Bilgi güvenliği ve siber güvenlik bilişim sistemlerini aktif olarak kullanan ve bu sistemler üzerinde işletmelerinin sürekliliğini sağlamak isteyen kurum, kuruluş veya bireysel kullanıcıların bilgilerinin ve bu bilgilerin tutulduğu sistemlerin korunması yönelik alınacak önlemler bütünüdür. Birbirlerinin içine geçmiş olarak önümüze çıkan bu iki olguya gereken önem verilmediği takdirde karşılaşılacak sorunlar ve bu sorunların çözümleri için harcanacak zaman veya maddi ve manevi varlıkların bedeli çok yüksek olmaktadır.
Önlem olarak alınması gereken bilgi güvenliği ve siber güvenlik sistemlerini barındırmayan bilişim sistemleri her zaman bir saldırıya veya kötüye kullanıma açıklardır. Bu saldırılar kimi zaman kullanıcı veya kullanıcılar kaynaklı olabileceği gibi sistemin tasarımı, çalışma prensibi veya kullanılan protokoller ile olabilmektedir. Siber saldırılardan kurumlardan veya bireylerden çok devlet zarar görmektedirler. Devletler sık sık siber saldırılardan ve bilgi güvenliği ihlali gibi konularda gündeme gelmektedirler. Devletler için kritik öneme sahip sistemlerin siber saldırılar sonucunda kullanılamaz durumlara geldiği birden çok olay ve senaryo vardır.
Bilişim Sistemleri kurumlar için iş süreçlerinin merkezlerinde bulunmaktadırlar. Gelişen teknolojiyle beraber tüm kurumlar bilişim sistemlerinin sağlamış olduğu faydalardan yararlanmaya başladılar. Kurumlar kendileri için önem arz eden bu sistemlerin güvenliklerini sağladıklarında maddi değer ve marka değerlerinde bir kayıp yaşamadan rakiplerine karşı daha güçlü olmaktadırlar. Bilişim sistemleri güvenliği, firmaların içlerinde bulundurdukları tüm bilgileri barındıran sistemlerin (Kurumsal Kaynak Planlama Sistemleri, E-Posta Sistemleri, Sunucu-İstemci Sistemleri, Veri Bankası Sistemleri, Finansal Hizmetler Sistemleri, Otomasyon Sistemleri gibi) güvenliğini ve korunmasını sağlamaktadır. Son dönemde ortaya çıkan kişisel verilerin çalınması, bilişim sistemlerinin kurum kötü amaçlı kişiler tarafından zarar verilerek, kurum faaliyetlerinde aksaklığa neden olması ve üretilen teknolojiler üzerinde bulunan zafiyetlerden faydalanarak kurumlara maddi olarak büyük zararlar vermesi bilişim sistemleri güvenliğinin önemini ön plana çıkarmış ve bu yönde çalışmaların artmasına neden olmuştur. Kurumlar için yüksek önem arz eden bu sistemlerin siber güvenlik yatırımları ile aktif olarak korunmaları gerekmektedir. Bu çalışma da bilgi güvenliği ve siber güvenlik başlıkları kısaca incelenecek ve gerçekleşmiş siber olaylara istinaden örnekler verilerek bilgi güvenliği ve siber güvenliğin önemi vurgulanacaktır.
Bilişim ve Sistem Nedir?
Bilişim, insanlığın teknik, ekonomik, sosyal ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimi, enformatik olarak açıklanmaktadır.
Sistem, Genel olarak düzenli bir biçimde birbirini etkileyen ve birbirine bağlı birimlerden, değişik bölümlerden oluşan ve genel bir plana göre kurulan, belirli bir sonuca ulaşmak için amaca yönelmiş bir bütündür.
Bilişim Sistemleri Nedir?
Bilginin ortaya çıkarılarak ihtiyacı olanların, kullanımlarının sağlanması için bir sis-teme ihtiyaçları vardır. Bu nedenle, bilgileri toplamak, sınıflandırmak, özetlemek ve kullanıcıların kullanımına sunmak için kurulan sistemlere bilişim sistemleri denir.
Siber Güvenlik Nedir?
