close
Share with your friends

Siber güvenlik alanındaki uyum çabalarının ortak amacı verilerin yalnızca yetkili kişiler tarafından, yetkilendirildikleri sebepler ve yasal sınırlar içinde kullanılmasıdır. Siber güvenlik uyumu, artarak dijitalleşen bir dünyada ortaya çıkan yeni risk unsurlarına karşı dinamik bir savunma mekanizmasıdır; bireyleri ve organizasyonları suç unsurlarından, finansal kayıplardan ve itibar hasarından korumayı amaçlar.

Teknoloji kapasitesinin artması ve dijital dönüşümün iş dünyasında hızla yaygınlaşması pek çok avantajın yanı sıra organizasyonları siber güvenlik riskleriyle de karşı karşıya bırakıyor. Covid-19 pandemisi ve etkileri organizasyonları dijital platform ve araç kullanımına iterken mevzuata uyum açısından da önemli bir sınava tabi tutuyor. Nitekim sağlık bilgilerinden kimlik ve kredi kartı bilgilerine, Covid-19 pandemisi sürecinde özel nitelikli verilerin artan kullanımı ile birlikte bu verileri işlemek ve korumak sorumluluğunda olan organizasyonların yükü de arttı.  Mevzuata uyum, risk yönetimi açısından karmaşık bir sınav niteliğinde olmakla beraber, özellikle içinde bulunduğumuz kriz döneminde pek çok risk faktörünün iç içe geçmesiyle oluşan dinamik bir alan aslında.  

Değişen siber güvenlik dünyası

Yetkisiz erişim ve oltalama vakalarından DDoS saldırılarına, siber güvenlik tehlikeleri Covid-19 krizinin başından itibaren benzeri görülmemiş bir artış gösterdi.

2020 Mart ayında, zararlı yazılım içeren Covid-19 temalı mailler üzerinden sadece beş saat içinde 2 bin 500 bilgisayarı enfekte ederek kişisel bilgileri hedef alan uluslararası bir saldırı gerçekleştirildi. Bu saldırıdan en çok etkilenen beş ülke İspanya, Portekiz, Çekya, Malezya ve Almanya oldu.  Saldırıların sağlık, medikal ve imalat gibi belirli sektörlere göre özelleştirildiği dikkat çekti[1]

Sadece Şubat-Nisan 2020 ı arasında Dünya Sağlık Örgütü’nü hedef alan siber saldırılar beş kat arttı. Dünya Bankası  ve IMF  gibi küresel örgütler dâhil olmak üzere her ölçekte organizasyon artan siber güvenlik saldırıları ile karşı karşıya kaldı Siber güvenlik tehditlerinin artışı üzerine Interpol, Mayıs ayında başlattığı #WashYourCyberHands kampanyası ile artış gösteren siber saldırılara karşı bireyleri ve organizasyonları bilinçlendirmeyi amaçladı. 

Siber güvenlik tehditlerindeki artış, veri güvenliğinin ne ifade ettiğini hatırlamak için r çağrı niteliğinde. Veri güvenliği, ilgili tüm taraflar için kritik önemde.  Kişisel verilenin korunması bireyler için bireysel güvencenin anahtarı. Bu verilerin suistimali kimlik hırsızlığından sağlık bilgilerinin suistimaline, finansal kayıplardan yetkisiz metadata analizine kadar pek çok istenmeyen duruma yol açabiliyor. Şirketler için ise veri gizliliğinin ihlali finansal kayıplara, itibar hasarlarına, operasyonel aksamalara, yasal işlemlere ve ticari sırların ifşa edilmesine neden olabiliyor.

 

Cambridge Analytica skandalı

2019’da meydana gelen Cambridge Analytica skandalı veri güvenliğinin hem bireyler hem de organizasyonlar için ne kadar kritik bir konu olduğunu gösterdi. Skandal, 2018 yılının Mart ayında, Cambridge Analytica çalışanı Christopher Wylie’nin ihbarı ile ortaya çıktı.. Firmanın, 2015-2016 yıllarında seçim kampanyaları için siyasi danışmanlık hizmeti verirken 87 milyon Facebook kullanıcısının kişisel verilerini yasal olmayan yollarla işlediği anlaşıldı. Kişilerin isim, e-mail ve parola bilgilerinin yanı sıra arkadaş ağları, beğenileri ve çevrimiçi hareketleri psikografik modelleme teknikleriyle analiz edilerek profillendi. Sonuçlar,her bireyin kendisini etkileyecek siyasi reklamları görmesi için kullanıldı. Eski çalışan ve ihbarcı Bay Wylie, çalışmanın çıkış noktasının “insanları radikal [siyasi] mesajlardan etkilenmeye açık bırakan psikolojik karakter özelliklerinin erken tespiti ve karşı aksiyonu” olduğunu fakat modelin geliştirilme amacından farklı şekilde kullanıldığını açıkladı.

