IBM, bu yaz yayınlanan veri ihlali maliyetlerine ilişkin araştırmasında, diğer her şey gibi, veri ihlalinin maliyetinin de geçen yıla göre %10 artışla arttığını tespit etti.
Kuruluşlar artık iş kesintileri ve iyileştirmeyi içeren ortalama 4,88 milyon dolarlık maliyet bekleyebilirler. Ankete katılan kuruluşların neredeyse üçte ikisi, bu maliyetleri tüketiciye yüklediklerini kabul ettiğinden, veri ihlalinin bedelini ödeyen müşteri oluyor.
Raporda IBM, “Müşterilerin bu maliyetleri karşılamasını sağlamak, halihazırda enflasyondan kaynaklanan fiyatlandırma baskılarıyla karşı karşıya olan rekabetçi bir pazarda sorunlu olabilir” dedi.
Müşterilerden veri ihlali düzeltmesi için faturayı ödemelerini istemek, gelecekteki veri ihlallerini engellemez veya maliyetlerin artmasına neden olan sorunları çözmez. Bunun yerine kuruluşların bir sonraki potansiyel siber olaya bakmaları ve veri ihlali önleme yatırımlarını yeniden düşünmeleri gerekiyor.
Kapsamlı iyileşme dönemi
Bir veri ihlalinin maliyetinin hızla artmasının bir nedeni de, iyileşmenin süresidir. IBM, bunun aylar süren bir süreç olduğunu buldu. Araştırmaya katılanların dörtte üçü iyileşmenin 100 günden fazla sürdüğünü söyledi; üçte biri sürecin 150 günden uzun sürdüğünü söyledi.
Netenrich’in CISO’su Chris Morales, bir e-postada bunun uzun bir süreç olduğunu, çünkü bir veri ihlalinden kurtulmanın kolay olmadığını açıkladı. Günümüzün siber saldırıları, çoğu zaman birden fazla saldırı vektörü ve gelişmiş taktik kullanan çok karmaşık bulmacalar gibi olduğundan, herhangi bir siber olayın karmaşıklığı, bir ihlalin tüm yönlerini hızlı bir şekilde tanımlamayı ve ele almayı gerçekten zorlaştırıyor.
Birçok kuruluşun tespit ve müdahale yeteneklerinde de önemli boşluklar var.
Morales, “İhlallerin birkaç hafta, hatta aylarca fark edilmeden kalması alışılmadık bir durum değil, bu da açıkça kurtarma çabalarının başlamasını geciktiriyor” dedi.
Sonra, gezinmeniz gereken düzenleyici labirent var. Uyumluluk gereklilikleri, kurtarma sürecine karmaşıklık katmanları ekler.
Morales, “Bu sadece teknik sorunları çözmekle ilgili değil” dedi.
“Kuruluşlar ayrıca değerli zamanlarını ve enerjilerini tüm yasal ve düzenleyici yükümlülükleri karşıladıklarından emin olmak için harcamalıdır.”
Güvenlik yatırımlarında faktoring
Çoğu kuruluş, gelişmiş tehdit tespiti, düzenli güvenlik denetimleri ve çalışanların eğitimi gibi proaktif güvenlik önlemlerini uygulamanın önemini anlıyor. Ancak iş bu alanlara gerçekten yatırım yapmaya gelince, çoğu kişi bir ihlal gerçekleşene kadar yetersiz kalıyor.
Morales, “İhlalden sonra genellikle tepkisel harcamalarda bir telaş görüyoruz” dedi.
Kuruluşlar, güvenlik açıklarını düzeltmek ve yeni teknolojileri uygulamak için acele ediyor ancak bazen büyük resmi kaçırabiliyor. İnsanlara ve süreçlere gereğinden az yatırım yaparken ağırlıklı olarak teknolojik çözümlere odaklanma eğilimi var.
Bu, veri ihlalinin artan maliyetindeki temel faktörlerin güvenlik becerileri eksikliği ve güvenlik sisteminin karmaşıklığının anlaşılamaması olduğunu söyleyen IBM çalışmasının bulgularıyla paralellik gösteriyor.
Öte yandan, yapay zeka ve makine öğrenimi gibi teknolojilere yapılan yatırımın yanı sıra çalışanların siber güvenlik farkındalığı eğitimine verilen destek, veri ihlali maliyetlerini azaltır.
Çoğu zaman, bir ihlalin ardından güvenliğe yapılan yatırımın enjeksiyonu gerçekleşir. Veri ihlalleri genellikle bir siber güvenlik programına önemli miktarda yatırım yapılmasının katalizörüdür. Aslında IBM, kuruluşların yaklaşık üçte ikisinin bir ihlal sonrasında güvenlik yatırımlarını artırdığını tespit etti.
Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones’a göre, ihlal sonrası bu yatırımlar genellikle bir dizi güvenlik geliştirmesini kapsıyor. Bunlar arasında olay ve müdahale sistemleri, daha sıkı erişim kontrollerinin uygulanması ve gelişmiş tehdit istihbaratı çözümlerinin benimsenmesi yer alıyor.
Jones, “Ayrıca, personelin potansiyel tehditleri tanıma ve bunlara yanıt verme konusunda bilgili olmasını sağlayarak çalışanların eğitimine giderek artan bir vurgu yapılıyor” dedi.
Bu yatırımların çoğu bir olayın ardından gerçekleşse de, bir sonraki ihlal meydana geldiğinde maliyetleri düşürmede ilk savunma hattını oluştururlar.
İşletmelerin güvenlik yatırımlarında eksikleri neler?
Tüm bu yatırımlara rağmen kuruluşlar gerçek anlamda bütünsel bir güvenlik duruşu arayışını gözden kaçırıyor.
Morales, “Birçok kuruluş bireysel teknolojik çözümlere o kadar çok odaklanıyor ki, büyük resmi gözden kaçırıyorlar” dedi.
Sürekli izleme, proaktif tehdit avcılığı ve iyi entegre edilmiş güvenlik mimarisi gibi unsurlar sıklıkla yetersiz finanse ediliyor veya göz ardı ediliyor. Ya da kuruluşlar en yeni ve en iyi araçlara para harcayacaktır ancak güvenlik ekibi bunları etkili bir şekilde kullanamazsa bu hiçbir anlam ifade etmez.
Jones, “Bu boşlukları kapatmak için işletmeler kapsamlı risk değerlendirmelerine öncelik vermeli, bir güvenlik farkındalığı kültürü geliştirmeli ve tüm güvenlik önlemlerinin genel iş hedefleriyle uyumlu olmasını sağlamalıdır” dedi.
Özünde bu, reaktif bir zihniyetten proaktif bir zihniyete geçişle ilgilidir.
Morales, “Yakalamayı bırakıp diğerlerinden önde olmaya başlamalıyız” dedi.
“Elbette zorlayıcı ama günümüzün tehdit ortamında kesinlikle gerekli.”