Siber suçların maliyeti 11,6 milyon dolara ulaştı
Siber suçların her bir şirkete maliyetinin son yıllarda artması ve 11,6 milyon dolara ulaşması, bu konuda stratejik bir planlama yapılması gerektiğini ortaya koyuyor. En maliyetli saldırıları şirket içi saldırılar ile web tabanlı saldırılar oluşturuyor. HP Kurumsal Güvenlik Çözümleri’nin MENA’dan sorumlu müdürü Eyal Dali, “Türkiye’deki kurumlar bilgi güvenliği sorununun farkında ve bu konudaki küresel uygulamalarla yöntemleri benimsemeye başladı” diyor.
Siber suçların şirketlere maliyeti son dört yılda oldukça arttı. 2010 yılında şirket başma ortalama 6,5 milyon dolar olan bu rakam, 2013’te 11,6 milyon dolara çıktı. Tek bir siber saldırının yol açtığı sorunları çözmenin ortalama maliyetinin ise 1 milyon dola-n aştığı görülüyor.
HP Kurumsal Güvenlik Çözümleri’nin MENA’dan sorumlu müdürü Eyal Dali’ye göre, en maliyetli saldırılar şirket içindeki kötü niyetli kişilerin yol açtığı saldırılar ile web tabanlı saldırılar.
Bilgi hırsızlığı ise harici maliyetler içinde en yüksek kayıpları oluşturmaya devam ediyor.
Siber suçlarda finans kurumları ile savunma, enerji ve hiz met sektöründe faaliyet gösteren kuruluşlar, perakende, konaklama-catering ve tüketici ürünleri sektörlerindeki şirketlere göre çok daha büyük bir zarara uğruyor. Eyal Dali, “Önceden planlama yapılması, proaktif bir koruma altyapısının kurulması ve risk yönetimi metotlarının benimsenmesi kurumlara güvenlik sağlayacaktır” diyor.
Dali’nin sorularımıza verdiği yanıtlar şöyle: Global siber suçlar yılda ne kadarlık bir değere ulaştı?
Ponemon Institute tarafından yapılan, Siber Suç Maliyetleri 2013 Araş-tırması’nda, ABD’deki kuruluşlann, siber suçlar nedeniyle işletme başına yılda ortalama 11,6 milyon dolarlık kayba uğradığı tespit edildi. Bu da araştırmanın ilk kez yapıldığı 2009 yılından bu yana geçen dört yıllık süre içinde siber suçlara bağlı kayıpların yüzde 78 oranında artış gösterdiğini ortaya koyuyor. Sonuçlar aynı zamanda, siber saldırıların ardından sistemi ayağa kaldırmak için harcanan ” sürenin yüzde 130 ora-ijl nında artığını gösteriyor. Tek bir siber saldı-ıının yol açtığı sorunları .W çözmenin ortalama mali-r yetinin ise 1 milyon dolan aştığı görülüyor. Küresel siber suçlar karaborsasının toplam değeri bugün milyarlarca dolara ulaşıyor. Siber suçlann şirketlere yıllık ortalama maliyeti son dört yılda oldukça arttı. 2010 yılında 6,5 milyon dolar olan bu rakam 2011’de 8,4 milyon dolar, 2012’de 8,9 milyon dolar ve 2013 itibariyle 11,6 milyon dolar oldu.
Kurumların veri güvenliğinin riske girdiği en az bir güvenlik vakası olduğu ifade ediliyor. Bu en çok neden kaynaklanıyor?
BT dünyası değişiyor. Güvenlik kadroları artan sayıda zorlukla karşı karşıya bulunuyor. Mobil ortam, bulut yapıları, SaaS (servis olarak yazılım), BYOD (kendi cihazını getir) gibi unsurlar bilgi güvenliği söz konusu olduğunda işleri büyük ölçüde zorlaştırıyor. Organizasyonlar dağıtık yapılara geçiyor ve bu tür merkezi olmayan yapıları korumak zorlaşıyor. Bununla birlikte güvenlik vakaları da artıyor.
Kurumlar cihazlarını virüsten ya da sahtecilikten nasıl koruyabilir? En çok hangi hatalar yapılıyor?
Kurumlar yüzde 100 güvenlik sağlanamayacağını anlamış bulunuyor ve dünya artık risk yönetimi yöntemlerini benimsemeye başlıyor. Bu noktada organizasyonunuz için neyin daha önemli olduğunu belirliyor ve güvenlik ihlali durumunda neyin en fazla zarar vereceğini tespit ediyorsunuz. Ardından bunu korumaya çalışıyorsunuz. Şirket dışındaki ve daha önemlisi, şirket içindeki sızıntıların önlenmesi gerekiyor. Doğru güvenlik stratejisini belirlemeden ve buna yatırım yaparak risk yönetimine geçiş yapmadan güvenlik unsurlarına büyük para harcamak ve çok sayıda ürün satın almak büyük bir hata. Oysa kurumlar daha fazla koruma sağlayarak daha az harcama yapacaktır.
