VERİ İHLALLERİNDE REKOR YIL

"Riske Dayalı Güvenlik" raporu, çarpıcı sonuçlar ortaya koydu. 2019'un sadece 9 aylık döneminde 7.9 milyar kayıt (+%112) ile 5 bin 183 veri ihlali (+%33.3) yaşandı. 2019'un rekor yıl olarak kayıtlara geçeceği görülüyor. Siber güvenliklerini güçlendirmek isteyen şirketler ise eksik stratejiler yürütüyor. Güçlü bir savunmaya ihtiyaç duyanların, öncelikle çalışan eğitimine önem vermesi gerekiyor.

“Riske Dayalı Güvenlik” raporunda elde edilen kayıtların yaklaşık 3.1 milyarı, 1 Temmuz-30 Eylül 2019 tarihleri arasında gerçekleşen 6 ihlalden kaynaklandı. Verilerin risk altında kalmasına en fazla neden olan durumu insan hataları oluşturuyor. Ayrıca, yapılandırılmamış veri tabanları, yedeklemeler, uç noktalar ve hizmetler dolayısıyla bu yıl, 6 milyardan fazla kayıt da serbestçe erişilebilir hale getirildi. 
Çoğu olaydan siber suçlular sorumlu tutulsa da çalışanların güvenlik hataları, farklı boyutlarda kayıplara neden oluyor. Bilinçlendirme için yeterli çalışma yapmayan şirketlerin, bir saldırı anında devreye geçirebilecekleri hazır bir planları da yok. Savunma stratejilerinde gözden kaçırılan önemli nokta ise siber güvenlik bilinci.


VERİ İHLALİNE DAVETİYE ÇIKARAN 7 RİSK
Ciddi yaptırımlara sahip olan Kişisel Verileri Koruma Kurumu (KVKK) ve Genel Veri Koruma Yönetmeliği (GDPR), şirketlere verilerin güvenliği konusunda önemli sorumluluklar yüklüyor. Asıl kaynak olarak siber suçlular görülse de işin arka planında başka birçok faktör yer alıyor. KVKK ve GDPR uyum danışmanlığı hizmeti sunan Siber Asist’in Hukuk Danışmanı Beliz Özkırım’a göre; şirketlerde veri ihlallerine neden olabilecek 7 duruma dikkat edilmesi gerekiyor.

1- ÇALIŞAN HATALARI: Veri ihlallerine genellikle çalışanların prosedürleri uygulamaması ve dışarıya kişisel verileri sızdırması neden oluyor. Gizli bilgilerin yanlış e-posta adreslerine iletilmesi, şirketin gerekli eğitimleri vermemesi, firmanın güvenliklerinin ihlal edilmesi, korumalı güçlü parolaların kullanılmaması gibi birçok örnek gösterilebilir.
2- SİBER SALDIRILAR: Siber suçluların kullandıkları yöntemler üç kategoriye ayrılıyor. İstismarları kullanan hackerler, şifre korsanlığı yapıyor. İkincisi; hassas bilgileri toplamak veya iş kesintilerine neden olan kötü amaçlı yazılım kullanmak. Sonuncusu ise suçluların sosyal mühendislik çalışmaları.
3- SOSYAL MÜHENDİSLİK: Siber suçluların, kullanıcılar hakkında edindikleri bilgilerle kandırmaya yönelik girişimleri, “Sosyal mühendislik” olarak adlandırılıyor. Hackerler; kişi, resmi bir kurum ya da şirket adı altında en çok oltalama saldırıları gerçekleştiriyor. 
4- YETKİSİZ ERİŞİM: Kişisel veri niteliğinde ve şirketin koruma sorumluluğu altındaki verilere, erişim yetkisi olmayan bir çalışanın ulaşması ve bunu sızdırması ihlallere yol açabiliyor.
5- FİDYE YAZILIMI: Fidye yazılımı “Dosyaları şifreleyen ve virüs bulaşan şirkete şifre çözme anahtarını almaları için maddi şantaj yapan bir tür kötü amaçlı yazılım” demek. Genellikle e-postalarda eklere gizlenerek sistemlere sızılıyor.
6- İÇ TEHDİTLER: Yalnızca hassas bilgilere erişilmesine yardımcı olan hatalarla kalmayan çalışanların bazıları, sahtekâr veya veri hırsızı olabiliyor. İntikam ya da finansal kazanç için rakip şirketlere kişisel verileri sızdırabilmekte ve ihlallere sebebiyet verebiliyorlar.
7- FİZİKSEL HIRSIZLIK: Evrakların yok edilmemesi, USB belleklerin kolayca erişilebilir yerlerde olması, kişisel verilerin tutulduğu dolapların kilitli olmaması ve idari tedbirlerin alınmaması hırsızlığa yol açabiliyor.


