Öne Çıkanlar Schulman Plastik ÇOSB Prof. Dr. Erhan Aslanoğlu CEVAHİR UZKURT Uğurteks Rüştü Bozkurt

Dijital korsanlığın şirketlere maliyeti 400 milyar dolar

GİRAY DUDA

Türkiye’nin de arasında olduğu 86 ülkedeki şirketlerde görev yapan 4 bin 500 CIO (Chief Information Officer - Bilgi Sistemleri Sorumlusu) ve teknoloji liderinin yer aldığı periyodik araştırmada, son 24 ayda katılımcıların üçte birinin siber saldırıya maruz kaldığı ortaya çıktı.

KPMG’nin Harvey Nash işbirliği ile yaptığı araştırma, tahmin edilemeyen küresel ekonomik belirsizlikler yaşanması nedeniyle ankete katılanların yüzde 64’ünün teknoloji stratejilerini yeni koşullara adapte ettiğini, yüzde 89’unun yenilikçi çözümler ve dijital iş gücü de dâhil olmak üzere yatırımlarını artırdığını ortaya koydu. Araştırma sonuçlarını, KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı, Şirket Ortağı Sinem Cantürk’e sorduk:

BT LİDERLİK ARAŞTIRMASI

- Sayın Cantürk, çalışmanız hakkında genel bilgiler verir misiniz? Nerelerde yapıldı? Kimlerle konuşuldu? Neyi amaçlıyordu?

- KPMG’nin Harvey Nash işbirliğiyle yayımladığı Küresel CIO Araştırması 2017, küresel ölçekte en büyük BT (bilişim teknolojileri) liderlik araştırması. Bu yıl 19’uncusu gerçekleştirilen araştırmaya, aralarında Türkiye’nin de olduğu 86 ülkeden çok farklı sektörlerden 4.500 CIO ve Teknoloji Lideri katıldı. En yoğun katılımı, teknoloji, üretim, finansal hizmetler, sağlık, profesyonel hizmetler ve perakende sektörlerinde faaliyet gösteren şirketler gösterdi.

CIO’LARDAN BEKLENTİLER ARTTI

- Önceki yıllardaki araştırmalar da aynı amaca mı yönelikti? Yıllara göre araştırma sonuçlarında ne yönde, belirgin farklılıklar gözlendi?

- Öncelikle bu yıl CIO Araştırması’ndan, CIO’lara yönelik yönetim beklentilerinde üç öncelikli konu olarak aşağıdakiler ortaya çıktı:

Geçen yıla göre en belirgin farklılık olarak, şirket yönetimleri CIO’lardan en öncelikli olarak tutarlı ve istikrarlı bir IT (Haberleşme teknolojisi) performansı bekliyor. İkinci olarak operasyonel verimlilik artışı ve iş süreçlerinin geliştirilmesi geliyor. Geçmiş yıllara göre farklılık taşıyan sonuçlardan biri de, CIO’lara yönelik inovatif yeni, ürün ve servis tasarım beklentisini sayabiliriz.

Araştırmamızın bu yılki diğer önemli sonuçları ise şöyle;

- Küresel ekonomik ve politik riskler inovasyonun itici gücü.

* Dijitalleşmeye yön veren, stratejilerini bu yönde oluşturan CIO’lar şirketler bünyesinde ‘Dijital Liderler’ olarak sivrilmeye başladı.

KADIN CIO’LARIN MAAŞI YÜKSEK

* Dijital stratejiler gelişiyor. İki yıl öncesine göre yüzde 52 oranında daha fazla şirket işletme genelinde bir dijital stratejiye sahip. Yüzde 39’dan fazla şirketin CDO’su (Chief Digital Officer- Dijital Dönüşüm Lideri) var.

* Özellikle son zamanlarda yaşanan siber saldırılardan dolayı hepimizin hissettiği siber güvenlik alanındaki hassasiyet, araştırma sonucuna göre de her zamankinden daha fazla. Siber zafiyet katılımcılar nezdinde önemini artırmış durumda.

* CIO’ların şirket yönetiminde etkisi artıyor. Katılımcıların yüzde 71’i CIO’ların daha stratejik bir role sahip olduğuna inanıyor.

