EY, bu yıl 20.’sini gerçekleştirdiği Küresel Bilgi Güvenliği 2017-18 Araştırması’nın enerji dağıtım sektörüne ilişkin sonuçlarını açıkladı.
EY’nin Küresel Bilgi Güvenliği 2017-18 Araştırması sonuçlarına göre; enerji dağıtım sektörü firmalarının tamamı siber güvenlik sistemlerinin şirket ihtiyacını karşılamadığını belirtiyor. Katılımcıların %85’i ise şirketlerinde düzenli olarak kriz senaryolarını test eden ve olası bir siber güvenlik ihlaline karşı etkin kriz yönetimi sağlayacak bir program olmadığını ifade ediyor.
Dünya genelinden yaklaşık bin 200 büyük ölçekli şirket yöneticisinin anket yoluyla katılımı ile hazırlanan araştırma, farklı sektörlerden şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyuyor.
Araştırma sonuçlarına göre; enerji dağıtım sektörü firmalarının tamamı (%100) siber güvenlik sistemlerinin şirket ihtiyaçlarını karşılamadığını ifade ediyor. Bununla birlikte enerji dağıtım sektörü şirketlerinin %58’i dijital ekosistemin takip edilmesi veya izlenmesi konusunda güçlük yaşanacağını öngörüyor. Araştırmada, dijital ekosistemin takip edilmesi konusunda güçlük çekileceği beklentisinin tüm sektörler genelinde %36 ile enerji sektöründen oldukça düşük olduğuna dikkate çekiliyor.
Dijital dönüşüm enerjide risk yönetimini güçleştiriyor
Teknolojik ilerlemelerin etkisiyle radikal bir dönüşüm sürecinde olan enerji dağıtım sektörü şirketleri için içerisinde faaliyet gösterdikleri dijital ortamın haritasını çıkarmak gittikçe zorlaşıyor. Araştırmada; enerji değer zincirinin daha da çok parçalı bir yapıya sahip olması ile birlikte mikro şebekeler ve dağıtılmış enerji kaynaklarındaki yükselişin enerji dağıtım sektöründe risklerin anlaşılması ve yönetimini güçleştirdiği vurgulanıyor. Artan güvenlik tehditlerine rağmen, katılımcıların %85’i şirketlerinde düzenli olarak kriz senaryolarını test eden ve olası bir siber güvenlik ihlalinin ardından etkin kriz yönetimi sağlayacak bir program olmadığını ifade ediyor.
“Siber güvenlik, şirket stratejinin ayrılmaz bir parçası olmalı”
“Dijital ekosistemin genişlemesi, enerji dağıtım sektörü firmalarını daha yoğun ve karmaşık, daha da önemlisi kritik öneme sahip fonksiyonları aksatabilecek siber saldırılarla karşılaşma riski taşıyor” diyen EY Türkiye Enerji Sektörü Lideri Erkan Baykuş konu ile ilgili şu değerlendirmede bulundu:
“Enerji dağıtım sektörü şirketleri her ne kadar siber güvenlik konusunda geçtiğimiz yıllarda kaydedilen ilerleme ile birlikte tehditler konusunda daha güvende hissetseler de araştırma sonuçları daha gelişmiş ve hedefli saldırılarla baş etmede yetersiz olduklarına işaret ediyor. Siber tehditlere karşı dirençli bir yapı oluşturulmasında şirketlerin öncelikle kurum genelinde benimsenen kapsamlı bir risk yönetimi stratejisine sahip olmaları gerekiyor. Siber güvenlik yönetim stratejisinde, karmaşıklaşan tehditler karşısında çok katmanlı bir yaklaşım ile hareket edilmesi ve başarısı kanıtlanmış öncü uygulamaların kullanılması önem taşıyor. Diğer taraftan şirketlerde güvenlikten sorumlu yetkililerin endişe duydukları konuları üst düzey yönetime taşıma kabiliyetlerinde eksiklik olduğunu gözlemliyoruz. Bu da risklerin azaltılmasını sağlayacak yatırımların yapılması önünde engel teşkil ediyor. Dolayısıyla siber güvenlik konusunun genel şirket stratejinin ayrılmaz bir parçası olarak ele alınmasına ihtiyaç duyulduğunu gösteriyor.”
Enerji dağıtım sektörü şirketlerinin %23’ünün güvenlik operasyon merkezi bulunmuyor
Araştırma sonuçlarına göre; enerji dağıtım sektörü şirketlerinin yalnızca %6’sı (2017’de %19) mevcut stratejilerinin bilgi güvenliği üzerindeki etkilerini tam anlamıyla gözden geçirdiklerini ve risk yönetim modellerinin siber tehditleri ve kırılganlıkları kapsadığı ve takip ettiğini ifade ediyor. Bununla birlikte katılımcıların yaklaşık dörtte biri (%23) halen bir güvenlik operasyon merkezlerinin olmadığını belirtiyor.
Bütçe kısıtları siber saldırılardan korunma önünde engel teşkil ediyor
Araştırmaya katılan enerji dağıtım sektörü şirketlerinin %44’ü, bütçe sınırlamalarını siber saldırılara karşı korunmada ciddi bir engel olarak görüyor. Katılımcıların yaklaşık üçte biri (%29) yönetimin arzu ettiği risk toleransı seviyesine ulaşılabilmesi için bütçede %25’ten yüksek bir artış gerçekleşmesi gerektiğini söylerken, yalnızca %9’u gelecek 12 aylık dönemde böyle bir artış gerçekleşmesini bekliyor.