiyel siber hücum alanını da genişletmekte ve saldırganlar için şirketin BT ağının tamamına ulaşabilmeyi kolaylaştırarak iş durması riskini artırmaktadır Öte yandan yetersiz olan yedekleme süreçleri de siber atakların kurumların iş faaliyetleri üzerindeki tesirinin daha şiddetli olmasına yol açıyor Kurumların WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan siber akınların potansiyel tesirlerinin farkında olmaları ve iş sürekliliğini sağlayacak gerekli önlemleri almaları kıymet arz ediyor
Çalışanlar Gerek berbat niyetli olsun gerekse ihmal sebepli olsun çalışanlar bilgi ihlali hadiselerinin en yaygın nedenlerinden biri olmaya devam ediyor Aon un anketine nazaran iştirakçilerin yüzde 53 ü 2018 yılında şirketlerinin içeriden kaynaklı bir siber hücum yaşadığını söyledi Çalışanlar çalıştıkları kurumun siber güvenliği için büyük bir tehdit oluşturduklarının birçok kere farkında olmayabiliyor Kurumların kurum içi siber güvenlik risklerini azaltmak için kapsamlı bir yaklaşım geliştirmeleri gerekiyor Bu doğrultuda güçlü data idaresi kurum genelinde siber güvenlik siyasetlerinin irtibatın yapılması aktif erişim ve data müdafaa denetimlerinin uygulanması gerekiyor
Şirket birleşmeleri ve satın almalar IMAA Institute un datalarına nazaran 2018 de şirket birleşmeleri ve satın almaların tüm dünyada toplam bedelinin 4 trilyon dolara ulaştığı düşünülüyor Birleşme ve satın almalar artarken siber güvenlik riskleri de süratle artıyor Siber saldırganlar sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor Yeni bir birleşme yahut satın alma sürecinde muahede tamamlanmadan evvel meydana gelebilecek bir siber hücum satın alma fiyatını önemli oranda düşürebiliyor
Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve problemsiz olsa da bilhassa satın alınacak ya da birleşilecek maksat şirketin birebir halde siber güvenlik önceliklerini yerine getirdiğinden emin olması gerekiyor
Yasal düzenleme Bilhassa 2018 de tüm dünyada siber güvenlikle ilgili çeşitli yasal düzenlemeler yürürlüğe girdi Buna bağlı olarak şirketlerin yasal düzenlemelere ahenk riskinin 2019 da daha dikkatli bir formda değerlendirmesi ve gerekli önlemleri alması gerekiyor 2018 mayıs ayında yürürlüğe giren ve Avrupa Birliği üyesi ülkelerde uygulanmaya başlanan GDPR Avrupa Birliği Genel Data Muhafaza Yönetmeliği ihlali durumunda siber güvenlikle ilgili olarak 20 milyon Euro ya ya da bir kuruluşun yıllık küresel cirosunun yüzde 4 üne varan önemli yaptırımları da beraberinde getiriyor O denli ki 2018 deki çok büyük data ihlallerinin sorumlusu olan şirketlerin GDPR kapsamındaki ihlallerinin netleşmesi durumunda şirket başına 500 milyon dolar ile 1 milyar doların üzerinde bir para cezası alabileceği kestirim ediliyor
Yönetim Heyeti Siber güvenlik idaresi idare şuraları için kıymetli bir gündem hususu olmaya devam ediyor Lakin yakın geçmişe bakıldığında idare konseyi üyeleri siber idareyle ilgili artan ferdî sorumluluk riskiyle de karşı karşıya kalıyor Hissedarların yüksek profilli data ihlallerinden kimilerinde yöneticilere karşı tazminat talebinde bulunduğu gözleniyor İdare şurası üyelerinin siber güvenlikle ilgili daha kararlı bir tavır sergileyerek hem siber güvenlik idaresiyle ilgili alınan aksiyonlar hem de proaktif önlemler konusunda tüm şirkete bu manada da önderlik etmesi büyük değer arz ediyor Aon un raporu 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan idare konseyi üyelerinin dörtte üçünün bir yıl öncesine nazaran siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor