Uluslararası denetim ve danışmanlık şirketi EY, dünya çapında yaklaşık bin 800 büyük ölçekli şirketin katılımı ile hazırladığı Küresel Bilgi Güvenliği Araştırması’nın (Global Information Security Survey – GISS) sonuçlarını açıkladı. Şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyan araştırmaya göre; küresel şirketler karmaşık bir siber saldırıyı öngörüp karşı koyabileceklerine dair her zamankinden daha yüksek bir güvene sahip. Ancak araştırma sonuçları, şirketlerin olası siber saldırıların ardından oluşan krizin yönetilmesi ve zararın giderilmesine yönelik hazırlık ve planlarının günümüzün gereksinimlerini karşılamada yetersiz olduğuna işaret ediyor.
Güncelliğini yitirmiş bilgi güvenliği sistemleri risk taşıyor
Bu yıl 19’uncusu açıklanan araştırmanın sonuçlarına göre; katılımcı şirketlerin %57’si 2016 yılı içerisinde en az bir siber güvenlik tehdidi ile karşı karşıya kaldığını belirtti. Bununla birlikte ankete katılan üst düzey yöneticilerin yaklaşık yarısı (%48) güncelliğini yitirmiş bilgi güvenliği sistemlerini, şirketlerinin en büyük zayıflığı olarak tanımlıyor. Katılımcıların %57’si iş sürekliliği ve krizle mücadele konularına öncelik verildiğini ifade ederken, yalnızca %39’u bu alana yatırım yapmayı planladığını belirtiyor. Veri sızdırılması ve veri kaybının önlenmesine yönelik yatırım yapmayı planlayan şirketlerin oranı ise %42 seviyesinde bulunuyor.
Öte yandan araştırma sonuçları, şirketlerin %42’sinin büyük bir siber saldırı karşısında net bir iletişim stratejisinin bulunmadığını ortaya koyuyor.
Şirketlerin %64’ünde resmi bir tehdit analiz programı bulunmuyor
EY araştırması, şirketlerin yaklaşık üçte ikisinde (%64) resmi bir tehdit istihbarat ve analiz programı ve bununla ilişkili bir sürecin bulunmadığına işaret ederken, %44’ünün siber saldırıların sürekli olarak takip edilmesini sağlayacak bir güvenlik operasyonu merkezine sahip olmadığını ortaya koyuyor.
Katılımcıların %50’si sürekli takip ve aktif savunma mekanizmaları, siber tehdit analizi ve güvenlik operasyonu merkezlerine yaptıkları yatırımlar ile karmaşık bir siber saldırıyı tespit edebileceklerini dile getirirken, %86’sı ise siber güvenlik sistemlerinin şirketlerinin ihtiyacını tam olarak karşılamadığını ifade ediyor.
Siber tehditler 2015’e göre arttı
Araştırmaya katılan üst düzey yöneticilerin tümü şirketlere büyük zarar verme potansiyeli taşıyan siber tehditlerde bir önceki yıla göre artış yaşandığını ifade ediyor. Buna göre; kötü amaçlı yazılım kaynaklı riskler %9, e-dolandırıcılık riskleri %7, finansal bilgi hırsızlığı riskleri %12 ve veri hırsızlığı riskleri ise %12 artış gösterdi.
Dünya genelinde şirketlerin siber güvenlik ihlallerine hazırlanmada kayda değer ilerleme gösterdiğini ancak siber saldırıların da aynı oranda karmaşık hale geldiğini dile getiren EY Türkiye Danışmanlık Bölümü Direktörü Ümit Şen, araştırma ile ilgili şunları söyledi:
“Şirketlerin siber güvenlikte pasif korunma yaklaşımının ötesine geçerek, istihbarat, tespit ve direnç mekanizmalarını güçlendirecek çalışmalara odaklanması gerekiyor. Şirketin bu alanda tüm birimlerini ve kollarını içine alacak kapsamlı bir hazırlık yapılması artık en önemli gündem maddelerinden biri haline geliyor. Bu hazırlığın bir parçası olarak bir siber saldırı sonrasında hızlı bir toparlanma getirecek planların yapılmış olması da önemli bir konu olarak karşımıza çıkıyor.”
Operasyonlar zarar görene kadar harekete geçilmiyor
Araştırma, küresel şirketlerin %62’sinin operasyonlarına zarar veren bir siber güvenlik ihlali yaşamadan önce bu alana harcama yapma eğilimlerinin düşük olduğunu ortaya koyuyor. Araştırma sonuçlarına göre; rakip bir şirketin (%58) veya bir tedarikçinin (%68) siber saldırıya uğraması da şirketlerin çoğunluğu için bilgi güvenliği harcamalarının artırılması için bir neden teşkil etmiyor.