BUSINESS LIFE Ayl�k �� Hayat� & Ekonomi Dergisi

VER� �HLALLER�NDE REKOR YIL

"Riske Dayal� G�venlik" raporu, �arp�c� sonu�lar ortaya koydu. 2019'un sadece 9 ayl�k d�neminde 7.9 milyar kay�t (+%112) ile 5 bin 183 veri ihlali (+%33.3) ya�and�. 2019'un rekor y�l olarak kay�tlara ge�ece�i g�r�l�yor. Siber g�venliklerini g��lendirmek isteyen �irketler ise eksik stratejiler y�r�t�yor. G��l� bir savunmaya ihtiya� duyanlar�n, �ncelikle �al��an e�itimine �nem vermesi gerekiyor.

“Riske Dayal� Güvenlik” raporunda elde edilen kay�tlar�n yakla��k 3.1 milyar�, 1 Temmuz-30 Eylül 2019 tarihleri aras�nda gerçekle�en 6 ihlalden kaynakland�. Verilerin risk alt�nda kalmas�na en fazla neden olan durumu insan hatalar� olu�turuyor. Ayr�ca, yap�land�r�lmam�� veri tabanlar�, yedeklemeler, uç noktalar ve hizmetler dolay�s�yla bu y�l, 6 milyardan fazla kay�t da serbestçe eri�ilebilir hale getirildi.
Ço�u olaydan siber suçlular sorumlu tutulsa da çal��anlar�n güvenlik hatalar�, farkl� boyutlarda kay�plara neden oluyor. Bilinçlendirme için yeterli çal��ma yapmayan �irketlerin, bir sald�r� an�nda devreye geçirebilecekleri haz�r bir planlar� da yok. Savunma stratejilerinde gözden kaç�r�lan önemli nokta ise siber güvenlik bilinci.

VER� �HLAL�NE DAVET�YE ÇIKARAN 7 R�SK
Ciddi yapt�r�mlara sahip olan Ki�isel Verileri Koruma Kurumu (KVKK) ve Genel Veri Koruma Yönetmeli�i (GDPR), �irketlere verilerin güvenli�i konusunda önemli sorumluluklar yüklüyor. As�l kaynak olarak siber suçlular görülse de i�in arka plan�nda ba�ka birçok faktör yer al�yor. KVKK ve GDPR uyum dan��manl�� hizmeti sunan Siber Asist’in Hukuk Dan��man� Beliz Özk�r�m’a göre; �irketlerde veri ihlallerine neden olabilecek 7 duruma dikkat edilmesi gerekiyor.

1- ÇALI�AN HATALARI: Veri ihlallerine genellikle çal��anlar�n prosedürleri uygulamamas� ve d��ar�ya ki�isel verileri s�zd�rmas� neden oluyor. Gizli bilgilerin yanl�� e-posta adreslerine iletilmesi, �irketin gerekli e�itimleri vermemesi, firman�n güvenliklerinin ihlal edilmesi, korumal� güçlü parolalar�n kullan�lmamas� gibi birçok örnek gösterilebilir.
2- S�BER SALDIRILAR: Siber suçlular�n kulland�klar� yöntemler üç kategoriye ayr�l�yor. �stismarlar� kullanan hackerler, �ifre korsanl�� yap�yor. �kincisi; hassas bilgileri toplamak veya i� kesintilerine neden olan kötü amaçl� yaz�l�m kullanmak. Sonuncusu ise suçlular�n sosyal mühendislik çal��malar�.
3- SOSYAL MÜHEND�SL�K: Siber suçlular�n, kullan�c�lar hakk�nda edindikleri bilgilerle kand�rmaya yönelik giri�imleri, “Sosyal mühendislik” olarak adland�r�l�yor. Hackerler; ki�i, resmi bir kurum ya da �irket ad� alt�nda en çok oltalama sald�r�lar� gerçekle�tiriyor.
4- YETK�S�Z ER��M: Ki�isel veri niteli�inde ve �irketin koruma sorumlulu�u alt�ndaki verilere, eri�im yetkisi olmayan bir çal��an�n ula�mas� ve bunu s�zd�rmas� ihlallere yol açabiliyor.
5- F�DYE YAZILIMI: Fidye yaz�l�m� “Dosyalar� �ifreleyen ve virüs bula�an �irkete �ifre çözme anahtar�n� almalar� için maddi �antaj yapan bir tür kötü amaçl� yaz�l�m” demek. Genellikle e-postalarda eklere gizlenerek sistemlere s�z�l�yor.
6- �Ç TEHD�TLER: Yaln�zca hassas bilgilere eri�ilmesine yard�mc� olan hatalarla kalmayan çal��anlar�n baz�lar�, sahtekâr veya veri h�rs�z� olabiliyor. �ntikam ya da finansal kazanç için rakip �irketlere ki�isel verileri s�zd�rabilmekte ve ihlallere sebebiyet verebiliyorlar.
7- F�Z�KSEL HIRSIZLIK: Evraklar�n yok edilmemesi, USB belleklerin kolayca eri�ilebilir yerlerde olmas�, ki�isel verilerin tutuldu�u dolaplar�n kilitli olmamas� ve idari tedbirlerin al�nmamas� h�rs�zl��a yol açabiliyor.