Başkanlık seçim sonuçları üzerinde ciddi etkiler yarattığı düşünülen bu skandal sadece ABD’de değil tüm dünyada yankı buldu. Hindistan, Brezilya ve  ABD hükümetleri Facebook’a veri güvenliği ihlali sebebiyle dava açtı. İhlalin ortaya çıkmasından yaklaşık bir hafta sonra Facebook hisseleri yüzde 24  değer kaybetti. Bir yatırım firmasının anketine göre Facebook kullanıcılarının yüzde 84’ü verilerinin güvenliğinden çekince duyduğunu ifade etti. Yasal süreç, Nisan 2020’de Facebook’un 5 milyar USD tutarında ceza ödemesi kararıyla sona erdi.  

Veri güvenliği prosedürlerinin güncellenmesi ve mevzuata uyum girişimlerinin ardından Facebook skandal sonrasında yaşadığı zararı kısa zamanda telafi ettiği gibi mevcut operasyonlarının yanında e-ticaret ve kripto para konuları dahil olmak üzere iş alanlarını genişletmeye devam etti. Ticari bir dev olan Facebook, veri gizliliği ihlali sonrasında ayakta kaldı ama bu ne her işletmenin aynı dirence sahip olacağı ne de kişisel verileri usulsüz olarak kullanılan bireylerin aynı şekilde etkileneceği anlamına geliyor. 

Rekor kayıplarla dolu bir yıl

2019, veri gizliliği ihlalinin rekor seviyelere ulaştığı bir yıl olarak tarihe geçti. 2018'e kıyasla toplam ihlal sayısı yüzde 33, ifşa edilen veri sayısı ise yüzde  112 arttı. Yıl sonunda, ihlal edilen veri sayısı 8.5 milyara ulaştı ve 2018 rakamlarını neredeyse üçe katladı.

2019’un Mayıs ayında Facebook’un sahibi olduğu WhatsApp’ı hedef alan bir korsan yazılım, kullanıcıların mikrofon, kamera, mesaj ve e-maillerine usulsüz erişim sağlamak üzere bir saldırı gerçekleştirdi.

Haziran ayında, alt yüklenici kaynaklı bir ihlal sonucu yaklaşık 100 bin kişinin biyometrik görüntülerini ve araç plakalarını da içeren ABD Gümrük ve Sınır Muhafaza verileri çalındı.

Temmuz ayında, yazılım mühendisi bir çalışanın görevini suistimali sonucu on milyonlarca Capitol One müşterisinin sosyal güvenlik numaraları ve banka hesap numaraları dahil olmak üzere kişisel verileri yetkisi olmayan kullanıcıların eline geçti

Veri ihlali yeni bir tehlike olmadığı gibi veri güvenliğine ilişkin riskler de organizasyonlar için yeni değil. Fakat geçen yıl yaşananlar, tehlikenin arttığını, geleceğe dönük aksiyonların öngörü ile alınması gerektiğini gösteriyor.  

Finsansal kayıplar

2018-2019 yılları arasında, veri ihlalinin ülkelere/bölgelere ortalama maliyeti 3.6 milyon USD’den 3.92 milyon USD’ye yükseldi. Orta Doğu'da yer alan kuruluşlar, saldırı başına ihlal edilen veri sayısında ortalama 38 bin 800 veri ile dünya rekoru kırdı. Türkiye’de ihlal edilen veri başına yaşanan doğrudan kayıp 48 USD ve dolaylı yoldan yaşanan kayıp 46 USD olarak kayda geçti.