Siber güvenlik bilişim sistemlerinde, kullanıcılar ve kurumlar arası yapılandırdığımız iletişimin ve entegrasyonun, maddi veya manevi kaynaklarımızın ayrıca elektronik ortamlarda bulunan verilerimizin güvenliğini, bütünlüğünü ve gizliliğinin korunmasıdır.
Siber Tehditler ve Saldırılar Nelerdir?
Siber ortamlarda ortaya çıkan açıkların, tehdit unsurlarının, saldırıların veya zafiyetlerin sayısı ve durumu sürekli olarak pozitif yönde artmaktadır. Karşılaşılan siber güvenlik açıkları bütün olarak değerlendirildiğinde, ortaya çıkabilecek zafiyetler Şekil 1’de kısaca ifade edilmiştir.
Bir bilişim sisteminin veya siber kaynağın varlığı, işletilmesi veya kullanımı sırasında, standart kullanım şekline ek olarak yetkisiz kullanıcılar, bilişim sistemlerinin sahip olduğu yazılım tabanlı, donanım tabanlı veya veri kaynaklarına; erişim sağlayabilirler, kullanımda olan kaynaklara zarar verebilirler, bilişim sistemi üzerinde çalışan yazılımlara eklemeler yapabilirler, bilişim sistemleri içerisinde bulunan verileri veya yazılımları kopyalayabilirler, veriler veya yazılımları ortadan kaldırabilirler, siber kaynakları ele geçirebilir veya silah olarak kullanabilirler ve siber kaynaklara zarar verebilirler.
Siber Saldırı Türleri
Dinleme (Sniffing)
Dinleme basit olarak verinin akış yolunu değiştirilmesi veya ortadan kaldırılması olarak tanımlanabilir. Dinleme ile bilgi sistemleri ağı içindeki paketler ele geçirilip içlerinde bulunan veriler okunabilir. Anlamı koklamak olan dinleme, bilişim sistemleri ağı üzerinde bulunan bilgisayarlar arasındaki veri akışının dinlenmesi anlamına gelir.
Servis Dışı Bırakma(Denial Of Service)
Servis dışı bırakma(Denial of Service), hizmet kesintisi veya hizmeti devre dışı bırakma yok etme anlamına gelmektedir. Servisi kullanan kullanıcılara hizmet sağlayamaz veya stabil olmayan verimsiz bir hizmet sunar. Servis Dışı Bırakma siber saldırısıysa siber saldırganın saldırıya geçmeden önce hazırladığı elektronik cihazlar veya bilgisayarlardan oluşan envanteri ile hedefe karşı saldırmasıdır.
IP Sahtekarlığı (IP Spoofing)
Bilgisayarlar ağları arasındaki bağlantılar çeşitli protokoller aracılığıyla sağlanmaktadır. Bu protokoller ile ağ üzerindeki farklı bir bilgisayara bağlanıldığında bağlanan bilgisayar kendi bilgilerini karşı tarafa aktarır. Bağlanılan bilgisayara gerçek IP adresinin aktarılmaması gerçek kimliğin IP adresinin gizlenmesine IP Sahtekarlığı denir.
Sosyal Mühendislik (Social Engineering)
Sosyal Mühendislik; basit olarak bilgisayar ya da bilgisayar ağlarındaki zafiyetlerden yararlanılarak bilgisayar sistemlerine zarar veren yöntemlerin aksine “sosyal mühendislik” yöntemi kullanıcıların iletişim, düşünce, güven, psikoloji veya insani zaaflarından yararlanılarak siber güvenlik sistemlerini etkisiz hale getirilmesi ya da atlatılması ile tanımlanabilir.
Arka Kapılar (Backdoors)
Bilgisayarlar üzerinde standart kontrol ve tespit yöntemleri ile tespit edilemeyecek şekilde normal kimlik doğrulama adımlarını atlamayı veya kurulan bu yapıdan bilgisi olan kişi veya kişilere hedef bilgisayarlara uzaktan erişmeyi sağlayan yöntemler arka kapı olarak tanımlanmaktadır.
