Tanıtım
BT güvenliği gereksinimleri sürekli olarak değişiyor. Yapay zekânın (AI), dijitalleşmenin ve buluta adaptasyonun yükselişi sektörleri değiştiriyor ama bu yükseliş aynı zamanda da BT karar mercilerinin üstesinden gelmesi gereken yeni riskleri de ortaya çıkarıyor. BT Güvenliği Ekonomisi adlı bu rapor; bahsi geçen değişimlerin, hem kamu hem de özel sektördeki büyük veya küçük fark etmeksizin her boyut ve sektördeki tüm işletmelerin güvenlik stratejilerini nasıl etkilediğini ele alıyor.
Yapay zekâ ve otomasyon şirketlerin işleyişini şekillendiriyor. Yapay zekâ her ne kadar inovasyonu ve verimi teşvik etse de bazı güvenlik açıklarını da ortaya çıkarıyor. Daha karmaşık saldırılar yapmak için siber suçlular artık yapay zekâ kaynaklı araçlar kullanıyor bunun yanı sıra otomatikleştirilmiş sistemler de bilgisayar korsanları için yeni giriş noktalarının yolunu açıyor[1]. BT ekipleri, yapay zekânın yararlarıyla ortamlarını koruma ihtiyacını dengeleyerek hızla kendilerini bu duruma adapte etmeli. Sektörlerin hızlı dijitalleşme temposu, bu durumu daha da zorlaştırarak güvenlik ekiplerinin gerçek zamanlı bir şekilde tehditlerin bir adım önünde olmasının önemini daha da artırıyor.
Her Şey Hizmet olarak (XaaS) şablonuna doğru kayma ve bulut altyapısı, işletmelerin esneklik ve ölçeklenebilirlik sağlayan abonelik tabanlı modellere geçiş yapmasına sebep oluyor. Fakat bu kayma beraberinde yeni riskler de getiriyor. Halkâ açık, özel ve hibrit bulut ortamları; devasa boyutlardaki verilerin korunması için sürekli olarak takip edilmeyi gerektiriyor ve bu durum, kısıtlı BT kaynaklarına sahip küçük işletmeler için özellikle zorlayıcı bir hâl alıyor[2]. Çoklu bulut ortamlarının, güvenlik gayretlerini karmaşıklaştırması nedeniyle büyük işletmeler de risklerden kurtulmuş değil. Genelde hassas verilerle uğraşan kamu sektörü kuruluşlarınınsa bu risklerle başa çıkarken yönetmeliklere de uyduklarından emin olmaları gerekiyor.
Tedarik zincirinin küreselleşmesi, BT güvenliği için hem fırsat hem de zorluklar yaratıyor[3]. Küresel ağlar verimi artırıyor ama aynı zamanda da güvenlik açıkları yaratıyor. Tedarik zincirinin tek bir parçasında meydana gelen ihlal, tüm sektörde dalgalanma yaparak dünya çapındaki işletmeleri etkileyebiliyor. Bunun yanı sıra dayanıklılığı artırmak için şirketlerin kendilerine daha yakın ürünler üretmesiyle gitgide büyüyen bir yerelleştirme eğilimi de mevcut. Bu her ne kadar küresel riskleri azaltmaya yardımcı olsa da yerel faaliyetler, özellikle sağlık, enerji ve devlet gibi kritik sektörler, yine de hedefli siber saldırılara maruz kalıyor.
Daha fazla gözetimin ve tedarikçiler üzerinde kontrolün gerekliliğini kabullenen işletmelerin sayısının artmasıyla tedarik zinciri dayanıklılığı, BT güvenliği ekipleri için büyük bir odak noktası hâline geldi. Pandemi, küresel tedarik zincirlerinin kırılganlığını açığa çıkardı dolayısıyla artık siber güvenlik de bu konunun bir parçası oldu. BT karar mercileri yalnızca kendi sistemlerini değil tüm tedarik zincirini korumak için çalışmak zorundalar. Bu da sağlayıcıların güvenlik uygulamalarını değerlendirmeyi, potansiyel riskleri izlemeyi ve tüm ortakların sıkı güvenlik protokollerine uyduğundan emin olmayı gerektiriyor.
