Siber tehditlere karşı işinizi sigortaladınız mı?

Siber tehditlere karşı işinizi sigortaladınız mı?

Teknoloji günlük yaşamımızın her yerinde… Dijitalleşme, kurumsal ve sosyal hayatın vazgeçilmez parçası haline gelince, siber riskler de teknolojik gelişmelerin hızıyla orantılı olarak artıyor. Siber sigorta, iş hayatında alınacak önlemler arasında en etkili çözümlerden biri olarak dikkat çekiyor.

1000
Siber tehditlere karşı işinizi sigortaladınız mı?

Son 10 yılda dijital dünya, küresel çapta değişime uğrayan şirketlerin ve milyonlarca yeni iş modelinin ortaya çıkmasıyla olağanüstü bir kimliğe büründü. Dijital sistemlerin, doğaları gereği, kötü niyetli kişiler veya gruplar tarafından siber saldırılara açık olması bu süreçte maliyetlerin yükselmesine ve organizasyonların tehditlere karşı koymakta zorlanmalarına neden oldu.

Ancak tehdit daha karmaşıklaşırken araştırmalar siber güvenliğin artık Bilgi Teknolojileri (BT) bölümü için teknik sorun olmadığını, aksine Yönetim Kurulu ve C-seviye yöneticilerin anlaması ve doğru yönetmesi gereken bir risk haline geldiğini gösteriyor. KPMG ve İngiltere’de siber sigorta sektöründe öncü bir firmanın Avrupa'da 350'den fazla üst düzey karar verici ile yaptığı ankette, işletmelerin yüzde 92'sinde son beş yılda bir çeşit siber saldırı yaşansa da sadece yüzde 42'lik kesimin gelecekte başka bir olayın tekrar yaşanmasından endişe duyduğu ortaya çıktı.
 

Siber risklerin bugünü

Teknoloji günden güne gelişirken köklü markaları yok etti, yeni markaların doğmasına ve iş yapış şeklinin değişmesine neden oldu. Bu değişim yeni fikir ve düşünceler için büyük fırsatlar yaratırken, birçok riski de beraberinde getirdi. Küresel olarak, bu riskler kapsamında gerçekleşen siber suçların işletmelere yılda 400 milyar dolarlık maliyeti olduğu tahmin ediliyor. Siber risklerin, işletmelerin, esneklik ve süreklilik planlamaları açısından dikkate almaları gereken en önemli meselelerden biri olduğu tartışılmaz.

Siber risklerin üstesinden gelmeyi bu kadar zorlayıcı kılan, dijital alanda gerçekleşen hızlı değişim evresidir. Sürekli yeni siber tehditler ortaya çıktığı için işletmeler gelişmeleri izlemek ve siber saldırılardan kendilerini daha etkin biçimde korumak için güvenlik sistemlerinin güncelliğini sağlamak zorunda.

Temel tespitler

İşletmelere karşı siber saldırı türleri sektörden sektöre farklılık gösteriyor ve sürekli gelişiyor. KPMG’nin yaptığı son araştırmaya göre:

  • Şirketlerde önemli mali kayıplara sebep olan CEO dolandırıcılığı yöntemini hedeflemede büyük artış gözlemlendi.
  • Finansal hizmetler sektörünün kendini organize siber suçlarla hedeflenen saldırıların keskin bir kesişme noktasında bulduğu ve perakende sektörünün de giderek bu hedefe oturmaya başladığı tespit edildi.
  • Hukuk ve finansal hizmetler sunan profesyonel hizmet firmaları, müşterilerine yapılan saldırılar için bir geçit olarak hedeflenmeye başlandı. 
  • Fidye (Ransomware) ve hizmet engelleme (DoS) saldırılarının, özellikle medya, eğlence ve sağlık sektöründe iş yapan işletmelere karşı giderek daha fazla kullanılmakta olduğu görüldü.
  • Kamu ve telekomünikasyon sektörlerinin, casusluk odaklı siber saldırılara karşı oldukça hassas olduğu ortaya çıktı.