‘FELAKET KURTARMA’ UYGULAMALARI YETERS�Z
Birle�ik Krall�k’ta, veri güvenli�i üzerine 400 Bilgi Teknolojileri (IT) uzman�yla yap�lan veri güvenli�i anketinin sonuçlar�, sanc�l� durumu özetliyor. �ngiltere’deki �irketlerin 3’te 2’sinin felaket kurtarma programlar�ndan istedi�i verimi alamamas�, ya�anan i� süreklili�i aksamalar�n� art�r�yor.

- IT uzmanlar�n�n %49’u, mevcut i� süreklili�i plan�na ve fidye yaz�l�m� sald�r�lar�na kar�� savunman�n temel unsurlar�ndan biri olan yedekleme yeteneklerine inan�yor. Ancak ankette, felaket kurtarma programlar�n�n geli�tirilmesi konusunda güven veren unsurlara rastlan�lm�yor.
- Siber tehditlerin say�s� hem veri kayb� hem de aksama süresinin bir sonucu olarak artmaya devam ediyor.
- �irketler, felaket kurtarma stratejisi ve bunu uygulamak için gereken politikalar, prosedürler ve teknoloji aç�s�ndan yeterli çal��malara sahip de�il.
- Kat�l�mc�lar�n neredeyse dörtte biri (%23) kurum d�� yedeklemelere sahip de�il. �irketlerin %13'ü, hiçbir zaman yedeklemeleri test etmiyor ve %42'si son 12 ay içinde felaket kurtarma uygulamalar�n� gözden geçirmiyor.

��RKETLERE �� SÜREKL�L�� KONUSUNDA YOL HAR�TASI:
- Olas� felaket senaryolar�nda, riskleri yok etmenin veya minimalize etmenin en önemli gerekliliklerden biri, h�zl� davranmak ve haz�rl�kl� olmak.
- Felaket kurtarma ve i� süreklili�i çözümleri, sorunu fark eder ve müdahale eder. Hizmet sa�lay�c�n�z telefon, e-posta ve bildirimler arac�l��yla otomatik olarak sizi bilgilendirir. Böylece kurtarma operasyonu gerekti�inde, hemen aksiyon alabilir.
- Bir kurtarma senaryosunda, i� amaçl� kritik uygulamalar�n, genel amaçl� uygulamalara göre önceliklendirilmesi gerekir.
- Acil bir durumda, kurtarma senaryonuzun nas�l çal��aca��n� ö�renmenin tek yolu, düzenli olarak test etmektir. Ayr�ca RPO ve RTO sonuçlar�n� gösteren, okunmas� kolay raporlar da al�rs�n�z.