 ‘FELAKET KURTARMA’ UYGULAMALARI YETERSİZ
Birleşik Krallık’ta, veri güvenliği üzerine 400 Bilgi Teknolojileri (IT) uzmanıyla yapılan veri güvenliği anketinin sonuçları, sancılı durumu özetliyor. İngiltere’deki şirketlerin 3’te 2’sinin felaket kurtarma programlarından istediği verimi alamaması, yaşanan iş sürekliliği aksamalarını artırıyor.

- IT uzmanlarının %49’u, mevcut iş sürekliliği planına ve fidye yazılımı saldırılarına karşı savunmanın temel unsurlarından biri olan yedekleme yeteneklerine inanıyor. Ancak ankette, felaket kurtarma programlarının geliştirilmesi konusunda güven veren unsurlara rastlanılmıyor. 
- Siber tehditlerin sayısı hem veri kaybı hem de aksama süresinin bir sonucu olarak artmaya devam ediyor. 
- Şirketler, felaket kurtarma stratejisi ve bunu uygulamak için gereken politikalar, prosedürler ve teknoloji açısından yeterli çalışmalara sahip değil. 
- Katılımcıların neredeyse dörtte biri (%23) kurum dışı yedeklemelere sahip değil. Şirketlerin %13'ü, hiçbir zaman yedeklemeleri test etmiyor ve %42'si son 12 ay içinde felaket kurtarma uygulamalarını gözden geçirmiyor. 

ŞİRKETLERE İŞ SÜREKLİLİĞİ KONUSUNDA YOL HARİTASI:
- Olası felaket senaryolarında, riskleri yok etmenin veya minimalize etmenin en önemli gerekliliklerden biri, hızlı davranmak ve hazırlıklı olmak. 
- Felaket kurtarma ve iş sürekliliği çözümleri, sorunu fark eder ve müdahale eder. Hizmet sağlayıcınız telefon, e-posta ve bildirimler aracılığıyla otomatik olarak sizi bilgilendirir. Böylece kurtarma operasyonu gerektiğinde, hemen aksiyon alabilir.
- Bir kurtarma senaryosunda, iş amaçlı kritik uygulamaların, genel amaçlı uygulamalara göre önceliklendirilmesi gerekir. 
- Acil bir durumda, kurtarma senaryonuzun nasıl çalışacağını öğrenmenin tek yolu, düzenli olarak test etmektir. Ayrıca RPO ve RTO sonuçlarını gösteren, okunması kolay raporlar da alırsınız.


TÜKECİLER VERİ İHLALİ KONUSUNDA ENDİŞELİ
Dünya genelindeki birçok tüketici, verilerinin güvenliği konusunda endişe duyuyor. ABD, Birleşik Krallık, Avustralya ve Kanada'daki müşterilerin yarısı, veri ihlali yaşayan şirketlerden hizmet almayı ya da alışveriş yapmayı sonlandırıyor. Böyle durumlar, itibar ve müşteri kaybı, gelirlerde düşüş, rekabet avantajını yitirmek ve çalışanların üretkenlikte yetersiz kalmaları gibi yıkıcı ve uzun vadeli mali sonuçlar doğurabiliyor. Peki!, siber saldırganların kurbanı olmamak için ne yapılmalı?

- Sorumluluktan kaçınmak, müşterilerinizi kaybetmenize, değerinizin düşmesine ve potansiyel olarak para yitirmenize neden olacak bir veri ihlaline yol açabilir.
- Güveni artırmak için etkili bir veri ihlali yanıt planı içeren güçlü bir güvenlik mevzuatı büyük önem taşır. Veri ihlaline hazırlıklı olunması için şirket üst yönetiminin de aktif olarak sürece dahil edilmesi gerekir.
- Üst yönetim, kendi şirketinin gizlilik ve veri işleme uygulamalarının müşterilerinin beklentilerine saygılı olmasını sağlamalıdır. Bu tür çabalar tüketici düşüşlerini hafifletmeye yardımcı olacaktır.


HER 10 ŞİRKETTEN 6’SI VERİ İHLALİ YAŞADI
İngiltere, ABD, Avustralya, Yeni Zelanda, Almanya, Fransa, İtalya ve İspanya'da 6 binden fazla bilgi güvenliği uzmanının katılımıyla gerçekleştirilen “Hacked Off!” araştırması, çarpıcı gerçeklere ışık tuttu. Kapsama alanına; KOBİ'ler, 10 binden fazla kişinin çalıştığı halka açık şirketler, finans, kamu ve enerji de dahil olmak üzere çeşitli sektörler girdi. Her 10 şirketten 6’sının son 3 yılda veri ihlali yaşadığı ortaya çıktı.

