Veri ihlalleri kuruluşların karşılaştığı en önemli siber tehditlerden biridir, ancak meydana geldiklerinde çoğu işletme müşterilerine veya düzenleyicilere güven verecek şekilde yanıt vermez. Şirketler, bir olayın kritik sonrasında müdahalelerinin sağlam olmasını sağlamak için ne yapabilir?
Yazan: Allianz Global Corporate & Specialty (AGCS) Siber Risk Danışmanlığı Küresel Başkanı Rishi Baviskar ve AGCS Siber İddialar Küresel Başkanı Michael Daum
Bir siber ihlalin ardından, alınan kararların sonucu önemli ölçüde etkileyeceği kritik bir an (belki yalnızca birkaç dakika, belki de en fazla bir veya iki saat) gelir. Bunun minimum düzeyde zarar vermesi için, neyin muhtemel olduğu ve neyin tehlikede olduğu konusunda kapsamlı bir anlayışa ihtiyaç vardır.
Bir şirketin ciddi bir ihlale karşı, bir siber olay müdahale organizasyonu ve planıyla titizlikle hazırlıklı olması gerekir. Bu, kritik senaryoların önceden uygulanmasını ve rollerini ve sorumluluklarını açıkça anlayan eğitimli bir ekibe sahip olmayı içerir.
Planlar önemlidir, ancak egzersizler de kritiktir çünkü en iyi planlar bile iyi hazırlanmış bir ekibin yerini tutamaz. Gerçek hayattaki bir olayda etkililiğini tespit etmek için planların uygulanması gerekir.
Yıllık rapora göre, siber olayların artan sayısı art arda ikinci yılda da şirketlerin en önemli endişesi olmaya devam ediyor. Allianz Risk Barometresi. 2023 raporunda dünya çapında 2.700’den fazla uzmanın verdiği yanıtların %34’ü siber olayları şirketlerinin karşı karşıya olduğu en büyük risk olarak sıraladı. Özellikle fidye yazılımı saldırılarıyla veya tek başına veri ihlali vakalarının arttığını görüyoruz.
Buna göre Allianz Risk Barometresi Katılımcılara göre şirketleri en çok endişelendiren durum veri ihlalidir (%53). Veri gizliliği ve koruması, giderek yoğunlaşan kritik bir risktir – IBM’in Veri İhlalinin Maliyeti Raporu, bu tür olayların ortalama maliyetinin 2022’de tüm zamanların en yüksek seviyesi olan 4,35 milyon ABD Dolarına ulaştığını ve 2023’te 5 milyon ABD Dolarını aşmasının beklendiğini belirtiyor.
Düzenleme baskısı artıyor
Düzenleyiciler, verileri korumak için yeterli güvenlik önlemi almayan şirketlere karşı daha sert davranıyor. 2019 yılında British Airways, 500.000 yolcunun verilerinin çalınmasının ardından Birleşik Krallık Bilgi Komiserliği’nden (ICO) 183 milyon £ (222 milyon $) para cezası aldı. Ceza, temyiz üzerine 2020’de 20 milyon sterline düşürüldü.
Geçtiğimiz yıl ABD’de iki vaka, siber ihlallerle yeterince mücadele edemeyen direktörlere ve üst düzey yöneticilere uyarı göndermişti. Ekim ayında, bir mobilite firmasının eski bir güvenlik şefi, bir siber güvenlik olayını örtbas etmeye çalışmaktan suçlu bulundu. Bunun, ABD’li bir şirket yöneticisinin siber ihlal nedeniyle ilk kez cezai kovuşturmaya tabi tutulduğuna inanılıyor. Yönetici, adaleti engellemek ve ağır bir suçu kasıtlı olarak gizlemek suçundan sekiz yıla kadar hapis cezasıyla karşı karşıya kaldı.
Yine Ekim ayında Federal Ticaret Komisyonu (FTC), 2,5 milyon müşterinin kişisel bilgilerinin açığa çıkmasına neden olan bir siber ihlale yol açan güvenlik arızaları nedeniyle çevrimiçi içecek dağıtım işinin CEO’suna karşı dava açılacağını duyurdu.
Düzenleyicilerin ve savcıların daha sıkı hale gelmesiyle birlikte büyük şirketler siber güvenliğe yatırımlarını artırıyor. Arttırılmış güvenlik, bilgisayar korsanlarını daha zayıf kontrollerin onları kolay hedef haline getirebileceği küçük ve orta ölçekli şirketlerde kurban aramaya zorluyor.
Düşünülemez olan gerçekleştiğinde
Kişisel veri ihlali meydana geldiğinde zaman işlemeye başlar. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) uyarınca şirketlerin bir ihlali farkına vardıktan sonraki 72 saat içinde bildirmesi gerekiyor. ICO, Birleşik Krallık’ta da aynı zaman dilimini uyguluyor.