Geçtiğimiz yıllarda yüksek profilli siber saldırılar, sağlam bir siber güvenliğin ne kadar önemli olduğunun altını çizdi. 2022 yılında Lapsus$ bilgisayar korsanı grubu, aralarında Microsoft ve Okta’nın da bulunduğu büyük şirketleri hedef alarak hassas müşteri verilerini tehlikeye attı ve buralarda ciddi bir itibar kaybına sebep oldu[4]. Birleşik Krallık tabanlı büyük bir dış tedarikçi şirket olan Capita, 2023 yılında hem kamu hem de özel sektördeki müşterilerini etkileyen ve toparlanma gayretleri nedeniyle şirkete yaklaşık 25 milyon pounda mal olan bir siber saldırıya maruz kaldı[5].
Küçük ve orta ölçekli işletmeler (KOBİ) için bu eğilimler oldukça büyük zorluklara sebep oluyor. Özellikle yapay zekâ ve bulut tabanlı saldırılar konu olduğunda kısıtlı bütçelere ve daha az BT personeline sahip olmak, karmaşık saldırılara karşı savunma yapmayı daha da zorlaştırıyor. Daha fazla kaynağa sahip büyük işletmeler, daha donanımlı fakat onların da birden fazla coğrafyada devasa altyapıları güvende tutmanın karmaşıklığıyla başa çıkmaları gerekiyor. Sıkı bütçe sınırlamalarıyla çalışırken kritik öneme sahip altyapıları ve hassas bilgileri koruması gereken kamu sektörü kuruluşları da bu sorunlarla karşı karşıya kalıyor.
Bu rapor; bahsi geçen tüm bu zorlukların detayına iniyor ve her boyuttaki işletmelerin, evrimleşen güvenlik çevrelerine nasıl daha iyi hazırlanabileceğine dair fikirler sunuyor. Yapay zekâ, dijitalleşme ve buluta geçiş; sektörleri yeniden şekillendirmeye devam ederken BT karar mercilerinin, bu devasa eğilimlerin temposuna uyum sağlayabilecek güvenlik stratejilerine önem vermesi gerekiyor.
Metodoloji
Bu çalışma; çeşitli boyutlardaki yani personel sayısı 500’den az ve 500 ile 5.000 arasındaki KOBİ’ler ve 5.000’den fazla* olan büyük işletmelerde çalışan karar mercileri ve BT uzmanlarıyla yapılan röportajlardan toplanan veriler baz alınarak oluşturulmuştur. Kaspersky’nin faaliyet gösterdiği 27 ülke çapında, büyük pazarlarda gerçekleştirilmiştir. Çalışma kapsamı; BT güvenliği bütçelerinin, işe alımlarının ve açıklarının yanı sıra sektörlere özel fikirlerin detaylı analizini içermektedir.
Önemli Noktalar
BT Güvenliği Harcamalarında Geniş Kapsamlı Artışlar
Ankete göre BT’ye yönelik bütçe dağılımları, her boyuttaki işletmelerde arttı.
| Şirket boyutu | Toplam BT bütçesi | BT Güvenliği Bütçesi | BT Güvenliğinin Toplam BT Harcamalarına Oranı | BT Güvenliği Harcamalarında Planlanan Artış* |
| Büyük işletmeler | $41,8M | $5,7M | %13,6 | +%8,5 |
| KOBİ’ler (500 üstü çalışanlı) | $10,5M | $1,2M | %11,6 | +%9,2 |
| KOBİ’ler (500 altı çalışanlı) | $1,6M | $0,2M | %12,5 | +%8.8 |
*İki yıllık değişimler
Farklı boyutlardaki organizasyonlarda BT güvenliği harcamasının kısmen tutarlı oranı ile ilerideki iki yıl içinde beklenen %10’luk artış, ölçek fark etmeksizin siber güvenliğin, toplam BT yatırımının ayrılmaz bir parçası olduğunun kabullenildiğinin bir göstergesidir.
Dijital altyapılar daha da önemli bir hâl aldıkça bu artan eğilim, güvenliğin yalnızca isteğe bağlı bir harcama olmadığının ve aksine evrimleşen BT ortamlarını korumak için gerekli bir önlem olduğunun sektörlerce ortak bir şekilde kabul edildiğinin altını çiziyor.