Oltalama (Phishing)
Oltalama gerçeğe yakın bilgiler ile bilgisayar kullanıcılarını kandırma ve dolandırma olarak tanımlanabilir. Oltalama yönteminin asıl amacı bilgisayar kullanıcısını kandırarak bilgisayar kullanıcısına ait kredi kartı bilgisi, banka hesap numarası, bu hesaba ait birçok özel ve kişisel bilgiyi ele geçirmektir.
Casus Yazılım (Spyware)
Bu tür zararlı programlar kullanımı zararsız görünen ve genel olarak internet üzerinde “ücretsiz” şekilde dağıtılıp indirilen programlar ile bilgisayarlara bulaşan zararlı programlardır. Tam anlamı ile virüs olarak tanımlanamayan bu programların amaçları kuruldukları bilgisayardan bilgi toplamak ve bu bilgileri zararlı yazılımın yöneticisine göndermektir.
Virüsler
Virüs, bilgisayar dünyasında uzun yıllardır karşılaşılan bir tabirdir. Bu tabir genel olarak zararlı yazılımları ifade eden veya kapsayıcı genel bir tanım olarak kullanılmıştır.
Truva Atları (Trojan Horses)
Bilgisayarlar üzerinde verimli bir işlevi varmış gibi görünen aynı zamanda gizli ve bilgisayar güvenlik yöntemlerini aşıp devre dışı bırakabilecek potansiyel olarak zararlı işlev içeren ve bilgisayar sistemlerinin yetkilendirilmesini istismar eden bir zararlı bilgisayar programı olarak tanımlanmıştır.
Solucanlar (Worms)
Solucanlarda aynı virüsler de olduğu gibi, kendini bir bilgisayardan veya ağ dan başka bilgisayar veya ağ konumuna kopyalamak üzere hazırlanmıştır ve bunu kendi kendilerini yapabilmektedirler.
Klavye Yakalama Programı (Keyloggler)
Klavye Yakalama Sistemi klavyede bulunan herhangi bir tuşa basıldığında zararlı yazılımın bunu kaydetme ve zararlı yazılımın sahibine gönderme şekli ile tanımlanabilir.
Siber Saldırıların Kurumlara Verdiği Zararlar
Siber saldırıların kurumlara verdiği zararları üç temel başlık altında inceleyebiliriz. Bunlar;
• Mali Kayıplar
• Yasal Sonuçlar
• Marka Zararları
Mali Kayıplar
Siber Saldırılar, yüksek miktar da mali kayıplara yol açmaktadır. Bu maddi kayıplar genel olarak kurumsal bilgilerin, mali kayıtların ve maddi sistemlere erişirken kullanılan güvenlik sistemleri bilgilerinin ele geçirilmesi ile yapılan para transferleri veya hesap hareket değişiklikleri ile yapılmaktadır.
Yasal Sonuçlar
Bu tür zararlar devletler tarafından belirlenmiş olan kişisel verileri koruma kanununa uyulmadığında ortaya çıkan yasal yaptırımlardır. Bu gibi yasal sonuçların ortaya çıkması ile kurumlar yüklü miktarlarda tazminat ödemesi ve itibar kaybı yaşarlar.
ÖRNEK OLAYLAR
KVKK’dan Facebook’a 1 Milyon 600 Bin TL Ceza
Kişisel Verileri Koruma Kurulu, Facebook’a veri ihlali nedeniyle, 1 milyon 600 bin TL ihlal cezası verdi. KVKK kurumdan yapılan açıklamaya göre, Facebook temsilcisi tarafından Kuruma gönderilen 14 Ekim 2018 tarihli e-posta da “başkasının gözünden gör” ihlaline ait bilgiler verildi ve bilgilendirmenin aynı hafta içinde de yazılı olarak Kişisel Verileri Koruma Kurulu’na iletileceği ifade edildi. Bunun üzerine KVKK kurulu tarafından inceleme kararı alındı.
Kişisel Verileri Koruma Kurulu’nun yaptığı inceleme sonucunda, veri ihlalinin Facebook sisteminin üç özelliği olan “başkasının gözünden gör”, “doğum günü kutlayıcı” ve “video yükleyici” nin iletişimi sonucunda oluşan hatadan kaynaklandığını tespit etti. Kurul, ihlalden Facebook kullanıcılarına ait olan kişisel bilgileri isim, cinsiyet, doğum günü, eğitim geçmişi, konum, Facebook’ta yapılan aramalar, kullanıcıların takip ettiği başlıca hesaplar gibi kişisel verilerin etkilendiğini tespit etti.
