SecurityScorecard’a göre, AB’nin Dijital Operasyonel Dayanıklılık Yasası’nın (DORA) son tarihi olan 17 Ocak 2025’e yaklaşırken, Avrupa’nın en büyük 100 şirketi acil bir siber güvenlik sorunuyla karşı karşıya.
A dereceli şirketler ihlallere karşı daha güvenli
Rapor, SecurityScorecard’ın A’dan F’ye derecelendirme sisteminin siber dirençliliğe yönelik eyleme geçirilebilir bilgiler sunmadaki rolünü vurguluyor. A notuna sahip şirketlerin ihlal yaşama olasılığının F notuna sahip şirketlere göre 13,8 kat daha az olduğu görüldü.
Avrupa’nın en büyük kuruluşları, üçüncü ve dördüncü taraf ekosistemlerin önemli güvenlik açığı noktaları olarak ortaya çıkmasıyla birlikte artan siber güvenlik sorunlarıyla karşı karşıyadır. Endişe verici bir şekilde, Avrupa şirketlerinin %98’i geçen yıl üçüncü taraf ihlalleri yaşadı ve bu da işletmelerin operasyonel aksamalara ve itibar risklerine maruz kalmasına neden oldu.
Şirketlerin %18’i geçen yıl doğrudan ihlal bildirdi; bu da iç savunmadaki önemli boşlukları gösteriyor. Avrupa’nın en büyük 100 şirketinin yalnızca %26’sı siber güvenlik dayanıklılığı açısından A notuna ulaştı.
A notuna sahip Avrupa şirketlerinin %100’ü geçen yıl ihlalde bulunmadı (bu da A notuna sahip olmanın önemini gösteriyor).
Tedarik zincirindeki zayıf noktalar, rakiplerin kuruluşlara ve ağlara sızması için çok kolay bir giriş noktası oluşturuyor. Her büyüklükteki kuruluş yalnızca en zayıf halkası kadar güvenlidir; bu, güvenliğe büyük meblağlar yatıranların bile üçüncü ve dördüncü taraf güvenlik açıklarından kaynaklanan risklerle karşı karşıya olduğu anlamına gelir.
Enerji sektöründeki şirketler en düşük genel güvenlik derecelendirmesine sahip oldu; %75’lik endişe verici bir oran C veya altında not aldı. Bu endüstrilerin her ikisinin de üçüncü taraf satıcılar, iş ortakları ve hizmet sağlayıcılardan oluşan geniş ağlarla alışılmadık derecede karmaşık saldırı yüzeylerine sahip olduğu göz önüne alındığında, bu şaşırtıcı değildir. Enerji şirketlerinin %25’i de geçen yıl doğrudan ihlallerle karşılaştı.
Taşımacılık sektörü Avrupa’nın en güvenli sektörü olarak öne çıkıyor ve C veya daha düşük not alan hiçbir şirket yok. Şirketlerin yalnızca %25’inin C derecelendirme kategorisi veya altına düştüğü teknoloji sektörü yakından takip ediliyor.
İskandinav şirketleri siber güvenlik alanında lider konumdadır; Birleşik Krallık (%24), Almanya (%34), Fransa (%40) ve İtalya (%41) ile karşılaştırıldığında yalnızca %20’si C veya daha düşük not almaktadır. Fransa, sırasıyla %98 ve %100 ile en yüksek üçüncü ve dördüncü taraf satıcı ihlali oranına sahip. Bu oranlar İngiltere, Almanya, İtalya ve İskandinavya’daki oranları aşıyor ve tedarik zinciri güvenliğinin yönetilmesindeki önemli bir kırılganlığın altını çiziyor.
Büyük şirketler güvenlik derecelendirmelerinde küçük şirketlerden daha iyi performans gösteriyor
Piyasa kapitalizasyonuna göre ilk 50 şirket (82 milyar artı ABD doları), piyasa kapitalizasyonu daha düşük olan 50 şirketten daha yüksek güvenlik derecelendirmesine sahiptir. Piyasa değeri daha düşük olan şirketlerin ortalama %36’sı C veya altında nota sahiptir; Yüksek değere sahip şirketlerin ortalama %24’ü C veya altında nota sahiptir.
Bu, büyüklüğü, sektörü, değeri veya geliri ne olursa olsun, güçlü siber savunmalara sahip olmayan herhangi bir şirketin siber suçluların hedefi olabileceğini gösteriyor.
“Düşmanların küresel ağlara sızmak için bu zayıf bağlantılardan yararlanması nedeniyle tedarik zincirindeki güvenlik açıkları kritik bir tehdit olmaya devam ediyor. SecurityScorecard Tehdit Araştırması ve İstihbarattan Sorumlu Kıdemli Başkan Yardımcısı Ryan Sherstobitoff, DORA gibi siber güvenlik standartlarını yeniden şekillendirecek düzenlemelerle birlikte Avrupalı şirketlerin üçüncü taraf risk yönetimine öncelik vermesi ve ekosistemlerini korumak için derecelendirme sistemlerinden yararlanmaları gerektiğini söyledi.
“Verilerimiz, üst düzey siber güvenlik derecelendirmesine sahip kuruluşların ihlallerle karşılaşma olasılığının çok daha düşük olduğunu açıkça gösteriyor. SecurityScorecard Küresel Devlet İşleri ve Kamu Politikası Başkan Yardımcısı Jeff Le, “Bu derecelendirmelerden yararlanarak şirketler yalnızca kendilerini korumakla kalmayıp aynı zamanda satıcıları sorumlu tutarak daha güçlü, daha dayanıklı tedarik zincirleri yaratabilirler” dedi.
Siber güvenlik hijyeninin iyileştirilmesi, pek çok Avrupalı şirket için en önemli önceliktir; çünkü neredeyse tamamı üçüncü ve dördüncü taraf ihlalleriyle karşı karşıya kalmış ve bu da onları önemli risklere maruz bırakmıştır.