Parolaları, geçiş anahtarlarını, sırları, bağlantıları ve ayrıcalıklı erişimi koruyan bulut tabanlı sıfır güven ve sıfır bilgi siber güvenlik yazılımı sağlayıcısı Keeper Security, raporunun bulgularını yayınladı. Siber Güvenlik Felaketleri Araştırması: Olay Raporlama ve Açıklama. Siber güvenlik saldırılarının ve ihlallerinin hem iç liderlere hem de dış yetkililere bildirilmesindeki yaygın eksiklikleri ortaya koyuyorlar.
Siber güvenlik olayı raporlaması yetersiz kalıyor
Keeper’ın araştırması, artan siber tehdit riskine rağmen siber olay raporlamaya yönelik politikaların eksikliğini gösteriyor. Katılımcıların yaklaşık dörtte üçü (%74) kuruluşlarını etkileyen bir siber güvenlik felaketinden endişe duyduklarını ve katılımcıların %40’ı kuruluşlarının bir tür siber felaketle karşılaştığını söyledi.
Bu endişelere rağmen çalışma, ihlallerin şirketin liderlik ekibine ve ilgili yetkililere rapor edilmesinden sıklıkla kaçınıldığını doğruladı.
Dış raporlama söz konusu olduğunda katılımcıların %48’i, kuruluşlarının uygun dış yetkililere rapor etmediği bir siber güvenlik saldırısının farkındaydı.
Şirket içinde ise siber saldırıların %41’i şirket içi liderlere açıklanmadı.
Olay raporlaması düşüktür; suçluluk yüksek
Bir saldırıyı veya ihlali liderliğe bildirmediklerini itiraf edenlerin %75’i bunu yapmadıkları için kendilerini “suçlu” hissettiklerini söyledi. Korku, unutkanlık, yanlış anlama ve zayıf kurumsal siber kültür, güvenlik ihlallerinin yaygın şekilde eksik rapor edilmesine katkıda bulunuyor.
Bir saldırının veya ihlalin liderliğe bildirilmemesinin en önemli üç nedeni:
- Yankı korkusu (%43)
- Raporlamanın gereksiz olduğunu düşünüyor (%36)
- Olayı bildirmeyi unutmak (%32)
Organizasyon kültürleri siber güvenliğe öncelik vermiyor
Uzun vadeli mali ve itibari sonuçlar doğurma potansiyeline rağmen, zayıf bilgilendirme ve şeffaflık uygulamaları devam etti. Raporlamadaki başarısızlık büyük ölçüde kuruluşun itibarına (%43) ve mali etki potansiyeline (%40) kısa vadede zarar verileceği korkusuna dayanıyordu.
Katılımcılar ayrıca, kuruluşun siber duruşuna ilgi gösteren ve BT ve güvenlik ekiplerinin yanında yer alan, saldırıları raporlamak ve bunlara yanıt vermek için ihtiyaç duydukları kaynakları ve desteği sağlayan üst düzey liderlerin güçlü bir ihtiyaç olduğunu belirtti.
Yanıt verenlerin toplam %48’i, liderliğin bir siber saldırıyı önemseyeceğini (%25) veya yanıt vermeyeceğini (%23) düşünmedi.
Katılımcıların neredeyse dörtte biri (%22) kuruluşlarının ihlalleri liderliğe bildirecek “mevcut bir sistemi” olmadığını söyledi.
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, “Rakamlar, kuruluşların siber güvenlik konusunda ortak bir sorumluluk olan önemli kültürel değişiklikler yapma ihtiyacına işaret ediyor” dedi. “Sorumluluk en üstte başlar ve liderlik, siber güvenlik olaylarının raporlanmasına öncelik veren bir kurumsal kültür yaratmalıdır, aksi takdirde kendilerini yasal yükümlülüklere ve maliyetli mali cezalara maruz bırakacak ve çalışanları, müşterileri, paydaşları ve ortakları riske atacaklardır.”
En iyi uygulamalar
Mevcut yüksek riskli güvenlik ortamında, kuruluşların siber felaket raporlamasında şeffaflığı ve dürüstlüğü teşvik etmesi ve devam eden tehditlere karşı koruma sağlamak için en iyi uygulamaları, politikaları ve prosedürleri benimsemesi kritik öneme sahiptir. Şifre ve ayrıcalıklı erişim yönetimi de dahil olmak üzere siber felaketleri önlemenin en etkili yollarından bazıları, en basit ancak kuruluşların korunması açısından en kritik olanlardır.
*Metodoloji
Keeper, siber felaket olayları, raporlama ve kurtarma konularında bilgi edinmek amacıyla Kuzey Amerika ve Avrupa’daki 400 BT ve güvenlik lideriyle anket yapması için bağımsız bir araştırma firmasını görevlendirdi. Anketi 2023 yılında bağımsız bir araştırma firması gerçekleştirdi. Keeper, ‘siber güvenlik felaketlerini’ bir bilgi sisteminin gizliliğini, bütünlüğünü veya kullanılabilirliğini ciddi şekilde etkileyen herhangi bir olay olarak nitelendiriyor.