Facebook’u Türkçe olarak kullanan kullanıcıların 280 bin 959 tanesinin veri ihlalinden etkilendiği tespit edilirken, Kurul, oluşan veri ihlalinin tekrarlamaması için Kanunda belirtilen gerekli idari ve teknik tedbirlerin alınmadığını tespit ederek, veri güvenliğine ait yapılması gerekenlerin yapılmadığını bildirdi.
Kanunda bulunan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” Hükmü veri ihlali sebebiyle gerekli bildiriminde yapılmaması nedeni ve söz konusu veri ihlaliyle ilgili olarak Kişisel Verileri Koruma Kurulunca Facebook’a toplam 1 milyon 600 bin lira idari para cezası uygulanmasına karar verilmiştir.
Sadece Hosting Veri Merkezi Siber Saldırı
Türkiye’nin önde gelen hosting şirketlerinden olan Sadece Hosting, tüm verilerinin ele geçirildiğini ve bir siber saldırıya maruz kaldıklarını duyurdu. Veri merkezleri her zaman siber saldırganlar için en önemli hedeflerden biri haline gelmiştir. Veri merkezlerine saldırmak bir şirketin verilerini değil, veri merkezi içinde bulunan birçok şirketin veya internet sitesinin verilerinin de ele geçirilebileceği anlamına gelmektedir. Şirket tarafından Kişisel Verileri Koruma Kurumu’na (KVKK) gönderilen bildiride kimliği belirsiz siber saldırgan veya siber saldırganların veri merkezine siber saldırı düzenlediği, saldırı sonucunda tüm kaynak ve verilere ulaşıldığının düşünüldüğü söylendi. Şirket, saldırının 09.10.2019 tarihinde gerçekleştiğini ve bu durumun 11.10.2019 tarihinde fark edildiğini ve ele geçirilen kişisel verilerin hangi özellikte veriler olduğunun ve saldırıdan etkilenen kişi sayısının henüz tespit edilemediğinin ve çalışmaların sürdüğünün bilgisini duyurdu.
Adobe Systems 38 Milyon Kullanıcı Hesabı Ele Geçirildi
Adobe, yeni bir siber saldırının hedefi olduğunu ve müşteri hesaplarının riske girdiğini onaylamıştır. Yazılım üreticisi, kullanıcı adlarının ve şifreli şifrelerin yaklaşık olarak 38 milyon aktif kullanıcısının çalındığını söyledi. Saldırganların, iki veya daha fazla yıl boyunca kullanılmayan hesapların da olduğunu bildirdiler. Şirket başlangıçta 2, 9 milyon hesabın etkilendiğini söyledi fakat bilgisayar korsanlarının popüler resim düzenleme programı olan Photoshop’a ait olan kaynak kodun bir bölümünü çaldıklarını açıkladı. Daha önce Acrobat belge düzenleme programı ve ColdFusion web uygulaması oluşturma ürünlerinin kaynak koduna da yetkisiz olarak erişildiğini ortaya çıkarmıştı. 35 milyon kullanıcıyla ilgili olarak, şirket yalnızca müşteri kimliklerinin ve şifreli şifrelerin etkilendiğini düşünüyor. O zamandan beri tüm kullanıcıların şifrelerini değiştirdiklerini belirtiyor.
