Güvenlik ihlallerinin artmasıyla birlikte siber güvenlik, stratejik ve operasyonel olarak ele alınması gereken, kurumsal çapta ciddi bir risk yönetimi sorunu haline geldi. Geçmişte siber güvenlik, büyük ölçüde BT departmanının sorumluluğunda olan teknik bir konu olarak görülüyordu ancak günümüzün pandemi sonrası dünyasında siber risk sınırları katlanarak arttı.
Cyentia Enstitüsü tarafından yakın zamanda yapılan bir araştırmaya göre, kamuya açık olarak bildirilen siber olayların ortalama sayısı son on yılda %44 arttı; sağlık ve finans en çok hedef alınan sektörler arasında yer alıyor. Bu olayların birleşimi, 72 milyar kaydın ele geçirilmesine ve tahmini 57 milyar dolarlık mali kayba neden oldu.
Düzenleyiciler ve sigorta şirketleri, kuruluşların siber ve operasyonel dayanıklılıklarını artırmaları veya bunun sonuçlarıyla yüzleşmeleri konusunda ısrar ederken, siber ve bilgi güvenliği risklerinin günlük yönetimiyle ilgilenmek, kritik bir görev önceliği olarak görülmelidir.
Gelişen siber risk tehdidi ortamını anlama
Kuruluşlara yönelik cezai para cezalarının yanı sıra itibar kayıplarına da yol açabilecek siber saldırıların katlanarak büyümesine bir dizi faktör neden oluyor. IBM, bu zarar verici maliyetlerin yanı sıra siber saldırıların üretkenlik ve iş akışları üzerindeki yıkıcı sonuçlarını da vurguluyor; IBM’in araştırması, kuruluşların bir siber olaydan kurtulmasının genellikle ortalama 280 gün sürdüğünü ortaya koyuyor.
Veri ihlalleri, kimlik hırsızlığı, finansal dolandırıcılık ve kritik altyapıyı felce uğratmak için tasarlanmış yıkıcı siber saldırıları içeren çok çeşitli tehditleri kapsayan siber suç, günümüzün tehdit aktörleri için oldukça kazançlı olduğu kanıtlanan, giderek metalaşan bir sektör haline geldi.
Tek başına veya diğer saldırganlarla işbirliği içinde veya organize bir suç grubunun parçası olarak çalışarak, dünyanın herhangi bir yerinde saldırı gerçekleştirmek için hızlı gelişen teknolojiden ve günümüzün dijitalleştirilmiş ortamlarının artan yakınsamasından ve birbirine bağlanabilirliğinden yararlanıyorlar.
Siber saldırganların mesleki ve kişisel riskleri düşüktür. Kimliklerini gizlemek ve tespit edilmekten veya kovuşturulmaktan kaçınmak için yazılım ve proxy sunucuları kullanma konusunda usta olan bu kişilere sunulan mali ödüller, bu tür faaliyetlerde bulunma konusunda önemli bir teşvik olduğunu kanıtlıyor.
Daha ne kadar riskli olabilir?
Bağlantılı cihazların çoğalması, uzaktan çalışmanın büyümesi ve çevrimiçi hizmet sunumuna geçiş, sistemlerini, çalışanlarını ve verilerini güvende tutmak isteyen kuruluşlar için mükemmel bir fırtına yarattı. Özellikle suç kolaylaştırıcıları artık kötü amaçlı yazılım kiralamayı, DoS saldırıları başlatmayı veya kimlik avı kampanyaları yürütmeyi kolaylaştıran çeşitli ‘hizmet olarak siber suç’ teklifleri sunduğunda.
Sürekli değişen tehdit ortamına karşı sistem korumalarını güçlendirmenin yanı sıra kuruluşların, kullanıcıların ve müşterilerin güvenli çevrimiçi davranışların nelerden oluştuğuna aşina olmalarını da sağlamaları gerekiyor. Üretken yapay zeka araçlarının ortaya çıkışı, daha önce harekete geçme becerisine sahip olmayan, kötü niyetli kişilerin giriş engelini azalttığında bu hiç de kolay bir iş değil.
ChatGPT gibi açık yapay zeka araçlarının ortaya çıkışı, sınırlı teknik becerilere sahip bilgisayar korsanlarının artık kolaylıkla kötü amaçlı kod yazabildiği, kimlik avı e-postalarının meşru görünmesini sağladığı ve hatta sosyal mühendislik saldırılarını yeni bir düzeye taşımak için insanların seslerini veya görüntülerini klonlayabildiğine dair önemli endişeleri artırdı . Günümüzde kimliği doğrulamak veya dolandırıcılık yapmak için kullanılabilecek bir sesin kopyalanması üç saniye kadar kısa bir süre alıyor.