BT Güvenliği Maliyetleri KOBİ’ler
| İşletme Boyutu | Toplam BT Personeli | BT Güvenliği Uzmanları | Ortalama çözüm sayısı | BT Güvenliğinin Toplam BT Personeline Oranı |
| Büyük işletmeler | 105 | 23 | 15 | %21,9 |
| KOBİ’ler (500 üstü çalışanlı) | 29 | 9 | 12 | %31 |
| KOBİ’ler (500 altı çalışanlı) | 12 | 4 | 9 | %33,3 |
BT güvenliği sistemlerinin karmaşıklığına ve boyutuna rağmen büyük işletmelerde, toplam BT personellerinin BT güvenliğine oranı daha az. Bu da bu tür işletmelerin, gelişmiş BT çözümlerine ve otomasyona yaptıkları önemli ölçüde yatırımların daha büyük ölçekli ekonomiler oluşturarak uzman personel gereksinimini azalttığını fakat güvenilir güvenlik kabiliyetlerini de koruduğunu gösteriyor.
Eğitim Eksikliği Ciddi Riskler Teşkil Ediyor
| BT Güvenliği Çözümü | Katılımcıların her bir çözümü kullanma yüzdesi (her sektör ve boyuttaki şirketlerin ortalaması) |
| Uç Nokta Güvenliği | %100 |
| Ağ Güvenliği | %94 |
| Bulut Güvenliği | %83 |
| Güvenlik Hizmetleri | %75 |
| Siber Güvenlik Analitikleri, İstihbarat, Yanıt ve Denetim | %69 |
| Güvenlik Eğitimi | %53 |
Boyut fark etmeksizin işletmelerin %100’ünün Uç Nokta Koruması’nı uygulaması ve neredeyse hepsinin Ağ Güvenliği (%94), Bulut Güvenliği (%83) ve de Güvenlik Hizmetleri (%75) kullanması, bu şirketlerin çekirdek dijital altyapılarını korumanın öneminin farkında olduğunu işaret ediyor.
Fakat Güvenlik Eğitimi’ne başvuranların oranı (%53) oldukça düşük yani birçok şirket, hayati savunma katmanlarına sahip değil. Sosyal mühendisliğin ve insan hatalarının en büyük güvenlik açıklarından biri olması nedeniyle çalışan eğitiminin eksikliği, büyük bir boşluğun olduğunu gösteriyor Yeterli eğitim olmadan en gelişmiş teknolojik savunmalar bile en küçük ve önlenebilir hatalarla delinebilir.
Olaylara Genel Bakış
BT güvenliğine milyonlarca dolar harcanmış olmasına ve ağ güvenliğinin her boyuttaki işletmelerce neredeyse evrensel bir şekilde uygulanmasına rağmen bu şirketlerin çok büyük bir çoğunluğu, ağ saldırıları bildirmeye devam ediyor. Saldırı bildirme konusunda listede %97 ile büyük işletmeler başı çekerken %88 ile 500 ve üstü çalışana sahip, %83 ile de 500 ve altı çalışana sahip KOBİ’ler bulunuyor.
Güvenliğe büyük ölçüde yatırım yapmış işletmeler arasında bile yüksek oranda saldırı olması, tutarlı ve evrimleşen bir tehdit ortamının bulunduğunu vurguluyor. Yani ağ parametrelerini korumak önemini koruyor olsa da saldırganlar, genelde geleneksel güvenlik önlemlerinin başa çıkamayacağı açıklardan yararlanıyorlar ve sistemleri delmek için hem yeni hem de daha karmaşık yollar buluyorlar.
Büyük işletmelere (%19) kıyasla halka açık bulut hizmetleri üzerinden daha fazla veri hırsızlığı bildiren 500 altı çalışana sahip KOBİ’ler (%49), bu tür saldırılara karşı özellikle daha savunmasız bir durumda. Bu farklılığın sebebi, bu tür KOBİ’lerin halka açık bulut hizmetlerini kontrol eden daha az sayıda sıkı politikaya ve sisteme sahip olmasından dolayı hassas verilerin çalışanlar tarafından güvensiz ortamlarda erişilmesinin ve saklanabilmesinin mümkün olmasından kaynaklanıyor olabilir.
Buna ek olarak 500 altı çalışanı olan KOBİ’ler, büyük işletmelerin verileri üzerinde daha fazla kontrole sahip olmak için kullandığı yerinde altyapı sistemlerine yatırım yapmak yerine halka açık bulut çözümlerine güvenmeye daha yatkın. Yeterli gözetim olmadan üçüncü parti hizmetlere bu denli güvenmek, veri ihlali ve hırsızlığı riskini artırabilir.
