Siber güvenlik sektörü onlarca yıldır varlığını sürdürürken, konu dijital iş olduğunda, dijital alanlarımızın güvenliği konusunda hiç bu kadar kaygı duyulmamıştı. Yüksek finans, savunma, sağlık, kritik altyapı alanları ve kişisel yaşamlarımız, kötü niyetli güçlerin saldırısına açık çevrimiçi sinir sistemlerine dayanır. Daha fazla cihaz karmaşık ağlara bağlandıkça, siber suçlular için daha fazla vektör kullanılabilir hale geliyor.
Bu saldırıların sonuçları maliyetliden felakete kadar değişebilir. Yine de, toplantı odaları için çok önemli bir şekilde, daha sık ve daha şiddetli hale geldiler.
Bu, dikkat çekmek için yeterli değilmiş gibi, işletmeler ayrıca giderek daha karmaşık hale gelen düzenleyici ortam ve ihtilaflı ortamla da mücadele ediyor.
Düzenleyiciler giderek daha aktif ve kaynaklara sahip olduklarından ve genellikle şirketlerin memurlarına ve direktörlerine doğrudan telkinler vermeye çalıştıklarından, özellikle geniş bir risk yelpazesine hazırlanmak zorunludur.
Kuşatma altında
Bu, işletmelerin uğraşması gereken üç ana eğilim olduğu anlamına gelir: artan bir yasama yükü; siber olayları takiben daha çekişmeli bir ortam; ve bireysel sorumluluğa artan bir odaklanma.
Yasama açısı, dünya çapındaki yargı alanlarında giderek daha karmaşık hale geliyor. Örneğin Birleşik Krallık’ta, 1990’daki Bilgisayar Kötüye Kullanım Yasası ve 1995 tarihli AB Veri Koruma Direktifi’nden 2018’deki Ağ ve Bilgi Sistemleri Güvenliği Yönetmeliği’ne, 2021’deki Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne ve yaklaşan AB Yapay Zeka Yasası’na kadar, iş dünyası dijital güvenliği etkileyen çok sayıda hükümet müdahalesiyle boğuşuyor. ABD’de Beyaz Saray, siber yatırımları ve risk tahsisini iyileştirmek isteyen Ulusal Siber Güvenlik Stratejisini yayınladı. Avustralya Hükümeti ayrıca, maddi yasal reformun habercisi olarak ülkenin siber güvenlik stratejisini geliştiriyor.
Ayrıca, siber güvenlik çok uluslu bir konudur, bu da faaliyet gösterdiğiniz yargı bölgelerinde farklı düzenleyici rejimlerle uğraşmanız gerektiği anlamına gelir. Bu bir mayın tarlasına dönüşür.
Chainalysis’e göre, siber şantaj saldırganları tarafından alındığı belirlenen tahmini küresel ödemeler, 2019’da 174 milyon dolardan 2020’de 765 milyon dolara çıktı. Avustralya İçişleri ve Siber Güvenlik Bakanı Clare O’Neil, Avustralya Hükümeti’nin fidye ödemelerini yasaklama önerisini düşündüğünü belirterek, zam bazı hükümetleri müdahaleyi düşünmeye sevk etti. Mantıksal olarak bir yasak, fidye yazılımı saldırılarının ticari teşvikini ortadan kaldırsa da, özellikle temel varlıklar veya operasyonlar fidye yazılımı tarafından etkileniyorsa, teklif karmaşık olmaya devam ediyor.
Haraç ödemelerinin sıklığı veya değeri düşmeye başlasa bile, genel olarak siber suçların daha geniş maliyetinin artmaya devam edeceği kabul edilmektedir.
İlgili sayılar kendi hikayelerini anlatıyor. Birleşmiş Milletler Sermaye Geliştirme Fonu’na göre, 2020’de küresel siber suçların toplam doğrudan maliyeti yaklaşık 945 milyar dolardı. Bununla birlikte, markanın kötülenmesi, fikri mülkiyet ihlali ve kaçırılan fırsatlar gibi dolaylı maliyetler dikkate alındığında, rakam yaklaşık 4 trilyon dolara çıkıyor.