- Ankete katılanların neredeyse yarısı (%49), şirketlerinin siber güvenliği konusunda endişelenerek geceleri uyuyamadığını ve stres altında yaşadıklarını belirtiyor. %58’i ise küresel bir siber saldırıya karşı hazır olmadıkları düşüncesinde. 
- Güvenlik uzmanlarının %53’ü, bütçe ve personel eksikliğinden dolayı mevcut görevinden ayrılmayı düşünüyor. Her 3’ünden ortalama 1’i (%29), ileri bir siber saldırı tespitinin bir hafta veya daha uzun süreceği fikrinde. Her 100’ünden sadece 3’ü, gelişmiş atakların %100'ünün etkili bir şekilde tespit edilip engelleneceğini ifade ediyor. 
- Katılımcılar, ağ trafiği analizi ve anti-malware teknolojisi ile siber tehditleri belirlemenin daha etkili yollarına da yatırım yapılması gerektiği kanaatinde. Ayrıca 10 kişiden 7’si uç nokta güvenliğinin gelecekteki saldırıları önlemeye yardımcı olabileceğine inanıyor.

* Dünyada 500 milyondan 
fazla kullanıcıyı koruyan Bitdefender Antivirüs’ün “Hacked Off!” anketi


VERİ İHLALİ YAŞANDIKTAN SONRA NELER YAPILMALI?
Kişisel Verileri Koruma Kurumu (KVKK), şirketler için yeni düzenlemeleri beraberinde getiriyor. Siber saldırganlarca tehdit edilenlerin izlemeleri gereken önemli yollar bulunuyor. Veri ya da güvenlik ihlalleri durumunda şirketlerin doğru bir adım atabilmesi için kendilerine sorması gereken 6 soru var...

1- BİR İHLAL GERÇEKLEŞTİ Mİ? Herhangi bir aksiyon almadan önce, güvenlik ekibi, bir ihlalin olduğu iddiasını değerlendirmeli.
2- OLAY MÜDAHALE PLANI UYGUN MU, DEĞİLSE NASIL DÜZENLENMELİ? Genel müdür ve CISO, olayın kapsamına ve etkisine bağlı olarak, ekibin diğer üyelerini uygun şekilde bilgilendirebilir.
3- SİBER SALDIRGAN, IT ORTAMINA NASIL ERİŞİM SAĞLADI? Siber saldırganın şirketin IT ortamında ne kadar süre kaldığını cevaplanmak zorunda. En yaygın erişim yöntemleri ise kimlik avı e-postası, şifre kırma veya diğer oltalama saldırıları yoluyla gerçekleşiyor. 
4- SİBER SALDIRGAN HÂLÂ IT ORTAMINIZA ERİŞİM SAĞLAYABİLİYOR MU? Saldırganlar kalıcı bir arka kapı kurmuş olabilir, şirketin VPN'sini kaldırarak veya ayrıcalıklı erişime sahip kullanıcı hesaplarının kimlik bilgilerine sahip oldukları için sızmaya devam ediyor olabiliyor. 
5- SİBER SALDIRGANLAR NE TÜR BİLGİLER ÇALDI? Çalınanlar, sosyal güvenlik numaraları, kredi kartı bilgileri veya sağlık verileri gibi kişisel olarak tanımlanabilir bilgiler ise bunların tümü etkilenen kişilere rapor edilmeli. 
6- İHLALİN SEBEBİ NEYDİ? Saldırganlar, fikri mülkiyet veya çok hassas şirket bilgilerini çalmak istemişlerse “Endüstriyel casusluk mu planlıyorlar yoksa şirkete yönelik hedefli bir saldırı için bilgi mi topluyorlar?” sorusu cevaplanmalıdır. 

VERİ İHMALİ Mİ, GÜVENLİK İHLALİ Mİ?
Veri ihlali, yetkisiz erişim veya hassas bilgilerin çalınması olarak nitelendiriliyor. Hassas verilere erişilmemesi veya hiçbir verinin çalınmaması durumunda ise sadece bir güvenlik ihlalinden söz ediliyor. 


YAZILIMLARINI GÜNCELLEMEYEN ŞİRKETLER, GÜVENDE DEĞİL
Siber güvenlik araçları ve süreçleriyle ilgili birçok engel, şirketler içerisinde henüz çözülemedi. 2019 yılında yaşanan veri ihlallerin %60’ı, en yaygın saldırı vektörlerinden biri olan yaması yapılmayan yazılım açıklarından kaynaklandı. Ponemon Enstitüsü tarafından 9 ülkede, 3 bin siber güvenlik uzmanıyla yürütülen araştırmadan öne çıkanlar şöyle...