Yinelenen Bilgi
Özellikle daha küçük firmalarda güvenlik ihlallerine sebep olan bir diğer önemli faktör ise insan hatasıdır. İster güvenlik farkındalığının eksikliği ister yetersiz eğitim sebebiyle olsun, çalışanlar tarafından yapılan hata ve ihmaller; işletmelerde meydana gelen güvenlik ihlallerinin önde gelen sebeplerindendir[6].
Yalnızca %53’ünün güvenlik eğitimine yatırım yapmasıyla şirketlerinin birçoğu; sosyal mühendislik, oltalama ve diğer insan kaynaklı güvenlik açıklarına maruz kalıyor. En iyi güvenlik uygulamaları konusunda çalışanların eğitimini artırmak, önlenebilir hatalardan kaynaklanan olayların sayısını büyük ölçüde azaltabilir.
Boyuta Göre BT Güvenliği
Büyük İşletmeler
| BT bütçesi | $41,8M |
| BT güvenliğine harcanan | $5,7M |
| BT harcamasındaki iki yıllık artış | +%8,5 |
| Ortalama olay sayısı | 12 |
| Ortalama şirket kayıpları | $6,2M (güvenlik bütçelerinin 1,1 katı) |
KOBİ’ler (500 üstü çalışanlı)
| BT Bütçesi | $10,5 |
| BT güvenliğine harcanan | $1,2M |
| BT harcamasındaki 2 yıllık artış | +%9,2 |
| Ortalama olay sayısı | 13 |
| Ortalama şirket kayıpları | $1,7M (güvenlik bütçelerinin 1,4 katı) |
KOBİ’ler (500 altı çalışanlı)
| BT Bütçesi | $1,6M |
| BT güvenliğine harcanan | $0,2M |
| BT harcamasındaki 2 yıllık artış | +%8,8 |
| Ortalama olay sayısı | 16 |
| Ortalama şirket kayıpları | $0,3M (güvenlik bütçelerinin 1,5 katı) |
Kaynaklarının fazlalığına ve gelişmiş güvenlik altyapılarına rağmen boyutları ve karmaşıklıkları yüzünden büyük işletmeler, maliyetli güvenlik ihlallerine karşı savunmasız kalıyor. Bu tür işletmeler, olayları daha hızlı tespit etme konusunda daha donanımlı olsalar da tehditlere yanıt vermek ve etkisini azaltmak için saatler gerekebilir ve bu da geniş kapsamlı, karmaşık BT ortamlarını yönetmenin zorluğunun altını çiziyor.
Bütçe konusunda en oransız şekilde etkilenen grup ise 500 ve altı çalışana sahip KOBİ’ler. Bu tür KOBİ’lerin genelde güvenilir siber güvenlik politikalarına ve prosedürlerine sahip olmaması nedeniyle bu şirketler; çalışanları, halka açık bulutta yanlış yapılandırmaları ve üst düzey izinleri içeren olaylara karşı savunmasız kalıyorlar.
Yinelenen Bilgi
Buluta adaptasyon ve uzaktan çalışma artmaya devam ettikçe, insan faktörü ve yetersiz bulut güvenliği politikaları özellikle bu tür küçük işletmeler için kritik öneme sahip güvenlik açıkları olarak kalmaya devam ediyor. Bu noktalar da işletmelerin boyutlarına ve kaynaklarına göre karşı kaldıkları belirli tehditlere özel hazırlanmış güvenlik stratejilerinin önemini vurguluyor.
Sektöre Özel Noktalar
Kamu Hizmetleri (Devlet, Eğitim, Savunma)
- BT Bütçesi $8,2M
- BT güvenliğine harcanan $1M
- BT harcamasındaki 2 yıllık artış +%8,9
- Ortalama olay sayısı 18
- Ortalama şirket kayıpları $1,1M (güvenlik bütçelerinin 1,1 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %39 – Aksama süresine/üretkenlik kaybına maruz kalma | %34 – Müşteri hizmetlerine erişim kaybı | %33 – BT güvenliğinin, işletme dönüşümüne engel olduğu düşünülmesi | %32 – Yanıtlama süresinin uzun sürmesi |
| %34 – Karmaşık teknoloji ortamlarını koruma maliyeti | %45 – Bilgisayar dışı cihazların dâhil olması | %36 – Platformlar arası güvenlik yönetimi | %31 – Yanlış faaliyet |
| %24 – Veri korumasıyla ilgili sorunlar | %40 – Fiziksel kayıp | %35 – Veri sızıntısı [çalışanlar] | %34 – Veri sızıntısı [siber saldırılar] |
$8,2M BT bütçesinin $1M’lık kısmının güvenliğe harcanmasıyla bu sektör, boyutuna ve karmaşıklığına kıyasla kısmen düşük bir güvenlik yatırımına sahip. Olayların sayısının (18) yüksekliği ve ortalama şirket kayıplarının güvenlik bütçesinin 1,1 katı olan $1,1M olması, bu işletmelerin sıklıkla hedef hâline geldiğinin fakat önleme ve yanıt için gereken kaynaklara ve olgunluğa sahip olmadıklarının bir göstergesi.