TÜKEC�LER VER� �HLAL� KONUSUNDA END��EL�
Dünya genelindeki birçok tüketici, verilerinin güvenli�i konusunda endi�e duyuyor. ABD, Birle�ik Krall�k, Avustralya ve Kanada'daki mü�terilerin yar�s�, veri ihlali ya�ayan �irketlerden hizmet almay� ya da al��veri� yapmay� sonland�r�yor. Böyle durumlar, itibar ve mü�teri kayb�, gelirlerde dü�ü�, rekabet avantaj�n� yitirmek ve çal��anlar�n üretkenlikte yetersiz kalmalar� gibi y�k�c� ve uzun vadeli mali sonuçlar do�urabiliyor. Peki!, siber sald�rganlar�n kurban� olmamak için ne yap�lmal�?

- Sorumluluktan kaç�nmak, mü�terilerinizi kaybetmenize, de�erinizin dü�mesine ve potansiyel olarak para yitirmenize neden olacak bir veri ihlaline yol açabilir.
- Güveni art�rmak için etkili bir veri ihlali yan�t plan� içeren güçlü bir güvenlik mevzuat� büyük önem ta��r. Veri ihlaline haz�rl�kl� olunmas� için �irket üst yönetiminin de aktif olarak sürece dahil edilmesi gerekir.
- Üst yönetim, kendi �irketinin gizlilik ve veri i�leme uygulamalar�n�n mü�terilerinin beklentilerine sayg�l� olmas�n� sa�lamal�d�r. Bu tür çabalar tüketici dü�ü�lerini hafifletmeye yard�mc� olacakt�r.

HER 10 ��RKETTEN 6’SI VER� �HLAL� YA�ADI
�ngiltere, ABD, Avustralya, Yeni Zelanda, Almanya, Fransa, �talya ve �spanya'da 6 binden fazla bilgi güvenli�i uzman�n�n kat�l�m�yla gerçekle�tirilen “Hacked Off!” ara�t�rmas�, çarp�c� gerçeklere ��k tuttu. Kapsama alan�na; KOB�'ler, 10 binden fazla ki�inin çal��t�� halka aç�k �irketler, finans, kamu ve enerji de dahil olmak üzere çe�itli sektörler girdi. Her 10 �irketten 6’s�n�n son 3 y�lda veri ihlali ya�ad�� ortaya ç�kt�.

- Ankete kat�lanlar�n neredeyse yar�s� (%49), �irketlerinin siber güvenli�i konusunda endi�elenerek geceleri uyuyamad��n� ve stres alt�nda ya�ad�klar�n� belirtiyor. %58’i ise küresel bir siber sald�r�ya kar�� haz�r olmad�klar� dü�üncesinde.
- Güvenlik uzmanlar�n�n %53’ü, bütçe ve personel eksikli�inden dolay� mevcut görevinden ayr�lmay� dü�ünüyor. Her 3’ünden ortalama 1’i (%29), ileri bir siber sald�r� tespitinin bir hafta veya daha uzun sürece�i fikrinde. Her 100’ünden sadece 3’ü, geli�mi� ataklar�n %100'ünün etkili bir �ekilde tespit edilip engellenece�ini ifade ediyor.
- Kat�l�mc�lar, a� trafi�i analizi ve anti-malware teknolojisi ile siber tehditleri belirlemenin daha etkili yollar�na da yat�r�m yap�lmas� gerekti�i kanaatinde. Ayr�ca 10 ki�iden 7’si uç nokta güvenli�inin gelecekteki sald�r�lar� önlemeye yard�mc� olabilece�ine inan�yor.

* Dünyada 500 milyondan
fazla kullan�c�y� koruyan Bitdefender Antivirüs’ün “Hacked Off!” anketi

VER� �HLAL� YA�ANDIKTAN SONRA NELER YAPILMALI?
Ki�isel Verileri Koruma Kurumu (KVKK), �irketler için yeni düzenlemeleri beraberinde getiriyor. Siber sald�rganlarca tehdit edilenlerin izlemeleri gereken önemli yollar bulunuyor. Veri ya da güvenlik ihlalleri durumunda �irketlerin do�ru bir ad�m atabilmesi için kendilerine sormas� gereken 6 soru var...