Siber Güvenliğin Önemi
Siber varlıklara gelebilecek tehditler incelendiğinde siber güvenlik konusunun önemi daha iyi anlaşılıyor. Siber varlıkların önemleri ve değerleri yüksektir. Siber güvenliğin önemi aşağıdaki şekilde özetlenmiştir. Kurumların tüm kaynakları ve siber varlıkları, o kurumun dijital kaynaklarıdırlar. Dijital kaynaklarımızı ve varlıklarımızı korumak zorundayız. Şirket içinde bulunan bilgi varlıkları, işletmelerin en önemli değerleridir. Bu bilgiler kurumsal olarak önemli olduğu kadar, çalışanların bilgi varlıklarının da korunması için gereklidir. Bunun hukuki ve sosyal olarak birden çok nedeni olmakla beraber, kurumsal ve kişisel olaraktan önem derecesi yüksektir. İster kamunun isterse özel sektörün siber güvenliğe gereken önem vermesi, işletmenin geleceğine önem vermesi demektir. Bilişim toplumu içinde bulunan her şirket bilişim teknolojilerini kullanan kullanıcılar siber güvenlik kavramını bilmek ve uygulamak zorundadırlar. Siber güvenliğe verilecek önem itibarımızı ve saygınlığımızı korumak için önemli ve gereklidir. Bu duruma dikkat edilmez kurumsal veya kişisel imajların zarar görmesi, kurumlara veya kişilere olan güvenin sarsılmasına, iş gücü ve zaman kaybı oluşmasına, zarar görmüş sistemleri eski hallerine getirmenin yüksek giderlere neden olması, veri kaybı yaşanılan durumlarda kaybedilen verilerin kurtarılamaması durumu ile karşı karşıya kalınacaktır. Siber platformlar farklı verilerin ve sistemlerin bulunduğu kritik ortamlardır. Bu ortamlardaki verilerin boyutu, kapsamı, türleri artmakta ve bu verilerden değer elde etme durumu yaygınlaşmaktadır. Bu durumla beraber, bu verilerin ihlalleri ve kötüye kullanımları arttığından, verilerin korunması gereklidir. Veri koruma durumları artık yasal sonuçlar da ortaya çıkarmaktadır. Kanun ve yasaların uygulanması ve yerine getirilmesi için önemli bir zorunluluktur. Siber platform kaynaklarının gizliliğinin bütünlüğünün ve erişilebilirliğinin sağlanması rekabet gücünü artırımı ve ticari marka imajını korumak için bir gereklidir. Mevcut kaynakları korumak için; virüslere, casus ve kötü niyetli programlara, siber saldırılara ve siber saldırganlara, karşı koyma ve tedbir alma işletmeler kadar kullanıcılar için de önemlidir. Tehlikeleri ortadan kaldırmak ve bilinçlenmek açısından siber güvenliği anlama uygulama önemlidir.
Bilgi Güvenliği Nedir?
Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemi. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.
Veri Güvenliği Nasıl Sağlanır?
Bilgi teknolojileri ile elde edilen bilginin analizi ve işlenmesi kadar güvenliğinin sağlanması da önem ifade eder. Bu bakımdan hem kamu hem de özel işletmelerin bilgi güvenliğini sağlayıcı tedbir ve global standartları taşıması gerekir. Bu yönde kendisini dönüştüren firma ve kamu kurumları, elde edilen bilgilerin analizinden, korunmasına kadarki süreci çok daha sağlıklı ve güvenli bir şekilde yürütür.
Bilgi Güvenliği Kapsamı
Bilgi güvenliği, sadece firmaya ait bilgilerin üçüncü kişiler tarafından ele geçirilmesini önlemek üzere kurulan bir standart veya kavram değildir. Bilginin izinsiz el değiştirmesinin yanı sıra, var olan bilgi üzerinde oynanmasını engellemek, kaybolmasını ve gerektiğinde erişebilirliğini hedeflemek de bilgi güvenliği kavramının ilgilendiği hususlar arasında yer alır. Şirkette var olan bilgilerin erişilebilirlik problemi taşıması verimlilik açısından negatif bir durumdur. Yine aynı şekilde bilgiye yetkisiz kişiler tarafından sağlanılan erişime de kötü bir senaryo olarak bakılması gerekir.
Bilgi Güvenliğinin Sağladığı Faydalar
Kurumlar tarafından elde edilen bilgilerin korunmasına yönelik mesuliyet kuruma aittir. Bu bilgiler içerisinde müşterilerin kişisel bilgileri ile beraber firmayı tanımlayıcı da birçok bilgi yer alabilir. Önemli veri ve bilgilerin siber korsanlık veya daha farklı yollarla değişik kanallar üzerinden satışa çıkarılması veya rakip firmalara doğrudan gönderilmesi, şirket imaj ve prestijinin önemli oranda olumsuz etkiler. Ayrıca firma kanunen de mesul duruma düşer ve hakkında yasal işlem başlatılabilir. Bu gibi durumlarla muhatap olmamak adına bilgi güvenliğinin sağlanmasına dair tedbirler alınması gerekir.