Anti-DDoS, Tehdit İstihbaratı (TI) ve Açık Yönetimi (VM) gibi önemli çözümlerin çok az uygulanması nedeniyle bu sektör sıklıkla, çalışan kaynaklı olaylarla ve veri hırsızlığıyla karşı karşıya kalıyor. Uzun yanıt süreleriyse daha iyi bir olay yönetiminin ve kayıpları azaltmak için daha hızlı tespitin gerekli olduğuna işaret ediyor.
Üretim
- BT Bütçesi $6M
- BT güvenliğine harcanan $0,7M
- BT harcamasındaki 2 yıllık artış +%8,4
- Ortalama olay sayısı 17
- Ortalama şirket kayıpları $1,8M (güvenlik bütçelerinin 2,5 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %43 – Aksama süresine/üretkenlik kaybına maruz kalma | %44 – Uzun sürede tespit | %35 – Müşteri hizmetlerine erişim kaybı | %33 – Yanıtlama süresinin uzun sürmesi |
| %38 – Veri korumasıyla ilgili sorunlar | %46 – Veri sızıntısı [siber saldırılar] | %36 – Veri sızıntısı [çalışanlar] | %33 – Fiziksel kayıp |
| %33 – Karmaşık teknoloji ortamlarını koruma maliyeti | %47 – Bilgisayar dışı cihazların dâhil olması | %33 – Platformlar arası güvenlik yönetimi | %27 – Yanlış faaliyet |
Üretim sektörü daha küçük bir BT bütçesiyle ($6M) ve çok az bir miktar olan $0,7M güvenlik harcamasıyla faaliyet gösteriyor. Bu da olay başı $1,8M ya da güvenlik bütçelerinin 2,5 katına denk gelen önemli finansal kayıplara yol açıyor. Kendisine benzer olgunluk seviyesindekilere göre bu sektör her ne kadar Yönetilen Tespit ve Yanıt (MDR) ile Tespit İstihbaratı gibi çözümleri daha yüksek oranda kullansa da özellikle nesnelerin interneti, şifre hırsızlığı ve yüksek düzey izin ihlallerini içeren olayları tespit etme ve yanıtlama konusunda büyük zorluklar yaşıyor. Tehditlere yanıt vermek için birkaç günün gerekmesi, üretim faaliyetlerinin sürekli saldırılara karşı ne kadar savunmasız olduğunun altını çiziyor.
Otel, Restoran, Kafe ve Sağlık
- BT Bütçesi $5,4M
- BT güvenliğine harcanan $0,6M
- BT harcamasındaki 2 yıllık artış +%9,3
- Ortalama olay sayısı 18
- Ortalama şirket kayıpları $1,8M (güvenlik bütçelerinin 2 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %40 – Veri korumasıyla ilgili sorunlar | %44 – Cihaz veya verilerin fiziksel kaybı | %37 – Veri sızıntısı [siber saldırılar] | %33 – Veri sızıntısı [çalışanlar] |
| %34 – Karmaşık teknoloji ortamlarını koruma maliyeti | %41 – Bilgisayar dışı cihazların dâhil olması | %37 – Platformlar arası güvenlik yönetimi | %29 – BT sistemlerindeki açıkların tespiti |
| %33 – Aksama süresine/üretkenlik kaybına maruz kalma | %37 – Uzun sürede tespit | %34 – Yanıtlama süresinin uzun sürmesi | %32 – Müşteri hizmetlerine erişim kaybı |
Farklı faaliyet gereksinimlerine sahip olmalarına rağmen otel, restoran, kafe ve sağlık sektörlerinin aynı gruba dâhil edilme sebebi, benzer olay ve BT bütçesi istatistikleri bulunmasıdır. Ortalama $5,4M BT bütçesi ve bunun $0,6M’lık kısmının güvenliğe harcanmasıyla bu sektör, karşılaştığı tehditlere kıyasla düşük bütçe sorunu yaşıyor. Ortalama olay sayısının 18 olmasına rağmen sektörün güvenlik olgunluğu, güvenlik eğitimine verilen önem dışında düşük kalmaya devam ediyor. Bu sektörler özellikle kötü amaçlı yazılım, halka açık buluttaki güvenlik açıkları ve yüksek düzey izin ihlallerini içeren olaylarla karşılaştıkları için $1,8M’lık (güvenlik bütçelerinin 2 katı) ortalama kayıplar da bu boşluğu yansıtıyor. Tespit ve yanıt süreleri sıklıkla haftalar sürdüğü için bu durum, işletmeleri uzun süreli risklere maruz bırakıyor.
