Muhendis
New member
COVID-19 salgınının tesiriyle tüm dünyada dijitalleşme sürat kazanırken, kurumlar bu sürate yetişmek için güvenliği ihmal edebiliyor. Salgınla bir arada gelişen yeni riskleri kıymetlendiren Aon 2021 Siber Güvenlik Risk Raporuna göre 2018’in birinci çeyreğinden 2020’in son çeyreğine kadar yüzde 400’e varan artış gösteren fidye yazılımlar, sigortacılar için birinci sırada yer alan siber risk oldu.
Risk, emeklilik ve sıhhat mevzularında profesyonel hizmetler sunan Aon, “2021 Siber Güvenlik Risk Raporu”nun sonuçlarını kamuoyuyla paylaştı. Kuzey Amerika, Avrupa, Ortadoğu, Afrika ve Asya Pasifik bölgesindeki 20 farklı kesimden bine yakın kurumdan elde edilen bilgileri tahlil eden rapor, kurumların karşılaştığı yeni siber riskleri ve bu risklerin idare metodolojilerini ortaya koyuyor.
Raporla ilgili görüşlerini paylaşan Aon Türkiye Eş-CEO’su Selda Oknas Tanbay şu açıklamayı yapıyor: “2020 yılında dallar genelinde dijital dönüşümün suratının arttığı bir yıl oldu. Rekabetçi yapılarını korumak isteyen kurumların güvenliği ihmal edebildiğini gördük. Günümüzde kuruluşların karşılaştığı siber tehditlerin birden fazla yeni değil – bağlı aygıtlar, fidye yazılımları ve içeriden riskler her vakit mevcut olacak. birebir vakitte, COVID-19’un tesiriyle karmaşıklaşan siber dünyanın, katlanarak artan siber risklere maruz kalabileceğini hesaba katmalıyız. Süratle ilerleyen dijital evrimde kurumların güvenliği en az büyüme planları kadar gündemde tutmaları gerekiyor. Aon Güvenlik Çözümleri’nin hazırladığı raporumuz her geçen gün yenileri ortaya çıkan risklerle çaba için bir yol haritası niteliğinde.”
2020’nin sonu ve 2021’in başı prestijiyle gün yüzüne çıkan Mimecast, SolarWinds, Accellion ve Microsoft Exchange üzere başarılı olmuş siber akınların üçüncü taraflarla çalışmanın getirdiği zafiyetleri ortaya çıkardığı tespitinin yer aldığı rapora göre 2018’in birinci çeyreğinden 2020’in son çeyreğine kadar yüzde 400’e varan artış gösteren fidye yazılımlar, sigortacılar için birinci sırada yer alan siber risk oldu.
2020 fidye yazılımları için patlama yılı oldu
Rapora nazaran 2020’de fidye yazılımı akınlarının sayısı ve çeşitliliğinde patlama yaşanırken siber sigortacılar 2019’un başından 2020’ye kadar bu alana yönelik taleplerde yüzde 336’lık bir artış yaşandığını bildiriyor. Fidye yazılımlarından kaynaklı kurumsal maliyetlerin 2021’de 20 milyar dolara yaklaşması beklenirken fidye yazılımlarının gerisinde “ödeyip kurtulma” aslına dayanan yazılımlar olmadığı, bilgilerin büsbütün silinmesi üzere senaryoları da içerisinde barındırdığı tabir ediliyor. 2020’nin sonunda, 10 fidye yazılımı saldırısından yedisi, dataları sızdırma tehdidini içeriyordu ve kimi varyantlar çalınan bilgileri açık artırmayla satma teşebbüslerinde bulunuyordu. Ayrıyeten, sunucuların yahut data kümelerinin kalıcı olarak silindiği bir bilgi imhası da yaşandı. Raporda kurumlara fidye yazılımı risklerinin azaltılması için güvenlik açıklarını belirleme, iş sürekliliği planları oluşturma ve ihlal karşılığına yardımcı olmak için sadece nitelikli siber güvenlik uzmanları ile çalışma üzere tedbirleri almaları tavsiye ediliyor.
Dijital dönüşümün getirdiği riskler
Aon 2021 Siber Güvenlik Risk Raporuna bakılırsa objelerin interneti (IoT), vücutların interneti (IoB) ve akıllı kent inisiyatifleri 2021 yılında da siber riskler oluşturmaya devam edecek. Raporda bu ortamda faaliyet gösteren kurumların, yeni teknolojilerin yahut iş modellerinin benimsenmesiyle ortaya çıkan siber risklere karşı önlemli olmaları gerektiği belirtiliyor. Kurum çapında bir yaklaşımın modülü olarak, siber riskleri ve tehditleri belirlemenin ehemmiyetine vurgu yapılan raporda, en yeterli siber güvenlik uygulamaları yoluyla uygun biçimde riskleri azaltmak; olaylara hazırlanmak ve hazır olmak; ve riskin hangi kısmının sigorta yoluyla bilanço dışına aktarılacağını kıymetlendirmek ve akabinde yeni risklerin karşılandığından emin olmak için mevcut ve mevcut poliçeleri incelemenin kıymetine dikkat çekiliyor.