Şirketleri en çok zarara uğratan saldırılar hangileri olarak öne çıkıyor?
En maliyetli siber suçlar arasında hizmet reddi atakları, şirket içindeki kötü niyetli kişilerin yol açtığı saldırılar ve web tabanlı saldırılar yer alıyor. Bunlar siber suç maliyetlerinin yüzde 55’inden daha fazlasını oluşturuyor. Bilgi hırsızlığı ise harici maliyetler içinde en yüksek kayıplan oluşturmaya devam ediyor. Bunun ardından iş süreçlerinin aksaması geliyor. Yıllık bazda bilgi kaybı toplam harici maliyetlerin yüzde 43’ünü oluşturuyor. Bu noktada 2012’ye göre yüzde 2 gerileme gözleniyor. Iş süreçlerinde aksama veya üretim kaybı ise 2012’ye göre yüzde 18 artış göstererek toplam maliyetlerin yüzde 36’sını oluşturdu.
Siber saldırıların ardından sistemin düzeltilmesinin kurumlara maliyeti nedir?
Sistemi ayağa kaldırma ve saldırıların tespit edilmesi kurum içinde en yüksek maliyetli aktiviteler. Geçen yıl, sistemi ayağa kaldırma çabalan ve saldırılann tespit edilmesi toplam dahili aktivite maliyetlerinin yüzde 49’unu oluşturdu. Bu maliyetler arasında en büyük kalemler ise nakit harcamalar ve sorunu çözmeye ayrılan kadroların faaliyetleri oldu.
Siber suçların maliyetleri şirket büyüklüğüne göre değişiyor. Ancak, büyük kurumlarla karşılaştırıldığında, küçük ölçekli işletmeler kişi başına çok daha yüksek maliyetlerle karşılaşıyor. Siber suçlar söz konusu olduğunda finans kurumlan ile savunma, enerji ve hizmet sektöründe faaliyet gösteren kuruluşlar, perakende, ko-naklama-catering ve tüketici ürünleri sektörlerindeki şirketlere göre çok daha büyük bir kayba uğruyor.
Artık tabletler ve akıllı telefonlar da işimizin bir parçası. İşleri bu cihazlardan da yürütmek güvenlik açısından nasıl bir tehlike içeriyor?
Mobil uygulamalar günlük hayatımızın ayrılmaz bir parçası. Elbette kullanıcı sayısının artmasına bağlı olarak riskler de artıyor. Bu noktada özellikle mobilitenin avantajlarından yararlanmak isteyen şirketler risk altında bulunuyor. OSVDB (Açık Kaynak Güvenlik Açığı Veri Tabanı), mobil cihazlardan kaynaklanan güvenlik açığı bildirimlerinin, 2011 yılından bu yana yüzde 68 artış gösterdiğini rapor etti. Son beş yılı dikkate aldığımızda, bu artışın yüzde 787 oranında gerçekleştiğini görüyoruz.
Bu konuda HP olarak yaptığınız araştırma sonuçları var mı?
Testlerimiz sırasında bir şeyin doğruluğu defalarca kanıtlandı. Şirketlerin elindeki veriler saldırganları kendine çekiyor. Bu bağlamda, HP Fortify on Demand profesyonel hizmetler organizasyonu, mobil uygulama güvenliğinin mevcut durumunu ölçmek için güvenlik açıklarıyla ilgili olarak 70’ten fazla mobil uygulamadan veri topladı. Örnek küme 50’den fazla organizasyonu ve küçük işletmelerden küresel holdinglere kadar çok sayıda sektörü kapsıyordu. Sonuçlar web uygulamalarındaki güvenlik açıklarının mobil uygulamalar için de geçerli olduğunu gösteriyor.
Dijital güvenlikte Türkiye’deki genel tabloyla ilgili bize bilgi verir misiniz?
Türkiye’deki kurumlar bilgi güvenliği soaınunun farkında ve özellikle kurumsal müşterilerimiz bu konudaki küresel uygulamalarla yöntemleri benimsemeye başlamış bulunuyor. Elbette ülke ve bölgelere özgü güvenlik mevzuatı şartlarına uyulması için ek güvenlik çözümlerine ihtiyaç duyulabiliyor. Türkiye pazan bu konuda olgun bir pazar olarak değerlendiriliyor.
SİBER SALDIRILARIN MALİYETİ BÜYÜK
Siber Suç Maliyetleri 2013 Araştırması’na göre, ABD’de bir kurumun siber suçlara bağlı olarak uğradığı kayıplar yılda ortalama 11,6 milyon doları buluyor.
Siber suçlara bağlı kayıplar 1,3 milyon dolar ile 58 milyon dolar arasında değişiyor. Organizasyonlar haftada ortalama 122 başarılı saldırıyla karşılaşıyor. Siber saldırılardan kaynaklanan sorunların tümüyle giderilmesi ortalama 32 gün alıyor. Bu sürede kurumlar 1 milyon doları aşan zarara uğruyor.
Gözde Yeniova