Bir olayın neden olacağı gerçek hasar birkaç bin doları geçmiyorsa, kimse bir şirketi korumak için milyonlarca dolar harcamak istemez. Ve eğer bir veri sızıntısının potansiyel zararı yüzbinlerce doları bulabiliyorsa, güvenlikten 100 dolar tasarruf etmek için kestirme yolları kullanmak da çok akıllıca değildir. Yaşanacak bir siber kriz nedeniyle şirketin uğrayacağı yaklaşık zararı hesaplamak için hangi bilgileri kullanmanız gerekir ve böyle bir olayın gerçek olasılığını nasıl ölçersiniz? Black Hat 2020 konferansında, iki araştırmacı — Virginia Tech’ten Profesör Wade Baker ve Cyentia Enstitüsü’nde kıdemli analist David Seversky — risk değerlendirmesine ilişkin görüşlerini sundular. Sundukları argümanları daha ayrıntılı şekilde tartışmaya değer bulduk.
Parasını hak eden herhangi bir siber güvenlik kursu, risk değerlendirmesinin iki ana faktöre dayandığını öğretir: Bir olayın yaşanma olasılığı ve potansiyel kayıpları. Peki bu veriler nereden geliyor ve daha da önemlisi, nasıl yorumlanmalı? Sonuçta, olası kayıpların yanlış değerlendirilmesi yanlış sonuçlara yol açar ve bu da optimum olmayan koruma stratejileriyle sonuçlanır.
Aritmetik ortalama bir gösterge midir?
Birçok şirket, veri sızıntısı olaylarının neden olduğu maddi kayıplara ilişkin araştırmalar yapıyor. “Temel bulguları” genellikle benzer büyüklükteki şirketlerin kayıplarının ortalamalarıdır. Sonuç matematiksel olarak geçerli ve sayılar da çarpıcı manşetlerde harika görünebilir, ancak riskleri hesaplamak için buna gerçekten güvenebilir miyiz?
Aynı verileri, yatay eksendeki kayıpları ve dikey eksendeki kayıplara neden olan olayların sayısını gösterdiğiniz bir grafikle sunduğunuzda, aritmetik ortalamanın doğru bir gösterge olmadığı açıkça görülüyor.
Olayların %90'ında ortalama kayıplar, aritmetik ortalamadan daha düşüktür.
Ortalama bir işletmenin uğrayacağı kayıplardan bahsediyorsak, diğer göstergeler — özellikle medyan (örneği, rapor edilen rakamların yarısının daha yüksek, yarısının daha düşük olacağı şekilde iki eşit parçaya bölen bir sayı) ve geometrik ortalama (orantılı ortalama) daha anlamlıdır. Çoğu şirket tam da böyle kayıplarla karşı karşıyadır. Aritmetik ortalama, anormal derecede büyük kayıplara sahip az sayıdaki harici olay nedeniyle çok kafa karıştırıcı bir rakam ortaya çıkarabilir.
Sızan bir veri kaydının ortalama maliyeti
Şüpheli bir “ortalama”nın başka bir örneği, etkilenen veri kaydı sayısını bir veri kaydının kaybından kaynaklanan ortalama hasar tutarıyla çarparak, veri sızıntısından kaynaklanan kayıpları hesaplama yönteminden gelir. Uygulama, bu yöntemin küçük olayların kayıplarını hafife aldığını ve büyük olayların kayıplarını ciddi şekilde abarttığını göstermiştir.
İşte bir örnek: Bir süre önce birçok analiz sitesinde, yanlış yapılandırılmış bulut hizmetlerin şirketlere yaklaşık 5 trilyon dolara mal olduğunu iddia eden bir haber paylaşıldı. Bu astronomik tutarın nereden geldiğini araştırdığınızda, 5 trilyon dolarlık rakamın, basitçe “sızdırılan” kayıt sayısının, bir kaydın sebep olduğu ortalama hasarla (150 USD) çarpılmasıyla elde edildiği anlaşılıyor. Bu son tutar, Ponemon Institute’un 2019 Veri Sızıntısı Maliyeti Çalışmasından alınmıştır.
Bununla birlikte, hikaye ile ilgili birkaç uyarı yapılmalı. Her şeyden önce, çalışma tüm olayları hesaba katmıyor. İkincisi, sadece kullanılan örneği dikkate aldığımızda bile, aritmetik ortalama kayıplar hakkında net bir fikir vermez; yalnızca kaybı 1 sentten fazla ve 10.000 dolardan az zarara neden olacak kayıtlar dikkate alınıyor. Dahası, çalışmanın metodolojisinden anlaşıldığı üzere ortalamanın, 100.000’den fazla kaydın etkilendiği olaylar için geçerli olmadığı açıktır. Bu nedenle, yanlış yapılandırılmış bulut hizmetleri nedeniyle sızdırılan toplam kayıt sayısını 150 ile çarpmak temelde yanlıştı.
Bu yöntemle gerçek bir risk değerlendirmesi yapılacaksa, olayın ölçeğine bağlı olarak kayıp olasılığının başka bir göstergesini de içermesi gerekir. Bu, yaklaşık olarak aşağıdaki gibi görünür:
Dalga etkisi
Bir olayın maliyetini hesaplarken genellikle gözden kaçırılan bir diğer faktör, günümüz veri sızıntılarının birden çok şirketin çıkarlarını etkilemesidir. Çoğu durumda, üçüncü taraf şirketlerin (ortaklar, yükleniciler ve tedarikçiler) maruz kaldığı toplam zarar, verilerin sızdırıldığı şirkete verilen zararları aşmaktadır.
Bu tür olayların sayısı her yıl artmaktadır; genel “dijitalleşme” trendi, farklı şirketlerdeki iş süreçlerinin birbirlerine olan bağımlılık düzeyini artırır. RiskRecon ve Cyentia Enstitüsü tarafından ortaklaşa yürütülen Ripples Across the Risk Surface araştırmasının sonuçlarına göre, bu türden 813 olay, 5.437 işletmede zarara neden oldu. Yani, veri sızıntısı yaşayan her şirket için, ortalama dörtten fazla şirket bu sızıntıdan etkileniyor.
Uygulanabilir tavsiyeler
Sonuç olarak, siber riskleri değerlendiren mantıklı uzmanların aşağıdaki tavsiyelere uyması gerekir:
- Şaşaalı manşetlere güvenmeyin. Birçok site belirli bilgilere sahip olsa bile bunların doğruluğu kesin değildir. Her zaman iddiayı destekleyen kaynağa bakın ve araştırmacıların metodolojisini kendiniz analiz edin.
- Risk değerlendirmenizde yalnızca tam olarak anladığınız araştırma sonuçlarını kullanın.
- Şirketinizdeki bir olayın diğer işletmelerde de veri kaybına neden olabileceğini unutmayın. Sizden kaynaklanan bir hata sebebiyle sızıntı meydana gelirse, diğer taraflar büyük olasılıkla size karşı yasal yollara başvuracak ve bu da olaydan kaynaklanan zararınızı artıracaktır.
- Aynı şekilde, ortakların ve yüklenicilerin, hiçbir şekilde müdahale edemediğiniz olaylarda verilerinizi sızdırabileceğini unutmayın.