Bilgi Güvenliği ve Siber Güvenliğin Kurumlara Kazandırdığı Faydalar
Bilgi güvenliği ve siber güvenliğinde günümüzde bilişim sistemleri altyapısını kullanan tüm kurum ve kuruluşlara avantaj ve bazı başlıklar altında kazançlar sağlamaktadır. Sağlanan bu kazançlar genel olarak firmanın geleceğini doğrudan etkileyen ve firmaların yaşamlarını sürdürebilmeleri için gerekli olan marka imajı, maddi durum ve çalışan bağlılığı gibi konulardır. Bilişim sistemleri güvenliği kurumları belirtilen başlıklar ve ortaya çıkabilecek diğer tehdit türlerine karşı korumaktadır. Aşağıda bulunan başlıklar altında bu konulara değinilmiştir.
Kurumlara Kazandırdığı Finansal Faydalar
Hedefli Saldırılar hızla büyüyen bir küresel güvenlik sorunudur ve kurumlar bir numaralı hedefleridir. Ne kadar erken saldırıya maruz kaldığınızı bilirseniz, o kadar kısa sürede devam eden hasarı önleyebilirsiniz. Bu yüzden sadece önleyici güvenlik değil, sistemlerinizdeki canlı saldırıları tanımlamak için tasarlanmış yenilikçi bilişim sistemlerini kullanarak maddi kazançlar sağlayabilirsiniz.
Bilişim sistemleri güvenliğinin kazandırdığı maddi faydaları aşağıdaki olayları göz önüne alarak görebiliriz. Aşağıdaki değerlendirmeler ve tespitler doğrultusunda kurumların bilişim sistemleri güvenliğine yatırım yapmadıkları için uğradığı finansal zararlardan bahsedilmiştir. Belirtilen firmalar bilişim sistemleri güvenliğine yeteri kadar yatırım yapmış olsalardı başlarına gelen maddi kayıpları yaşamamış olacaklardı.
Bir kuruma yapılan ortalama bir siber saldırıda ortalama olarak 891 Bin Dolar zarar ortaya çıkabilmektedir.
PlayStation Network ve Sony Online Entertainment’e yapılan saldırılarda 100 milyon kişinin hesap detayları ortaya çıktı. Bu detaylar içinde kişisel bilgiler, kredi kartı numaraları da yer alıyordu. Uzmanlar, hasarın 1 milyar dolar ile 2 milyar dolar arasında olduğunu tahmin ediyor. Eğer Sony bilişim sistemleri güvenliğine doğru yatırım yapmış olsaydı bu zarara uğramadan siber saldırıları önleyebilir ve bu kadar maddi zarara katlanmak zorunda kalmazdı. Ayrıca bu saldırıların telafi edilmesi için gereken zaman ve iş gücü açısından da maddi zarar görmemiş olacaktı.
Hem bilgi kaybı hem de saldırılarda meydana gelen iş kesintileri, saldırı türüne bakılmaksızın en büyük maliyet faktörleri olarak bulundu:
- Kötü Amaçlı Yazılım
Ana sonucu: Bilgi Kaybı
Ortalama maliyet: 1,4 milyon dolar (toplam zararın %54’ü)
- Web tabanlı saldırılar
Büyük sonuç: Bilgi Kaybı
Ortalama maliyet: 1,4 milyon dolar (toplam zararın %61’i)
- Hizmet Reddi (DOS)
Başlıca sonuç: İş
Zararı Ortalama maliyet: 1,1 milyon ABD Doları (toplam zararın%65’i)
- Kötü niyetli içerdekilerin
Başlıca sonuçları: İş Zedelenmesi ve Bilgi Kaybı
Ortalama maliyet: 1,2 milyon ABD Doları (her biri 0,6 milyon ABD Doları, toplam kayıpların%75’i)
2018 yılında, bilgi kaybı ve iş kesintileri, siber suçtan kaynaklanan toplam iş zararlarının %75’inden fazlasını birleştirdi. Bu bilgilere istinaden 2017 ve 2018 yılları arasında bilişim sistemleri güvenliğine yatırım yapılmış olsaydı dünya genelinde siber saldırılardan kaynaklı finansal zararlar daha az miktarda olacak veya hiçbir şekilde bir finansal zarar olmayacaktı.
