Siber saldırıların finansal etkisi son yıllarda önemli ölçüde arttı – veri ihlallerinin maliyeti yakın zamanda tüm zamanların en yüksek seviyesine ulaştı, şirketler büyük fidye yazılımı ödemeleri yaptı ve sistemleri tekrar çevrimiçi hale getirme ve operasyonları geri yükleme süreci pahalı. Bu doğrudan finansal sonuçlar, şirketler karşı karşıya kaldıkları siber tehditleri değerlendirirken genellikle akla gelenlerdir – ancak bunlar hikayenin yalnızca bir parçasıdır.
Şirketlerin dikkate alması gereken siber etki zincirinin birçok başka halkası daha vardır: itibarlarının zarar görmesi, kaybedilen müşteriler ve gelecekteki işler, tedarikçiler ve diğer ortaklar için sonuçlar, yasal ve düzenleyici yükümlülükler ve çalışanların hayatını zorlaştıran (hatta imkansız hale getiren) sistem kesintileri. Sosyal mühendisliğin siber suçluların saldırılarının önemli bir kaynağı olduğu bir zamanda, siber güvenlik farkındalık eğitimi şirketleri siber etki zincirinden izole etmede kritik bir rol oynar. Farkındalık eğitimi tüm çalışanlara siber saldırıları önlemek ve sınırlamak için ihtiyaç duydukları bilgiyi verir ve bu da siber etki zincirinin kapsamını önemli ölçüde azaltabilir.
Siber güvenlikten herkes sorumludur, bu nedenle bir farkındalık eğitim programı tüm organizasyonda dağıtılmış savunmalar sağlar. İyi eğitimli çalışanlar siber saldırıları nasıl hızlı ve etkili bir şekilde tespit edeceklerini, bildireceklerini ve bunlara nasıl tepki vereceklerini bilirler. Bu yalnızca siber etki zinciri boyunca bu saldırıların neden olduğu hasarı en aza indirmekle kalmaz; birçok durumda, saldırıyı tamamen önleyerek zinciri ilk halkada kırar.
Siber saldırıların sonuçlarının yeniden çerçevelenmesi
Siber saldırılar her geçen gün daha da finansal olarak yıkıcı hale geliyor. IBM’e göre, bir veri ihlalinin ortalama maliyeti 2020 ile 2023 arasında %15’ten fazla artarak küresel olarak 4,45 milyon dolara çıktı ve bu rakam ABD’de neredeyse iki katına çıktı. Raporda ayrıca, bir ihlali tespit etmenin genellikle 204 gün, onu kontrol altına almanın ise 73 gün sürdüğü bulundu.
Ancak, “içermek” kelimesi yanıltıcı olabilir. Bir siber saldırının sonuçlarını tam olarak takdir etmek çoğu zaman imkansızdır, çünkü çalınan veriler yıllar sonra karanlık ağda tekrar ortaya çıkabilir ve işletme üzerindeki tam etkiyi ölçmek zor olabilir.
Örneğin, itibar sonuçlarını düşünün. Amerikalıların %86’sının veri gizliliğinin giderek artan bir endişe olduğunu ve üçte ikisinden fazlasının işletmeler tarafından toplanan veri miktarı konusunda endişe duyduğu bir zamanda, iş liderlerinin %70’i tüketici verisi toplamayı artırdıklarını söylüyor. Bu veriler çalındığında, güveni ciddi şekilde zedeleyebilir, müşterilerin kaçmasına neden olabilir ve şirketin yeni iş çekmesini engelleyebilir. Veri ihlalleri ayrıca şirketleri maliyetli operasyonel kesintilere, davalara, düzenleyici baskılara, çalışanların tükenmişliğine ve işten ayrılmasına, üçüncü taraf ortaklarla ilişkilerin kesilmesine ve diğer sonuçlara maruz bırakabilir.
Şirketler bazen siber saldırılarla eş anlamlı hale bile geliyorlar – SolarWinds veya Colonial Pipeline’ı, her iki kuruluşun da 2020 ve 2021’de uğradığı büyük siber saldırıları hatırlamadan kim düşünebilir? Şirketlerin siber güvenliğe yatırımlarını artırmaları şaşırtıcı değil – siber etki zincirinin tamamı hakkında daha derin bir anlayış geliştirdikçe, sağlam siber savunmalara olan ihtiyaç her geçen gün daha da belirginleşiyor.
Siber etki zincirinde insan unsuru
Siber saldırıların çoğu, erişim elde etmek, veri çalmak ve güvenli sistemleri bozmak için insanların aldatılmasına ve manipüle edilmesine dayanır. Verizon’a göre, tüm ihlallerin yaklaşık dörtte üçü “insan unsurunu içerir.” Bu, şirketlerin çalışanlarının en büyük siber güvenlik sorumluluğu mu yoksa en büyük varlıkları mı olmasını istediklerine karar vermeleri gerektiği anlamına gelir. Sosyal mühendislik saldırıları artarken, siber güvenlik farkındalık eğitimi, şirketi güvende tutmanın ve siber etki zincirinin kapsamını sınırlamanın en uygun maliyetli yollarından biridir.
