İhlal Bildirimi, Güvenlik Operasyonları, Standartlar, Düzenlemeler ve Uyumluluk
Anket: 2023’te KOBİ’ler, Hayır Kurumları Çoğunlukla Kimlik Avı ve Çevrimiçi Kimliğe Bürünmeyle Hedef Alınıyor
Akşaya Asokan (asokan_akshaya) •
10 Nisan 2024
Birleşik Krallık hükümetinin en son anket raporuna göre, siber suçlular Birleşik Krallık’taki işletmelere 7,78 milyon, yardım kuruluşlarına ise yaklaşık 1 milyon saldırı düzenledi. Ancak bu firmaların yarısından azı olayları yetkililere bildirdi; araştırmacılar bunun endişe verici bir eğilim olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Bilim, Yenilik ve Teknoloji Bakanlığı’nın Siber Güvenlik İhlalleri Araştırması 2024 raporu Salı günü yayınlandı. Ankette 2.000 işletmeye ve 1.004 hayır kurumuna olay raporlaması soruldu ve rapora göre “bu vakaların çoğu, ihlalleri yalnızca harici siber güvenlik veya BT sağlayıcılarına bildiren kuruluşlardan oluşuyor ve başka kimseye değil.”
Cardiff Üniversitesi hukuk profesörü Nicholas Ryder, birçok kuruluşun, düzenleyici kurumların ağır para cezaları vermesinden ve bunun ifşa edilmesinin itibara zarar vermesinden korktukları için siber olayları bildirme konusunda isteksiz olduğunu söyledi.
Birleşik Krallık Bilgi Komiserliği Ofisi, işletmelerin ve diğer kuruluşların bir siber olayı 72 saat içinde bildirmelerini şart koşuyor ancak raporlama yükümlülükleri, hedeflenen sistemlere yapılan saldırının ciddiyetine ve etkilenen müşteri sayısına bağlı.
Küçük kuruluşlara ve hayır kurumlarına yönelik saldırılar daha az şiddetli olma eğiliminde olduğundan, raporlama isteğe bağlıdır ve bu da bazı mağdur kuruluşların yeterli düzenleyici incelemeden kaçınmasına olanak tanır, aynı zamanda Birleşik Krallık Parlamentosu İçişleri Seçim Komitesinin dolandırıcılık soruşturmasında özel danışman olarak da görev yapan Ryder, dedi.
Glasgow merkezli Barrier Networks’ün CTO’su Ryan McConechy, herhangi bir kuruluş için saldırının ölçeği ne olursa olsun, olaya müdahale edilmemesinin bir “kırmızı bayrak” olduğunu söyledi. “Gayri resmi” ve “gevşek anlayış” gösteren bir saldırı azaltma stratejisine dayanan kuruluşların genellikle “zaman kaybetmeye ve daha ciddi saldırılara maruz kalmaya” yol açtığını söyledi.
McConechy, siber güvenlikle mücadele eden daha küçük kuruluşların, savunmalarını geliştirmek için bir başlangıç noktası olarak Ulusal Siber Güvenlik Merkezi’nin rehberliğini kullanması gerektiğini söyledi.
Ryder, rehberliğin doğası gereği gönüllü olma eğiliminde olduğundan firmaların onu takip etmeye zorlanmadığını söyledi. Bu sorunu çözmenin bir yolunun, siber saldırılar ve siber dolandırıcılık için raporlamayı zorunlu hale getirmek olduğunu söyledi.
Küçük ve Orta Ölçekli İşletmeler Risk Altında
Ankete göre saldırıların çoğu küçük ve orta ölçekli kuruluşları hedef alıyor ve karmaşıklıktan yoksundu. Çoğunlukla kimlik avı düzenleri ve çevrimiçi kimliğe bürünme içeriyordu. NCSC daha önce İngiliz hayır kurumlarını hedef alan fidye yazılımı saldırılarında olası bir artış konusunda uyarıda bulunsa da rapor, ankete katılan kuruluşların yalnızca %3’ünün fidye yazılımı tarafından hedef alındığını belirtiyor.
Ankete katılan kuruluşların çoğu kaynak ve siber güvenlik uzmanlığı eksikliği bildirdi. Ankette katılımcılara, kuruluşların siber risklerle başa çıkmalarına yardımcı olmak için tasarlanan Siber Güvenliğe 10 Adım gibi NCSC kılavuzlarına ilişkin farkındalıkları soruldu. Birçoğu tavsiyelerin tamamını takip etmedi ve tedarik zinciri risk yönetimi, düzenli olarak personel eğitimi verilmesi ve güvenlik açıklarının kapatılması gibi alanlara daha az öncelik verdi.