1- B�R �HLAL GERÇEKLE�T� M�? Herhangi bir aksiyon almadan önce, güvenlik ekibi, bir ihlalin oldu�u iddias�n� de�erlendirmeli.
2- OLAY MÜDAHALE PLANI UYGUN MU, DE��LSE NASIL DÜZENLENMEL�? Genel müdür ve CISO, olay�n kapsam�na ve etkisine ba�l� olarak, ekibin di�er üyelerini uygun �ekilde bilgilendirebilir.
3- S�BER SALDIRGAN, IT ORTAMINA NASIL ER��M SA�LADI? Siber sald�rgan�n �irketin IT ortam�nda ne kadar süre kald��n� cevaplanmak zorunda. En yayg�n eri�im yöntemleri ise kimlik av� e-postas�, �ifre k�rma veya di�er oltalama sald�r�lar� yoluyla gerçekle�iyor.
4- S�BER SALDIRGAN HÂLÂ IT ORTAMINIZA ER��M SA�LAYAB�L�YOR MU? Sald�rganlar kal�c� bir arka kap� kurmu� olabilir, �irketin VPN'sini kald�rarak veya ayr�cal�kl� eri�ime sahip kullan�c� hesaplar�n�n kimlik bilgilerine sahip olduklar� için s�zmaya devam ediyor olabiliyor.
5- S�BER SALDIRGANLAR NE TÜR B�LG�LER ÇALDI? Çal�nanlar, sosyal güvenlik numaralar�, kredi kart� bilgileri veya sa�l�k verileri gibi ki�isel olarak tan�mlanabilir bilgiler ise bunlar�n tümü etkilenen ki�ilere rapor edilmeli.
6- �HLAL�N SEBEB� NEYD�? Sald�rganlar, fikri mülkiyet veya çok hassas �irket bilgilerini çalmak istemi�lerse “Endüstriyel casusluk mu planl�yorlar yoksa �irkete yönelik hedefli bir sald�r� için bilgi mi topluyorlar?” sorusu cevaplanmal�d�r.

VER� �HMAL� M�, GÜVENL�K �HLAL� M�?
Veri ihlali, yetkisiz eri�im veya hassas bilgilerin çal�nmas� olarak nitelendiriliyor. Hassas verilere eri�ilmemesi veya hiçbir verinin çal�nmamas� durumunda ise sadece bir güvenlik ihlalinden söz ediliyor.

YAZILIMLARINI GÜNCELLEMEYEN ��RKETLER, GÜVENDE DE��L
Siber güvenlik araçlar� ve süreçleriyle ilgili birçok engel, �irketler içerisinde henüz çözülemedi. 2019 y�l�nda ya�anan veri ihlallerin %60’�, en yayg�n sald�r� vektörlerinden biri olan yamas� yap�lmayan yaz�l�m aç�klar�ndan kaynakland�. Ponemon Enstitüsü taraf�ndan 9 ülkede, 3 bin siber güvenlik uzman�yla yürütülen ara�t�rmadan öne ç�kanlar �öyle...

- �irketlere yönelik siber sald�r�lar 2018 y�l�nda %17, güvenlik uzmanlar�n�n sald�r�lara yönelik endi�elerinin %27 artt�.
- �hlalleri önleme, tespit etme ve iyile�tirme konusundaki y�ll�k harcamalar yakla��k %24 artt�.
- Kat�l�mc�lar�n %88'i, �irketlerinde di�er bölümlerle ba�lant� kurmalar� gerekti�ini ve bunun da ortalama 12 gün boyunca yamay� geciktiren koordinasyon sorunlar�na yol açt��n� söyledi.
- En kritik güvenlik aç�klar�n� düzeltmek için zaman çizelgesi 16 güne bedel. Yama aç�klar�ndaki gecikmeler nedeniyle �irketler, %30 daha fazla i� kesintisi ya�ad�.
- %76'l�k kesim, güvenlik ve IT ekipleri aras�nda ortak uygulama ve varl�k görü�ünün bulunmad��n� belirtti. %74'ü ise kritik uygulamalar� ve sistemleri, h�zl� bir �ekilde yamalamak için çevrimd��na alamayacaklar�n� söyledi. %72'si neyin yamalanmas� gerekti�ini belirlemede zorluk ya�ad��n� bildirdi.

