DTEX Systems’e göre kuruluşlar içeriden kaynaklanan olayları kontrol altına almak için her zamankinden daha fazla zaman harcadığından, içeriden kaynaklanan riskin maliyeti şimdiye kadarki en yüksek seviyede.
İçeriden kaynaklanan riskin ortalama yıllık maliyeti, dört yılda %40 artışla 16,2 milyon dolara yükseldi. Bu arada içeriden öğrenilen bir olayın kontrol altına alınması için gereken ortalama gün sayısı 86 güne çıktı.
Bu yılki çalışma, bir kuruluşun içeriden öğrenilen bir güvenlik olayıyla karşılaşması durumunda ortaya çıkan maliyetleri analiz etmenin yanı sıra, kuruluşların içeriden risk programlarını nasıl finanse ettiğine dair ilk kez bilgiler de içeriyor. Bulgular, kuruluşların %46’sının 2024 yılında içeriden risk programlarına yatırımlarını artırmayı planladığını gösteriyor. Araştırmada ayrıca kuruluşların %77’sinin içeriden risk programı başlatmayı planladığı ortaya çıktı.
“Kuruluşların içeriden risk programlarına yatırımlarını artırmayı planlamaları teşvik ediliyor çünkü bu sadece önceki olaylar nedeniyle değil, müşterilerin ve yeni sektör düzenlemelerinin gerektirdiği bir şey. Bu, gecikmiş ilgi ve önceliklendirmenin habercisi olan önemli bir değişiklik,” dedi DTEX Systems CTO Rajan Koo.
İçeriden öğrenilen risk yönetimine yetersiz yatırım
İçeriden risk yönetimi etrafındaki ivme, içeriden kaynaklanan güvenlik olaylarını kontrol altına alma maliyetlerinin, sıklığının ve süresinin artmasıyla ortaya çıkıyor. Araştırma analisti Gartner’a göre içeriden risk yönetimi, “kurum içindeki güvenilir hesapların istenmeyen davranışlarını ölçmek, tespit etmek ve kontrol altına almak için kullanılan araç ve yetenekler” anlamına geliyor.
İçeriden öğrenilen risklerin artan maliyetine rağmen, kuruluşların %88’i toplam BT güvenlik bütçelerinin %10’undan azını içeriden risk yönetimine harcadı. Kuruluşların çalışan başına 2.437 ABD doları tutarında bir BT güvenlik bütçesi vardı, ancak bunun yalnızca %8,2’si (çalışan başına 200 ABD dolarına eşdeğer) özellikle içeriden öğrenilen risk programlarına ve politikalarına tahsis edildi.
Kuruluşların yarısından fazlası sosyal mühendisliği tüm dış saldırıların önde gelen nedeni olarak nitelendirmesine rağmen, BT güvenliği bütçesinin kalan %91,8’i dış tehditlere harcandı.
Koo, bulguların, temel nedenin içeriden başladığına dair artan kanıtlara rağmen bütçelerin reaktif “semptom yönetimi” için israf edildiğini gösterdiğini söyledi. “Bulgular, içeriden risk olarak ortaya çıkan insanın, sosyal mühendislik de dahil olmak üzere tüm veri ihlallerinin önde gelen nedeni olduğunu gösteriyor” dedi. “Bu, içeriden öğrenilen risklerin türleri konusunda yaygın bir yanlış anlaşılmanın olduğunu ve müşteri verilerinin ve fikri mülkiyet haklarının proaktif olarak korunmadığının altını çiziyor.”
Ponemon Enstitüsü başkanı Dr. Larry Ponemon şu yorumu yaptı: “Bu araştırmayı yürütmekteki amacımız, çalışanların bir kuruluşun hassas verilerinin işlenmesinde ihmalkar, kurnazca veya kötü niyetli davranması durumunda ortaya çıkan önemli maliyetler konusunda farkındalık yaratmaktır. Bu çalışmanın benzersiz olduğuna inanıyoruz çünkü maliyetleri içeriden öğrenen kişinin türüne, olayı kontrol altına almak için gereken süreye ve maliyetleri azaltmada en etkili teknolojilere göre analiz ediyor. Bu tür bilgiler, maliyetleri azaltırken içeriden öğrenilen risklerle daha etkili bir şekilde başa çıkmak için bir strateji oluşturmada faydalıdır.”