Siber saldırılar tüm dünyada hızla artış gösterirken, özellikle paranın dijital olarak saklandığı ve transfer edildiği siber suçlardan en fazla nasibini alan sektör, finans ve bankacılık olarak karşımıza çıkıyor. Özellikle bankalar, dijital bankacılık kanallarının güvenliğini sağlamak ve dolandırıcılık karşıtı önlemler almak için siber suçlularla savaşa girmiş durumda. İki faktörlü kimlik doğrulamasının başarıyla tamamlanması çevrimiçi dolandırıcılık düzeylerinin azalmasını sağladı. Kart şifresi ile alışveriş yöntemi, çalınan kart verilerini kullanma becerisini kısıtladı. Ancak kartla ilgili olmayan dolandırıcılıkların artmasının önüne geçilemedi. Siber suçlular son yıllarda mali açıdan daha bilinçli hale gelerek bankacılık sistemlerini ve finansal altyapıyı hedeflemeye başladı.

Tüm bu gelişmelerin sonuçları yüksek faturalar olarak geri dönerken, organizasyonların siber saldırı maliyetlerinin farkında olması önemli. Bu maliyetler anlık ortaya çıkan ve etkisini sonradan gösteren maliyetler olarak iki kategoride değerlendirilebilir. Anlık maliyetlere (örneğin, yasal ve adli soruşturma ücretleri ve dolandırıcılıkla kaybedilen paralar) sonradan ortaya çıkan maliyetlerin (rekabet avantajı kaybı ve müşteri kaybı gibi) eklenmesiyle birlikte siber saldırıların toplamda oluşturacağı zarar fatura miktarını önemli ölçüde artırabilir.
 

Siber risk karmaşıklığını artıran dört faktör

Geçtiğimiz birkaç sene içinde siber tehditler, işletmelerin gündemini değiştirdi ve göz ardı edilemeyecek hale geldi. Bazı tahminlere göre ciddi bir ihlalin ortalama maliyeti 2014'ten 2015'e neredeyse üç kat arttı ve bu sayı, siber evren daha da karmaşıklaşacağından daha artacak gibi görünüyor.

Siber saldırı riski arttıkça, bununla ilgili yasal yükümlülükler ve zarar maliyeti de yükseliyor. Düzenleyici yaptırımlar ve tazminat, artan karmaşayla birleşince, işletmelerin elektronik ağlarını, varlıklarını ve verilerini yeterli düzeyde güvence altına alamaması, gizlilik yasalarına uygun olarak verileri kullanamaması ve başaramaması önemli bir finansal risk oluşturuyor.

İşletmelerin siber risklerini azaltmasını ve siber güvenliklerini geliştirmesini daha da önemli kılan dört faktör var; 

  • Mevcut ve yeni mevzuatlarda siber güvenlik kurallarını ihlal eden şirketler için daha yüksek cezalar öngörülmesi,
  • Siber ihlal kurbanlarının, verilerini kaybetmiş şirketleri dava etmeye daha istekli olmaları,
  • Tedarik zincirinde siber güvenlik sorumluluğunun artması,
  • Birbirine bağlı cihazların artan kullanımı (Nesnelerin İnterneti) sebebiyle daha fazla güvenlik açığı ortaya çıkması.

Sonraki adımlar

Siber tehdit her gün geliştiği için organizasyonlar siber ihlalin sonuçlarına daha iyi hazırlanmalı. Siber saldırıdan yüzde 100 emin olmak mümkün değil ancak organizasyonlar bu saldırıların gerçekleşme riskini azaltmak, sonuçların en aza inmesi ve ihlal durumunda daha hızlı iyileşme sağlamak için önlemler alabilir. İşte siber sigorta da, bu çözümün bir parçasıdır.