VER� �HLALLER�, ��RKETLER� NE KADAR ETK�L�YOR?
Veri ihlali ya�and��nda, söz konusu �irket, görülecek etkileri en aza indirmek için mücadele verir. Bu; güvenlik sistemlerinin elden geçirilmesi, durumun mü�terilere bildirilmesi, ba�ta marka itibar� ve tüketici güveni olmak üzere baz� somut olmayan varl�klar�n alaca�� hasar�n da önlenmesini içerir. New York Menkul K�ymetler Borsas�’ndaki (NASDAQ) baz� �irketlerin incelendi�i ara�t�rmada ortaya ç�kan büyük resim, beklenenden daha kar��k.

- NASDAQ’ta listelenen 28 büyük kurulu� incelendi ve bunlar aras�nda 2007’den beri, her biri en az 1 milyon veri kayd�n� aç��a ç�karan toplam 33 ihlal ya�and�� görüldü.
- �irketlerin hisse fiyatlar�, olay duyulduktan neredeyse üç hafta sonra en dü�ük noktaya ula�t�. Hisse de�erleri ortalama %7.27 gerileyerek genel NASDAQ pazar�n�n -%4.18 alt�nda kald�.
- �lginç bir �ekilde kurulu� hisseleri, 6 ayda ihlal öncesine k�yasla (%4.1 büyüme) daha iyi bir performans sergiledi (%7,4 büyüme). Fakat çok sürmeden hisseler bu �a��rt�c� ivmeyi kaybetti. �hlalden bir y�l sonra ortalama NASDAQ pazar�n� yakalamay� ba�aramad�. %8.38’lik bir büyüme göstermesine ra�men NASDAQ’�n -%6,49 alt�nda kald�.
- �hlallerin etkisi zaman içinde azald�; ancak tüm ihlallerin hisse fiyat� üzerinde ayn� etkiyi göstermeyece�i unutulmamal�. Özellikle kredi kart� ve sosyal güvenlik numaralar� gibi fazlas�yla hassas verilerin if�a edildi�i olaylar�n sonuçlar�, hisse fiyatlar�nda daha uzun süreli ve daha büyük etkilere yol açar.
- �hlaller a��rl�kl� olarak finans ve ödeme alan�ndaki �irketlerde görülürken sa�l�k hizmetleri �irketleri benzer yan etkilere kar�� daha dayan�kl�.

USB BELLEK KULLANIMINDA TEHL�KE BÜYÜK!
Ço�u �irket, çal��anlar� için kapsaml� veri güvenli�i protokollerini ihmal ediyor. Online sald�r�l�rdan kaç�n�rken “�ç Tehditler” ba�l�� alt�nda ya�anabilecek veri ihlallerinde önemli rolü, USB bellek kullan�m� olu�turuyor. Bilgi Teknolojileri (IT) departmanlar�n�n, güvenli USB cihazlar konusunda yard�mc� olmamas�, veri s�z�nt�lar� dahil birçok tehlikeye yol aç�yor.

- �irketlerin %58'i, cihazlar için ba�lant� noktas� kontrolü veya beyaz liste (Whitelist) uygulam�yor. Sadece %47'si, çal��anlar�n USB cihazlar�nda �ifreleme kullanmalar�n� istiyor.
- �irketlerin yar�s�ndan fazlas� USB bellekler için bir güvenlik protokolüne sahip de�il. %53’ü, gizli verilerinin USB'lere indirildi�ini alg�layabilecek teknolojiden uzak.
- Bir veri ihlalinin �irketlere ortalama maliyeti 3.86 milyon dolar. 2017 y�l�nda %82 olan �ifresiz USB belleklerin kullan�m�, ya�anan ihlaller ve güvenlik tehditlerinden dolay� %58’e kadar dü�tü.
- USB belleklerin �ifresiz kullan�m�na devam edilmesi halinde al�nan önlemlerin pek bir etkisi olmuyor. Hediye edilen USB cihazlar�n kullan�lmadan önce mutlaka taranmas� gerekiyor. Çünkü siber sald�rganlar, son dönemlerde USB promosyonlar� ile zararl� yaz�l�m s�z�nt�lar� gerçekle�tiriyor.