Organizasyonların veri ihlali sebebiyle katlanmaları gereken maliyet dört ana başlık etrafında şekilleniyor tespit ve aksiyon, mevzuat kaynaklı cezalar, ihlal sonrası kurumsal yapılanma ve müşteri kaybı. Bu dört kategori arasından müşteri kaybı yüzde 36 ile beş yıl boyunca en ciddi kaybın kaşandığı alan olurken bu kayıp 2019 yılında 142 milyon USD’ye ulaştı. Müşterilerinin yüzde 1’inden azını veri ihlali sebebiyle kaybeden organizasyonlar ortalama 2.8 milyon USD kayıp yaşarken, müşterilerinin yüzde  4’ünü veya daha fazlasını kaybedenler ortalama 5.7 milyon USD kayıp yaşadı. Bu rakam, veri ihlali çıkışlı toplam zararın yüzde 45 daha fazlası olduğu için önemli bir içgörü sunuyor;‘itibar kaybı uzun vadeli bir yaşam döngüsüne sahiptir.’ Ortalama olarak kayıpların yüzde 67’si ihlalin açıklandığı yıl, yüzde 22’si ikinci yıl, yüzde 11’i ise iki yılın ardından gerçekleşiyor.

İçimizdeki düşman

Veri ihlalinde iç tehditler, organizasyonların 2019 yılında ortalama 871 bin 686 USD kaybetmesine neden oldu.  Bu vakaların yüzde 63'ü ihmal, yüzde 23'ü çalışan suçu ve yüzde 14'ü kimlik hırsızlığı unsuru içeriyordu. Suç unsuru içeren ihlaller en yaygın tehdit olmakla beraber insan ve sistem hataları, tüm vakaların yaklaşık yarısıydı (yüzde 49).  Sadece çalışanların ve alt yüklenicilerin ihmali, iç tehdit sınıfındaki tüm kayıpların yüzde 24'ünü oluşturdu ve organizasyonların ortalama 3.24 milyon USD kaybetmesine sebep oldu. İhmal çıkışlı bir ihlal vakasının maliyeti ortalama 307 bin 111 USD iken, vaka kimlik hırsızlığını içerdiğinde bu rakam üç katına çıktı. Maliyeti en yüksek olan suçlar, ayrıcalıklı kullanıcıların kimlik bilgilerinin çalınması ile gerçekleşti.

İç tehditlerin sistematik dolandırıcılardan kimlik avcılarına, cihazlarına virüs bulaşmış veya cihazları kaybolan/çalınan çalışanlara kadar önemli bir çeşitlilik gösterdiğini belirtmek gerekiyor. Ortaya çıkış sebebi kadar gerçekleşme şekli de büyük farklılıklar gösteren bu tehditlerin önüne geçilmesi için bütüne hitap edecek, kapsamlı ve dinamik kontrol mekanizmaları benimsenmesi organizasyonların siber suçlar karşısında direnci için anahtardır.  

Çözüm içeride başlıyor

Organizasyonlar için finansal kayıplardan ve itibar hasarından korunmanın yolu sağlam bir güvenlik mimarisinin etkin politikalar ve prosedürler ile desteklenmesinden geçiyor. ACFE’nin Report to the Nations 2020 raporu, suistimallerin yaklaşık üçte birinin iç kontrol eksikliğinden kaynaklandığını, suistimal karşıtı politika ve prosedürlerin varlığının ise daha düşük suistimal oranları ve tespit süreleriyle ilişkilendirildiğini gösteriyor Etkili politika ve prosedürler, suistimalin önlenmesi için altyapı oluşturdukları gibi gerçekleşmesi durumunda tespit ve iyileştirme çalışmalarına da yön veriyor.

Türkiye’de siber güvenlik alanındaki en önemli gelişmelerden biri 7 Nisan 2016 tarihinde Kişisel Verileri Koruma Kanunu’nun yürürlüğe girmesi oldu. Bu kanun, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlıyor. Kanun, özel-kamu ayrımı yapmadan tüm kurum ve kuruluşları kapsıyor. Bireyleri ve organizasyonları siber tehditlere karşı korumayı amaçlarken verilerin korunmasında sorumluları çeşitli idari ve teknik yükümlülüklerle karşı karşıya bırakıyor

Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararına göre özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi, kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması ve daha nice tedbirin alınması zorunlu KVKK mevzuatı aynı zamanda organizasyonları karşılaştıkları risk ve tehditleri tespit etmek, periyodik olarak kontroller gerçekleştirmek ve teknik siber güvenlik mimarilerini etkin tutmakla yükümlendiriyor.

