Küresel Siber Güvenlik Liderliği İçgörüleri araştırması, kuruluşların yılda ortalama 44 önemli siber vakayla karşı karşıya kaldığını ve bilinen siber saldırı sayısının son beş yılda yaklaşık yüzde 75 arttığını gösteriyor
Uluslararası danışmanlık şirketi EY (Ernst & Young), Küresel Siber Güvenlik Liderliği İçgörüleri araştırmasının sonuçlarını açıkladı. Araştırmaya göre, artan siber saldırı tehditlerine karşı bu alanda yapılan düzenli yatırımlara rağmen, bilgi güvenliği liderleri (CISO) ve üst düzey yöneticilerden sadece beşte biri, yaklaşımlarının bugünün ve yarının zorluklarına karşı etkili olduğunu düşünüyor.
Araştırma, kuruluşların yılda ortalama 44 önemli siber vakayla karşı karşıya kaldığını ve bilinen siber saldırı sayısının son beş yılda yaklaşık yüzde 75 arttığını gösteriyor. Kuruluşların dörtte üçünün bir vakayı tespit etmesi ve müdahale etmesi ortalama 6 ay veya daha uzun sürüyor. Fidye yazılımı saldırılarının şirketlere maliyetleri 2021’de 20 milyar dolarken, 2031 yılına kadar 265 milyar dolar seviyesine ulaşacağı öngörülüyor.
Siber güvenliği benimsemek şirketleri koruyor
EY araştırmasına göre; en etkili siber güvenliğe sahip şirketler daha düşük performans gösterenlere göre daha az siber vakayla karşılaşıyor. Vakaları tespit etme ve yanıt verme konusunda da daha hızlı aksiyon alıyorlar. Ayrıca, günümüz siber güvenlik yaklaşımlarından memnun olma ve yarının tehditlerine karşı kendilerini hazırlıklı hissetme olasılıkları daha yüksek. Bunun yanı sıra şirketlerin etkili bir siber güvenlik yaklaşımını benimsemesi, kuruluşlara koruma sağlarken aynı zamanda değer katıyor. Pazar fırsatlarına yanıt verme becerileri, dönüşüm ve inovasyon hızları önemli ölçüde yükseliyor.
Bütünsel bir teknoloji stratejisi geliştirilmeli
Araştırma sonuçlarına göre; 2010 ile 2022 yılları arasında siber güvenlik alanına 1,3 trilyon dolar yatırım yapıldı ve bu yatırım yıllık olarak yüzde 16,6 arttı. Siber güvenlik araçları ve uygulamaları karmaşıklık, hız ve etkililik bakımından gelişti. Ancak ironik olarak etkili siber güvenliğe yönelik en büyük tehdidi de güvenlik önlemlerinin ölçeği ve karmaşıklığı oluşturuyor. Çünkü teknoloji ortamınızda ne kadar dağınıklık varsa, sinyalleri almak ve sorunlara hızla çözüm bulmak da o kadar zor oluyor. Karmaşıklığı azaltan en etkili yöntem ise donanım otomasyonu. Bu doğrultuda, şirketlerde teknolojiyi tek bir platformda birleştirmek entegrasyonu kolaylaştırıyor ve ilgili ekiplerin siber vakaları daha verimli bir şekilde tespit etmesine yardımcı oluyor.
Siber saldırı alanları katlanarak arttı
Ankete katılan dört kişiden üçü, bulut ve IoT (nesnelerin interneti) konularını önümüzdeki beş yıldaki en büyük teknoloji başlıkları olarak gördüğünü belirtiyor. Araştırmaya göre, bulut teknolojisinin benimsenmesiyle siber saldırı alanları da katlanarak arttı. Değişimin hızı ise artmaya devam ediyor ve şirketler buna ayak uydurmaya çalışıyor. Bu hızlı değişimler, bulut arayüzleri ve ortamı etrafında yeterli analiz ve planlama yapılmadan bulut ve IoT sistemlerine geçiş yapıldığında, şirketleri veri kaybına, ihlallerine ve kesintilerine maruz bırakma potansiyeline sahiptir. Bu riskleri önlemek ve zorlukların üstesinden gelmek için şirketlerin otomasyon teknolojisinden faydalanması gerekiyor. En etkili siber güvenliğe sahip şirketlerin CISO’larının yarısı, kuruluşlarının siber güvenlik yaklaşımlarında bulut düzenlemesini ve otomasyonunu kullandığını belirtiyor.
Araştırmada öne çıkan bir diğer risk faktörü; tedarik zincirleri. Artık tüm kuruluşlar, tedarik zincirlerindeki işletmelere ayrılmaz bir şekilde ve dijital olarak bağlı. Son beş yılda tehdit aktörlerinin en zayıf halka olarak gördükleri tedarik zincirlerini hedef aldığı görünüyor. Bu sebeple CISO’ların, yalnızca bir defaya mahsus değil düzenli olarak kuruluşlarının tedarik zincirlerini kontrol altında tutması gerekiyor. Ayrıca tedarik zincirindeki tüm siber saldırı alanlarının tespit edilebilmesi için operasyon direktörleri (COO) ve diğer operasyon liderleriyle iş birliği içinde olunması kritik önem taşıyor.
“Şirketler, siber riskleri minimuma indirebilirler”
Araştırma sonucunda çıkan temel eylem konularını değerlendiren EY Türkiye Siber Güvenlik Hizmetleri Lideri ve Danışmanlık Bölümü Şirket Ortağı Ateş Sünbül, “EY Küresel Siber Güvenlik Liderliği İçgörüleri araştırması, üst düzey liderlerin mevcut ve beklenen bir dizi tehditle mücadele ettiğine dair çarpıcı bulgular ortaya koyuyor. Ancak şirketler, teknolojilerinde basitliği ve bütünsel bakış açısını göz önünde bulundurarak siber riskleri minimuma indirebilirler. Bununla birlikte, siber güvenliğin yalnızca varlıkların korunmasıyla ilgili olmadığını unutmamak gerekir. İyi uygulandığında kurum çapında inovasyonu ve katma değeri destekleyip hızlandırabilir. Dolayısıyla siber güvenliğin organizasyonun ve işletim modelinin her parçasına entegre edilmesi, fonksiyonun değer yaratan bir itici güce dönüşmesini sağlayabilir. Belli bir olgunluk seviyesindeki kuruluşlar, personelin siber güvenlik alanında düzenli eğitim almasını sağlayarak, en yeni otomasyon ve önleyici araçlardan yararlanarak daha etkili bir siber güvenlik sistemi elde edebilirler”