Her sektörün kendine özgü risk faktörleri olduğundan, potansiyel bir veri ihlalinin tam olarak ne kadarlık bir zarara neden olacağını belirlemek zorlaşıyor. Şirketlerin, veri ihlallerinin maliyetini en çok etkileyen faktörleri ve bunların işletme büyüklüğüne göre nasıl değiştiğini öğrenmesi gerekiyor. Bir kuruluşun bilgilerine yetkisiz erişim sağlanan her güvenlik olayı bir veri ihlali olarak tanımlanıyor. Hem iç hem de dış aktörler bir veri ihlalinden sorumlu olabiliyor. Bazı durumlarda kasıtlı olmadan da veri ihlali gerçekleşebiliyor. Örneğin, bir kullanıcının şirketine ait verileri içeren bir e-postayı yanlış bir adrese göndermesi durumunda kasıtlı olmadan bir veri ihlali gerçekleşmiş oluyor. Yetkisi olmadığı halde yanlışlıkla müşteri verilerine erişen bir çalışan için de aynı durum geçerli oluyor.
Veri ihlalleri genellikle üç türe ayrılıyor:
- Gizlilik İhlali: İçeriden veya dışarıdan yetkisiz bir kişinin gizli verilere erişmesi gizlilik ihlali olarak biliniyor. Bu genellikle hasta kayıtları gibi kişisel veriler söz konusu olduğunda karşımıza çıkıyor.
- Kullanılabilirlik İhlali: Bir siber saldırının ardından gizli verilerin kaybolması veya yok edilmesi durumunu tanımlıyor. Sıklıkla siber suçluların belirli veri bloklarının erişimine şifre koyduğu fidye yazılımlarında karşımıza çıkıyor.
- Bütünlük İhlali: İçeriden veya dışarıdan bir kişinin gizli verileri bilerek veya kazayla değiştirmesi durumunu tanımlıyor. Aslında hiçbir veri kaybolmadığından, işletmelerin bu tür ihlalleri fark etmesi uzun zaman alıyor. Duruma bağlı olarak, bu tür ihlaller tek tek veya bir kerede gerçekleşebiliyor.
Ortaya çıkan zarar fiyatları da yukarı çekiyor IBM’in bu yıl 17’ncisini açıkladığı Veri İhlali Maliyetleri raporuna göre bir veri güvenliği ihlali olayının neden olduğu ortalama maliyetin 4,35 milyon dolar gibi rekor bir seviyeye ulaştığı görülüyor. Araştırmaya katılan şirketlerin yaklaşık yüzde 60’ı bu maliyetlerle başa çıkabilmek için ürün ve hizmetlerinin fiyatını artırmak zorunda kaldıklarını belirtiyor. Araştırmaya katılan şirketlerin yüzde 83’ü daha önce birden fazla kez veri ihlali olayı yaşadıklarını söylüyor. Veri ihlallerinin yaklaşık yüzde 19’u bir iş ortağından kaynaklanırken, yüzde 45’inin bulut ortamında gerçekleşmiş olması da dikkat çekiyor. İnsan kaynaklı hatalar olayların yüzde 21’ini oluştururken, ihlallerin yüzde 24’ünün arkasında bir şirketin BT sistemlerindeki kesinti veya arızanın sonucu yaşanan veri kayıpları yer alıyor. Rapora göre, çalınan veya güvenliği ihlal edilen kimlik bilgilerine yönelik saldırılar, veri güvenliği ihlalinin en yaygın nedeni olmaya devam ediyor. Kimlik avı, bütün saldırıların yüzde 16’sını oluşturarak veri ihlalinin ikinci en yaygın nedeni olarak karşımıza çıkıyor.
Sektörel bazda bakıldığında ise sağlık sektörü açık ara liderliğini sürdürerek veri ihlalinden en çok canı yanan sektör olmaya devam ediyor. Sağlık sektörünün veri ihlali maliyetlerinin 2020’ye göre tam yüzde 41 oranında artış göstermiş olması da bu durumu doğruluyor.
Finansal hizmetler sektörü, 5,97 milyon dolar ile ikinci en yüksek ortalama ihlal maliyetini kaydederken, onu sırasıyla 5,01 milyon dolarla ilaç sektörü, 4,97 milyon dolarla teknoloji sektörü ve 4,72 milyon dolarla enerji sektörü izliyor.
IBM’in çalışması ayrıca sıfır güven, genişletilmiş algılama ve yanıt (XDR) ve yapay zeka gibi güvenlik stratejileri ve teknolojilerini benimsemiş ve benimsememiş şirketler arasındaki farkı da ortaya koyuyor. Rapor, sıfır güven stratejisine sahip olmayan kritik altyapı kuruluşlarının yaklaşık yüzde 80’inin, sıfır güven çerçevelerini benimseyenlerden çok daha yüksek bir veri ihlali maliyeti olduğunu gösteriyor.
Ek olarak, yapay zeka ve otomasyon araçlarını kullananlar, bu tür araçlardan herhangi birini uygulamayanlara göre çok daha düşük maliyetlerle karşılaşıyor. Bu tür araçları kullanan kuruluşların oranının 2020’de yüzde 59 iken bu yıl yüzde 70’e ulaşmış olması da dikkat çekiyor.
Ayrıca siber güvenlik ihtiyaçlarını karşılamak için yeterli sayıda personele sahip olmadıklarını söyleyen şirketlerin yüzde 62’si, yeterli personele sahip şirketlere göre ortalama 550 bin dolar daha yüksek ihlal maliyeti ile karşılaşıyor.
Veri ihlali maliyetlerini düşürmek için neler yapılabilir?
Gizli verilere yetkisiz erişimi önlemek için çalışanların farklı veri kümelerine erişimine sınırlamalar tanımlanabilir. Eski yazılımlar siber saldırılara daha açık olduğundan düzenli olarak güncelleme yapmak gerekir. Ayrıca, tüm çalışanlar için tahmin edilmesi zor şifreler kullanımı zorunlu hale getirilebilir. Son olarak, çalışanların siber güvenlik
farkındalığını artırmak için eğitimler düzenlenebilir. Bu sayede kimlik avı gibi sosyal mühendislik saldırıları büyük ölçüde önlenebilir.
Bu yazı Digital Report Dergisinin 15. sayısında yayınlanmıştır.
