Kurumların Siber Güvenlik Vakalarını Bildirmiyor

Kaspersky tarafından düzenlenen yeni bir ankette endüstriyel kurumların üçte ikisinin (yüzde 67) siber güvenlik vakalarını yetkililere bildirmediği ortaya çıktı. Yönetmeliklere koordinasyonlu faaliyet göstermenin asrî endüstriyel kurumlar için kural olmasına ve yatırımların önünü açmasına karşın, şirketlerin ahenk kurallarını pratik hallerini etkileyen birçok faktör bulunuyor.

Siber günahlıların endüstriyel şirketlere sızmak için karmaşık atak prosedürlerine başvurduğu bu periyotta, sağlam siber güvenlik siyasetleri uygulamak ve yönetmeliklere uymak daha evvel hiç olmadığı kadar kıymetli hale geldi. Endüstriyel kurumlar GDPR’dan (General Data Protection Regulation) IEC’nin (International Electrotechnical Commission) belirlediği standartlara kadar birçok kuralı tarafına getirmek zorunda.

Gelgelelim, Kaspersky’nin Endüstriyel Siber Güvenliğin Durumu 2019 isimli raporu birden fazla şirketin raporlama yönergelerini görmezden geldiğini ortaya koydu. Bunun altında yönetmeliklere uyulmaması nedeniyle gelecek cezalardan ve itibar kayıplarından kaçınma isteği yatıyor. Araştırmaya katılanların yarısından ziyadesi (yüzde 52) yaşadıkları vakaların yönetmelik ihlaline neden olduğunu, yüzde 63’ü ise bir sızıntı olduğunda yaşanacak müşteri itimadının büyük bir sorun olduğunu belirtti.

Ankette başkaca şirketlerin yönetmelikleri çok ciddiye aldığı, iştirakçilerin sırf beşte birinin (yüzde 21) farz endüstriyel yönetmeliklere entegrasyon sağlamadığı belirlendi. Daha da değerlisi, şirketlerin raporlama konusunda çok istekli olmasalar da yönetmeliklerdeki taleplerin karşılanması gerektiğini çok uygun anladığı ortaya çıktı. Ankete katılanların yüzde 55’i siber güvenlik yatırım stratejilerinde uyumluluk konusunun en büyük etken olduğunu lisana getirdi. Fakat prosedürlere bu nokta odaklanmak şirketlerin siber güvenlik tahlillerinin kalitesine çokça güvenmesine de yol açıyor. Bu da gerçek tehditlerin göz gerisi edilmesine neden oluyor. Ankete katılan kurumların sadece yüzde 28’inin bütçe belirlerken tehdit meydanını dikkate alması da bunun bir göstergesi.

Kaspersky Endüstriyel Siber Güvenlik İş Geliştirme Yöneticisi Georgy Shebuldaev, “Endüstriyel yönetmelikler ve bunlara uyumluluk asla hafife alınmamalı. Fakat gerçek tehditlerin de daima değiştiğini unutmamak gerek. Net bir siyasetle birlikte kullanılan verimli bir siber güvenlik tahlili, şirketlerin yönetmeliklerdeki koşullara tutarlı ve ehil seviyede bir müdafaaya sahip olmasını sağlıyor. Bu cins tahlillerde teknoloji odaklı tedbirler, açık değerlendirmesi ve vaka müdahalesi özelliklerinin yanı sıra endüstriyel otomasyon sistemlerinde çalışan herkes için güvenlik farkındalığı teşebbüslerinin bulunması gerekiyor.” dedi.