* Kadın CIO’lar sayıca hala oldukça az olsalar da (yüzde 9), maaşları erkek CIO’lara oranla daha fazla arttı.

4 YILDA YÜZDE 45 ARTTI

- Araştırmanızda, korkutucu biçimde siber tehlikenin hiç bu kadar büyük olmadığını vurguluyorsunuz. Kurumların üçte biri son iki yıl içinde ciddi saldırılarla karşılaşmış. Yıllara göre saldırı sayıları ve oranları ne yönde ilerliyor?

- Araştırmaya katılan Teknoloji Liderlerinin üçte biri son 24 ay içerisinde en az bir siber saldırıyla karşılaştığını ifade etti. Bu oran 2013 yılındaki rakamlardan yüzde 45 daha yüksek. Ancak Teknoloji Liderlerinin sadece beşte biri siber saldırılara karşı kendini tam olarak hazırlıklı hissediyor. Bu oran 2014 yılında yüzde 29 idi. Bu da bizlere, artan siber saldırılara karşı Teknoloji Liderlerinin kendilerini pek de hazırlıklı hissetmediklerini gösteriyor.

MADDİ VE MANEVİ ZARARLAR

- Bu saldırılar nasıl zararlara yol açıyor? Zararların maddi boyutlarıyla ilgili tahminler veya kesin bilgiler var mı?

- Dijitalleşen dünya yeni fikir ve düşünceler için büyük bir fırsat yaratırken birçok riski de beraberinde getirdi. Bu riskler kapsamında gerçekleştirilen siber saldırıların kuruluşlara maliyeti yıllık 400 milyar dolar civarında. Bunun yanında, yarattıkları itibar kaybı riski göz ardı edilmemeli.

YÜZDE 100 ÖNLEM ALMAK İMKANSIZ

- Siber saldırıların 2013’e göre yüzde 45 yükseldiğini söylüyorsunuz. Saldırıların içinde bulunduğumuz yıl ve önümüzdeki yıllarda daha da artacağı mı tahmin ediliyor? Kurumlar, şirketler ve tabii ki bireyler en etkili savunmayı nasıl yapabilirler?

- Kurumlar gün geçtikçe daha ciddi ve organize siber saldırılarla karşı karşıya kalıyor. Siber saldırılara karşı yüzde 100 önlem almanın imkânsız olduğu uluslar ve kuruluşlar düzeyinde fark edilmeye başladı. Saldırıya uğrayan kurumların büyüklüğü veya siber güvenlik alanında yaptığı harcamalar saldırganların yeni yöntemler geliştirerek sistemlere saldırmasını engelleyemiyor. Burada kuruluşlara düşen görev, SOME (Siber Olaylara Müdahale Ekipleri) kavramını benimsemek.

Türkiye’de SOME konusundaki çalışmalar Bakanlar Kurulu kararıyla kurulan Siber Güvenlik Kurulu ve Telekomünikasyon İletişim Başkanlığı (TİB) bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi (USOM) yönetiminde son zamanlarda hızlanarak ilerliyor. Devlet kurumlarında ve özel sektörde yapılandıracak olan ekipler birbiriyle iletişim halinde saldırılara karşı koordineli tepkiler verebilecek.

TEHDİT VE ZAFİYET ANALİZLERİ

Müdahale ekiplerinin yanı sıra henüz saldırı gerçekleşmeden tehdit ve zafiyet analizlerinin yapılması gerekiyor. Her kuruluşun stratejisi, bilgi teknolojileri bölümlerinde ve kuruluşta bilgi güvenliği kültürünü yaygınlaştırmak ve son kullanıcıların farkındalık seviyelerini artırmak olmalı. SOME oluşumlarının etkin biçimde sektörlerde yer alması tehditleri azaltacaktır. Kuruluşların öncelikli olarak SOME personellerini aktif yapılandırması çok önemli.

ŞİRKET ÇALIŞANLARININ HATALARI

- Yine şirket içi saldırıların da bir yıl öncesine göre yüzde 47 arttığını söylüyorsunuz. Şirket içi saldırılardan kastınız nedir? Neden bu kadar yüksek orandadır? Nasıl önlem alınabilir?