ABD’de, bazı durumlarda veri ihlallerinin 60 gün içinde rapor edilebileceği anlamına gelen, yetki alanlarının karışık olması nedeniyle bu durum daha az belirgindir. Ancak geçen yıl Başkan Biden yeni federal veri ihlali raporlama yasasını imzaladı. Bu, bu tür olayların, meydana geldikten sonraki 72 saat içinde İç Güvenlik Bakanlığı’na bildirilmesi yönündeki bildirimi sıkılaştırabilir.
ABD FTC’si, Birleşik Krallık ICO’su gibi şirketlerin bir veri ihlalini keşfettikten sonra atması gereken kritik adımlar konusunda tavsiyelerde bulunuyor. AB, etkilenen diğer şirketler ve bireyler de dahil olmak üzere, kime ve ne zaman bildirimde bulunulması gerektiğine ilişkin yönergeler sağlar.
İhlal müdahale ekibini harekete geçirin
Ancak bu adımlar içerisinde bir dizi karmaşık eylemin gerçekleştirilmesi gerekmektedir. En kritik olanı siber olaylara müdahale planını harekete geçirmektir. Siber kriz başa çıkılması en zor olaylardan biridir. Bu bir doğal afet ya da bir fabrikanın yanması gibi değil. Bir şifreleme ve fidye yazılımı saldırısına maruz kalırsanız, küresel bir iş kesintisine maruz kalabilirsiniz. Ayrıca suçlularla uğraşıyorsunuz ve onların spesifik davranışlarını tahmin etmek zor.
Çifte gasp uygulamasının yaygınlaşması, karmaşıklığın boyutlarını daha da genişletiyor. Çifte gasp, verilerin, sistemlerin veya yedeklemelerin şifrelenmesini hassas verilerin serbest bırakılması tehdidiyle birleştirir.
Bir şirketin yapması gereken en önemli şeylerden biri, siber saldırıdan önce ve sonra güvenli bir uzman yardımı almaktır.
Şirketlerin bir siber krizle kendi bünyesinde başa çıkmak için gerekli uzmanlığa sahip olması giderek zorlaşıyor. Suçun değişen doğası, kontrol altında tutulması zor olabilecek dinamik bir tehdit ortamı yaratıyor. Pek çok büyük ve orta ölçekli şirket geleneksel risk senaryolarına genellikle iyi hazırlanmış olsa da bazıları siber kriz yönetimi planını hiçbir zaman gerektiği gibi düşünmedi.
Önemli bir ihlal, bir şirketin siber güvenlik kapsamına başvurmak isteyeceği anlamına gelir; bu nedenle sigorta bağlantılarının mümkün olan en kısa sürede devreye alınması gerekir. Daha sonra harici uzmanlar, olayın mahiyetine bağlı olarak uzman tavsiyesi sağlayabilir. AGCS, bir siber olay meydana geldiğinde sigortalılara yardım sunan küresel bir ortak ağına sahiptir. Bunlar arasında BT adli hizmetleri, adli muhasebe, halkla ilişkiler, kriz iletişimleri, siber şantaj konusunda müdahale tavsiyeleri ve ihlal koçluğu veya hukuk hizmetleri gibi olay müdahale hizmetleri yer alır. Bir ihlal koçu genellikle veri gizliliği ve siber güvenlik konusunda uzmanlaşmış bir avukattır. Çoğu zaman şirketler bu durumdan bunalırlar ve bir ihlal koçu, hasarı sınırlandıracak şekilde yapılandırılmış bir şekilde onları krizden yönlendirmeye yardımcı olabilir.
Açık iletişim önemlidir
Her siber saldırı benzersizdir. Bir müdahale ekibinin denetlemesi gereken temel bileşenlerden biri, etkilenen tüm hedef kitlelere (çalışanlar, müşteriler, yatırımcılar, iş ortakları ve diğer paydaşlar) ulaşan kapsamlı bir iletişim planıdır. Böyle bir planın insanların soracağı soruları öngörmesi gerekir.
Bir ihlalle ilgili iletişimin yanlış yönetilmesi, hisse fiyatının düşmesi de dahil olmak üzere, bir olayla ilgili itibar kaybına önemli ölçüde katkıda bulunabilir.
Dünyanın en büyük alüminyum üreticilerinden biri olan Norsk Hydro, tüm sistemlerde depolanan fidye yazılımıyla şifrelenmiş dosyaların ardından Mart 2019’da siber saldırıya uğradı. Bilgisayar korsanları verilerin kilidini açmak için bitcoin talep etti. Ancak ihlalin ciddiyetine rağmen Norsk Hydro’nun hisse fiyatı, şirketin hasarı düzeltmek için çabalaması nedeniyle takip eden haftalarda yükseldi.
Norsk Hydro ödemeyi reddetti. Piyasanın takdir ettiği şey şirketin şeffaflığı ve açıklığıydı çünkü bu, birçok şirketin saldırıya uğradıktan sonra verdiği gizli yanıtlarla keskin bir tezat oluşturuyordu. Olaya tepki olarak güven korundu ve hisse fiyatı arttı.