15 farklı sektörde (organizasyon başına) ortalama siber saldırı maliyeti aşağıdaki gibidir.
Kurum Güvenilirliğine Kazandırdığı Faydalar
Günümüzde marka değerlerinin büyük bir kısmı, çok büyük önem ile kazanılmış itibar ve müşterilerin algısına dayanıyor. Marka değerini tehdit eden faktörlerin başında siber saldırıların ardından ortaya çıkan veri ihlali geliyor. Siber güvenlik uzmanları, markaların pazarlama yöneticilerinin ve bilgi güvenliğinden sorumlu uzmanların, siber güvenlik olaylarında beraber çalışarak marka itibarının ve marka değerinin korunabileceğini belirtiyorlar.
İşletmelerde bilişim sistemleri güvenliği ve pazarlama alanındaki birliktelikler başarılı sonuç ortaya çıkararak marka değerinin korunmasını önemli ölçüde sağlıyor. Bunun farkında olan pazarlama sorumlularının %71’i de marka değerinin kaybında siber güvenlik olaylarının büyük oranda payı olduğunu düşünmektedir.
“Brand Finance Global 500” raporuna istinaden dünya ölçeğinde ilk 50 markanın ortalama marka değerinin 46 milyar dolar seviyesindedir. Veri ihlalleri ve güvenlik olaylarında yaşanabilecek yüzde 5′ lik bir zararın ise büyük markalardan birisi için 23 milyon dolar gibi bir maddi zarara sebep olacağı düşünülüyor.
Rekabet Koşullarında Kazandırdığı Faydalar
Rekabet durumunun bulunduğu, problemsiz olarak hareket eden piyasaların varlığı kurumların uluslararası rekabet edebilme güçlerini arttırdığı gibi, kişisel bilgilerin korunmasında rekabet avantajını arttıracağı belirtilmektedir. Firmalar, kişisel bilgileri işleyip rakiplerinin geçebileceklerinin farkında olmuşlardır. Bilişim sistemlerinin gelişmesi, kişisel bilgilerin aktarılmasını ve saklanmasını kolaylaştırması ile beraber kurumlar, kişisel bilgilere sahip olmanın ne kadar önemli olduğunun fark ettiler. Finansal piyasaların içinde bulunduğu dijital dönüşüm sürecinde bilgiler, finansal faaliyetin önemli başlığı haline gelmiştir. Bu nedenle bilgi temelli ekonominin oluştuğunu ve kişisel bilgilerin korunmasıyla bilgi temelli finans arasında bir dengenin oluştuğunu söyleyebiliriz. Veri hırsızlığı konusunda gerekli önemleri alan kurumlar özellikle bilişim sistemleri güvenliğine yatırım yaptıklarında rakip firmalara karşı müşteri üstünlüğü ve bunun getirisi olarak kazanç artışı sağlamışlardır. Veri hırsızlığı gündeme gelen firmalardan müşteri kaybı yaşandığından dolayı firmalar finansal açıdan zorluk çekmekte ve müşterilerini rakiplerine kaptırmaktadırlar. Bu durumların önüne geçilmesi ve rekabet koşullarında herhangi bir olumsuzluk yaşamamaları için bilişim sistemleri güvenliğine önem vermeli ve bu sistemleri devreye alıp aktif olarak kullanmalıdırlar.