Kurumlar uzaktan çalışmaya karşı tedbirlerini artırıyor
Pandemi ile birlikte kurumlarda giderek yaygınlaşan uzaktan çalışma yaklaşımı çerçevesinde kurum çalışanlarının kurumsal sistemlere ve bilgilere inançlı bir biçimde erişmelerinin değerinin altını çizen rapora göre uzakta çalışma anlayışı kalıcı olmakla birlikte kurumların sırf yüzde 40’ı yeni riskleri yönetmek için kâfi düzeyde bir uzaktan çalışma stratejisine sahip. Kelam konusu stratejiler kapsamında kurumların alması gereken tedbirler şöyleki sıralanıyor:
Rapora nazaran her beş kurumdan sadece ikisi süratle gelişmekte olan dijital ihtilalden kaynaklanan yeni risklere karşı hazırlıklı olduklarını belirtiyor. Kâfi düzeyde uygulama güvenlik tedbirlerinin yürürlükte olduğunu belirten kurumların oranı ise sadece yüzde 17. Kurumların sırf yüzde 21’i kritik tedarikçi ve bayileri denetlemek için temel tedbirlere sahip olduklarını belirtiyor.
Üçüncü taraf iş ortaklarının güvenliği
Rapora nazaran kuruluşlar, tedarik zincirlerinden kaynaklanan siber riskleri yeni usullerle ve artan kaygıyla değerlendirirken, bir süre evvel Amerikan teknoloji şirketi Accellion’un evrak paylaşım programı ve yazılım şirketi SolarWinds’in Orion ağ idare yazılımında yaşanan güvenlik ihlallerinde olduğu üzere savunulmayan bir art kapının tüm kurum güvenliğini tehdit edebileceği belirtiliyor. Kâr gayesi güden ya da gütmeyen kuruluşlar, akademik kurumlar ve kamu kurumlarının büsbütün birbirine bağlı olduğu vurgulanırken, COVID-19 salgınının tesirleriyle dijital taleplerdeki artışla bir arada üçüncü taraf uygulama ve eser kullanımlarında artış yaşandığı tabir ediliyor. İş sürekliliği açısından kritik değer arz eden tedarikçilerin kıymetlendirilmesine yönelik idare tedbirlerini alan kurumların oranının yüzde 21 üzere düşük bir oran olduğunun altı çizilirken, üçüncü taraf risklerini gereğince yönetmeyen kuruluşların bir dizi durum tespiti, işe alım ve mukavele risk idaresi tedbirlerini dikkate almaları gerektiği belirtiliyor. Rapora nazaran inceleme evresinde ve işe alım süreçlerinde üçüncü taraf tedarikçiler üzerinde siber güvenlik değerlendirmeleri yapılması gerekiyor. Ayrıyeten siber güvenlik değerlendirmeleri, sızma testi ve iş sürekliliği idaresi ve müdahale tatbikatlarını periyodik olarak gerçekleştirmek için üçüncü taraf tedarikçileri Hizmet Seviyesi Mutabakatlarını (SLA’lar) kabul etmesinin kıymetine dikkat çekiliyor.
Yakın vadede dikkat edilmesi gereken beş risk alanı
2021 Siber Güvenlik Risk Raporunda yakın vadede kritik kıymet taşıyan beş risk alanı da tanımlanıyor:
Aon 2021 Siber Güvenlik Risk Raporu’nun tümü için: https://www.aon.com/2021-cyber-security-risk-report/
Risk, emeklilik ve sıhhat mevzularında profesyonel hizmetler sunan Aon, “2021 Siber Güvenlik Risk Raporu”nun sonuçlarını kamuoyuyla paylaştı. Kuzey Amerika, Avrupa, Ortadoğu, Afrika ve Asya Pasifik bölgesindeki 20 farklı kesimden bine yakın kurumdan elde edilen bilgileri tahlil eden rapor, kurumların karşılaştığı yeni siber riskleri ve bu risklerin idare metodolojilerini ortaya koyuyor.