Pazardaki tecrübe ve uzman bakış açımıza dayanarak, işletmelerin siber tehdide hazırlanabilecekleri ve bu tehditleri hafifletebilecekleri siber sigorta seçeneğinin de kapsama alındığı dört önemli yöntemi şöyle sıralayabiliriz:

  • Müşterileriniz tarafından algılanan itibar, tutulan verinin değeri, tedarik zinciri açıkları ve yönetici profilleri bağlamında; hem anlık hem de etkisi sonradan ortaya çıkabilecek maliyetler dahil olmak üzere organizasyonunuza yönelik spesifik tehditler belirlenmeli ve organizasyon içerisinde anlaşılmalı.
  • Hem mevcut hem de gelecekteki tehditler değerlendirilmeli. Siber sigorta yaptırmaya karar verilmesi durumunda sigortacılar her durumu değerlendirerek ihtiyaçlarınıza en uygun sigorta poliçesini hazırlayacaktır.
  • Üst yönetim dahil olmak üzere tüm çalışanların organizasyonun karşılaştığı siber tehditleri kapsamlı şekilde anlamasını sağlamak ve siber risk yönetimi kültürünü geliştirmek gerekir.
  • Risklerinizin yeterince karşılandığından emin olmak için siber sigorta oluşturulurken uzman yardımı almak her zaman faydalıdır.

Siber sigorta ile boşluğu kapatmak

Siber saldırı risklerinin en aza indirilmesi ve şirketlerin siber güvenliklerinin artırılması için şirketlerin izlemesi gereken adımları şöyle tanımlayabiliriz:

  • Benzersiz risk profilinizi anlayın ve paylaşın; işletmeler ne kadar çok bilgiye sahip olursa ve sigortacıyla ne kadar çok şey paylaşırsa sigortacılar siber riski o kadar kolay fiyatlandırabilir ve azaltabilir.
  • Bugünün ve yarının riskleri için hazırlanın; siber riski azaltmanın en zorlu yönlerinden biri değişen teknolojik gündeme ayak uydurmaktır. Dijital teknolojinin hızla gelişmesi, siber suçlular için mevcut teknikleri adapte ederek veya yeni zayıf noktalardan istifade ederek tamamen yeni taktikleri denemek için verimli bir zemin sunuyor. Daha fazla iç görüye sahip organizasyonlar gelecekte karşı karşıya kalabilecekleri riskleri daha açık bir şekilde sigortacısına iletebilir ve böylece sigortacılar organizasyonun karşılaşacağı siber tehditlere karşı daha iyi önlemler alabilir.
  • Şirket kültürünü göz önünde bulundurun; siber riskin şirket kültürüne nasıl nüfuz ettiği sigortacılar tarafından gittikçe daha çok dikkate alınan yeni bir boyuttur. Bir şirket saldırıya uğradığında akla ilk olarak en zayıf halkanın çalışanlar olduğu gelir. Ağ erişim hakları ve sosyal mühendislik gibi konularda ortaya çıkan güvenlik açıkları siber risk sigortası sunan tüm sigortacılar için önemli bir husustur. Bu yüzden siber güvenlik farkındalığı kültürü sergileyen ve doğru siber güvenlik teknolojilerine sahip şirketler daha düşük sigorta primlerinden yararlanabilir.
  • Uzmanlara danışın; organizasyonlar, sigorta kapsamına neyin alınıp, neyin alınmadığından emin değillerse ya da siber risk hafifletme ya da sigortacılığın diğer yönleri hakkında tavsiye almaları gerekiyorsa aracı kurumlarla iletişime geçmelidir.
  • Siber saldırıların yüzde 100 engellenmesi mümkün olmamakla birlikte, bu saldırıların gerçekleşme riskini azaltmak, olumsuz sonuçları en aza indirmek ve bir ihlalin ortaya çıkması durumunda daha hızlı iyileşme sağlamak için bir takım önlemler alınabilir. Siber sigorta, bu çözümün önemli bir parçası olarak karşımıza çıkıyor.

© 2024 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır. 

Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.

Bize ulaşın