Suistimal genelinde ve veri ihlali özelinde endişe verici bir artış gözlense de organizasyonların bu tehditler karşısında yeterince donanımlı olmadıkları dikkat çekiyor. Kaspersky tarafından yakın zaman önce yapılan bir anket, büyük ölçekli işletmelerin yüzde 57’sinin, orta ölçekli işletmelerin ise yüzde  71’inin bir siber güvenlik politikası olmadığını gösteriyor Hâlbuki siber güvenlik politikaları olan işletmeler, veri ihlali sonrasında politikaları olmayanlara göre yüzde 49 daha fazla tazminat alarak ihlal sonrası zararlarını telafi etmekte daha başarılı oluyorlar.

Yine Kaspersky tarafından yapılan bir ankette katılımcıların yüzde 44’ü, çalışanlarının veri güvenliği politikalarına uymadığını belirtiyor. Anket katılımcılarının yüzde 26’sı siber güvenlik politikalarını geliştirmeyi hedeflediğini belirtirken yüzde 35’i çalışanların eğitimine eğileceğini söylüyor. Personelin ve yöneticilerin ilgili politika ve prosedürlerle ilgili eğitimi, organizasyonları suistimal tehdidi karşısında güçlendiriyor. İlgili eğitimlerin verildiği organizasyonların, usulsüzlüğün ve suistimalin resmi kanallar aracılığıyla bildirilmesinde, eğitim verilmeyen organizasyonlardan yüzde 19 daha başarılı olduğu görülüyor.  Bulgular, siber güvenlik risklerinin yönetilmesinde ilgili teknik mimarinin güçlendirilmesinin yanında ilgili politikaların benimsenmesinin, prosedürlerin oluşturulmasının ve çalışanların eğitilmesinin etkili olabileceğini gösteriyor. 

Karmaşık, kritik, kazançlı

Sarbanes-Oxley (SOX), Federal Information Security Management Act (FISMA), National Institute of Standards and Technology Publications (örn: NISTIR-7966, NIST SP 800-53), Payment Card Industry Data Security Standard (PCI DSS), Payment Services Directive (PSD),­­­ Electronic Identification Authentication and Trust Services Regulation (eIDAS), DEFCON 658, Privacy Amendment (Notifiable Data Breaches) Act 2017, General Data Protection Regulation (EU GDPR), ISO 27799:2016, ISO/IEC 27002:2013, Society for Worldwide Interbank Financial Telecommunications Customer Security Controls (SWIFT CSC), The Federal Risk and Authorization Management Program (FedRamp) ve  Kişisel Verilerin Korunması Kanunu siber güvenlik konusunda organizasyonların dikkate almaları gereken yasa, yönetmelik ve standartlardan yalnızca birkaçı.

Siber güvenlik uyumu, veri yönetimi ve saklanması konularını, veriye erişimi, elektronik ödemeleri, alt yüklenici hareketlerini, ihbar kanal ve süreçlerini, personel eğitimini ve daha pek çok konuyu ilgilendiren, karmaşık olduğu kadar kritik de bir alan. Siber güvenlik alanındaki uyum çabalarının ortak amacı verilerin yalnızca yetkili kişiler tarafından, yetkilendirildikleri sebepler ve yasal sınırlar içinde kullanılmasıdır. Siber güvenlik uyumu, artarak dijitalleşen bir dünyada ortaya çıkan yeni risk unsurlarına karşı dinamik bir savunma mekanizmasıdır; bireyleri ve organizasyonları suç unsurlarından, finansal kayıplardan ve itibar hasarından korumayı amaçlar.

Kritik müdahaleler, metodolojik bir yaklaşım ve güvenilir tecrübe gerek gelişen teknolojiler, gerek değişen yasa ve yönetmelikler, gerekse yeni suç unsurları karşısında firmayı itibar kaybından ve maddi zararlardan korur. 

Temmuz 2020'de kaleme alınmıştır.

E-posta

Utku Kılıç, Bilgi Teknolojileri Danışmanlığı, Müdürü

İlayda Aydın, Bilgi Teknolojileri Danışmanlığı, Analist

Bize ulaşın