Scott Sayce, Allianz Commercial Küresel Siber Başkanı
Yeni yayınlanan Allianz Risk Barometresi, fidye yazılımı saldırıları, veri ihlalleri ve BT kesintileri gibi siber olayların, 2024 yılında ABD’nin yanı sıra küresel olarak şirketler için en büyük endişe olduğunu ortaya koydu.bu Yıllık iş riski sıralaması, aralarında CEO’ların, risk yöneticilerinin, komisyoncuların ve sigorta uzmanlarının da bulunduğu 92 ülke ve bölgeden 3.069 risk yönetimi uzmanının görüşlerini içeriyor.
İki yıl süren yüksek ancak istikrarlı kayıp faaliyetinin ardından, siber tehdit ortamı gelişmeye devam ederken, 2023’te fidye yazılımları ve gasp kayıplarında endişe verici bir yeniden canlanma yaşandı. Bilgisayar korsanları giderek daha fazla BT ve fiziksel tedarik zincirlerini hedef alıyor, toplu siber saldırılar başlatıyor ve büyük ve küçük işletmelerden zorla para almanın yeni yollarını buluyor. Şirketlerin siber riski en önemli endişeleri arasında sıralaması (yanıtların %36’sı – ikinci en büyük riskin %5 puan önünde) ve ilk kez tüm şirket büyüklüklerinde büyük (>500 milyon ABD Doları yıllık gelir) bir konu olarak sıralaması hiç de şaşırtıcı değil. orta ölçekli (100 milyon ABD Doları + ila 500 milyon ABD Doları) ve daha küçük < 100 milyon ABD Doları) da mevcuttur.
Şirketlerin en çok korktuğu şey iş kesintisinin nedenidir; siber güvenlik esnekliği ise şirketlerin en çok endişe duyduğu çevresel, sosyal ve yönetişim (ESG) sorunu olarak sıralanır. Aynı zamanda tüketim malları, finansal hizmetler, sağlık hizmetleri ve telekomünikasyon da dahil olmak üzere çok çeşitli sektörlerdeki şirketlerin en büyük endişesidir.
Fidye yazılımı yükselişte
Önümüzdeki on yılın başında fidye yazılımı faaliyetinin kurbanlarına yılda 265 milyar dolara mal olması bekleniyor. Faaliyetler, 2023’ün ilk yarısında Hizmet Olarak Fidye Yazılımı (RaaS) kitleri ile yıllık bazda %50 arttı; fiyatlar 40 $ gibi düşük bir seviyeden başlıyor, bu da önemli bir etken. Çeteler ayrıca daha fazla saldırıyı daha hızlı gerçekleştiriyor; bir saldırının gerçekleştirilmesi için gereken ortalama gün sayısı 2019’da yaklaşık 60 gün iken dörde düştü.
Fidye yazılımı saldırılarının çoğu artık kişisel veya hassas ticari verilerin gasp amacıyla çalınmasını içeriyor, bu da olayların maliyetini ve karmaşıklığını artırmanın yanı sıra itibara zarar verme potansiyelini de artırıyor. Allianz Commercial’ın son yıllardaki büyük siber kayıplara (1 milyon Euro’dan fazla) ilişkin analizi, verilerin sızdırıldığı vaka sayısının arttığını gösteriyor; 2019’da %40 olan oran iki katına çıkarak 2022’de neredeyse %80’e çıkacak ve 2023 faaliyet takibi daha da yüksek olacak.
Yapay zekanın gücü (siber saldırıları hızlandırmak için)
Yapay zekanın benimsenmesi çok sayıda fırsat ve faydanın yanı sıra risk de getirir. Tehdit aktörleri kod yazmak için halihazırda ChatGPT gibi yapay zeka destekli dil modellerini kullanıyor. Üretken yapay zeka, daha az yetkin tehdit aktörlerinin mevcut fidye yazılımının yeni türlerini ve çeşitlerini oluşturmasına yardımcı olarak gerçekleştirebilecekleri saldırı sayısını potansiyel olarak artırabilir. Gelecekte yapay zekanın kötü niyetli aktörler tarafından daha fazla kullanılması bekleniyor ve bu da daha güçlü siber güvenlik önlemlerini gerektiriyor.
Ses simülasyon yazılımı şimdiden siber suçluların cephaneliğine güçlü bir katkı haline geldi. Bu arada, kimlik avı dolandırıcılıkları için tasarlanıp satılan deepfake video teknolojisi de artık dakikası 20 dolar gibi düşük fiyatlarla çevrimiçi olarak bulunabiliyor.
