Trend Micro Siber Risk Endeksi, şirketlerin yüksek saldırı riski altında olduğunu gösteriyor. Çalışmaya göre, küresel şirketlerin yüzde 80’i önümüzdeki sene içerisinde müşteri verilerinde sızıntı olacağını öngörüyor.
Küresel siber güvenlik şirketi Trend Micro, yaptığı açıklamada şirketler için siber saldırı riskinin son bir yılda arttığını ortaya koydu. Şirketin güncel Siber Risk Endeksi (CRI) küresel şirketlerin %80’inin, önümüzdeki 12 ay içinde müşteri verilerini etkileyen bir veri ihlali yaşamalarının muhtemel olduğunu bildiriyor.
Ankete katılan şirketlerin siber güvenlik hazırlığı ile saldırıya uğrama olasılıkları arasındaki farkı ölçen Siber Risk Endeksi (CRI) raporu Trend Micro tarafından iki yılda bir yayınlanıyor. Bu yılki çalışma 2021’in ilk yarısında, Kuzey Amerika, Avrupa, Asya-Pasifik ve Latin Amerika’da çeşitli sektörlerden farklı büyüklükteki 3 bin 600’den fazla işletmenin katılımıyla gerçekleşti.
Siber Risk Endeksi, -10’dan +10’a uzanan sayısal bir ölçeğe dayanıyor ve -10 en yüksek risk seviyesini temsil ediyor. Güncel endeks, geçen yıla göre küçük bir artışla -0,42’yi, gösteriyor, bu da “yüksek” bir riske işaret ediyor.
Trend Micro Türkiye Ülke Müdürü Hasan Gültekin, “Bu yılki Siber Risk Endeksi’nde bir kez daha operasyonel ve altyapı risklerinden veri korumaya, tehdit etkinliği ve insan kaynaklı zorluklara kadar CISO’ların geceleri uykularını kaçıracak bulgular elde ettik. Siber riskleri azaltmak için şirketler, güvenlik konusunda temel bilgilere geri dönerek, risk altındaki kritik verileri belirlemeli ve işleri için en önemli tehditlere odaklanarak, bağlantılı platformlardan çok katmanlı korumaya kadar tehditler karşısında daha hazırlıklı olmalıdır.” dedi.
Rapora göre kurumlar, bir siber saldırının en kritik ilk üç olumsuz sonucunu müşteri kaybı, IP kaybı ve kritik altyapının zarar görmesi olarak sıralıyor.
Rapordan elde edilen bulgular arasında öne çıkanlar
- Çalışmaya katılan şirketlerin %86’sı gelecek yıl ciddi siber saldırılara maruz kalma olasılıklarının yüksek olduğunu düşünüyor. Bu oran bir önceki raporda %83’tü.
- Şirketlerin %24’ü ağlarına / sistemlerine sızan 7’den fazla siber saldırıya uğradıklarını belirtti. Bir önceki raporda bu oran %23’tü.
- Şirketlerin %21’i 7’den fazla bilgi güvenliği ihlali yaşadıklarını belirtti. Bu oran önceki raporda %19’du.
- Ankete katılanların %20’si, önceki rapordaki %17’lik orana kıyasla, geçtiğimiz yıl 7’den fazla müşteri verisi ihlaline maruz kaldıklarını belirtti.
Ponemon Enstitüsü CEO’su Dr. Larry Ponemon, “Trend Micro’nun Siber Risk Endeksi, şirketlerin siber riskleri daha iyi anlamalarına yardımcı olmak için yararlı bir araç olmaya devam ediyor. Küresel şirketler, güvenlik stratejilerine öncelik vermek ve kaynaklarını siber riskleri en iyi şekilde yönetmek üzere kullanmaya odaklamak için bu endeksten faydalanabilirler. Güvenlik zafiyetine neden olan durumlar, farklı sektörlerden çeşitli büyüklükteki tüm işletmeler için bir zorluk olmaya devam ettikçe, bu tür kaynaklar giderek daha kullanışlı hale geliyor.”
Rapora göre en önemli iki altyapı riski arasında bulut bilişim de yer alıyor. Bulut bilişim ankete katılan şirketler tarafından endeksin 10 puanlık sisteminde 6,77 puan alarak yüksek riskli olarak değerlendirildi. Diğer yandan ankete katılanların çoğu, bulut sağlayıcıları gibi kurumlara üçüncü taraf risklerini yönetmek için “önemli miktarda kaynak” ayırdıklarını ifade etti.
Raporda öne çıkan siber riskler
- Ortadaki adam saldırıları
- Fidye yazılımı saldırıları
- Oltalama ve sosyal mühendislik saldırıları
- Dosyasız saldırı
- Botnet saldırıları
Rapora göre altyapıya yönelik en önemli güvenlik riskleri bir önceki çalışma ile benzer şekilde, organizasyonel uyumsuzluk ve karmaşıklığın yanı sıra bulut bilişim altyapısı ve sağlayıcılarını kapsıyor. Buna ek olarak, katılımcılar küresel çaptaki kurumlar için en önemli operasyonel riskleri müşteri cirosu, fikri mülkiyet kaybı ve kritik altyapıdaki kesinti veya hasarlar olarak belirliyor.
Şirketlerin siber güvenlik tehditleri ile ilgili hazırlık yaparken karşılarında 2 temel zorluk var. İlki güçlü bir güvenlik duruşu elde etmek için yeterli yetki ve kaynaklara sahip olmayan güvenlik liderleri, diğeri ise şirketin veri varlıklarını ve BT altyapısını korumak için gerekli güvenlik teknolojilerini etkinleştirme konusunda organizasyonel olarak önündeki engeller.