Kapıyı kim çalıyor?
Farklı türdeki tehdit aktörleri, hedeflerine ulaşmak için farklı teknikler kullanır; dolayısıyla bir kuruluşun siber risk değerlendirmelerinin, hangi grupların sistemlerini ve verilerini hedef alma olasılığının yüksek olduğunu belirlemesi gerekecektir. Tehdit aktörleri bir başka kuruluşun ortamına erişim sağlamak amacıyla bir kuruluşun bilgi sistemlerini hedef alabileceğinden, riskin ilişkilere göre değerlendirilmesi de buna dahildir.
En iyi tehdit aktörü türlerine ve yaklaşma tekniklerine bir göz atalım.
- Organize suç: Finansal motivasyona sahip bu örgütler genellikle başarılı bir fidye yazılımı saldırısından sonra fidye ödemesi talep etmek veya ele geçirdikleri verileri satmaya çalışmak için kapıyı çalarlar. Diğerleri ise kripto para madenciliği yapmak için bir kuruluşun sistemlerini gizlice ele geçirebilir.
- Ulus devlet – hükümet verilerini, özel sektör fikri mülkiyetini ele geçirmek veya finansal piyasaları gizlice izlemek isteyen hükümet destekli gruplar. Jeopolitik gerginlik zamanlarında altyapı ve hizmetleri açıkça aksatmaya çalışabilirler.
- İdealologlar – sosyal veya politik nedenlerle motive olan bu sözde ‘hacktivistler’, mesajlarının duyulmasını sağlayacak teknikleri kullanmayı severler. Bu, hizmetlere erişimin reddedilmesi veya web sitelerinin tahrif edilmesi şeklinde olabilir.
- Heyecan arayanlar – sırf ‘yapabileceklerini’ görmek için siber savunmaları aşmaya niyetli olan heyecan arayanlar genellikle eğlence, tanınma veya övünme hakları için bir şeyleri devirseler de yine de ciddi bir tehdit oluştururlar.
- İçeriden öğrenenler – bu grup, içeriden kötü niyetli kişileri veya belirli bir amacı olan hoşnutsuz çalışanları içerir. Hükümet, savunma veya kritik altyapı sağlayıcıları gibi belirli sektörler için özel bir tehdit.
Operasyonel esnekliğe odaklanılması
Günümüzün liderlik ekiplerinin, kuruluşlarının siber risk profilini ve belirli düzenlemelerle ilgili uyumluluk sorumluluklarını haritalandırabilmeleri ve anlayabilmeleri gerekiyor. Daha sonra, operasyonel esnekliği izlemeyi, olaylara müdahaleyi yükseltmeyi ve bir saldırıyı önlemek, buna dayanmak ve saldırıdan kurtulmak için gereken kaynakları haritalayıp anlamayı mümkün kılan kuruluş çapında kontrol ve raporlama mekanizmalarını başlatmak önemlidir. Buna, tedarik zincirlerinin ve kuruluşun bağlı olduğu üçüncü taraf hizmetlerinin değerlendirilmesi de dahildir.
Birleşik Krallık ve AB’de finans sektörüne yönelik düzenleyici değişiklikler, üçüncü taraf risk yönetimine göz ardı edilemeyecek kadar güçlü bir vurgu yapmaktadır. İngiltere Merkez Bankası, Prudential Düzenleme Otoritesi (PRA) ve Mali Davranış Otoritesi (FCA), finansal hizmet firmalarının kritik üçüncü taraflar (CTP’ler) tarafından sağlanan hizmetlerin dayanıklılığı konusunda sorumlu olmalarını güçlendirmek ve sağlamak için potansiyel önlemler belirledi. Benzer şekilde, AB’nin Dijital Operasyonel Dayanıklılık Yasası (DORA), üst düzey yönetim düzeyinde hesap verebilirlik ile üçüncü taraf risk yönetimi için zorunlu kuralları uyguluyor.
Açık gerçek şu ki, siber risk yönetimi giderek daha geniş bir risk ve dayanıklılık stratejisiyle birbirine bağlanıyor ve kuruluşların düzenleyici kurumlara operasyonel dayanıklılık ve iş sürekliliği yeteneklerini gösterebileceklerinden emin olmaları gerekecek.