Bankacılık, Mali Hizmetler ve Sigortacılık
- BT Bütçesi $8,3M
- BT güvenliğine harcanan $1,2M
- BT harcamasındaki 2 yıllık artış +%9,3
- Ortalama olay sayısı 8
- Ortalama şirket kayıpları $3,2M (güvenlik bütçelerinin 2,7 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %41 – Aksama süresine/üretkenlik kaybına maruz kalma | %46 – Uzun sürede tespit | %42 – Müşteri hizmetlerine erişim kaybı | %41 – Dâhili hizmetlerine erişim kaybı |
| %36 – Karmaşık teknoloji ortamlarını koruma maliyeti | %43 – Platformlar arası güvenlik yönetimi | %39 – Yanlış faaliyet | %35 – Bilgisayar dışı cihazların dâhil olması |
| %27 – Bulut altyapısı adaptasyonu konusundaki sorunlar | %45 – Sanallaştırılmış ortamları etkileme | %42 – Üçüncü parti bir tarafça barındırılan BT altyapısını etkileme | %32 – Kullanılan üçüncü parti bulut hizmetlerini etkileme |
Bankacılık, Mali Hizmetler ve Sigortacılık sektörleri; $1,2M bütçeyle ve SIEM (Güvenlik bilgi ve olay yönetimi) ile Genişletilmiş Algılama ve Yanıt (XDR) gibi güvenlik hizmetlerinin güvenilir bir şekilde uygulanmasıyla güvenlik yatırımında önde geliyor. Daha az olayın (8) yanı sıra daha hızlı tespit ve yanıt süreleriyle bu sektör, güvenliğe büyük yatırım yapmanın işe yaradığını gösteriyor. Buna rağmen olay başı ortalama kayıpların $3,2M (güvenlik bütçelerinin 2,7 katı) olması, mali hizmetlerdeki risklerin ne kadar büyük olduğunu da yansıtıyor. Fakat bu sektörün güvenlik eğitimine ve gelişmiş araçlara odaklanması, ihlallerin sıklığını ve etkisini azaltma konusunda iyi finanse edilmiş güvenlik programlarının etkisinin de altını çiziyor.
BT ve Telekom
- BT Bütçesi $6,9M
- BT güvenliğine harcanan $1,1M
- BT harcamasındaki 2 yıllık artış +%8,9
- Ortalama olay sayısı 10
- Ortalama şirket kayıpları $2,8M (güvenlik bütçelerinin 2,5 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %38 – Karmaşık teknoloji ortamlarını koruma maliyeti | %46 – Bilgisayar dışı cihazların dâhil olması | %39 – Sistemleri korunmasız bırakan CS hataları | %35 – Platformlar arası güvenlik yönetimi |
| %34 – Aksama süresine/üretkenlik kaybına maruz kalma | %49 – Uzun sürede tespit | %40 – Yanıtlama süresinin uzun sürmesi | %39 – Müşteri hizmetlerine erişim kaybı |
| %32 – Veri korumasıyla ilgili sorunlar | %48 – Cihaz veya verilerin fiziksel kaybı | %34 – Veri sızıntısı [siber saldırılar] | %27 – Veri sızıntısı [çalışanlar] |
Olgun güvenlik duruşuyla BT ve Telekom sektörü güvenliğe $1,1M harcıyor ve kısmen az olayla (10) karşılaşıyor. Fakat ihlaller meydana geldiğinde de ortalama $2,8M kayıpla (güvenlik bütçelerinin 2,5 katı) bu durum oldukça maliyetli oluyor. Sektörün; EDR, XDR ve Bulut Altyapısı Hak Yönetimi (CIEM) gibi gelişmiş güvenlik çözümlerini geniş kapsamlı bir biçimde kullanması, sıklıkla izinsiz giriş olmasını engelliyor fakat sektör hedef hâline geldiğinde de saldırıların genelde karmaşık olması ve uzun süreler tespit edilememesi büyük mali kayıplara ve faaliyetsel hasarlara sebep oluyor.
