Finans Şirketlerinin Siber Güvenlik Sorunu Yaşamasının 5 Nedeni
Finansal hizmetler sunan şirketler, uzun süredir siber suçlular için popüler bir hedef konumunda bulunuyor. Siber güvenlikte dünya lideri olan ESET, uluslararası kurumların raporlarını ve siber güvenlik risklerini inceleyerek finans şirketlerinin siber güvenlik sorunu yaşamalarının nedenlerini inceledi.
Finans şirketlerini siber suçlular için cazip kılan iki temel
unsur yer alıyor. Bunlardan ilki finans şirketlerinin odak
noktalarının para olması diğeri ise hassas müşteri verilerine sahip
olmaları. Müşteri verileri siber suçluların çeşitli dolandırıcılık
yöntemlerinde kullanabileceği ve karanlık ağda satabileceği
bilgiler içerdiği için en az para kadar değerli. Verizon'un
2020 Veri İhlali İncelemeleri Raporu'na göre finans sektörü
yalnızca geçtiğimiz yıl bin 500'den fazla olayla ve verilerin
yanlış kişilerin eline geçtiği 448 onaylanmış durumla
karşılaştı.
Uzun süredir devam eden tehditlerin yanı sıra şirketler uzaktan çalışmaya hızlı bir şekilde geçiş yaptığı için bir çok tehditle karşı karşıya kaldı. Oldukça kısa bir sürede uzaktan çalışmaya geçmek zorunda kaldıklarından, şirketlerin uygun siber güvenlik önlemlerini almak veya çalışanlarını siber tehditlere karşı hazırlamak üzere çok az zamanları oldu. ESET şirketlerin, çeşitli etkenlerden ötürü sıklıkla karşılaştıkları zorlukları beş başlık altına topladı.
1. Yetenekli ve deneyimli çalışan sayısının azlığı
Birçok şirket çeşitli tehditlere karşı savunmalarını
güçlendirmek üzere deneyimli veya yetenekli siber güvenlik
uzmanlarına kadrolarında yer vermek adına yarış halinde olsa da bu
özelliklere sahip yeterli sayıda kişi bulunmuyor. Uzun yıllardır
ilk defa siber güvenlik alanındaki iş gücü farkı azalmasına karşın
yine de dünya genelinde 3,12 milyon çalışan ihtiyacı bulunuyor.
Dünya çapındaki bu uzman açığını gidermek için istihdam seviyesinin
Amerika'da yüzde 41, dünya genelinde ise yüzde 89 oranında
artması gerekiyor.
2. Yetersiz bütçe
Siber güvenliğe yeterince bütçe ayırmamaları, şirketlerin karşılaştıkları tehditlerle mücadele etmesini engelleyen temel nedenler arasında yer alıyor. Ernst & Young tarafından yürütülen bir ankete göre, ankete katılan kuruluşlardan yüzde 87'si hedefledikleri siber güvenlik seviyesine ve dayanıklılığına ulaşmak için yeterli bütçeye sahip olmadığını belirtmiş. Yeterince kaynağa sahip olmayan şirketler, yeterli siber güvenlik uzmanı çalıştıramıyor veya çeşitli siber tehditlere karşı dayanıklı olmak için ihtiyaç duydukları teknik önlemleri alamıyor.
3. Kendi siber güvenliğine fazla güvenme
ESET'in tespitlerine göre yapılan en yaygın hatalardan biri,
şirketlerin kendi siber güvenlik önlemlerini olduğundan daha iyi
görmesi. Şirketler her alanda en iyi olanaklara sahip olduklarını
düşünse de, ihlallere karşı yama yönetimi konusunda en iyi
politikalara sahip olmayabilir. Bu duruma iyi ama aynı zamanda da
talihsiz bir örnek ise Windows'taki BlueKeep zafiyeti. Yama 2019
Mayıs ayında yayımlandı ve Microsoft herkesin derhal yamayı
yüklemesini istedi. Bir ay sonra Ulusal Güvenlik Ajansı da bu
konuda uyarı yayımladı, ancak Temmuz ayına gelindiğinde güvenlik
açığına sahip, saldırıya açık 805,000'den fazla makine bulunuyordu.
Bu durum Kasım ayında ilk BlueKeep saldırıları ortaya çıktığında en
kötü noktaya ulaştı.
4. Farkındalıkla ilgili eğitim eksikliği
Bir şirketin siber güvenliğini tehlikeye atan konulardan birisi de çalışanların yeterli siber güvenlik farkındalığı eğitimi görmemesidir. Çalışanların kötü amaçlı yazılım indirerek veya şirket kimlik bilgilerini farklı platformlarda kullanarak dolandırılmaları gibi riskler, COVID-19 dolayısıyla uzaktan çalışmaya geçişle birlikte oldukça arttı. Ponemon Institute tarafından yürütülen bir çalışmaya göre, şirketlerin pandemi esnasında siber saldırılarda ciddi bir artış olduğunu belirtmesine rağmen, katılımcıların yüzde 24'ü kuruluşlarının uzaktan çalışmayla ilgili risklere karşı yeterli eğitimi sağlamadığını ifade ediyor. Ayrıca aynı çalışma, şirketlerin yarısından fazlasının uzaktan çalışanlar için tüm gereksinimleri karşılayan güvenlik politikalarına sahip olmadığını da belirtiyor.
5. Siber güvenliği yeterince önemsememe
Bazı kuruluşlar işletmeleri açısından siber güvenliğin öneminin farkında değiller. Finansal genişleme veya yeni ürünler geliştirme gibi daha önemli gördükleri diğer alanlara yatırım yapmayı tercih ediyorlar. Siber güvenlik önlemlerinin, bir veri ihlali sonucu olası kayıplardan daha yüksek maliyetli olması gibi nedenlerden ötürü siber güvenliğin yararına oranla yüksek maliyetli olduğunu düşünebilirler. Ancak olası cezalar ve kayıplar kısa vadede çok yüksek maddi kayıplara neden olmasa da, şirketin ününü göz önünde bulundurduğumuzda müşteri güveninin kaybolması gibi daha büyük çapta zarar verecek uzun vadeli sonuçlar doğurabilir. Buna ek olarak, başarılı olmaları durumunda siber suçlular, karanlık ağda satabilecekleri müşteri verilerinin yanı sıra fikri mülkiyet haklarına erişim sağlayabilir. Bu nedenle siber güvenlik, şirketi ve şirket müşterilerini koruduğundan göz ardı edilmemelidir.