IBM, bir “güvenlik becerileri eksikliğinin” varlığının, bir veri ihlalinin ortalama maliyetini hemen hemen her değişkenden daha fazla artırdığını bildiriyor. Bu arada, çalışan eğitimi bu maliyeti, veri güvenliği yazılımı, şifreleme ve sigorta dahil olmak üzere hemen hemen her faktörden daha fazla azaltır. Çalışanların şirketi ve müşterilerini güvende tutabileceğine veya ciddi bir tehdit oluşturabileceğine dair daha net bir kanıt yok.
İyi siber güvenlik farkındalık eğitimi, siber suçluların bir organizasyona sızmak için istismar ettiği korku, itaat, açgözlülük, fırsat, sosyallik, aciliyet ve merak gibi psikolojik zaaflara odaklanır. Bu özellikler çalışandan çalışana değişir, bu nedenle bu eğitim kişiselleştirilmiş değerlendirmeler ve talimatlar sunmalıdır. Etkili farkındalık eğitimi, çalışanların zayıflıklarını ele alırken güçlü yönlerini güçlendirir. Siber saldırılarda yer alan temel psikolojik faktörlere odaklanarak ve en son siber suçlu taktiklerinin gerçek dünya örneklerini kullanarak, bu programlar çalışanların performansını zaman içinde iyileştirir ve siber tehdit ortamındaki değişimlere uyum sağlamalarına yardımcı olur.
CISO’lar ve güvenlik ekibinin diğer üyeleri siber etki zincirini neden ve sonuç açısından düşünmelidir. Çalışanlara siber saldırıların gerçek dünyadaki sonuçlarının geniş yelpazesini gösterdiklerinde, farkındalık eğitiminin neden bu kadar önemli olduğunu açıkça göstereceklerdir. Ve siber suçluların kimlik avı gibi sosyal mühendislik taktikleriyle bu saldırıları nasıl başlattıklarını gösterdiklerinde, çalışanlara devam eden saldırıları tespit edip engellemek için ihtiyaç duydukları bilgiyi sağlayacaklardır.
Siber etki zincirinin kapsamının sınırlandırılması
Siber etki zincirinin potansiyel olarak yıkıcı kapsamını takdir etmek için Change Healthcare’e yapılan son siber saldırıdan daha ileriye bakmayın. Saldırı, 100’den fazla sistemin büyük çaplı bir şekilde kapanmasına neden oldu ve bu da Amerika Birleşik Devletleri genelindeki hastanelere, kliniklere ve sağlık kuruluşlarına yapılan ödeme işlemlerini kesti. Hastaneler üzerinde yapılan bir anket, yüzde 60’ının günde 1 milyon dolardan fazla gelir kaybettiğini ve hasta bakımı üzerindeki etkinin muazzam olduğunu ortaya koydu.
Change Healthcare ihlali gibi siber saldırılar, şirketlerin giderek daha karmaşık ve motive olmuş siber suçlulara karşı çok savunmasız kaldığına dair açık bir uyarı olmalıdır. Change ihlaline neyin sebep olduğuyla ilgili bilgiler hala geliyor olsa da, son ihlallerin büyük bir kısmında sosyal mühendisliğin kullanıldığını biliyoruz. Örneğin, MGM Resorts’a yönelik büyük bir kimlik avı saldırısı, BT ekibine yapılan tek bir telefon görüşmesiyle başladı – bilgisayar korsanları, dışarıda kilitli kalmış bir çalışan gibi davrandı, oturum açma kimlik bilgilerini ele geçirdi ve bir dizi MGM operasyonunu ve sistemini kapatan bir saldırı başlattı.
Kimlik avı ve çalınan kimlik bilgileri en yaygın ilk saldırı vektörleridir, bu da bilgisayar korsanlarının siber etki zincirinin en erken aşamalarında sosyal mühendisliğe büyük ölçüde bağımlı olduğu anlamına gelir. Çalışanlar bazen mesajlardaki hataları veya telefonda garip konuşma kalıplarını fark ederek kimlik avı saldırılarını tespit edebilirken, yapay zeka bunu çok daha zor hale getirecektir. Siber suçlular, ikna edici ve hatasız kimlik avı mesajları oluşturmak ve kurbanların tanımlamakta zorlanacağı derin sahte kimlik taklitleriyle takip etmek için yapay zekayı kullanabilirler. Bu, çalışanların daha karmaşık saldırıları tespit etmek ve raporlamak için eğitilmeleri gerektiği anlamına gelir – çalışanlara hangi kaynakların mevcut olduğunu göstererek diğer siber güvenlik çözümlerini tamamlayabilecek bir yaklaşım.
Siber etki zinciri genellikle fidye ödemenin, kesintiye uğrayan operasyonların ve diğer anlık maliyetlerin çok ötesine uzanır. Siber saldırılar şirketler için kapsamlı, uzun vadeli sonuçlar doğurabilir; müşteri güveninin kaybından çalışanların işten ayrılmasına kadar. Bu saldırıların merkezinde sosyal mühendisliğin yaygın olmasıyla birlikte, siber güvenlik farkındalık eğitimi tüm sonuçları hafifletmenin veya tamamen önlemenin en iyi yollarından biri olmaya devam ediyor.
Reklam