Kriz iletişimi kontrol listesi
Ticari faaliyetlerinize ve itibarınıza gelebilecek zararı sınırlamak istiyorsanız, yasal raporlama gereksinimlerinizin yanı sıra, bir ihlal sonrasında paydaşlarla zamanında ve şeffaf iletişim kurmak da çok önemlidir.
Bir kriz iletişim planı, siber olaylara müdahale planınızın bir parçası olmalıdır; bu plan, iletişim kurulacak kişilerin bir listesini, acil görevleri ve bunları denetleyecek atanmış kişileri (kıdemli bir iletişim sözcüsü de dahil olmak üzere) ve çeşitli senaryolar için hazırlanmış (ve test edilmiş) önceden hazırlanmış ifadeleri içermelidir.
Siber kriz iletişim planı hazırlarken dikkate alınması gerekenlerin bir kontrol listesi:
Kimi bilgilendirmeniz gerekiyor? Bu, ilgili yetkililerin yanı sıra müşterileriniz, hissedarlarınız, çalışanlarınız, dış bağlantılarınız, kamuoyu, medya, avukatlarınız, meslek kuruluşlarınız, sigortacınız da olabilir. Hedef grupları düzenli güncellemelere yönlendirmeye yardımcı olmak için çeşitli iletişim akışları oluşturun.
İletişimin amacı nedir? Bu, güvence sağlamak, iyileştirici önlemler hakkında bilgi vermek, bir özür ya da başka bir yerde yanlış haber yapılmasını önlemek için bir beyanda bulunmak olabilir.
Müşterilerin korkularını nasıl giderebilirsiniz? İhlal mağdurlarına empati gösterin ve çözüm sunmaya hazır olun. Yapabildiğiniz zaman, attığınız hafifletme adımlarını iletin ve müşterileri bilgilendirin. Onlara, ihlal nedeniyle kendilerine nasıl erişilebileceğine ve kendilerini korumak için şifre değişikliği veya kötü amaçlı yazılımlara karşı e-postaları kontrol etme gibi hangi önlemleri alabilecekleri konusunda yönergeler verin.
Çalışanlara nasıl güven verebilirsiniz? Zihinlerini rahatlatmak ve onları ihtiyaç duydukları eyleme geçirilebilir bilgilerle donatmak için birden fazla kanal üzerinden hızlı bir şekilde iletişim kurun. Onları güncel tutun. Benzer şekilde tedarikçileriniz, danışmanlarınız, yatırımcılarınız ve personel temsilcileriniz veya sendikalarınızın ihtiyaç duyabileceği her türlü ayrıntıyı sağlayın.
İş ortaklarıyla nasıl iletişim kurmalısınız? Kendilerini korumak için harekete geçmelerine izin vermek için zaman çok önemlidir. Bu, ortakların sorular sorabilmesi veya ayrıntılara girebilmesi için düzenli aramaları ve güncellemeleri içerebilir. Tam olarak bilgilendirilmelerini sağlamak için, adı geçen personeli kritik iş ortaklarına tahsis etmeyi düşünün.
En iyi platformlar veya kanallar hangileri? Bölgesel, ulusal veya uluslararası basını, ticari dergileri/web sitelerini, e-postayı, sosyal medyayı, basılı mektupları, web yayınlarını göz önünde bulundurun.
İletişim kimden gelmeli? Bu kişi CEO, bilişimden sorumlu başkan, başkan, BT başkanı veya müşteri hizmetleri direktörü olabilir.
Ne tür bir dil kullanmalısınız? Bildirimlerinizin tonunu dostane, alarm verici olmayan ve gerçekçi tutun; kaç dilde iletişim kurmanız gerektiğine karar verin.
Dijital kanallarınız kullanılamıyorsa ne yapacaksınız? Önceden hazırlanmış malzemeleri bulut tabanlı yedeklerde, hatta bildirimlerin basılı kopyalarında saklamayı düşünün.
yazar hakkında
Michael Daum, Allianz Global Corporate & Speciality’de (AGCS) Küresel Siber İddialar Başkanıdır. Münih’te yerleşik olup, daha önce AGCS’de Uygulama Lideri Yardımcısı ve Siber Kıdemli Sigortacısı olarak görev yapmıştır.
Rishi Baviskar, Allianz Global Corporate & Specialty’de Risk Danışmanlığı yapan Küresel Siber Uzman Lideridir. Baviskar, büyük petrol, gaz, otomotiv ve ilaç şirketlerinin BT alanında çalışma deneyimine sahiptir. Önceki görevlerinde, saha mühendisliğinden siber güvenlik politikalarının tasarımına ve uygulanmasına kadar süreç geliştirmenin tüm seviyelerinde çalışmıştır.
Rishi ve Michael’a çevrimiçi olarak [email protected] ve [email protected] adresinden ve şirketimizin www.agcs.allianz.com web sitesinden ulaşılabilir.