Önce siber saldırı, sonra siber yatırım

Marsh ve TÜSİAD iş birliği ile gerçekleştirilen ‘2020 Türkiye Siber Risk Algı Araştırması’nın sonuçları açıklandı. Araştırma, Firmaların yüzde 78’i bir tehditle karşılaşmadan siber riski fark etme ve harekete geçme pratiğine sahip değilken, yaşanan saldırının etki gücünün de öngörülenden daha yüksek olduğu görülüyor.

Araştırmanın sonuçlarına göre, Türkiye’de, bu alandaki risklerin yönetimi veya bilgi teknolojilerinden sorumlu çalışanların sadece yüzde 9’u şirketlerinin karşı karşıya olduğu en büyük riski siber tehdit olarak görüyor. Geçtiğimiz yıl Marsh’ın global çapta gerçekleştirdiği ’Siber Risk Algı Araştırması’nda ise bu oran yüzde 22 idi.

Siber Yatırım, Siber Saldırının Ardından Geliyor

Araştırmanın sonuçlarına göre; siber güvenliğe yönelik farkındalık ve yatırım büyük ölçüde siber saldırı deneyimi ve hukuki düzenlemelerle tetikleniyor. Firmaların bu konudaki genel eğilimi ‘bekle-gör’ davranışı üzerinden şekilleniyor. Firmaların yüzde 78’inin tehditle karşılaşmadan siber riski fark etme ve harekete geçme pratiğine sahip olmadıkları, yaşanan saldırının etki gücünün öngörüden daha yüksek olduğu gözüküyor. Yaşanan siber atakların, bugüne kadar, işlerin yavaşlaması, durması veya finansal zarara sebebiyet verebilecek bir vaka yaşatmamış olması, siber güvenlik konusunun daha az gündemde olmasının temel nedeni olarak görülüyor.

Siber güvenlik yönetimine yatırım yapan firmaların yüzde 77’si hukuki düzenlemelerin teşvik edici etkisi olduğunu belirtiyor. Havacılık, finans, bilgi teknolojileri, enerji ve üretim sektörlerinde yer alan firmaların siber riskin yönetimi konusunda nispeten daha hassas davrandıkları ve bilgili oldukları ortaya çıkıyor. Devletin yasayla çerçevesini çizdiği, takip ettiği konular firmalar tarafından hem daha çok dikkate alınıyor hem daha çabuk içselleştiriliyor ve prosedürlere geçiriliyor. Bu bağlamda KVKK, GDPR gibi kanunlar; ISO, NIST gibi standartlar; EPDK, BDDK gibi sektör denetleme kurumları; halka açılma süreçlerinden geçen kurumlar için SPK tarafından belirlenen zorunluluklar şirketlerin siber risk konusunda harekete geçmeyi etkiliyor ve yol gösterici oluyor.

Koronavirüs Riski Artırdı

Araştırmanın sonuçlarına göre; koronavirüs salgınının etkisiyle her alanda hızlanan dijital dönüşümün hem farkındalığı arttıracağı hem de kurumları siber risk yönetimine yönelik daha fazla önlem almaya teşvik edeceği öngörülüyor. Koronavirüs salgını süreci ile birçok firmanın tam olarak hazır olmadan ve gerekli tedbirleri alamadan hızlı bir şekilde dijitalleşmesi siber saldırı olasılıklarını da yükseltiyor.

Yetkin Ve Yeterli İnsan Kaynağı Açığı Var

Araştırmanın sonuçlarına göre; firmaların yüzde 77’sinde siber risk konusundaki sorumluluk IT/BT ekiplerinin üzerinde. Firmaların yüzde 75’inde siber güvenlik sorumluluğu büyüklük ve sektörel yapıya göre CTO/CIO/CSO/CICO pozisyonlarından biriyle paylaşılıyor. Bir başka deyişle, süreci C seviyesi yönetiyor. Özellikle bu seviyedeki yöneticilerin konuya yaklaşımları kurumun farkındalığını ve stratejisini doğrudan etkiliyor. Firmaların yatırım kararı için en önemli dayanak noktası, yine sektördeki firmaların yaşadığı olumsuz deneyimler oluyor. Firmaların yüzde 56’sı ise, doğru bir strateji kurabilmek için tarafsız bir kurumdan danışmanlık alıyor.

Araştırmaya göre; firmaların yüzde 78’inin risk yönetimi konusundaki öncelikli refleksi riski azaltıcı uygulamaları hayata geçirmek yönünde. Firmalar en çok cihazların güvenliğini arttırmaya, sisteme veya ağlara hem şirket içinden hem de dışından erişimi daha güvenli hale getirmeye yönelik yatırımlar gerçekleştiriyor. Siber riski ölçme, yönetme ve önleme süreçleri belirgin alanlarda yatırım gerektirirken, bu alanların başında altyapı, organizasyon ve insan kaynakları geliyor. Firmaların yüzde 50’si söz konusu yatırımları yapma konusunda çekimser davranırken, daha çok penetrasyon ve zafiyet analizleriyle yetiniyorlar.

Siber Risk Sigortasının Önemi Artıyor

Şirketlerin siber güvenlik alanındaki olgunlukları siber risk sigortasına yatkınlıklarını olumlu yönde etkiliyor. Firmaların çoğunun siber risk sigortası hakkında yeterli bilgisi bulunmuyor. Siber risk sigortaları hakkındaki bilgi eksikliği ve siber risk sigortalarının kapsamına güvenilmemesi, siber risk sigortası yaptırılmasının önündeki en önemli engeller olarak ortaya çıkıyor. Siber risk sigortası sahibi olan firmaların yüzde 86’sı sigortanın kendilerini koruyacağına güven duyarken, bu oran sigorta sahibi olmayanlarda yüzde 34 düzeyinde kalıyor.

Marsh Türkiye Eş CEO’su Yeşim Aksüt, yaptığı değerlendirmede, “Araştırmanın gösterdiği gibi, sektörlerin büyük bölümünde siber riskler konusunda farkındalık eksiği söz konusu. Siber saldırılar ve suçlar, artık yalnızca şirketlerin değil ülkelerin en önemli gündem maddesi oldu ve önemli bir yatırım alanı haline geldi” dedi.

TÜSİAD Yönetim Kurulu Üyesi Serkan Sevim ise, “Siber saldırılar karşısında güvenlik çözümleri yeteneklerinin artırılması, geleceğe dair planlamalar yapılırken kurumlarımızın güçlü bir siber saldırıya uğrayabilme riskinin düşünülmesi ve önleyici tedbirlerin alınması çok önemli” dedi.