Mobil cihazlar verileri açığa çıkarıyor
Gevşek güvenlik ve akıllı telefonlar, tabletler ve dizüstü bilgisayarlar da dahil olmak üzere mobil cihazlardaki kişisel ve kurumsal verilerin karıştırılması, siber suçlular için cazip bir kombinasyondur. Allianz Commercial, mobil cihazlarla ilgili zayıf siber güvenlik nedeniyle artan sayıda olayla karşılaştı. Pandemi sırasında birçok kuruluş, çok faktörlü kimlik doğrulamaya (MFA) ihtiyaç duymadan kurumsal ağlarına özel cihazlar aracılığıyla erişmenin yeni yollarını etkinleştirdi. Bu aynı zamanda bir dizi başarılı siber saldırıya ve büyük sigorta taleplerine de yol açtı.
5G teknolojisinin kullanıma sunulması, eğer uygun şekilde yönetilmezse, daha da fazla bağlı cihaza güç sağlayacağı göz önüne alındığında, potansiyel endişe verici bir alandır. Ancak pek çok IoT cihazı siber güvenlik açısından iyi bir geçmişe sahip değil, kolayca keşfedilebilir ve MFA mekanizmalarına sahip olmayacak; bu da yapay zekanın da eklenmesiyle ciddi bir siber tehdit oluşturuyor.
Güvenlik becerilerindeki eksiklik olaylara neden oluyor
Mevcut küresel siber güvenlik iş gücü açığı dört milyondan fazla kişiye ulaşıyor ve talep, arzdan iki kat daha hızlı artıyor. Gartner, 2025 yılına kadar önemli siber olayların yarısından fazlasının yetenek eksikliğinden veya insan hatasından kaynaklanacağını öngörüyor. Nitelikli iş gücü eksikliği, medya sektörünün en önemli endişeleri arasında 5. sırada yer alıyor ve Allianz’da teknoloji açısından en büyük 10 risk arasında yer alıyor. Risk Barometresi.
İyi siber güvenlik mühendislerini işe almak zordur ve vasıflı personel olmadan, gelecekte daha fazla kayıp anlamına gelebilecek olayları tahmin etmek ve önlemek daha zordur. Aynı zamanda bir olayın maliyetini de etkiler. IBM Veri İhlalinin Maliyeti Raporu 2023’e göre, yüksek düzeyde güvenlik becerisi eksikliği olan kuruluşların ortalama 5,36 milyon dolarlık veri ihlali maliyeti vardı; bu, gerçek ortalama maliyetten yaklaşık %20 daha yüksekti.
Erken teşhis çok önemli
Bu nedenle bir siber saldırıyı önlemek giderek zorlaşıyor ve riskler artıyor. Sonuç olarak, erken tespit ve müdahale yetenekleri ve araçları her zamankinden daha önemli hale geliyor. Yapay zeka tarafından desteklenen tespite yatırım, daha fazla olayın daha erken yakalanmasına da yardımcı olacaktır. Şirketlerin etkili erken tespit araçlarına sahip olmaması, daha uzun plansız aksama sürelerine, artan maliyetlere yol açabilir ve müşteriler, gelir ve itibar üzerinde daha büyük bir etkiye neden olabilir. BT güvenlik bütçelerinin aslan payı şu anda önlemeye, yaklaşık %35’i ise tespit ve müdahaleye harcanıyor.
KOBİ’ler artan tatlı nokta
Küçük ve orta ölçekli şirketler (KOBİ’ler) için, yönetilen BT ve siber güvenlik sağlayıcıları da dahil olmak üzere hizmetler için dış kaynak kullanımına artan bağımlılık nedeniyle siber risk tehdidi yoğunlaştı; bu şirketlerin daha büyük kuruluşların mali kaynaklarına ve şirket içi uzmanlığına sahip olmaması göz önüne alındığında .
Büyük şirketler siber korumalarını artırırken suçlular da küçük firmaları hedef aldı. KOBİ’lerin bir siber saldırının iş kesintisi sonuçlarına dayanma gücü daha azdır. Zayıf kontrollere veya yetersiz risk yönetimine sahip küçük bir şirket ciddi bir olayla karşılaşırsa, hayatta kalamama ihtimali vardır.
İşletmeler, siber güvenlik stratejilerinin en önemli bilgi sistemi varlıklarını tanımlamasını sağlayarak siber tehditlerle mücadelede proaktif bir yaklaşım benimseyebilir. Daha sonra, ağ erişimi elde etmeye çalışan tehditleri ortaya çıkarmak ve etkisiz hale getirmek için, genellikle siber güvenlik hizmet ortaklarıyla işbirliğini de içerecek şekilde, hem ağ çevresinde hem de uç noktalarda uygun tespit ve izleme yazılımlarını dağıtmalıdırlar.
2024 Allianz Risk Barometresini görüntülemek için lütfen şu adresi ziyaret edin: Allianz Risk Barometresi
Reklam