Bu bağlamda, düzenleyici incelemenin artacak gibi görünmesi şaşırtıcı değildir.
Ayrıca, düzenleyici dikkat, toplu dava iddialarını başlatmak isteyen taraflarca izleniyor. Avustralya’da, yakın tarihli yüksek profilli veri ihlalleri, etkilenen kuruluşlarla aynı zamanda Avustralya Bilgi Komiserliği Ofisi tarafından soruşturma konusu olan çok sayıda toplu dava iddiasıyla sonuçlandı. Bu arada, Birleşik Krallık düzenleyicileri de benzer şekilde odaklanmaya başlıyor. Bilgi Komiserliği Ofisi, son yıllardaki ihlallerin ardından iki sözde ‘mega para cezası’ verdi; Marriott, 2014’teki bir siber olayın ardından 2020’de 18,4 milyon sterlin ceza aldı ve British Airways, 2018’de ifşa edilen bir ihlalin ardından 20 milyon sterlin para cezasına çarptırıldı.
Elbette düzenleyiciler, şirketin siber güvenliğinde eksiklikler olduğuna inanırlarsa veri ihlaliyle özel olarak ilgilenebilirler. Bu, etkilenenler adına talepte bulunmak için düzenleyicilerin bulgularından yararlanan davacı firmalar tarafından bir silah haline getirilebilir.
Bütün bunlar toplantı odalarının zihinlerini yoğunlaştırmak için yeterli olsa da, başka bir savunmasızlık noktası daha var: bireysel yönetici sorumluluğuna yeniden odaklanmak. Bu, öncelikle ABD’de oynanıyor, ancak danışmanlar bunun küresel olarak gelecek şeylerin bir işareti olabileceği konusunda uyarıyor. Birleşik Krallık finansal hizmetler sektöründe faaliyet gösterenler halihazırda Kıdemli Yöneticiler ve Sertifikasyon Rejimine tabidir.
Yazılım firması Lookout’a göre 2022, rekor düzeydeki en yüksek mobil kimlik avı saldırısı oranını gördü. Birleşik Krallık’ta hükümet rakamları, 2022’de siber saldırı bildiren işletmelerin %83’ünün saldırı aracı olarak kimlik avı girişimlerini belirlediğini gösteriyor.
Korku, yapay zekadaki (AI) gelişmeler nedeniyle bu yöntemlerin daha etkili hale gelmesidir. Dikkate değer bir örnek, yakın zamanda siber suçlular tarafından kimlik avı e-postaları ve kötü amaçlı yazılımlar gibi kötü amaçlı içerik oluşturmak için kullanılan OpenAI’nin sohbet robotu ChatGPT’dir. Elbette, AI’nın potansiyeli her iki yolu da keser: teknoloji, siber savunmanın yanı sıra siber suçta da kullanılabilir, ancak endişeler artıyor.
Eğil ve siper al
Sigorta piyasaları tipik olarak riske bir fiyat koymada başarılıdır – yıllar içinde bazı olağandışı poliçelerin çıkarıldığı bir gerçek. Ancak sigorta sektöründeki son gelişmeler, sektörün siber riskleri karşılamak için devreye gireceğine olan güveni sarsıyor. Geçen yıl, Lloyd’s of London siber politikaların devlet destekli aktörlerin saldırılarına karşı bir muafiyete sahip olacağını duyurdu. Başlangıçta, bu şaşırtıcı görünmeyebilir – savaş eylemleri uzun süredir sigorta poliçeleri tarafından hariç tutulmaktadır. Bununla birlikte, bir tehdit aktörünün devlet destekli olup olmadığı sorusunun giderek daha belirsiz hale gelmesi rahatsız edici bir niteliktir.
