Cohesity’ye göre günümüzün yaygın siber saldırıları, şirketlerin çoğunluğunu fidye ödemeye ve “ödeme yapma” politikalarını ihlal etmeye zorluyor; veri kurtarma eksiklikleri sorunu daha da artırıyor.
Aslında çoğu şirket son iki yılda fidye ödedi ve büyük çoğunluk siber saldırı tehdidinin 2024’te 2023’e kıyasla önemli ölçüde artacağını bekliyor.
Şirketler artan siber tehditlere hazırlanıyor
Endişe verici bir şekilde, ankete katılanların %79’u şirketlerinin Haziran ve Aralık ayları arasında ‘fidye yazılımı saldırısının kurbanı’ olduğunu söyledi. Siber tehdit ortamının 2024’te daha da kötüleşmesi bekleniyor; katılımcıların %96’sı sektörlerine yönelik siber saldırı tehdidinin bu yıl artacağını söylerken, %71’i bunun %50’den fazla artacağını öngörüyor.
Kuruluşların saldırı yüzeyleri, veri ortamlarının boyutu ve kapsamına göre belirlenir. Ancak yanıt verenlerin %78’i, veri güvenliği risklerinin artık yönettikleri verilerdeki büyümeden daha hızlı arttığını söyledi. Katılımcılar ayrıca kuruluşların siber direnç ve veri güvenliği stratejilerinin mevcut tehdit ortamına ayak uyduramadığına inanıyor; yalnızca %21’i şirketlerinin siber direnç stratejisine ve ‘günümüzün artan siber zorluklarına ve tehditlerine yanıt verme’ becerisine tam güven duyuyor.
Siber dayanıklılık, iş sürekliliğinin teknoloji omurgasıdır. Şirketlerin bir siber saldırıya veya olumsuz bir BT olayına maruz kaldıklarında verilerini kurtarma ve iş süreçlerini geri yükleme yeteneklerini tanımlar. Ancak katılımcılara göre her şirketin siber dayanıklılık ve iş sürekliliği konusunda zorlukları var.
Katılımcıların tamamı verileri kurtarmak ve iş süreçlerini geri yüklemek için 24 saatten fazla bir süreye ihtiyaç duyduklarını söylerken, yalnızca %7’si şirketlerinin verileri kurtarıp iş süreçlerini 1-3 gün içinde geri yükleyebileceğini söyledi.
%35’i 4 ila 6 gün içinde kurtarıp geri yükleyebileceklerini, %34’ü 1-2 haftaya, %23’ü ise verileri kurtarmak ve iş süreçlerini geri yüklemek için 3 haftadan uzun bir süreye ihtiyaç duyduklarını söyledi.
Sık olmayan veri testinin gözden kaçan riski
Siber direnç açıklarını daha da ortaya koyacak şekilde, yalnızca %12’si şirketlerinin ankete katılmadan önceki altı ay içinde veri güvenliği, veri yönetimi ve veri kurtarma süreçleri veya çözümlerine stres testi yaptığını ve %46’sı süreçlerini veya çözümlerini uzun süredir test etmediğini söyledi. 12 ay.
Şaşırtıcı olmayan bir şekilde, yanıt verenlerin %94’ü şirketlerinin verileri kurtarmak ve iş süreçlerini geri yüklemek için fidye ödeyeceğini söylerken, %5’i ‘fidye miktarına bağlı olarak belki’ dedi.
Yüzde 67’si şirketlerinin verileri kurtarmak ve iş süreçlerini eski haline getirmek için 3 milyon doların üzerinde ödeme yapmaya istekli olacağını belirtirken, katılımcıların yüzde 35’i şirketlerinin 5 milyon doların üzerinde ödeme yapmaya istekli olacağını söyledi. Araştırma aynı zamanda müdahale edebilmenin ve iyileşebilmenin önemini de gösterdi; %84’ü şirketlerinin ‘ödeme yapmama’ politikası olduğunu söylemesine rağmen 10 kişiden 9’u kuruluşlarının önceki iki yılda fidye ödediğini söyledi.
“Kuruluşlar, fidye yazılımı gibi siber saldırıların artan hacmini, sıklığını veya karmaşıklığını kontrol edemiyor. Kontrol edebildikleri şey, modern veri güvenliği yeteneklerini benimseyerek siber saldırılara veya BT arızalarına hızlı bir şekilde yanıt verme ve bunlardan kurtulma yeteneği olan siber dayanıklılıklarıdır” dedi CISO ve Cohesity BT başkanı Brian Spanswick.
“Şirketlerin çoğunun fidye yazılımı gibi siber saldırılara maruz kalması sürpriz değil. Endişe verici olan şey, %90’ının fidye ödemiş olması, “ödeme yapma” politikalarını ihlal etmesi ve çoğunun, verilerini kurtaramamaları ve iş süreçlerini geri yükleyememeleri veya bunu yeterince hızlı yapamamaları nedeniyle 3 milyon dolardan fazla fidye ödemeye hazır olmaları. ”diye ekledi Spanswick.