İşletmeler Arası (B2B) Hizmetler
- BT Bütçesi $2,2M
- BT güvenliğine harcanan $0,3M
- BT harcamasındaki 2 yıllık artış +%8,9
- Ortalama olay sayısı 11
- Ortalama şirket kayıpları $0,6M (güvenlik bütçelerinin 2 katı)
| En Büyük Kaygılar | En Büyük Zorluklar | ||
| %42 – Aksama süresine/üretkenlik kaybına maruz kalma | %33 – Uzun sürede tespit | %31 – Yanıtlama süresinin uzun sürmesi | %31 – Müşteri hizmetlerine erişim kaybı |
| %31 – Veri korumasıyla ilgili sorunlar | %39 – Veri sızıntısı [çalışanlar] | %38 – Veri sızıntısı [siber saldırılar] | %38 – Fiziksel kayıp |
| %28 – Karmaşık teknoloji ortamlarını koruma maliyeti | %43 – Platformlar arası güvenlik yönetimi | %32 – Bilgisayar dışı cihazların dâhil olması | %23 – Daha eski sistemlerin sürdürülmesi |
$0,3M’ı güvenliğe ayrılan $2,2M’lık daha düşük BT bütçesiyle B2B işletmeler daha az olayla (ortalama 11) karşı karşıya kalıyor fakat kayıpların ($0,6M) güvenlik bütçesine oranı (2 kat), az sayıda olayın bile büyük hasarlara sebep olabileceğini gösteriyor. Sektörler arasında en düşük sayıda güvenlik ekibi üyesine ve bütçesine sahip olmasıyla bu alan, çoğu güvenlik çözümünü yetersiz bir şekilde kullanarak kendisini veri ve şifre hırsızlığına karşı savunmasız bırakıyor. Fakat bulut sistemlerine güvenilmesi önemli bir güvenlik açığı olsa da düşük bir profile sahip olması saldırı sıklığını azaltabilir.
Sonuç
BT güvenliğinin evrimleşen çevresi, her boyuttaki işletmeler için büyük zorluklar teşkil ediyor. Yapay zekâ, dijitalleşme ve buluta geçiş; sektörleri yeniden şekillendirmeye devam ederken işletmelerin karmaşık siber saldırılara karşı tetikte kalması gerekiyor.
Bu raporda toplanan veriler, bulut ortamlarını korumaktan faaliyet teknolojilerinin güvenliğini sağlamaya kadar, sağlam siber güvenlik stratejilerine yatırım yapmanın önemini vurguluyor.
Faaliyetlerinin ölçekleri nedeniyle büyük işletmeler sıklıkla karmaşık güvenlik sorunlarıyla karşılaşsalar da 500 altı çalışana sahip KOBİ’ler ve kamu sektörü kuruluşları, kısıtlı kaynaklarla ve etkisi yüksek olaylarla başa çıkmak zorunda kalıyor. Çalışan eğitimiyle desteklenen gelişmiş güvenlik çözümlerinin uygulanması, risklerin etkisini azaltmak ve sürekli değişen tehdit çevrelerinde direnci korumak için tüm sektörlerde önemli olduğunu gösteriyor.
Bunun yanı sıra siber güvenlik çözümlerine de yatırım yapmak ek bir yardım sağlıyor. Kaspersky, tüm sektörlerde her boyuttan işletmeye destek sağlamak için küresel siber güvenlikte kendi liderliğini yansıtan 5 Uzmanlık Merkezine sahip ve bunların her biri, karmaşık dijital tehditleri ele alma konusunda kritik önem taşıyor.
- Küresel Araştırma ve Analiz Ekibi (GReAT), karmaşık saldırılara, siber casusluğa ve büyük kötü amaçlı yazılım eğilimlerine yönelik araştırmalar yapıyor.