İçeriden öğrenilen risk programı finansmanı artacak
İçeriden kaynaklanan bir riskin ortalama yıllık maliyeti, 2022’de 15,4 milyon dolardan dört yılda %40 artarak 16,2 milyon dolara yükseldi. 2023’te içeriden öğrenilen bir olayı kontrol altına almak için geçen ortalama gün sayısı 86 güne çıktı. Yanıt verme süresi ne kadar uzun sürerse maliyet de o kadar yüksek olur (kontrol altına alınması 91 günden fazla süren olaylar için 18,33 milyon dolar).
Kuruluşların çalışan başına ortalama 2.437 ABD doları tutarında bir BT güvenlik bütçesi vardı, ancak bunun yalnızca %8,2’si (çalışan başına 200 ABD dolarına eşdeğer) özellikle içeriden öğrenilen risk yönetimi programlarına ve politikalarına tahsis edildi.
İçeriden öğrenilen risk yönetimi bütçesinin yalnızca %10’u (olay başına ortalama 63.383 ABD doları) olay öncesi faaliyetlere harcandı: 33.596 ABD doları izleme ve gözetleme için ve 29.787 ABD doları olay sonrası analiz için (buna gelecekteki potansiyel içeriden kaynaklanan olayları en aza indirmeye yönelik faaliyetler ve iletişim için atılan adımlar dahildir) kilit paydaşlarla öneriler).
Geriye kalan %90’lık kısım (olay başına ortalama 565.363 dolar) olay sonrası faaliyet maliyet merkezlerine harcandı: 179.209 dolar kontrol altına alma, 125.221 dolar iyileştirme, 117.504 dolar soruşturma, 113.635 dolar olay müdahalesi ve 29.794 dolar üst kademeye iletme için.
Çoğu kuruluşun BT güvenliği bütçelerinin ortalama %8,2’sini içeriden öğrenilen risk programlarına ayırmasına rağmen, %58’i mevcut harcamaları yetersiz görüyor ve %46’sı finansmanın gelecek yıl artmasını bekliyor. Kuruluşların %77’si içeriden risk programı başlattı veya başlatmayı planlıyor.
İçerideki olayların çoğuna kötü niyetli olmayan kişiler neden olur
Ankete katılanların %75’i içeriden alınan riskin en olası nedeninin kötü niyetli olmadığını söyledi: içeriden ihmalkar veya hatalı bir kişi (%55) veya dışarıdan bir saldırı veya düşman tarafından istismar edilen, zeki bir içeriden (%20).
Kuruluşların %53’ü, sosyal mühendisliğin (kimlik avı, bahane uydurma ve iş e-postasının ele geçirilmesi dahil) içeriden veya dışarıdan gelen saldırıların önde gelen nedeni olduğunu söyledi.
Finansal hizmetlerin ortalama faaliyet maliyeti 20,68 milyon dolar, hizmetlerin (muhasebe, danışmanlık ve profesyonel hizmet firmaları dahil) maliyeti ise 19,09 milyon dolardır.
Özel bir içeriden risk programına sahip olan veya sahip olmayı planlayan kuruluşların %52’si, yukarıdan aşağıya desteğin ve programın desteklenmesinin (örneğin içeriden öğrenenlerin risk yönlendirme komitesi) önemli bir özellik olduğunu bildiriyor. %51’inin hukuk, insan kaynakları, iş kolu ve BT güvenliğinden oluşan farklı işlevlere sahip bir ekibi var.
Kuruluşların üçte biri yapay zekayı ve makine öğrenimini içeriden kaynaklanan olayların önlenmesi, soruşturulması, üst kademeye iletilmesi, kontrol altına alınması ve iyileştirilmesi için gerekli görürken, %31’i bunu çok önemli görüyor.