Hem şahsi hem de profesyonel tüm bilgilerimizin çevrimiçi olarak depolandığı dijital öncelikli bir dünyada, bilgi gözetmesi göz arkasını edilemeyecek kadar ehemmiyetli. Siber sigorta yoluyla işletmelerin bilgi gözetmeyi önceliklendirmelerini teşvik etme gayretlerine karşın, bir hayli ufak ve orta ölçekli firma KOBİ hala sigortasız gidişatta. Ne Yazık Ki, KOBİ ’lerin hedef alınmadıklarına ve tehditlere karşı güvende olduklarına dair yaygın kanı da tamamen yanlıştır.
Markel tarafından yapılan bir araştırmaya göre, KOBİ katılımcılarının yarısından aşırısı 2021 ’in sonlarında bir siber güvenlik ihlalinin kurbanı oldu. Hibrit çalışmanın çoğalması ve müessese içi uzmanlığın hudutlu olması, KOBİ ’leri siber ataklara karşı daha da korunmasız hale getiriyor. Temmuz 2022 ’de, Genel İdareyici Acentesi CFC Underwriting tarafından rapor edildiği üzere, ‘BazarCall ’ ismi verilen yeni bir cins fidye yazılımı hamlesi KOBİ ’leri hedef aldı. Bu cins ataklar ajansın üç aylık bir yarıyılda portföyünde yer alan makûs emelli yazılım hadiselerinin yüzde 10 ’unu oluşturdu.
Veeam Bilgi Koruma Trendleri Raporu 2023, siber hücumların 2020, 2021 ve 2022 ’de müesseseler için en tesirli kesintilere neden olduğunu ve müesseselerin yüzde 85 ’inin son 12 ayda en az bir kere hücuma uğradığını ortaya koydu. Bu da gelişmiş dijitalleşmeye, artan farkındalığa ve hazırlıklı olmaya karşın fidye yazılımlarının hala galibiyetli olduğunu gösteriyor.
Bu noktada uslara gelen “KOBİ ’leri siber ataklara karşı korunmasız kılan nedir?” sualine cevap veren Veeam Müessesesel Taktiklerden Mesul Başkan Yardımcısı Dave Russell ve Veeam Ürün Taktiklerinden Mesul Kıdemli Direktör Rick Vanover şunları aktardı:
Her ölçekten firma siber ataklara karşı korunmasız olsa da, KOBİ ’ler beceriksiz bilgi güvenliği ihtiyatları sebebiyle özellikle ataklara sarih gidişatta. KOBİ ’lerin siber koruma için ayırdıkları bütçe çoğu zaman oldukça hudutlu kalıyor. CyberPeace Vakfının hazırladığı bir rapor, KOBİ ’lerde yüksek teknolojili izleme sistemleri olmaması sebebiyle eylemleri tespit edilemeyen siber kabahatliler için bu firmaların sistemlerine girmenin daha cazip hale geldiğini ortaya koydu. Raporda ayrıca ehemmiyetli bilgilerin yedeklenmemesi ve beceriksiz siber güvenlik siyasetleri gibi güvenlik sarihlerinin nasıl siber ataklara yol açabileceğine de değinildi.
KOBİ ’ler, iş ölçekleri sebebiyle genellikle sektör devleriyle rekabet edebilmek için iş taktiklerini kuvvetlendirmeye daha fazla odaklanıyorlar. Yalnızca büyük ölçekli kuruluşların daha büyük siber atak tehlikeyi altında olduğuna inandıkları için KOBİ ’ler bilgi yedekleme ve sigorta gibi uygun siber güvenlik çözümlerine yatırım yapmaktan sakınabiliyorlar. Netice olarak, siber güvenlik tasarılaması çoğu zaman arka tasarıda kalabiliyor.
KOBİ ’lerin siber sigortaya yatırım yapmamalarının bir öteki ehemmiyetli sebebi de lüzumlu güvenlik tedbirlerini entegre edecek teknik uzmanların olmaması ve poliçe satın alma maliyetlerinin yükselmesidir. Evrensel Data ’nın 2021 senesinde yaptığı bir araştırma, KOBİ ’lerin takribî yüzde 29 ’unun maliyetleri düşürmek için siber sigortalarını iptal ettiğini ortaya koydu.
