Güvenlik danışmanlığı NCC Group tarafından hazırlanan yeni bir rapora göre, Premier Lig’den başlayarak İngiltere’deki futbol kulüpleri siber direnç konusunda ciddi bir eksiklik sergiliyor ve taraftarların ve oyuncuların verilerini sayısız potansiyel tehdit karşısında riske atıyor.
Oxford Üniversitesi’ndeki Oxford Araştırmacıları Strateji Danışmanlığı ve Phoenix Spor ve Medya Grubu (PSMG) ile birlikte çalışan araştırma, futbol endüstrisindeki ve diğer sporlardaki BT ve güvenlik ekiplerine uygun kaynakların sağlanmasına yönelik acil ihtiyacın altını çiziyor.
NCC küresel tehdit araştırması başkanı Matt Lewis, “Spor endüstrisinin son yıllarda siber güvenlik saldırıları için giderek daha çekici bir hedef haline geldiğini gördük” dedi.
“Bu araştırmanın bir parçası olarak sektör profesyonelleriyle konuştuğumuzda, sektörün şu anda ne kadar risk altında olduğuna dair algı ile gerçeklik arasında bir kopukluk olduğu açıkça görülüyor. Raporun hem sektörün karşı karşıya olduğu güvenlik açıkları konusunda netlik sağlamasını hem de sektörün olası siber saldırıları önleme ve bunlara hazırlanma şeklini iyileştirmek için uygulamaya konulabilecek pratik çözümleri sağlamasını umuyoruz.
“Raporda özetlenen ilgili stratejilerin ve kaynakların uygulanmasıyla siber, marka itibarının, bilgi gizliliğinin ve sektör oyuncularının ve kuruluşlarının bütünlüğünün korunmasına yardımcı olacak şekilde azaltılabilir” dedi.
Rapor, Gizli rakip: Sporda siber tehditler, futbol endüstrisinde çalışan BT ve güvenlik yöneticilerinden toplanan görüşlere dayanmaktadır. Raporda, siber olgunluk eksikliği ve konuya yönelik modası geçmiş yaklaşımların yanı sıra sektördeki BT ve siber güvenlik rollerinin endişe verici derecede sınırlı bir şekilde konuşlandırılması ve özel bilgi güvenliği yöneticilerinin (CISO’lar) nadir olmasıyla ilgili çeşitli temel endişeler tespit ediliyor.
Üstüne üstlük, futbol kulübü yönetim kurulları ne daha fazla kaynak talebini dinlemeye ne de sorunları iyileştirmek için harcama yapmaya istekli görünüyor; oyunculara yüz milyonlar vermekten mutlu ama bir CISO’ya uygun bir ücret (dünyadaki ortalama CISO maaşı) ödeme konusunda çizgiyi çiziyor. ITJobsWatch’a göre Birleşik Krallık’ta son altı aydan 1 Aralık’a kadar yaklaşık 127.000 £ oldu.
Sahiplerinin toplam değeri milyarlarca pound olan bir kulüpte röportaj yapan bir BT yöneticisi, hem BT hem de siberle ilgilenen 10’dan az çalışanı olduğunu ve büyük bir işletmenin güvenliğini sağlamakla görevlendirildiklerini söyledi. İsminin açıklanmaması garantisi altında konuşan yetkililer şunları söyledi: “Bir futbol kulübüyle çalışmak aslında iki varlıkla uğraşmak demektir; oynayan tarafınız var ki bu büyük bir iş ve bir de KOBİ’niz var. [small and medium-sized enterprise] diğer yandan BT’yi sınırlı personel ve bütçeyle çalıştırmak.”
Ortaya çıkan diğer sorunlar arasında siber sigortaya aşırı bağımlılık yer alıyor; bu sigorta, uygun şekilde uygulandığında bir siber saldırının mali darbesini hafifletmeye yardımcı olabilir, ancak önde gelen kulüpler için büyük bir endişe olan iş operasyonları üzerindeki etkileri veya itibar hasarını önlemek için hiçbir şey yapmaz; endüstri veya emsal kıyaslama eksikliği; üçüncü taraf durum tespiti eksikliği; olaya müdahale hazırlığı veya yeteneği çok az veya hiç yok; sınırlı kimlik avı farkındalığı egzersizlerinin ötesinde siber eğitim yok; kimlik ve erişim yönetimine (IAM) yönelik tutarsız yaklaşımlar; tam bir veri yönetimi eksikliği; ve çok az yönetim veya standart mevcut.
Futbol kulüpleri de gelişen teknolojiye ve tehdit ortamlarına ayak uydurmak için mücadele etti; bu, hiçbir sektörde alışılmadık bir durum değil, ancak daha önce zayıflayan bir tarafın aniden yükselmeye itildiği ve bu da onları bir rakip haline getirdiği bir sektörde ek bir baş ağrısı. Siber suçlular için daha çekici bir hedef ve BT ve güvenlik ekiplerini, yeni keşfedilen şöhretlerinin getirdiği artan riske uyum sağlamak için hızlı değişime zorluyor.
Raporda, siber güvenlik bütçeleri için kulüp büyüklüğüne, yıllık ciroya ve arzu edilen siber güvenlik olgunluğu düzeyine göre ölçeklenen, sektör çapında yeni bir standart da dahil olmak üzere bir dizi öneri yer alıyor; büyük bir Premier Lig kulübü, bütçesinin %10’unu hedeflemelidir. Örneğin en iyi sonuçlar için sibere harcama yapın.
Bu bütçe hedeflerinin belirlenmesine yardımcı olmak amacıyla NCC, futbol sektörü için, konuştuğu kişilerin vurguladığı temalara ve endişelere dayalı olarak, kulüp BT liderlerinin mevcut siber güvenliklerini kıyaslamaya başlamalarına yardımcı olabilecek bir siber güvenlik olgunluk modeli de geliştirdi. duruş ve boşlukların belirlenmesi.
NCC ayrıca kulüpleri, mutlak bir öncelik olarak arka ofisten saha bakımına, yönetimden oyunculara kadar genel anlamda güvenlik riskleri konusunda eğitim ve farkındalığı artırmaya ve özel siber profesyonellerin istihdamına daha fazla önem vermeye teşvik ediyor.