Kuruluşların büyük çoğunluğu, finansal, operasyonel veya itibar cezaları şeklinde olsun, siber güvenlik saldırılarının tehlikelerinin gayet farkındadır ve bu nedenle çoğu, bunlarla erken mücadele etmek için katı bir yaklaşım benimsemiştir. Siber suç hasarının küresel yıllık maliyetinin 2025 yılına kadar 10,5 trilyon dolara ulaşmasının beklendiğini düşündüğünüzde bu şaşırtıcı değildir – 2015’ten bu yana yaklaşık 7 trilyon dolarlık bir artış.
Ancak, finansal ve itibar etkileri iyi tartışılmış olsa da, siber saldırıların gerçek dünyada sıklıkla göz ardı edilebilecek bir yansıması vardır: hem kötü aktörler tarafından hedef alınan kullanıcılar üzerindeki psikolojik etki hem de tehditlere tepki veren ön saflardaki güvenlik uzmanlarının ruh sağlığı. Her gün birden fazla siber tehdidi tespit edip çözmek zorunda kalan bu deneyimli gaziler, artan kaygı, stres ve tükenmişlik seviyeleri bildiriyor.
Siber savunmanın az tartışılan ancak önemli olan bu insani yönünü göz ardı edersek, şirketler istemeden çalışanlarını riske atabilir ve aynı zamanda ön saflardaki savunmayı yönetme yeteneklerini tehlikeye atabilirler.
İngiltere savunma ve güvenlik düşünce kuruluşu Royal United Services Institute (RUSI), yakın zamanda yaptığı bir çalışmada, fidye yazılımı saldırıları sırasında tehdit aktörleri tarafından hedef alınan kişilerin hissettiği önemli psikolojik ve finansal sorunlar hakkında rapor verdi. Bu tür saldırılar iş kaybına, utanca, kendini suçlamaya ve bağlantılı sağlık sorunlarına yol açtı. Bazı kurbanlar için, bir siber saldırı sonucu yaşadıkları travma, özel hayatları üzerinde doğrudan ve kalıcı bir etkiye sahip olacak.
Siber güvenlik olaylarıyla başa çıkmanın yoğun talepleri, günümüzde siber güvenlik profesyonellerinin ruhsal ve fiziksel sağlıkları üzerinde önemli bir etki yaratıyor. 2022 tarihli bir çalışma, koruma ve yardım etme konusundaki güçlü görev duygusuna rağmen, sürekli olay akışının ruhsal iyilik hallerini olumsuz etkilediğini ortaya koydu. Sonuç olarak, %67’si günlük yaşamlarında stres veya kaygı yaşadıklarını, bunun da uykusuzluğa, tükenmişliğe ve kişisel yaşamlarını ve ilişkilerini sürdürmede zorluklara yol açtığını bildirdi. Ek olarak, %81’i fidye yazılımının artan yaygınlığının, işleriyle ilişkili zaten önemli olan psikolojik baskıları yoğunlaştırdığını belirtti.
Endişe verici olan ise, yapılan bir başka araştırmada güvenlik personelinin yedide birinin saldırı sonrası travma yaşadığı, beşte birinin ise bunun üzerine iş değiştirmeyi düşündüğünün ortaya çıkmasıdır.
Tarihsel olarak siber güvenlik, özel bilgi, uzmanlık ve araçlar gerektiren teknik yönlere odaklanmıştır; bunların hiçbiri, kötü niyetli kişilerin savunmaları aşmak için sosyal mühendislik kullandığında ortaya çıkan insanlarla ilgili sorunlara uygulanmaz.
Artık hızla gelişen yapay zeka gücüyle donatılan kimlik avı saldırıları, teknik yetenekleri ne olursa olsun hemen hemen herkesi kandırabilecek son derece karmaşık sahte e-postalar oluşturma yeteneğine sahiptir. Bu, kurumsal dayanıklılığı artırmak için teknik olmayan kullanıcıları bu taktikler hakkında hazırlamak için yanlamasına düşünmemiz gerektiği anlamına gelir.
Ayrıca, şirketler bu tür dolandırıcılıklara eşlik eden travmayı, suçluluk duygusunu ve damgalanmayı telafi etmek için ek adımlar atmalıdır. Aksi takdirde, çalışanların utanç duygusu ve istihdam etkileri nedeniyle siber güvenlik olaylarını yönetime bildirmeme riskiyle karşı karşıya kalırlar: son araştırmalar, siber saldırıların %40’ından fazlasının bildirilmediğini göstermektedir.
Bu nedenle işletmeler hem saldırıları durdurmaya yardımcı olmak hem de ortaya çıkan zararı telafi etmek için bilgi paylaşımını teşvik etmelidir. İşte tam bu noktada çalışan eğitimi ve öğretimi devreye girerek insanlara ihlalleri önleme araçları sağlarken psikolojik etkileri de sınırlandırır.
Personel her zaman olay yerindeki en son siber tehditlerin farkında olmalı, eğitim ise hem suçluların kullandığı saldırı yaklaşımlarını hem de saldırı sonrası ortaya çıkan psikolojik yankıları keşfetmek için gerçek dünya senaryolarını kullanmalıdır. Bu, kullanıcılar arasında daha fazla anlayış ve empatiyi teşvik edecek ve posta odasından C-suite’e kadar herkesin siber suçun potansiyel kurbanı olduğunu gösterecektir.
Aynı zamanda, siber saldırılarla mücadele eden güvenlik uzmanlarının ruh sağlığını desteklerken, kuruluşlar ilgili refah kaynaklarını sunmalı ve personelin gerektiğinde ek yardım istemekten çekinmemesini sağlamalıdır.
Son olarak, kuruluşlar sosyal mühendislik saldırılarının amaçlanan sonuçlara ulaşmasını nasıl engelleyebileceklerini değerlendirmelidir. Örneğin, belirli süreç kontrolleri uygulayabilir ve para transferleri gibi faaliyetlere kısıtlamalar getirebilirler, bu da bu saldırıların başarılı olma olasılığını azaltır.
Günümüzde şirketler, çalışanların siber saldırılarla ilişkili kişisel sonuçları ele almasına yardımcı olan proaktif ve destekleyici bir kültür geliştirmelidir. Şirket genelinde ilgili sorunların anlaşılmasını teşvik ederek, siber güvenlik olayları tereddüt etmeden açıkça belirlenebilir, raporlanabilir ve çözülebilir. Bir kez harekete geçildiğinde, toplu öğrenmeler azaltma prosedürlerini desteklemek için eğitim programlarına entegre edilebilir.
Sonuç olarak, çalışanlarının tümünün refahına olan bağlılıklarını açıkça gösterebilen şirketler, bu kişilerin etkili ve üretken bir şekilde çalışmak için yeterince desteklendiğini hissetmelerini sağlayacaktır. Siber saldırılar ortadan kalkmıyor, bu nedenle ekiplerimizin onlarla yüzleşmek için iyi hazırlandığından emin olmanın zamanı geldi.