Siber güvenlik bütçelerine önemsemeleri için KOBİ ’ler teşvik ediliyor, zira işleri gereği teknolojiye bağımlı oldukça, şirketleri siber tehditlere karşı daha korunmasız hale geliyor. Deloitte ’un Siber Sigorta Raporu, 2018 ’de %36 olan orta ölçekli firmaların siber hücuma uğrama oranının 2019 ’da %63 seviyesine çıktığını ortaya koydu. Bütçenin ufak olması sebebiyle sigortalama yapılamıyorsa, siber güvenlik çözümleri satın almak ve bilgileri yedeklemek gibi başka tedbirler almak takviyeci olabilir.
KOBİ ’ler için çıkış yolu
Kuruluşların temel dijital hijyen usullerini uygulamaları hayati ehemmiyet taşıyor. Tam şirketler, firma idareyicilerine doğrudan erişebilen ve güvenlik çalışmalarını idareme yetkisine sahip özel bir BT güvenlik idareyicisine gereksinim dinler. Ayrıca ufak firmaların da müessese içi ya da dış kaynaklı olması fark etmeksizin siber güvenlikten mesul ve bilgi gözetmede uzmanlaşmış kaynakları bünyelerinde bulundurmaları gerekir. Ek olarak, antivirüs yazılımı, güçlü bir güvenlik duvarı gibi öteki ehemmiyetli siber güvenlik tedbirlerinin yaşama geçirilmesi ve çalışanların kuşkulu irtibatları tespit ederek fidye yazılım e-postalarına tıklamaktan sakınmaları mevzusunda eğitilmesi de bu noktada oldukça ehemmiyetli.
Son olarak, KOBİ ’lerin dikkate alması gereken ehemmiyetli bir siber güvenlik öğesi ise tüm sistemlerden izole edilmiş bir bilgi yedeklemesine sahip olmaktır. Müesseseler tüm bilgi depolama alanlarında Backup and Data Recovery kullanarak bilgi sistemlerinin bütün olarak korunmasını sağlayabilir. Ek olarak Veeam ’in önerdiği 3-2-1-1-0 yedekleme kuralı da uygulanabilir. Bu kural, ehemmiyetli bilgilerin her zaman en az iki değişik medya etrafında, en az biri iş yeri dışında ve biri çevrimdışı olmak üzere en az üç kopyasının bulundurulmasını ve sıfır doğrulanmamış yedeklerin ya da kusurlu yedeklerin bulundurulmasını önerir.
Veeam Bilgi Koruma Trendleri Raporu 2023 müesseselerin Çağdaş Bilgi Koruma çözümlerinde aradıkları en ehemmiyetli özelliğin “bilgi gözetmenin siber hazırlık taktiğine entegre edilmesi” olduğunu ortaya çıkarmıştı, bu da yedeklerin ne kadar ehemmiyetli olduğunu bir kere daha vurguluyor.
Sistemin güvenliğini değerlendirmek için yapılan kumpaslı tehlike değerlendirmeleri ve sızma testleri gibi kolay egzersizler dahi siber riskleri önlemeye takviyeci olabilir. Dolayısıyla, pahalı siber sigortaları karşılayamayan KOBİ ’ler, kuruluşlarının bilgilerini gözetmek için bu uygun maliyetli uygulamaları yaşama geçirebilirler. KOBİ ’ler iyi bir dijital hijyen gereksinimini ne kadar özümserlerse ataklara karşı o kadar tetikte olabilirler. Dolayısıyla bilgilerin korunmasının yanı gizeme siber siyasetlerin tertip edilmesi de gerekli hale getirilmelidir. Siber ataklar hakikattir ve şirketinizin ölçeği ne olursa olsun bunları önlemeye müteveccih temkinler ilgisizlik edilmemelidir.
Kaynak: BYZHA Beyaz Haber Ajansı