İş Sürekliliğine Kazandırdığı Faydalar
Kurumlar için işleyiş süreçlerinin durması veya faaliyette bulunamaz duruma gelmesiyle ortaya çıkacak finansal zararlar son derece önemli duruma gelmiştir. Firmaların iş süreçlerinde kullanmakta olduğu bilişim sistemlerinin artması ile beraber herhangi bir siber olay düşük ölçekli bir firmanın işleyişini bitirmesine ve firmanın kapanmasına gidebilecek bir süreci başlatabilecek güçtedir. Örnek vermek gerekirse, Telekomünikasyon sağlayıcısı olarak çalışan bir kurumun bilişim sistemlerinin çalışmaması, herhangi bir finans kurumunun mobil bankacılık internet ve uygulamalarının çalışmaması, otomasyonel sistemleri kullanarak üretimde bulunan üreticilerin üretim hareketlerinin durması, E-devlet sistemlerinin hizmet veremeyecek durumda olması mali düzeyde milyon dolarlık işlem zararını ayrıca kullanıcı ve müşteri güveninin azalmasıyla ortaya çıkacak maddi zararları birlikte getiriyor. Bu durumda tartışılan önemli durumlar eylem hareketleri ve firmaların ve ülkelerin yönetim planlarının önem değeri yüksek parçaları olarak gösterilmektedir.
Sonuç
Bilgi güvenliğinin ve siber güvenliğinin kurumlara kazandırdığı birden çok fayda bulunmaktadır. Bu faydalar işletmelerin sürdürülebilirliği için çok önemlidir. Bu faydaların sağlanabilmesi ve kurumun rekabet koşullarında aktif olarak hareket edebilmesi için bilişim sistemleri güvenliğine yatırım yapması gereklidir. Eğer kurum bilişim sistemleri güvenliğine yatırım yapmaz ise herhangi bir siber saldırı sonucunda maddi ve manevi zarara uğrayacağı hatta firma ölçeğine göre büyük yıkıma uğrayabilme tehlikesi ile karşı karşıyadır. Bilişim sistemleri güvenliği kurumların günlük yaşamlarında değer vermeleri gereken bir konu olduğu ve verdikleri değer kadar kazanç sağlandığı görülmüştür. Gelişen teknolojilerin avantajlarından yararlanmak isteyen kurumların, bilişim sistemleri güvenliğine yatırım yapmaları zorunluluk haline gelmiştir. Bu sayede kendilerini, çalışanlarını ve müşterilerini siber saldırılara karşı koruyarak hem toplumsal ahlak kurallarına hem de ticaret kurallara uyum sağlamış olurlar.
KAYNAKÇA
https://sozluk.gov.tr
Güvener, T. (2016). İstanbul’daki Bilişim Firmalarında Kullanılan Bilişim Sistemlerini Değer Zinciri Analizi ve Proje Yönetimi Açısından Değerlendirme ve Bulut Bilişim Teknolojileri Kullanımı.
https://berqnet.com/blog/siber-guvenlik-nedir
Alkan, M. (2018). Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık. Grafiker Yayınları.
Sağıroğlu, Ş., & Alkan, M. (2018). Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık. Grafiker Yayınları.
Arslan, M. E. (t.y). Siber Güvenlik ve Siber Saldırı Türleri. Sağlık Bilişim Enstitüsü, Gazi Üniversitesi.
https://www.f5.com/labs/articles/education/what-is-a-distributed-denial-of-service-attack-
https://www.tamindir.com/blog/siber-saldirilar-isletmelere-nasil-zararlar-verebilir_48224
https://hackpress.org/haber/saldirilar/sadece-hosting-hacklendi
https://www.bbc.com/news/technology-24740873
https://tr.wikipedia.org/wiki/Bilgi_g%C3%BCvenli%C4%9Fi
https://www.campusonline.com/kariyer/bilgi-guvenligi-nedir-veri-guvenligi-nasil-saglanir
https://dergipark.org.tr/en/download/article-file/854161
https://www.kaspersky.com/enterprise-security/finance
https://www.weforum.org/agenda/2019/11/cost-cybercrime-cybersecurity/
https://www.cybermagonline.com/veri-ihlallerinde-musterilerin-48nin-markaya-guveni-azaliyor
ttps://www.cybermagonline.com/saglikli-rekabet-ortami-icin-kisisel-veri-guvenligi-sart
https://www.cybermagonline.com/sirketler-icin-is-surekliligi-bilgi-guvenligi-ile-mumkun
https://www.siberguvenlik.web.tr/index.php/2019/10/02/veri-ihlali-yasayan-sirketler-musterilerinin-yarisini-kaybediyor/