Ayrıca, bir saldırının bir ülke tarafından desteklenip desteklenmediği konusunda hukuki çatışmalar kaçınılmaz görünüyor. Örneğin, 2022’de ilaç grubu Merck, bir ABD mahkemesinin NotPetya olarak bilinen 2017 kötü amaçlı yazılım saldırısından kaynaklanan 1,4 milyar dolarlık kaybının değerlendirilmesine savaş hariç tutmanın uygulanmaması gerektiği iddiasında başarılı oldu. Dijital savaş ve dijital suç arasındaki ayrım hiç bu kadar bulanık olmamıştı ve sigortacılar hala nispeten genç olan bu pazarda netlik sağlamayı umuyor.
Şimdilik işletmeler, sigorta şirketlerine siber olaylara karşı savunmak için sağlam ve uygulanabilir bir stratejiye sahip olduklarını gösterme konusunda yoğun bir baskıyla karşı karşıya. Siber sigorta genellikle yalnızca kabul edilebilir düzeyde dayanıklılık gösterebilen şirketler tarafından kullanılabilir. Ayrıca, siber sigorta sağlayıcılarının poliçe yaşam döngüsünün başlarında maruz kaldığı önemli kayıplar gibi riskler de primleri yukarı çekiyor.
sonsuza dek savaş oyunları
Prusyalı komutan Helmuth von Moltke’nin 1880’de belirttiğinden beri askeri taktikçiler arasında yaygın bir nakarat haline geldi: Düşmanla ilk temasta hiçbir plan hayatta kalamaz. Ancak bu düstur dijital çatışma ve suç meselelerinde geçerli olsa da, siber düşmanlıklar başladığında titizlikle test edilmiş ve esnek bir eylem planının doğaçlamadan çok daha iyi olduğu gerçeğini değiştirmez. Tutarlı planlar hazırlamak, işletme çapında yaygın bir farkındalık sağlamak ve bu planları aşinalığı korumak, işletmenin cevaplamak zorunda kalacağı türden soruları sosyalleştirmek ve öngörülemeyen sorunları ortaya çıkarmak için savaş oyunları işletmelerin kendilerini korumak için alabilecekleri en etkili önlemlerdir.
Siber güvenlik ayrıca teknolojiden daha fazlasını içerir – insan unsuru merkezidir. Mutlak temel şey, çalışanlarınızı eğitmek ve teknik boyutun yanı sıra insani boyutu da gözden kaçırmamaktır. Dışarıdaki her olası güvenlik açığına yama uygulayabilir ve yine de birinin kimlik bilgilerinin çalınması nedeniyle büyük bir olayla karşılaşabilirsiniz.
Yine de, siber dayanıklılığın teknolojik ve insani unsurlarının yeterli kaynaklara ve eğitime sahip olmasını sağlamak, yönetim kurulunun tam katılımını gerektirir. Yönetim kurulu, önümüzdeki yıllarda bir şeylerin değişeceğini ve ön ayak olmanın ve bunun için planlar yapıp bütçelemenin daha iyi olduğunu anlamalıdır. Basitçe söylemek gerekirse, Birleşik Krallık’taki her kuruldaki her yönetim kurulu üyesi devreye girer ve uygun hazırlık için talimat verir ve tüm bunları gözden geçirirse, o zaman tüm ülkenin dayanıklılığı çok daha yüksek olurdu.
Nihai gerçek şu ki, siber suç, 20 yıldır ana akım bir endişe kaynağı olmasına rağmen, iş dünyası için artan bir risk faktörü. En iyi savunma, en son teknolojiden daha az ve daha çok sağlam organizasyonel sürecin gösterişsiz işidir. Temelleri doğru yapmak: personeli eğitmek, yazılımı güncel tutmak, verileri yedeklemek ve mantıklı, eyleme geçirilebilir yanıt politikaları sürdürmek. Siber alanda riskler ve teknolojiler değişmeye devam etse de, iyi uygulanmış ancak gösterişsiz risk politikalarının temelleri her zamanki gibi geçerliliğini koruyor.