Araştırmaya göre; kuruluşlar her geçen gün siber güvenlik alanına yönelik yatırımlarını artırıyor ve siber savunma sistemlerini güçlendiriyor. Ancak araştırma siber saldırganların ileri teknolojilerden yararlandıkça, saldırı çeşitliliğinin yoğunlaştığını ve siber saldırı sayısında son beş yılda yaklaşık %75 artış olduğunu gösteriyor.

Uluslararası danışmanlık şirketi EY (Ernst & Young), Küresel Siber Güvenlik Liderliği İçgörüleri araştırmasının sonuçlarını açıkladı. Araştırmaya göre, artan siber saldırı tehditlerine karşı bu alanda yapılan düzenli yatırımlara rağmen, bilgi güvenliği liderleri (CISO'lar) ve üst düzey yöneticilerden sadece beşte biri, yaklaşımlarının bugünün ve yarının zorluklarına karşı etkili olduğunu düşünüyor.

Araştırma; kuruluşların yılda ortalama 44 önemli siber vakayla karşı karşıya kaldığını ve bilinen siber saldırı sayısının son beş yılda yaklaşık %75 arttığını gösteriyor. Kuruluşların dörtte üçünün bir vakayı tespit etmesi ve müdahale etmesi ortalama 6 ay veya daha uzun sürüyor. Fidye yazılımı saldırılarının şirketlere maliyetleri 2021'de 20 milyar ABD dolarıyken, 2031 yılına kadar 265 milyar ABD doları seviyesine ulaşacağı öngörülüyor.

Siber güvenliği benimsemek şirketleri hem koruyor hem de değer yaratıyor

EY araştırmasına göre; en etkili siber güvenliğe sahip şirketler daha düşük performans gösterenlere göre daha az siber vakayla karşılaşıyor. Vakaları tespit etme ve yanıt verme konusunda da daha hızlı aksiyon alıyorlar. Ayrıca, günümüz siber güvenlik yaklaşımlarından memnun olma (%51'e karşı %36) ve yarının tehditlerine karşı kendilerini hazırlıklı hissetme olasılıkları daha yüksek (%53'e karşı %41). Bunun yanı sıra şirketlerin etkili bir siber güvenlik yaklaşımını benimsemesi, kuruluşlara koruma sağlarken aynı zamanda değer katıyor. Pazar fırsatlarına yanıt verme becerileri, dönüşüm ve inovasyon hızları önemli ölçüde yükseliyor.

Siber güvenlik için bütünsel bir teknoloji stratejisi geliştirilmesi gerekiyor

Araştırma sonuçlarına göre; 2010 ile 2022 yılları arasında siber güvenlik alanına 1,3 trilyon ABD doları yatırım yapıldı ve bu yatırım yıllık olarak %16,6 oranında arttı. Siber güvenlik araçları ve uygulamaları karmaşıklık, hız ve etkililik bakımından gelişti. Ancak ironik olarak etkili siber güvenliğe yönelik en büyük tehdidi de güvenlik önlemlerinin ölçeği ve karmaşıklığı oluşturuyor. Çünkü teknoloji ortamınızda ne kadar dağınıklık varsa, sinyalleri almak ve sorunlara hızla çözüm bulmak da o kadar zor oluyor. Karmaşıklığı azaltan en etkili yöntem ise donanım otomasyonu. Bu doğrultuda, şirketlerde teknolojiyi tek bir platformda birleştirmek entegrasyonu kolaylaştırıyor ve ilgili ekiplerin siber vakaları daha verimli bir şekilde tespit etmesine yardımcı oluyor.

Siber riskte öne çıkan alanlar; Bulut, IoT ve tedarik zincirleri

Ankete katılan dört kişiden üçü, bulut ve IoT (nesnelerin interneti) konularını önümüzdeki beş yıldaki en büyük teknoloji başlıkları olarak gördüğünü belirtiyor. Araştırmaya göre; bulut teknolojisinin benimsenmesiyle siber saldırı alanları da katlanarak arttı. Değişimin hızı ise artmaya devam ediyor ve şirketler buna ayak uydurmaya çalışıyor. Bu hızlı değişimler, bulut arayüzleri ve ortamı etrafında yeterli analiz ve planlama yapılmadan bulut ve IoT sistemlerine geçiş yapıldığında, şirketleri veri kaybına, ihlallerine ve kesintilerine maruz bırakma potansiyeline sahiptir. Bu riskleri önlemek ve zorlukların üstesinden gelmek için şirketlerin otomasyon teknolojisinden faydalanması gerekiyor. En etkili siber güvenliğe sahip şirketlerin CISO'larının yarısı, kuruluşlarının siber güvenlik yaklaşımlarında bulut düzenlemesini ve otomasyonunu kullandığını belirtiyor.

Araştırmada öne çıkan bir diğer risk faktörü; tedarik zincirleri. Artık tüm kuruluşlar, tedarik zincirlerindeki işletmelere ayrılmaz bir şekilde ve dijital olarak bağlı. Son beş yılda tehdit aktörlerinin en zayıf halka olarak gördükleri tedarik zincirlerini hedef aldığı görünüyor. Bu sebeple CISO'ların, yalnızca bir defaya mahsus değil düzenli olarak kuruluşlarının tedarik zincirlerini kontrol altında tutması gerekiyor. Ayrıca tedarik zincirindeki tüm siber saldırı alanlarının tespit edilebilmesi için operasyon direktörleri (COO'lar) ve diğer operasyon liderleriyle iş birliği içinde olunması kritik önem taşıyor.

CISO’lar yönetim masasında

CISO rolü daha önceden öncelikli olarak operasyonel ve teknik alanı ilgilendirirken, belli bir olgunluğa erişmiş organizasyonlarda artık siber güvenlik başlı başına bir departman olarak faaliyet gösteriyor ve üst yönetim katında da söz sahibi oluyor. EY araştırması, giderek daha fazla öne çıkan rolleri sayesinde, CISO'ların günümüzün yüksek riskli ortamında gerekli kaynakları güvence altına alma konusunda genel olarak başarılı olduklarını ortaya koyuyor. 

EY Türkiye Siber Güvenlik Hizmetleri Lideri ve Danışmanlık Bölümü Şirket Ortağı Ateş Sünbül, ilgili araştırma sonucunda çıkan temel eylem konularını şu şekilde değerlendirdi; 

EY Küresel Siber Güvenlik Liderliği İçgörüleri araştırması, üst düzey liderlerin mevcut ve beklenen bir dizi tehditle mücadele ettiğine dair çarpıcı bulgular ortaya koyuyor. Ancak şirketler; teknolojilerinde basitliği ve bütünsel bakış açısını göz önünde bulundurarak siber riskleri minimuma indirebilirler. Bununla birlikte, siber güvenliğin yalnızca varlıkların korunmasıyla ilgili olmadığını unutmamak gerekir. İyi uygulandığında kurum çapında inovasyonu ve katma değeri destekleyip hızlandırabilir. Dolayısıyla siber güvenliğin organizasyonun ve işletim modelinin her parçasına entegre edilmesi, fonksiyonun değer yaratan bir itici güce dönüşmesini sağlayabilir. Belli bir olgunluk seviyesindeki kuruluşlar, personelin siber güvenlik alanında düzenli eğitim almasını sağlayarak, en yeni otomasyon ve önleyici araçlardan yararlanarak daha etkili bir siber güvenlik sistemi elde edebilirler.”

EY araştırmasıyla ilgili olarak detaylara EY web sitesi üzerinden ulaşılabilir.

Editör: Hasan Burak Karadeniz