İngiltere iki bileşik baskıyla karşı karşıya kaldıkça artan bir belirsizlik duygusu devam ediyor. Bir yandan, uzun süreli uluslararası ticaret müzakereleri, birçok yatırımcıyı ve iş liderini uzun vadeli stratejilerini etkileyen kararlardan uzaklaştırdığını hissettiriyor. Öte yandan, İngiltere ve küresel şirketlere yönelik bir dizi yüksek profilli siber saldırı, ülkenin esnekliği ve hazırlığı konusunda şüphe uyandırdı.
2025 ilkbaharında tanık olduğumuz şey, siber olaylarda bir artıştan daha fazlası olabilir; Sektörün siyah kuğu anı olabilir. Kara Swan olayları, sadece gerçekleştikten sonra açık görünen ciddi sonuçları olan nadir, öngörülemeyen olaylardır. Başlangıçta risk teorisyeni Nassim Nicholas Taleb tarafından icat edildi, tahmin edebileceğimizi düşündüğümüz hakkında varsayımlara meydan okuyorlar.
Diğer Black Swan olayları
- Tanınmayan sistemik risklerle tetiklenen 2008 mali çökmesi;
- Küresel güvenliği yeniden şekillendiren 9/11 terör saldırıları;
- Ekonomileri öngörülemeyen şekillerde dönüştüren internetin yükselişi.
Bireysel ihlaller ne nadir ne de öngörülemez olmakla birlikte, sosyal mühendislik, yardım masası takviyesi ve düşük teknoloji sahtekarlığı gibi benzer vektörlerden yararlanan çok sayıda büyük İngiliz perakendecinin güne kadar uzlaşması, az sayıda öngörüyü temsil eder. Bunu istatistiksel olarak nadir ve sistemik olarak yıkıcı bir olay olarak işaretleyen bileşenler değil, bileşenler değil.
Sözde siber bahar asla modellenmedi ve yine de geziyle hepimizi kaçırılan sinyallere işaret eden bulabiliriz: gevşek iç protokoller, zayıf şifre hijyeni, güvenlik profesyonelleri tarafından uzun zamandır işaretlenen yardım masası güvenlik açıkları ve gergin bir jeopolitik iklim. Klasik Black Swan tarzında, açıklamalar şimdi hızlı bir şekilde gelecek, ancak gözetim maliyeti daha da hızlı olacak.
Bu ihlallerin ölçeği ve görünürlüğü, özellikle perakende ve tüketici sektörlerinde iş esnekliğini artırmayı amaçlayan ulusal siber güvenlik çabalarına 16 milyon sterlinlik bir artış duyurulmasıyla İngiltere hükümetinden benzeri görülmemiş bir yanıt verdi. Harrods, Marks & Spencer, Adidas, NHS ve daha fazlası gibi markalara yönelik yüksek profilli saldırıların ardından, Lancaster Dükalığı Şansölyesi Pat McFadden, siber güvenliğin “lüks değil, mutlak bir gereklilik” olduğunu belirtti.
Bu müdahale, yatırımcıların zaten şüphelendiğini güçlendirerek, tonda bir değişimin danışmanlıktan acil bir değişime işaret ediyor: Siber esneklik artık operasyonel bütünlüğün, marka değerinin ve ulusal ekonomik güvenliğin temel bir parçası.
Yatırımcılar portföylerini korurken işinizi korumak
Black Swan olayları genellikle en sofistike tahmin modellerinde bile kör noktaları ortaya çıkarır ve şu anda yatırımcıların karşılaştığı şey budur. Uzaklıklı firmaların birçoğu kağıt üzerinde dijital olarak olgun olarak kabul edildi, ancak yine de eski moda manipülasyona kurban düştü. Bu, işletmelerin ve onlara yatırım yapanların siber riski nasıl ölçtüğünü ve hazırladıklarını yeniden düşünmeye işaret eder.
Siber güvenliğin neden değer sağlamak ve riskleri azaltmak isteyen yatırımcılar için belirleyici bir faktör olması gerektiğini ilk elden görüyoruz. Son etkinliklerden elde edilen serpinti karlar, portföyler ve insanların kendileri arasında hissedilecek. İster saldırının kaynağını ve ölçeğini anlamak için çalışan ekipler (yıllarca olmasa da aylar boyunca), zor sohbetleri yöneten yöneticiler, verileri veya işleri hakkında endişelenen personel, etkisi çok uzanıyor ve ihlalden geri dönen yollar uzun.
Bu an yeniden kalibrasyonu zorluyor. Geleneksel risk modelleri sorgulanmaktadır, çünkü temel, insan liderliğindeki bir saldırı vektörlerinin dalgasının bu kadar sıkı kümelenmiş bir zaman diliminde işletmeleri devirebileceğini tahmin edemiyorlar.
Bilgi güvenliği uygulamalarını incelemelerini zaten sıkılaştıran yatırımcılar, portföylerini benzer pozlamadan korumak için bu eylemi hızlandıracaklar. Siber olayların sıklığı ve şiddeti arttıkça, yatırım kararları bir işletmenin siber güvenlik kimlik bilgilerinin sağlamlığı ile giderek daha fazla şekillendirilecektir. Bu, siber güvenliği onay kutusu kriterinden, bir işletmenin esnekliğini, değerini ve geleceğini belirlemede en belirleyici faktörlerden birine götürecektir.
İncelemeye dayanmak için inşa etmek
Siber güvenliğe açık ve iyi belgelenmiş bir yaklaşım, iş değeri ve uzun vadeli uygulanabilirlik için temeldir. Tehdit aktörleri her zamankinden daha hızlı adapte olurken, işletmelerin bu hızda proaktif, standartlara dayalı önlemlerle eşleşeceği beklentisi var.
2025’in siber baharı dersi, esnekliğin sadece teknoloji ile ilgili değil, aynı zamanda Taleb’in işleri açığa çıkaran kesinlik yanılsaması olarak adlandırdığı psikolojik ve sistemik önyargıları tanımakla ilgili olmasıdır.
Bu son saldırıda gösterildiği gibi, siber güvenlik söz konusu olduğunda hiçbir iş defne üzerinde oturamaz. Firmalar, siber saldırıların ne zaman değil, ne zaman mesele olduğunu varsaymalıdır.
Taleb’in iddia ettiği gibi, amaç siyah kuğuları tahmin etmek değil, sağlam ve hatta bozulmadan yararlanan sistemler oluşturmak. İşletmeler için bu, sadece teknik savunmalar değil, aynı zamanda bir ihlalin psikolojik ve finansal arttıklarını havalandırabilecek kültürel farkındalık, simülasyon protokolleri ve iç esneklik geliştirmek anlamına gelir.
Yatırımcılar için, bu, siber kontrollerin ön işlemlerini bir zorunluluk haline getirir ve işletmeler için sertifikasyon, süreçler ve en iyi uygulamaları pazarlık edilemez hale getirir.
Ed Bartlett, uyum sertifikasyon uzmanı Hicomply’nin CEO’sudur.