- Tehdit Araştırma Merkezi, kötü amaçlı yazılım karşıtlığı ve içerik filtreleme konusunda uzman olmanın yanı sıra aktif olarak tespit metodolojileri ve güvenli yazılım geliştirme uygulamaları geliştiriyor.
- Yapay Zekâ Araştırma Merkezi, yapay zekâ destekli tehdit tespitine ve siber güvenliği iyileştirmek için üretken yapay zekâ çözümlerine odaklanıyor.
- Güvenlik Hizmetleri Merkezi; yönetilen tespit, olay yanıtı ve güvenlik değerlendirmeleri sunuyor.
- ICS CERT Merkezi ise sektörel siber güvenliğe odaklanarak kritik altyapılar için uzman araştırma ve danışma sağlıyor.
Birlikte bu merkezler, son teknoloji siber güvenlik çözümlerini ve hizmetlerini küresel olarak sunmak için 5.000’den fazla uzmandan yararlanıyor.
Ürün önerileri
- BT Güvenliği Hesaplayıcı gibi uzman kaynaklarını kullanarak ülkeniz ile sektörünüzü ilgilendiren siber ve veri risklerini tahmin edin ve bütçelendirin. Bu araç, koruyucu önlemlerinizin verimini en üste çıkarmanıza yardımcı olacaktır.
- Şirketinizi geniş çaplı tehditlere karşı korumak için her boyuttan tüm sektörlerdeki işletmelere özel gerçek zamanlı koruma, tehdit görünürlüğü ve EDR ile XDR’ın araştırma ve yanıt kabiliyetlerini sunan Kaspersky Next ürün hattından çözümler kullanın. Mevcut ihtiyaç ve kaynaklarınıza göre size en uygun ürün kategorisini seçebilir ve siber güvenlik ihtiyaçlarınızın değişmesi hâlinde kolayca başka bir kategoriye geçiş yapabilirsiniz.
- Ek işe alım olmadan ek uzmanlık edinme, Kaspersky Managed Detection and Response gibi bir yönetilen güvenlik hizmeti sayesinde mümkün. Bu çözüm, şirket, güvenlik çalışanlarına sahip olmasa bile karmaşık siber saldırılara karşı koruma sağlamak için mevcut en gelişmiş otomatik güvenlik hizmetlerinin sunulmasını ve gerçek zamanlı bir şekilde her gün 7/24 toplanan şirket verilerinin analizini mümkün kılıyor.
- İşletmenizi hedef alan siber tehditlerin detaylı görünürlüğünü Bilgi Güvenliği profesyonellerinize sağlayın. Güncel Kaspersky Threat Intelligence, bu profesyonellere tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bağlamlar sağlayacak ve siber riskleri zamanında tespit etmelerine yardımcı olacak.
- Buluta adaptasyonunuzu, dijital dönüşümünüzü ve DevOps uygulamalarınızı daha güvenli bir hâle getirmek için diğer görevlerin ele alınabilmesi amacıyla bilgi güvenliği hizmetlerinizi rahatlatan, faaliyet ve altyapı maliyetlerini azaltan, görünürlüğü artıran ve her bulut ortamına uygun olunduğundan emin olan Kaspersky Cloud Workload Security ekosisteminden çözümler kullanın.
- Bilgilerini güncel tutmak için çalışanlarınız için ek siber güvenlik kurslarına yatırım yapın. Uygulama odaklı Kaspersky Expert training ile Bilgi Güvenliği profesyonelleri, şirketlerini karmaşık saldırılara karşı savunabilmek için somut becerilerini geliştirebilir.
[1] Kaspersky: bilgi hırsızları yüzünden 3 yılda 36 milyondan fazla yapay zekâ ve oyun kimlik bilgisi tehlikeye altına girdi
[2]Kaspersky, Rus kuruluşlarında casusluk yapmak için yeni bir grubun halka açık bulut hizmetlerinin açıklarından yararlandığını açıkladı
[3]Kaspersky, tedarik zincirlerinde yapay zekâ kaynaklı güvenlik risklerinin altını çizdi
[4]Lapsus$ siber saldırıları: bilgisayar korsanı grubu hakkındaki en güncel haberler
[5]Siber saldırı, dış tedarikçi şirket Capita’ya 25 milyon pounda mal olacak
*KOBİ = küçük ve orta ölçekli işletmeler