Katılımcılar, yöneticilerin veri güvenliği konusundaki farkındalığını ve sorumluluğunu şirketlerin geliştirmesi gereken iki alan olarak belirledi; yalnızca %35’i üst düzey ve üst düzey yöneticilerinin “verileri koruma, güvence altına alma, yönetme, yedekleme ve kurtarma konusundaki ciddi riskleri ve günlük zorlukları” tam olarak anladığını söyledi. ‘
Kurumsal öncelik olarak siber dayanıklılık
5 kişiden 4’ü üst düzey yönetim (C Düzeyi) ve yönetim kurullarının şirketlerinin veri güvenliği stratejisinin sorumluluğunu paylaşması gerektiğini söylerken, %67’si özellikle şirketlerinin CIO’su ve CISO’sunun daha iyi uyum sağlayabileceğini söyledi.
Başarılı bir veri ihlali veya siber saldırı ile ilgili en büyük endişelerini önceliklendiren katılımcılar, marka ve itibar hasarını (%34), hisse fiyatı/yatırım/karlılıktaki düşüşü (%31), gelirin doğrudan etkilenmesini (%30) ve kaybı seçtiler. paydaş güveni (%30).
Bir veri ihlali veya siber saldırıdan en çok kimin etkilendiği sorulduğunda katılımcılar mevcut müşterilerin (%29), Güvenlik ekibinin (%29), BT ekibinin (%28), çalışanların (%28) ve üçüncü taraf ortaklarının olduğunu söyledi. (%27) en çok etkilenenler oldu.
“Siber dayanıklılık ve veri güvenliği bütünsel bir organizasyonel öncelik olmalıdır çünkü veri ve teknoloji kullanımı her fonksiyonda her çalışan tarafından gerçekleşir. Başarılı bir siber saldırının veya veri ihlalinin iş sürekliliği, gelir, marka itibarı ve güven üzerindeki ciddi etkisi, tüm iş, BT ve Güvenlik liderlerini geceleri uyanık tutmaya yeterlidir,” dedi Cohesity CEO’su Sanjay Poonen. “Kuruluşların siber saldırılara hızlı bir şekilde yanıt verebilmesi için verilerini koruyan, saldırı altında olduğunu algılayan ve iş süreçlerini geri yüklemek için mümkün olan en hızlı şekilde kurtaran, yapay zeka destekli modern veri güvenliği ve yönetimi çözümlerine ihtiyacı var.”
Düzenlemeler şirketlerin siber dayanıklılığını artırmıyor
Hükümetlerin ve kamu kurumlarının daha güçlü siber güvenlik ve veri yönetimini teşvik etmek için elinden geleni yapmasına rağmen, katılımcıların yalnızca %46’sı hükümet girişimlerinin, mevzuatının ve düzenlemelerinin aslında şirketlerinin veri güvenliği, veri yönetimi veya veri kurtarma girişimlerini yönlendirdiğini söyledi.
Belirli hükümet girişimlerinin, mevzuatın ve düzenlemelerin veri güvenliği, yönetimi ve kurtarma yaklaşımlarını yönlendirdiğini söyleyen katılımcılardan 3’te 2’si bunları en etkili olanlar olarak adlandırdı:
Amerika Birleşik Devletleri:
- Kaliforniya Tüketici Gizliliği Yasası
1914 Federal Ticaret Komisyonu Yasası - Savunma Bakanlığı Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC)
1998 Dijital Binyıl Telif Hakkı Yasası (DMCA)
2002 Sarbanes-Oxley Yasası - 2020 Kaliforniya Gizlilik Hakları Yasası (CPRA)
Avustralya:
- Gizlilik Yasası 1988
- Dijital Dönüşüm Ajansı Rehberi
- Avustralya Bilgi Komisyonu Ofisi’nin Bildirilebilir Veri İhlali (NDB) Planı
Birleşik Krallık:
- Ulusal Veri Stratejisi (NDS)
- Tüketici Veri Hakkı (CDR)
- Veri Koruma Yasası 2018
Birleşik Krallık Bulut Güvenliği İlkeleri
“%54’ünün hükümet çabalarının ve politikalarının şirketlerinin veri güvenliği, yönetimi ve kurtarma girişimlerini yönlendirmediğini söylemesi şaşırtıcı görünebilir. Ancak kuruluşlar veri güvenliği, risk, yönetim veya kurtarma stratejilerinin tamamını belirli bir standart veya uyumluluk çerçevesi etrafında toplamamalı” dedi Spanswick. “Kuruluşların mevzuata, yönetmeliğe ve standartlara mutlaka uyması gerekiyor ancak bunların tavan değil taban olarak görülmesi gerekiyor. Bir şirketin verilerine ve operasyonlarına yönelik güvenlik riskleri, veri yönetimini, güvenliğini ve kurtarma uygulamalarını yönlendiren şey olmalıdır.”