Siber saldırılar: Kuruluşlar için çok gerçek bir varoluşsal tehdit

Hepimiz siber güvenliğin iş riskinin kritik bir unsuru olduğunu biliyoruz. Ama ne kadar kritik? Bazı toplantı odaları güvenliğe göstermelik hizmetten biraz daha fazlasını ödüyor gibi görünüyor ve yine de ciddi sonuçlardan kaçınmayı başarıyor. Bu yüzden yeni bir Küresel sigorta şirketi Hiscox'tan rapor ilginç bir okuma sağlar. Aslında birçok Avrupa ve Amerikan kuruluşunun güvenlik ihlallerinden sonra iflasın eşiğine geldiğini iddia ediyor. Harcamalar artarken, siber hazırlık “uzmanları” olarak tanımlanan küresel firmaların sayısı her zamankinden daha az.

Siber güvenliğe yatırımın nereye yönlendirileceğini bilmenin hiç bu kadar önemli olmadığı açık. Peki uzmanlar iflastan kaçınmak için ne yapıyor? Rapora göre bu, büyük ölçüde en iyi uygulama temellerinin ve önceki olaylardan ders alma isteğinin bir karışımı.

varoluşsal bir tehdit

Rapor ABD, İngiltere, Belçika, Fransa, Almanya, İspanya, Hollanda ve İrlanda'daki 5,000 işletmeyle yapılan görüşmelerden derlendi. Bulgulardan bazılarını zaten biliyorduk. Ancak bazı ilginç nüanslar var. Örneğin:

• Sekiz ülkeden yedisi siber saldırıları işletmelerine yönelik bir numaralı tehdit olarak sıralıyor
• Ankete katılanların yarısı (%48) geçen yılki %12'ten son 43 ayda bir siber saldırı bildirdi
• Ankete katılanların beşte biri (%19), %16'dan bir artışla bir fidye yazılımı saldırısı bildirdi. Kurbanların üçte ikisi saldırganlarına ödeme yaptı

Şu ana kadar çok olağan. Ancak saldırıya uğrayanlarla uğramayanlar arasında algıda büyük bir uçurum var. Siber saldırı mağdurlarının yarısından fazlası (%55) siber güvenliği yüksek riskli bir alan olarak görüyor ancak bu oran, herhangi bir uzlaşma deneyimi yaşamamış olanlar için yalnızca %36'ya düşüyor. Benzer şekilde saldırıya uğrayanların %41'i riske maruz kalma oranlarının arttığını söylüyor ancak diğer grup için bu rakam dörtte birden az (%23)

Bir başka ilginç külçe: siber suçlular giderek daha küçük şirketleri hedef alıyor. 100,000-500,000 ABD Doları arasında gelire sahip olanlar, artık yılda 1 milyon ABD Doları ile 9 milyon ABD Doları arasında kazananlar kadar çok saldırı bekleyebilirler.

Maliyet firmaları sevgili

Saldırıya uğrayan şirketlerin beşte biri ödeme güçlerinin tehdit edildiğini, geçen yıla göre %24'lük bir artış olduğunu söylediğinden, bu önemlidir. Raporda detaylandırılmamış olsa da, ihlal maliyetleri şunları içerebilir:

• Operasyonel kesintiler
• Yasal maliyetler
• BT fazla mesai ve üçüncü taraf adli tıp maliyetleri
• yasal para cezaları
• Müşteri karmaşası
• Kayıp çıktı ve satışlar
• Uzun vadeli itibar hasarı

Bu, harcamaların neden arttığını kısmen açıklayabilir. Rapora göre, ankete katılanların ortalama siber güvenlik harcamaları geçtiğimiz yıl %60 artarak 5.3 milyon ABD Dolarına ulaştı ve 250'dan bu yana %2019 arttı.

Saldırganlar kuruluşlardan nasıl ödün veriyor?

Kuruluşunuzun iflastan nasıl kaçınabileceğini daha iyi anlamak için öncelikle tehdit aktörlerinin nasıl bu kadar çok zarar verdiğini bilmemiz gerekiyor. Rapora göre, saldırı için ana vektörler:

• Bulut sunucuları (%41)
• İş e-postası (%40)
• Kurumsal sunucular (%37)
• Uzaktan erişim sunucuları (%31)
• Çalışanların sahip olduğu mobil cihazlar (%29)
• DDoS (%26)

Bu, diğer raporların bulguları ve bulut altyapısına yapılan uzaktan çalışma, pandemi ile ilgili yatırımların ve uzaktan çalışma güvenliği sorunlarının günümüzde kuruluşların karşı karşıya olduğu en büyük risklerden bazıları olduğu anlatısıyla uyumlu. Bunlar, tehdit aktörlerinin hedef alması için geniş bir saldırı yüzeyi oluşturmak için insan hatasıyla birleştirildi.

Sonra ne yapacağız

Hiscox tarafından tahmin edilen siber hazırlık puanlarının yıllık bazda %2.6 oranında düşmesi, bu durumun “uzman” olarak sınıflandırılan firma sayısında %20'den sadece %4.5'e keskin bir düşüşe yol açması endişe vericidir. Acemi olarak sıralananların oranı da önemli ölçüde azalarak çoğu "orta düzey" olarak kaldı. Raporda, siber hazırlık önemli çünkü ortalama saldırı maliyetlerinin, gelirlerin yüzdesi olarak, "siber acemi" olarak sıralanan firmalar için iki buçuk kat daha yüksek olduğu iddia ediliyor.

Peki, siber hazır olgun bir organizasyon neye benziyor? Neyse ki, her şey harcanabilecek ne kadar para olduğuna bağlı değil. Aşağıdakiler de dahil olmak üzere birkaç en iyi uygulama vurgulanmıştır:

• Açıkça tanımlanmış roller ve yönetim kurulu veya üst yönetimin katılımıyla siber güvenliği resmileştirin
• Üst düzey yöneticilerin siber güvenlik konusunda net bir görünürlük ve etkileşime sahip olduğundan emin olun
• gibi en iyi uygulama standartlarını takip edin. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi
• Yatırımı NIST'in beş temel işlevine dağıtın - tanımlayın, koruyun, tespit edin, yanıt verin ve kurtarın
• ışığında olay müdahale planlamasına ve saldırı simülasyonlarına odaklanın. mevcut jeopolitik belirsizlik
• Kurumsal verileri ve teknoloji altyapısını düzenli olarak değerlendirin
• Etkili sağlamak siber güvenlik farkındalık eğitimi
• İş tedarikçilerinin ve ortaklarının güvenlik gereksinimlerine uymasını sağlayın
• Yamalama, pentesting ve düzenli yedeklemeler gibi "düşük kalıcı meyve" süreçlerine odaklanın

Birlikte ele alındığında, bu adımlar nihayetinde organizasyonu iflas ettirecek bir saldırı olasılığını en aza indirmeye yardımcı olacaktır.