İçeriden öğrenilen riskin maliyeti şimdiye kadarki en yüksek seviyedeyken, siber liderler bütçelerini sorunu etkili bir şekilde çözmeye yönlendirmede başarısız oluyor ve güvenlik bütçelerinin %10’undan daha azını şu anda ortalama 16,2 milyon dolara mal olan bir sorunu çözebilecek önlemlere harcıyorlar. (£13,25 milyon) her yıl.
Buna göre İçeriden alınan risklerin maliyeti 2023 Ponemon Enstitüsü ve içeriden risk yönetimi uzmanı DTEX Systems tarafından hazırlanan rapor.
Bu, EMEA, Kuzey Amerika ve APAC’taki kuruluşları kapsayan yıllık raporun sekizinci baskısıdır. 2023 baskısı için Ponemon ve DTEX, 309 kuruluştaki 1.075 BT ve siber güvenlik uzmanıyla görüştü; bunlar arasında toplam 7.343 içeriden öğrenilen olay yaşandı; kuruluş başına ortalama 24 vaka ve her birinin kontrol altına alınması ortalama 86 gün sürdü. Geçen yıl 85.
Rapor, MITRE’nin İnsan Odaklı İçeriden Tehdit Türlerini temel alarak içeriden riskleri kötü niyetli veya kötü niyetli olmayan olarak tanımlıyor. İçeriden kötü niyetli kişi, casusluk, fikri mülkiyet tehdidi, yetkisiz veri ifşası, sabotaj, dolandırıcılık veya işyerinde şiddet yoluyla proaktif olarak zarar vermeye çalışan kişidir.
Kötü niyetli olmayan içeriden biri, ihmal, dikkatsizlik veya dikkatsizlik nedeniyle zarar veren, gerçek bir hatayla zarar veren ve sosyal mühendislik yoluyla bir siber saldırı veya tehdit aktörü tarafından zekasıyla alt edilerek zarara neden olan kişidir.
Rapor, olayların %75’inin kötü niyetli olmayan içeriden kişiler tarafından gerçekleştiğini, ancak içeriden kötü niyetli kişilerin olaylarının daha nadir olmasına rağmen, olay başına 701.500 dolara kadar daha fazla maliyete sahip olduğunu ortaya çıkardı.
İçeriden öğrenilen eylemlerden kaynaklanan ihlallerle ilgili en büyük maliyetler, kontrol altına alma ve düzeltmeye odaklanıyordu ve olay başına 179.209 ABD Doları ve 125.221 ABD Doları tutarındaydı.
Ancak içeriden ihlallerin artan maliyetine ve sıklığına rağmen, ankete katılanların %88’i güvenlik bütçelerinin %10’undan azını, ortalama olarak sadece %8,2’sini bu konuya harcıyor. Katılımcıların yarısından fazlası sosyal mühendisliği dış saldırıların başlıca nedeni olarak görmesine rağmen, güvenlik bütçelerinin geri kalan %91,8’i dış tehditlere yönlendiriliyor.
Raporun yazarları, “Olay maliyetleri, sıklığı ve kontrol altına alma süresiyle ilgili artan eğilimler, içeriden öğrenilen riske yönelik mevcut yaklaşımların işe yaramadığını gösteriyor” diye yazdı. “Aslında rakamlar açıkça geriye gittiğimizi gösteriyor.
“Fonlama, kısmen içeriden öğrenilen risklerin yaygın olarak yanlış anlaşılması ve bunların erken uyarı davranışlarına dayalı olarak nasıl ortaya çıktığı nedeniyle yanlışlıkla yanlış yönlendiriliyor. İşletmeler ve devlet kurumlarıyla içeriden kaynaklanan riskleri nasıl tanımladığımız ve tartıştığımız konusunda eğitim vermek ve ortak zemin bulmak için tüm sektörü kapsayan bir yaklaşım gereklidir.
“Olumlu bir gelişme olarak, giderek daha fazla kuruluş içeriden risk programları oluşturuyor ve bunları finanse etmek ve desteklemek için bütçe ve yönetici desteği arıyor” diye eklediler.
“Araştırmamız, başta Forrester, Gartner, MITRE Corporation ve Verizon olmak üzere diğer önde gelen analistlerin ve araştırma kuruluşlarının benzer bulgularını yansıtıyor. Çoğu veri ihlalinin merkezinde tartışmasız insan yer alıyor ve giderek artan bir şekilde, insan riski, burnumuzun dibinde, içeriden öğrenilen bir durum haline geliyor. Kuruluşlar, içeriden risk yönetimine odaklanarak, maliyetli bir olay meydana gelmeden çok önce içeriden gelen riskleri proaktif olarak belirleme ve azaltma konusunda güçlü bir fırsata sahip oluyor.”
Değişim geliyor
Ancak rapor, ihtiyaç duyulan bu değişikliğin yakında olabileceğini ortaya çıkardı; katılımcıların neredeyse %60’ı harcama açığının yetersiz olduğunu kabul ediyor ve %46’sı 2024’te içeriden öğrenilen riskleri proaktif olarak ele almak için aktif olarak daha fazla harcama yapmayı planlıyor.
Sorunu çözmek için yapılan teknoloji harcamaları açısından katılımcılar, %64 oranında içeriden öğrenilen riskin tespitinde gerekli veya çok önemli olduğu düşünülen kullanıcı davranışına dayalı araçlar ve gerekli veya önemli olduğu düşünülen yapay zeka ve makine öğrenimi (AI ve ML) seçeneklerini satın almayı araştırıyor. İçeriden kaynaklanan olayların önlenmesi, soruşturulması, üst kademeye iletilmesi, ölçeklendirilmesi ve düzeltilmesinde yine %64 oranında çok önemli.
Bu arada yanıt verenlerin %61’i otomasyon teknolojilerinin içeriden öğrenilen risklerin yönetilmesinde gerekli veya çok önemli olduğunu söyledi.
Raporun yazarları, “Çoğu kuruluşun yapay zeka ve makine öğrenimini içeriden kaynaklanan olayları önlemek için ‘gerekli’ olarak görmesi cesaret verici” diye yazdı. “İnsanların neden içeriden öğrenilen risklere dönüştüğünü anlamak, insan davranışını ve insanların yaptıkları şeyleri neden yaptığını anlamak anlamına gelir ve yapay zeka bunu başarmaya çok yardımcı olabilir.
“Analistler AI ve ML’yi kullanarak erken uyarı sinyallerini yakalayabilir ve analizi hızlı, kolay ve geniş ölçekte uygulayabilir. Kötü niyetli olmayan kişiler söz konusu olduğunda yapay zeka, riskli çalışanlara neredeyse gerçek zamanlı olarak öğretilebilir anlar sağlamak için otomatik eğitim ve farkındalık iletişimlerinin desteklenmesine de yardımcı olabilir.
“Çoğu olayın arkasında kötü niyetli olmayan içeriden kişilerin olduğu göz önüne alındığında, bu, kuruluşların içeriden kaynaklanan riskleri hem uygun maliyetli hem de adil bir şekilde çözerken proaktif olarak orantılılık uygulamasının güçlü bir yoludur” diye eklediler.
Katılımcılar, içeriden risk alma çabalarının ve programlarının başarısını esas olarak olay hacimlerindeki azalma (%50), ardından içeriden risk değerlendirmesi (%40) ve olayları çözmek için harcanan sürenin uzunluğu (%38) ile değerlendireceklerini belirtti.