- Siber güvenlik içerisindeki tehditler genellikle kötü niyetli çalışanlar ile bağlantılı sanılırken; gerçekte şirket çalışanları yanlışlıkla ve kötü niyet olmaksızın kurumsal veri ihlallerine ve günlük sızıntılara yol açıyor.

Oltalama (Phishing), hırsızlık veya dikkatsizlik yüzünden kimlik bilgileri kaybı, çalışan kişi spam e-postadaki bir bağlantıyı tıkladığında gerçekleşebilir. Bunun dışında çalışan bilmeden virüslü bir cihazı işe getirdiğinde, kötü amaçlı yazılımı şirket ağına dahil edebilir. Bu oldukça basit örnekte de görebileceğiniz gibi şirket çalışanlarının yanlışlıkla ve kötü niyet olmaksızın verilerinizi tehlikeye atıp şirketinizin için çok ağır maddi sonuçlara yol açabilir.

DOĞRU YAKLAŞIM, DOĞRU ÇÖZÜMLER

Neyse ki, bu olaylarla başa çıkmak için belirli stratejiler ve araçlar var. Siber savunmada içerinden gelen tehditlerine karşı savaşmak zor ve acımasız görünmekle birlikte, gerçekte şirketlerin düşündüğünden çok daha kolay. Doğru bir yaklaşım belirleyerek, doğru çözümler üreterek şirketler kendilerini güvene alabilir. KPMG olarak şirketlere önerimiz:

• Çalışanlarınızı işe alırken kapsamlı bir geçmiş sorgulaması yapın

• Çalışanlarınız davranışlarını, memnuniyet düzeylerini ve finansal durumlarını takip edin

• Sistem üzerinde ayrıcalıklı kullanıcı sayısını asgari düzeyde tutun

• Kullanıcı erişimini denetleyin ve kullanıcı hesaplarının güvenliğini temin edin

• Kullanıcıların sistemdeki eylemlerini izleyin

• Çalışanları eğitin ve siber güvenlik farkındalığı yaratın

TEKNOLOJİLERİNİ BELİRSİZLİĞE ADAPTE EDİYORLAR

- Eskiden beri, iş dünyasının, önünü görememekten, siyasi ve ekonomik belirsizlikten şikâyet ettiğini duyarız. Siz bugün, dünya çapında, Kurumların üçte ikisinin teknoloji stratejilerini politik ve ekonomik belirsizliği adapte ettiğini söylüyorsunuz. Böyle bir ortamda bilgi teknolojilerinden nasıl yararlanılabilir. Belirsizlikler inovasyonun itici gücü olarak nasıl kullanılabilir?

- Şirketlerin yüzde 64’ü teknoloji stratejilerini bugüne kadar karşılaşmadıkları küresel politik ve ekonomik belirsizliğe adapte ediyor. Bu başlı başına etki yaratıcı bir itici güç vazifesi görüyor. Ayrıca belirsizliklere cevap olarak katılımcılar, teknoloji platformlarını (ve bu konuya yönelik planlarını) daha çevik, hızlı ve hünerli hale getirmeyi amaçlıyor. Bununla birlikte, yüzde 89’u dijital işgücünü de kapsayan inovasyon yatırımları yapıyor veya var olan yatırımlarını artırıyor.

KURUMLARIN AKIL VE KALKANA İHTİYACI VAR

- Kurumların yüksek siber saldırılar karşısında, bilgi teknolojileri personeli ve dijital donanım olarak daha çok yatırım yapmaları gerektiğini mi düşünüyorsunuz. Gelişmeler bu düşünce ile paralel mi?

- Öncelikle belirtmek gerekir ki, teknoloji hiçbir zaman tek başına yeterli değildir. Kurumların daha çok silaha değil, akıl ve kalkana ihtiyacı var. Bugün siber güvenlik dünyası, sisteme izinsiz giriş yapmaya çalışanları hızla tespit eden teknik ürünler satan tedarikçilerin hâkimiyetinde. Bu araçlar güvenlik için elbette gerekli ama bütüncül ve sağlam bir siber güvenlik politikasının temeli değil. Teknolojiye yatırım yapmak, siber güvenlik stratejisinin itici gücü değil sonucu olmalı. İyi bir güvenlik yapılanması, sağlam bir savunma yeteneği geliştirmekle başlar.