Raporla ilgili görüşlerini paylaşan Aon Türkiye Eş-CEO’su Selda Oknas Tanbay şu açıklamayı yapıyor: “2020 yılında dallar genelinde dijital dönüşümün suratının arttığı bir yıl oldu. Rekabetçi yapılarını korumak isteyen kurumların güvenliği ihmal edebildiğini gördük. Günümüzde kuruluşların karşılaştığı siber tehditlerin birden fazla yeni değil – bağlı aygıtlar, fidye yazılımları ve içeriden riskler her vakit mevcut olacak. birebir vakitte, COVID-19’un tesiriyle karmaşıklaşan siber dünyanın, katlanarak artan siber risklere maruz kalabileceğini hesaba katmalıyız. Süratle ilerleyen dijital evrimde kurumların güvenliği en az büyüme planları kadar gündemde tutmaları gerekiyor. Aon Güvenlik Çözümleri’nin hazırladığı raporumuz her geçen gün yenileri ortaya çıkan risklerle çaba için bir yol haritası niteliğinde.”
2020’nin sonu ve 2021’in başı prestijiyle gün yüzüne çıkan Mimecast, SolarWinds, Accellion ve Microsoft Exchange üzere başarılı olmuş siber akınların üçüncü taraflarla çalışmanın getirdiği zafiyetleri ortaya çıkardığı tespitinin yer aldığı rapora göre 2018’in birinci çeyreğinden 2020’in son çeyreğine kadar yüzde 400’e varan artış gösteren fidye yazılımlar, sigortacılar için birinci sırada yer alan siber risk oldu.
2020 fidye yazılımları için patlama yılı oldu
Rapora nazaran 2020’de fidye yazılımı akınlarının sayısı ve çeşitliliğinde patlama yaşanırken siber sigortacılar 2019’un başından 2020’ye kadar bu alana yönelik taleplerde yüzde 336’lık bir artış yaşandığını bildiriyor. Fidye yazılımlarından kaynaklı kurumsal maliyetlerin 2021’de 20 milyar dolara yaklaşması beklenirken fidye yazılımlarının gerisinde “ödeyip kurtulma” aslına dayanan yazılımlar olmadığı, bilgilerin büsbütün silinmesi üzere senaryoları da içerisinde barındırdığı tabir ediliyor. 2020’nin sonunda, 10 fidye yazılımı saldırısından yedisi, dataları sızdırma tehdidini içeriyordu ve kimi varyantlar çalınan bilgileri açık artırmayla satma teşebbüslerinde bulunuyordu. Ayrıyeten, sunucuların yahut data kümelerinin kalıcı olarak silindiği bir bilgi imhası da yaşandı. Raporda kurumlara fidye yazılımı risklerinin azaltılması için güvenlik açıklarını belirleme, iş sürekliliği planları oluşturma ve ihlal karşılığına yardımcı olmak için sadece nitelikli siber güvenlik uzmanları ile çalışma üzere tedbirleri almaları tavsiye ediliyor.
Dijital dönüşümün getirdiği riskler
Aon 2021 Siber Güvenlik Risk Raporuna bakılırsa objelerin interneti (IoT), vücutların interneti (IoB) ve akıllı kent inisiyatifleri 2021 yılında da siber riskler oluşturmaya devam edecek. Raporda bu ortamda faaliyet gösteren kurumların, yeni teknolojilerin yahut iş modellerinin benimsenmesiyle ortaya çıkan siber risklere karşı önlemli olmaları gerektiği belirtiliyor. Kurum çapında bir yaklaşımın modülü olarak, siber riskleri ve tehditleri belirlemenin ehemmiyetine vurgu yapılan raporda, en yeterli siber güvenlik uygulamaları yoluyla uygun biçimde riskleri azaltmak; olaylara hazırlanmak ve hazır olmak; ve riskin hangi kısmının sigorta yoluyla bilanço dışına aktarılacağını kıymetlendirmek ve akabinde yeni risklerin karşılandığından emin olmak için mevcut ve mevcut poliçeleri incelemenin kıymetine dikkat çekiliyor.
Kurumlar uzaktan çalışmaya karşı tedbirlerini artırıyor
Pandemi ile birlikte kurumlarda giderek yaygınlaşan uzaktan çalışma yaklaşımı çerçevesinde kurum çalışanlarının kurumsal sistemlere ve bilgilere inançlı bir biçimde erişmelerinin değerinin altını çizen rapora göre uzakta çalışma anlayışı kalıcı olmakla birlikte kurumların sırf yüzde 40’ı yeni riskleri yönetmek için kâfi düzeyde bir uzaktan çalışma stratejisine sahip. Kelam konusu stratejiler kapsamında kurumların alması gereken tedbirler şöyleki sıralanıyor:
- Uzaktan bağlanırlık
- Kimlik doğrulama
- Aygıt arızaları ve takibi
- Uzaktan çalışma kapsamında iş sürekliliği
- Uzaktan çalışma kapsamında güvenlik farkındalığı
Rapora nazaran her beş kurumdan sadece ikisi süratle gelişmekte olan dijital ihtilalden kaynaklanan yeni risklere karşı hazırlıklı olduklarını belirtiyor. Kâfi düzeyde uygulama güvenlik tedbirlerinin yürürlükte olduğunu belirten kurumların oranı ise sadece yüzde 17. Kurumların sırf yüzde 21’i kritik tedarikçi ve bayileri denetlemek için temel tedbirlere sahip olduklarını belirtiyor.