- Şirketlere yönelik siber saldırılar 2018 yılında %17, güvenlik uzmanlarının saldırılara yönelik endişelerinin %27 arttı. 
- İhlalleri önleme, tespit etme ve iyileştirme konusundaki yıllık harcamalar yaklaşık %24 arttı. 
- Katılımcıların %88'i, şirketlerinde diğer bölümlerle bağlantı kurmaları gerektiğini ve bunun da ortalama 12 gün boyunca yamayı geciktiren koordinasyon sorunlarına yol açtığını söyledi.
- En kritik güvenlik açıklarını düzeltmek için zaman çizelgesi 16 güne bedel. Yama açıklarındaki gecikmeler nedeniyle şirketler, %30 daha fazla iş kesintisi yaşadı.
- %76'lık kesim, güvenlik ve IT ekipleri arasında ortak uygulama ve varlık görüşünün bulunmadığını belirtti. %74'ü ise kritik uygulamaları ve sistemleri, hızlı bir şekilde yamalamak için çevrimdışına alamayacaklarını söyledi. %72'si neyin yamalanması gerektiğini belirlemede zorluk yaşadığını bildirdi.


VERİ İHLALLERİ, ŞİRKETLERİ NE KADAR ETKİLİYOR?
Veri ihlali yaşandığında, söz konusu şirket, görülecek etkileri en aza indirmek için mücadele verir. Bu; güvenlik sistemlerinin elden geçirilmesi, durumun müşterilere bildirilmesi, başta marka itibarı ve tüketici güveni olmak üzere bazı somut olmayan varlıkların alacağı hasarın da önlenmesini içerir. New York Menkul Kıymetler Borsası’ndaki (NASDAQ) bazı şirketlerin incelendiği araştırmada ortaya çıkan büyük resim, beklenenden daha karışık.

- NASDAQ’ta listelenen 28 büyük kuruluş incelendi ve bunlar arasında 2007’den beri, her biri en az 1 milyon veri kaydını açığa çıkaran toplam 33 ihlal yaşandığı görüldü.
- Şirketlerin hisse fiyatları, olay duyulduktan neredeyse üç hafta sonra en düşük noktaya ulaştı. Hisse değerleri ortalama %7.27 gerileyerek genel NASDAQ pazarının -%4.18 altında kaldı.
- İlginç bir şekilde kuruluş hisseleri, 6 ayda ihlal öncesine kıyasla (%4.1 büyüme) daha iyi bir performans sergiledi (%7,4 büyüme). Fakat çok sürmeden hisseler bu şaşırtıcı ivmeyi kaybetti. İhlalden bir yıl sonra ortalama NASDAQ pazarını yakalamayı başaramadı. %8.38’lik bir büyüme göstermesine rağmen NASDAQ’ın -%6,49 altında kaldı.
- İhlallerin etkisi zaman içinde azaldı; ancak tüm ihlallerin hisse fiyatı üzerinde aynı etkiyi göstermeyeceği unutulmamalı. Özellikle kredi kartı ve sosyal güvenlik numaraları gibi fazlasıyla hassas verilerin ifşa edildiği olayların sonuçları, hisse fiyatlarında daha uzun süreli ve daha büyük etkilere yol açar. 
- İhlaller ağırlıklı olarak finans ve ödeme alanındaki şirketlerde görülürken sağlık hizmetleri şirketleri benzer yan etkilere karşı daha dayanıklı.


USB BELLEK KULLANIMINDA TEHLİKE BÜYÜK!
Çoğu şirket, çalışanları için kapsamlı veri güvenliği protokollerini ihmal ediyor. Online saldırılırdan kaçınırken “İç Tehditler” başlığı altında yaşanabilecek veri ihlallerinde önemli rolü, USB bellek kullanımı oluşturuyor. Bilgi Teknolojileri (IT) departmanlarının, güvenli USB cihazlar konusunda yardımcı olmaması, veri sızıntıları dahil birçok tehlikeye yol açıyor.

- Şirketlerin %58'i, cihazlar için bağlantı noktası kontrolü veya beyaz liste (Whitelist) uygulamıyor. Sadece %47'si, çalışanların USB cihazlarında şifreleme kullanmalarını istiyor. 
- Şirketlerin yarısından fazlası USB bellekler için bir güvenlik protokolüne sahip değil. %53’ü, gizli verilerinin USB'lere indirildiğini algılayabilecek teknolojiden uzak. 
- Bir veri ihlalinin şirketlere ortalama maliyeti 3.86 milyon dolar. 2017 yılında %82 olan şifresiz USB belleklerin kullanımı, yaşanan ihlaller ve güvenlik tehditlerinden dolayı %58’e kadar düştü.
- USB belleklerin şifresiz kullanımına devam edilmesi halinde alınan önlemlerin pek bir etkisi olmuyor. Hediye edilen USB cihazların kullanılmadan önce mutlaka taranması gerekiyor. Çünkü siber saldırganlar, son dönemlerde USB promosyonları ile zararlı yazılım sızıntıları gerçekleştiriyor.


Bu Makaleyi Sosyal Medyada Paylaşabilirsiniz