Siber suçla savaş, kazanılması kolay olmayan yarışlara bir örnek. Çünkü saldırganlar sürekli yeni yöntem ve teknolojiler geliştiriyor. Onlar saldırır, siz her zaman savunmada olursunuz. Ve savunma hep bir adım geriden gelir. Tüm bu nedenlerle siber güvenlik yatırımlarında öncelik, tehditlerin ve eksikliklerin farkında olmak, sürekli tehdit istihbaratı yaparak, eksiklikleri gidermeye odaklanacak süreçleri sağlamaktır.

SİBER GÜVENLİK HAFİFE ALINIYOR

- Türkiye’deki şirketler, siber güvenlik konusunda nasıl reaksiyon gösterip ne tür adımlar atıyorlar? Türkiye’deki şirket ve kurumların siber saldırılar karşısındaki tutumlarını, eksikliklerini anlatır mısınız?

- KPMG olarak gerçekleştirdiğimiz bir diğer araştırma olan Siber Güvenlik Araştırması 2017’de siber güvenliğe Türkiye’deki şirketlerin bakış açısını inceledik. Aralarında Türkiye’nin de bulunduğu 28 ülkeden 800 şirketin faaliyet raporlarının mercek altına alındığı araştırmada, Avrupalıların hassas bir tavırla yaklaştığı siber güvenliğe Türkiye’deki şirketlerin aynı önemi göstermediği ortaya çıktı. Türkiye’de siber güvenliğin hafife alındığını gösteren araştırmada siber güvenlik, yalnızca ham madde ve telekomünikasyon sektörlerinde yer alan iki şirketin faaliyet raporlarında yer alıyor. Finans, endüstri, petrol ve gaz gibi sektörlerde yer alan şirketlerin faaliyet raporlarında ise siber güvenliğe hiç yer verilmiyor. Türkiye’deki şirketlerin, büyüyen risklerin önüne geçmek için siber güvenlik konusunda daha duyarlı olması gerekiyor.

SİBER ÇETELER DAHA YARATICI OLACAK

- Dijitalleşmenin ve siber saldırıların bu hızla devam etmesi, önümüzdeki dönemde kurumlarda ve şirketlerde ne tür değişimlere ve gereksinimlere yol açacak?

- Örneğin 10 yıl içerisinde siber kelimesini kullanmayı bırakabiliriz. Bütün ekonomilerimiz online işliyor; siber de belirsiz teknik bir kavram olmaktan çıkıp standart haline gelecek. Dijital güvenlikten ya da dijital bir dünyada iş yapmaktan bahsediyor olacağız. Siber suç çetelerinin daha yaratıcı olduğunu göreceğiz. Örneğin, dijital reklamcılık siber suçun en önemli hedeflerinden birisi. Ayrıca sosyal medyadan toplanan bilgileri kullanan insanlara uygulanan sosyal mühendisliğin daha otomatik ve kapsamlı bir şekilde gerçekleştirildiğini göreceğiz. Devletler (ve teröristler) daha sofistike siber araçlara yatırım yapmaya devam edecek; biz de önemli altyapıların siber saldırılarla zarara uğrayışına daha fazla tanık olacağız.

SİBER SALDIRILARA DAHA AKTİF KARŞILIK VERİLECEK

Kurumlar ve şirketler bünyesindeki güvenlik çalışmaları; zorlama, kötü niyet ve hile gibi normal olmayan aktiviteleri tespit etmek için, insanların izini sürmek için kullanılacak analizlere daha fazla yatırım yaparak insanlara ve davranışlarına daha fazla yoğunlaşacak. Altyapımız daha iyi yönetilecek ve daha fazla görselleşme, bulut teknolojisi ve güvenliğin bir hizmet olarak kullanılmasıyla değişen bir tehdide karşı daha duyarlı hale gelecek. Büyük sektör ve hükümetler siber savunma konusunda daha büyük işbirlikleri yaparak siber saldırılara daha aktif karşılık verecek.

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.

banner116

banner115

banner114

banner111

banner110