Bir siber güvenlik olayının ardından veri ihlalinin ifşa edilme şekliyle kuruluşun yaşadığı toplam mali kayıp arasında doğrudan bir ilişki mevcut. ‘How businesses can minimize the cost of a data breach’ başlıklı yeni Kaspersky raporuna göre META (Orta Doğu, Türkiye ve Afrika) bölgesinde yaşanan bir ihlal hakkında paydaşlarını ve kamuoyunu gönüllü olarak bilgilendirmeye karar veren işletmeler, benzer bir olayın medyaya sızması durumunda meslektaşlarına kıyasla %38 daha az maddi zarara uğruyor. Benzer eğilim KOBİ’lerde de geçerli.
Yaşanan veri ihlali konusunda kamuoyunu zamanında ve uygun şekilde bilgilendirmemek, veri ihlalinin mali ve itibari sonuçlarını daha ciddi hale getirebiliyor. Bazı yüksek profilli vakalar arasında yatırımcılarına yaşadığı veri ihlalini bildirmediği için para cezasına çarptırılan ve eleştirilen Yahoo! ve veri ihlali olayını örtbas ettiği için ceza alan Uber yer alıyor.
5.200’den fazla BT ve siber güvenlik uygulayıcısının katıldığı küresel ankete dayanan Kaspersky raporu, yaşadığı durumun sorumluluğunu üstlenen kuruluşların hasarı daha hafif atlattığını gösteriyor. Yaşadıkları ihlali ifşa eden işletmelerin maliyetlerinin META bölgesinde 983 bin dolar olduğu tahmin edilirken, olayın medyaya sızdığı emsallerde zarar 1.579 milyon dolar çıktı. Aynı durum Orta Doğu, Türkiye ve Afrika’da faaliyet gösteren KOBİ’ler için de geçerli. Müşterilerini bir ihlal hakkında gönüllü olarak bilgilendirenler, olayların basına sızmasıyla ortaya çıkanlara göre %19 daha az mali zarar yaşadılar (105 bin dolara karşılık 130 bin dolar).
META bölgesinde veri ihlali yaşayan işletmelerin yaklaşık yarısı (%53) proaktif ve gönüllü olarak olayı açıklamaya devam ederken, yaklaşık dörtte birinde (%26) sızıntılar medya üzerinden haber alındı. İhlal yaşayan kuruluşların %21’i ise bunu hiç açıklamadı.
Olayı açıklamamayı ve sızdırmamayı başaran işletmeler minimum kayıp bildirmiş olsa da bu yaklaşım ideal olmaktan oldukça uzak. Zira bu tür şirketler, bir siber güvenlik olayı kamuoyuna niyetlerine aykırı olarak açıklanırsa daha fazlasını kaybetme riskiyle karşı karşıya.
Anket ayrıca, saldırıyı hemen tespit edemeyen şirketlerde risklerin yüksek olduğunu kanıtladı. İhlali keşfetmesi bir haftadan fazla zaman alan KOBİ’lerin %29’u bunun basına yansıdığını görürken, anında tespit edenlerde bu durum yaşanmıyor. Büyük kurumlar için bu oran sırasıyla %18 ve %30.
Kaspersky Kıdemli Ürün Pazarlama Müdürü Yana Shevchenko, “Veri ihlalini proaktif olarak açıklamak, işleri bir şirketin lehine çevirmeye yardımcı olur ve sonuç sadece finansal etkinin ötesine geçer. Müşteriler ne olduğunu ilk elden duyduğunda markaya olan güvenlerini sürdürme olasılıkları daha yüksektir. Ayrıca, şirket müşterilerine varlıklarını korumaya devam edebilmeleri için daha sonra ne yapacakları konusunda tavsiyelerde bulunabilir. Şirket ayrıca durumu yanlış bir şekilde tasvir edebilecek üçüncü kaynaklara dayanan yayınlar yerine, medyayla güvenilir ve doğru bilgileri ilk elden paylaşarak hikâyenin kendi tarafını kamuoyuna aktarma fırsatı bulabilir” diyor.
Veri ihlalinin zarar verici sonuçlarına maruz kalma olasılığını azaltmak için Kaspersky, işletmelere aşağıdaki adımları izlemelerini öneriyor:
- Kaspersky Endpoint Detection and Response çözümlerini uygulayın. Siber güvenlik konusunda sınırlı uzmanlığa sahip küçük şirketler, uç noktalara daha iyi görünürlük, basitleştirilmiş temel neden analizi ve otomatik yanıt seçeneği dahil olmak üzere temel EDR yetenekleri sağlayan Kaspersky EDR Optimum’dan yararlanabilir.
- Kaspersky Anti Targeted Attack Platform gibi tehdit istihbaratıyla zenginleştirilmiş kurumsal bir güvenlik çözümü uygulamalıdır. Bu çözüm çoklu vektör yaklaşımını tercih eden ve genellikle birçok farklı tekniği tek bir planlı saldırıda birleştiren profesyonel siber suçlulardan korunmaya yardımcı olur.
- üçüncü parti uzmanlara iletin.
- farkındalık eğitimi verin.
- İletişim uzmanları ve BT güvenliği yöneticileri dahil olmak üzere veri ihlalinin ardından müdahale çabasına dahil olan tüm taraflara Kaspersky Incident Communications ile özel eğitim vermeyi değerlendirin.
Anket hakkında
Kaspersky Küresel Kurumsal BT Güvenliği Riskleri Anketi (ITSRS), Haziran 2020’de BAE, Suudi Arabistan, Türkiye ve Güney Afrika dahil olmak üzere 31 ülkede toplam 5.266 BT karar vericiyle görüştü. Katılımcılara kendi içlerinde BT güvenliğinin durumu soruldu. Katılımcılar ayrıca karşılaştıkları tehdit türleri ve saldırılardan kurtulmak için yüklenmek zorunda kaldıkları maliyetler hakkında da bilgi verdi.
