Değerli dostlar merhabalar, bugün sizlere siber güvenlikten bahsetmek istiyorum. Aşağıda Anadolu Sigorta tarafından hazırlanmış siber saldırılara ilişkin bir metin var.
“Sadece geçen sene dünyada sigortaya konu olan yaklaşık (bilinen) 4 milyar dolarlık hasar oluştu. Yani başka deyişle siber saldırıya uğrayan firmalar ve bireylere sigorta şirketleri tarafından ödenen toplam hasar tutarı.
İşletmelerin yüzde 80’i siber risk yaşadı…
Dünyanın en korunaklı kurum ve kuruluşlarında dahi ciddi siber saldırılar yaşandı. Geçtiğimiz yıl Türkiye’de ve dünyada işletmelerin yaklaşık yüzde 80’i çeşitli boyutlarda siber risklere maruz kaldı.
Büyük organizasyonların yaklaşık; % 70’i yetkisi erişime, % 73’ü ise virüs ve kötü niyetli yazılım bulaşmasına maruz kaldı. (Bir önceki yıla göre yüzde 59 oranında artış) büyük şirketlerin yaklaşık % 38’i hizmet erişim engellenmesi saldırıları ile karşılaştı. % 16’sının gizli veri ve fikri mülkiyet arz eden bilgileri çalındı. Siber risk sigortalarına talep geçen yıl yüzde 60 artış gösterdi. 2017 yılında her beş şirketten dördü siber saldırıya maruz kaldı
Yurtdışında yaşanan en yakın örnek ise Mayıs 2017’de gerçekleşen ‘Wanna Cry” saldırılarıydı. Güvenlik güncellemesi yapılmamış ve resmi desteği bitmiş tüm Windows yüklü bilgisayarlar hedef alınmıştır. Bu fidye saldırılarında 150 ülkede 200 binden fazla bilgisayar etkilenmiştir. Finans, sağlık, enerji, otomotiv ve telekomünikasyon sektörlerinde ciddi zararlar yaşanmıştır. 28 dilde fidye talebi ile geniş çaplı bir saldırıya imza attı.
Hackerler neden küçük işletmeleri hedef alıyor?
Küçük işletme sahiplerinin büyük bir kısmı siber riskleri küçümsüyor ve çalmaya değecek verilerinin olmadığını düşünüyor. Küçük işletmelerin hedef olmasının en büyük nedeni, bilgi güvenliği konusunda dikkatsiz ve duyarsız olmaları.
Güvenlik yatırımları olmayan veya çok düşük güvenlik seviyesine sahip küçük işletmeler, güvenlik anlamında çok büyük bütçelere sahip ve yatırım yapan büyük şirketlere oranla çok daha kolay hedef olmaları sebebiyle, hackerler tarafından cazip bir seçenek olarak değerlendiriliyor. Bundan daha önemli bir neden ise, büyük şirketler ile çalışan küçük işletmelere sızarak bunlar üzerinden büyük işletmelere erişim elde etmek.
Örnek: Ülke çapında binlerce bayisi ve distribütörü olan büyük bir gıda şirketini ele alalım. Bu şirketin yeterli güvenlik seviyesine sahip olmayan bir bayisine yapılacak saldırı sonucu, sistemsel olarak erişimi ve bağlantısı olduğu gıda şirketine bayi sistemleri üzerinden erişmek, doğrudan erişmekten daha kolay bir yöntem olabilir.
Hemen hemen her durumda siber saldırının nihai hedefi ister müşterilere ait kredi kartı bilgisi olsun, ister kişilere ait kimlik bilgileri olsun hassas verileri çalmak ve bunları istismar etmektir. Gün geçtikçe ve teknoloji geliştikçe saldırı teknikleri ve türleri de gelişerek artış gösteriyor. İçeriden saldırılar; kurum içinden yönetici ayrıcalıklarına sahip bir kişinin gizli şirket bilgilerine erişmek için kendi yetkilerini kötüye kullanması olarak kendini göstermektedir.
Bu, çoğunlukla kurumdan memnun olmadan ayrılmış eski çalışanlar tarafından gerçekleştirilen bir ‘intikam’ eylemi olarak ortaya çıkmakla birlikte, içerideki mutsuz çalışan veya dışarıdan hizmet alınan kişiler tarafından da gerçekleştirilen istismarlardır. Fidye yazılımlar; makine üzerinde bulunan tüm verileri şifreleyerek karşılığında fidye talep eden kötücül yazılımlardır.
Örnek; “Wanna Cry” saldırısı. Kötücül yazılım türleri; virüsler, Truva atları, solucanlar, casus yazılımlar, Türkiye, dünyada en fazla siber saldırı yapılan beşinci ülke konumunda. Bizden önce Amerika, Rusya, Çin ve Hindistan geliyor. Sıralama değişebiliyor ancak biz hep ilk 5'teyiz. Endüstriyel casusluk ve siber saldırılara maruz kalan Alman sanayi şirketlerinin üçte ikisi;
Son iki yılda 50.5 milyar USD zarara uğradı. Yapılan siber saldırıların % 63’ü de eski çalışanlardan geldi. Tekstil sektöründe ise kullanılan makinaların artık bir IP numarası var. Onların da siber saldırı sonrası bir anda makinaları durabilir. İşletme için çok önemli olan verilerin, çalınması ve kaybolması halinde iş yeri sigortasından karşılanmaz. Sistemler günlük işleri yürütmek için kritik öneme sahiptir. Yaşanacak bir sistem kesintisi yüz binlerce lira zarara uğranmasına neden olabilir. Sistemlerde yaşanan kesintiler, sorumluluk sigortası kapsamında değildir.
İşletmeler, üçüncü kişilerin verilerini KVKK’na (Kişisel Verileri Koruma Kanunu) göre korumakla yükümlüdürler. Bu bilgiler kaybolur ve başkalarının eline geçerse ciddi cezalar ile karşılaşılabilir. Özel bilgilerin ifşası, veri ihlalleri ile ilgili savunma masrafları 3. şahıs sigortaları kapsamında değildir. Siber suçlar, emniyeti suistimal kapsamında değildir.
Tüm bu yaşanan siber saldırılar, ciddi itibar kayıplarına neden olur. Siber saldırılar ile meydana gelen, veri kayıplarının restorasyonu, saldırı sonrası iş durması, avukatlık ve adli bilişim masrafları, siber risk sigortaları tarafından teminat altına alınır. Alınacak tüm tedbirler riski azaltır ve müşterilerinizi siber saldırılara karşı koruyabilir, fakat siber saldırıların gerçekleşmeyeceğine dair bir garanti oluşturmaz.
Günlük hayatımızda telefonlarımıza gelen bilinmeyen aramaları için “muhtemel dolandırıcı” diye uyarı veriyor. Hiç birimizin bu türlü bir dolandırıcıya rast gelmememiz dileği ile ihtiyaç duyulması halinde, kendinizi güvende hissetmek isterseniz böyle bir güvence satın alabilirsiniz.
Hepinize sorunsuz güzel günler diliyorum.
