Cyber Essentials, Haziran 2014’te İngiltere’de büyük bir tantanayla piyasaya sürüldü ve işletmelerin “en yaygın siber tehditlere karşı korunmalarına ve siber güvenliğe olan bağlılıklarını göstermelerine” yardımcı olmayı amaçlıyordu. Geniş kapsamlı ‘teknik kontrollerin’ beş alanına odaklanır: güvenlik duvarları, güvenli yapılandırma, kullanıcı erişim kontrolü. kötü amaçlı yazılım koruması ve yama yönetimi.
Plan tanıtıldığından beri, IASME 132.094 Cyber Essentials sertifikasının verildiğini bildirdi. Yine de, küçük işletmeler endişe verici bir düzenlilikle siber suçların hedefi olmaya devam ediyor. Aslında, siber saldırıların %43’ü KOBİ işletmelerini hedef alıyor ve %60’ı bir siber saldırıdan sonraki altı ay içinde iflas ediyor. Bu, güvenlik sektörünün Cyber Essentials’ın sertifika planının temel amacıyla ilgili başarılarını ve başarısızlıklarını değerlendirmesinin kritik öneme sahip olduğu anlamına geliyor: İngiltere işletmelerini, özellikle küçük işletmeleri siber suçun etkilerinden korumak.
Temel olarak Cyber Essentials
En geniş anlamıyla, Cyber Essentials başarılı oldu. Bunun nedeni, birçok kuruluşun siber güvenlik temellerini yerleştirmesine yardımcı olmasıdır.
Siber suçları korumak ve araştırmak için kolluk kuvvetlerinde çalışırken, bir kuruluşun ihlal edilmesine veya başka bir şekilde siber suç faaliyetlerinden etkilenmesine neden olan en önemli faktörlerden biri, temel kontrollerin yerinde olmamasıydı. Bu da siber suçlular tarafından kolay hedef olarak görülmelerine ve karmaşıklık yelpazesinin daha düşük ucundaki aktörler, yani yalnızca bir kimlik avı veya fidye yazılımı kiti indirmiş ve şanslarını deneyen tehdit aktörleri tarafından hedef alınabilmelerine yol açtı.
Cyber Essentials ve önerdiği ilişkili çerçeveler, KOBİ’lerin rutin olarak kurbanı olduğu temel siber saldırı biçimlerine karşı koruma sağlamayı başardı. Cyber Essentials tarafından önerilen çerçevelerin bir kuruluşu daha kalıcı, karmaşık saldırılardan tamamen koruması pek olası olmasa da, kuruluşlara, küçük bir işletme için karmaşık olanlar kadar yıkıcı olabilen daha günlük siber suç örneklerine karşı savunma cephanesi sağladı.
Siber Temel Bilgiler farkındalığı
Ne yazık ki, Cyber Essentials farkındalık cephesinde biraz daha az başarılı oldu. Son Siber güvenlik ihlalleri anketi 2024, Cyber Essentials farkındalığının azaldığını gösterdi; işletmelerin %12’si ve hayır kurumlarının %11’i Cyber Essentials planının farkında, 2023 ile tutarlı ancak son iki veya üç yılda bir düşüşü temsil ediyor. Farkındalık, orta ölçekli işletmeler (%43) ve büyük işletmeler (%59) arasında daha yüksek. Bu, olmasını istediğimiz yerin önemli ölçüde gerisinde ve Cyber Essentials ile ilişkili pazarlama bütçesinin düşüşünü yansıtabilir.
Ancak anket bazı olumlu haberler de içeriyordu. İşletmelerin ve yardım kuruluşlarının yalnızca %3’ü doğrudan Cyber Essentials’a uyduğunu bildirmesine rağmen, çok daha yüksek bir oran (%22 işletme ve yardım kuruluşlarının %14’ü) Cyber Essentials’ın kapsadığı beş alanın hepsinde teknik kontrollere sahip olduğunu bildiriyor.
Geliştirilebilecek alanlar: Cyber Essentials ve siber güvenlik sektörü
Cyber Essentials gibi herhangi bir plan veya çerçevede olduğu gibi, hem farkındalık hem de benimseme açısından iyileştirme için yer var. 130.000 İngiltere KOBİ’si Cyber Essentials’tan yararlandı, ancak bu, İngiltere’nin 5,51 milyon KOBİ’sinin yalnızca bir kısmı. Siber Güvenlik İhlalleri Anketi’nin, bazılarının Cyber Essentials’a bitişik çerçevelere sahip olduğunu öne sürmesi cesaret verici, ancak yine de planın umduğu türden benimseme arasında önemli bir boşluk bırakıyor.
Bu, ne yazık ki, siber güvenlik sektöründeki daha geniş bir sorunun yansımasıdır. KOBİ’ler kronik olarak yetersiz hizmet almaktadır ve güvenlik açısından endişeleri bir işletmenin endişeleriyle aynı türde ilgiyi çekmemektedir. Bu nedenle, Cyber Essentials ve daha genel olarak KOBİ güvenliği etrafındaki eğitim çalışmaları, kurumsal organizasyonlar için olduğu kadar yapılmamıştır. Bu, küçük işletmeler için güvenliğin ‘çok karmaşık’ olduğu algısının devam ettiği anlamına gelir.
Sektörün bir bütün olarak bu anlatıya karşı mücadele etmesi önemlidir. Küçük işletmeleri güvence altına almanın kar marjları o kadar sismik olmasa ve ihlaller ve güvenlik olaylarının basının ilgisini çekme olasılığı daha düşük olsa da, Cyber Essentials, İngiltere ekonomisini oluşturan işletmelerin %99’u için hayatta kalma ve başarısızlık arasındaki farkı temsil edebilir.
Adam Pilton, siber güvenlik danışmanıdır SiberAkıllı ve Dorset Polisi’nde siber suçları araştıran eski dedektif çavuş.