Üçüncü taraf iş ortaklarının güvenliği
Rapora nazaran kuruluşlar, tedarik zincirlerinden kaynaklanan siber riskleri yeni usullerle ve artan kaygıyla değerlendirirken, bir süre evvel Amerikan teknoloji şirketi Accellion’un evrak paylaşım programı ve yazılım şirketi SolarWinds’in Orion ağ idare yazılımında yaşanan güvenlik ihlallerinde olduğu üzere savunulmayan bir art kapının tüm kurum güvenliğini tehdit edebileceği belirtiliyor. Kâr gayesi güden ya da gütmeyen kuruluşlar, akademik kurumlar ve kamu kurumlarının büsbütün birbirine bağlı olduğu vurgulanırken, COVID-19 salgınının tesirleriyle dijital taleplerdeki artışla bir arada üçüncü taraf uygulama ve eser kullanımlarında artış yaşandığı tabir ediliyor. İş sürekliliği açısından kritik değer arz eden tedarikçilerin kıymetlendirilmesine yönelik idare tedbirlerini alan kurumların oranının yüzde 21 üzere düşük bir oran olduğunun altı çizilirken, üçüncü taraf risklerini gereğince yönetmeyen kuruluşların bir dizi durum tespiti, işe alım ve mukavele risk idaresi tedbirlerini dikkate almaları gerektiği belirtiliyor. Rapora nazaran inceleme evresinde ve işe alım süreçlerinde üçüncü taraf tedarikçiler üzerinde siber güvenlik değerlendirmeleri yapılması gerekiyor. Ayrıyeten siber güvenlik değerlendirmeleri, sızma testi ve iş sürekliliği idaresi ve müdahale tatbikatlarını periyodik olarak gerçekleştirmek için üçüncü taraf tedarikçileri Hizmet Seviyesi Mutabakatlarını (SLA’lar) kabul etmesinin kıymetine dikkat çekiliyor.
Yakın vadede dikkat edilmesi gereken beş risk alanı
2021 Siber Güvenlik Risk Raporunda yakın vadede kritik kıymet taşıyan beş risk alanı da tanımlanıyor:
- Yapay zekâ: Makine tahsili şaşırtan bir süratle ilerliyor ve kuruluşların iş yapma biçiminin kaçınılmaz bir modülü. Gelişimiyle birlikte kurumlar ve beşerler için seçimler yapan yapay zekâ, kelam konusu seçimleri etkileyebilecek taarruzlara karşı riskler oluşturabilir.
- Alternatif ödeme formları: Alternatif ödeme formlarına duyulan muhtaçlık artıyor. Banka kullanmayan kitlelerle etkileşimi artıran kurumların işletmeden doğruda tüketiciye yönelen iş modellerinin risklerini değerlendirmesi gerekiyor.
- Teknoloji tedarik zinciri: Gitgide daha fazla hassas bilgi ve fikri mülkiyet üçüncü taraf yazılımlar aracılığıyla değiş tokuş edildiğinden, kuruluşların güvenlik açıklarını ve siber riske maruz kalma durumlarını değerlendirirken dikkatli olmaları gerekiyor.
- Emeklilik planları: Emeklilik planları maddi kaynaklara ve geniş bilgi kaynaklarına erişim imkânı barındırıyor. Kurumların, çalışanların emeklilik bilgilerinin anahtarlarının kimin elinde olduğunu ve plan sağlayıcının itimada dayalı sorumluluğunu bilmesi gerekiyor. Planlara giderek daha fazla çevrimiçi ve taşınabilir aygıtlardan erişildikçe, bu bilgiler ihlallere karşı giderek daha hassas hale geliyor.
- Karanlık ağ: Kripto para ünitesi ekosisteminin büyümesi, TOR üzere tarayıcıların kullanması ve fidye yazılımı kümelerinin artan karmaşıklığı ile desteklenen siber hatalar güçleniyor. Karanlık ağ (dark web) kelam konusu siber risklerin merkezlerinden biri olarak konumlanıyor. Kurumların bu alanda gerekli rehberliği almadan faaliyet göstermemeleri öneriliyor.
Aon 2021 Siber Güvenlik Risk Raporu’nun tümü için: https://www.aon.com/2021-cyber-security-risk-report/