SİBER RİSK YATIRIMLARI 200 MİLYAR DOLARA KOŞUYOR

Mustafa Orhun Çetin / INBUSINESS

Tedarik zincirindeki aksamalar, Covid-19 pandemisi ya da doğal afetler… Allianz Risk Barometresi'ne göre tüm bu sorunlar 2022 ve sonrası için şirketlerin öncelikli endişe kaynağı değil. 89 ülkede 2 bin 650 şirketle yapılan araştırmanın sonucuna göre CEO'ların masasındaki birinci tehdit siber güvenlik…

Nasıl olmasın? Müşteri bilgilerinin çalındığı ya da IT sistemlerine saldırı yapıldığı için işlemlerin yavaşladığı haberlerine artık aşina olduk. Üstelik kamuoyuna yansımayan binlerce olay var. Sadece Türkiye'de bir dakikada üç ayrı saldırı gerçekleşiyor. Dünya genelinde de durum gerçekten korkutucu boyutlara geldi. Sadece 2021'de siber saldırıların globalde 6 trilyon dolarlık zarara neden olduğu hesaplanıyor.

Sadece 2021'de 150 milyar dolarlık siber güvenlik yatırımı yapıldı. Bu yıl rakamın 200 milyar doların üzerine çıkması ve sonrasında da katlanarak artması bekleniyor. TÜBİSAD'ın BİT Raporu'na göre küresel siber güvenlik sektörü 2026'ya kadar yılda yüzde 7,7 büyüyerek 270 milyar doların üzerine çıkacak. Önümüzdeki beş yıl içinde bu rakamın 500 milyar dolara çıkacağı da beklentiler arasında yer alıyor. Bu beklentiler siber güvenlik şirketleri için de önemli bir büyüme fırsatı olarak görülüyor. Zira Türkiye'nin kalburüstü şirketleri şimdiden bu alana yatırım yapmaya ve kadrolarını genişletmeye başladı bile. Gelin son du- ruma beraber bir göz atalım...

E-TİCARET HEDEFTE

Covid-19 pandemisi özellikle 2020 ve 2021'de uzaktan çalışmanın da yaygınlaşmasıyla siber saldırıların artmasına neden oldu. Artış, şirketleri de harekete geçirerek çalışanları da kapsayacak şekilde yatırımları hızlandırdı. Çünkü veriyi içerde tutmak için kurulan sistemler, aynı anda yüzlerce çalışanın uzaktan bağlanması ile adeta kumdan kale gibi çöktü. Araştırmalar 2021'de gerçekle- şen veri ihlallerinin yüzde 81'inin sistemi kullanan çalı- şanlar kaynaklı olduğunu gösterirken Kaspersky şirketi de 2021'de siber saldırıların artmasında kilit noktayı evden çalışma, uzaktan bağlantı ve e-ticarete yönelimin oluşturduğunu belirtiyor.

INBUSINESS'a özel açıklamalarda bulunan Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Maher Yamout devam eden pandemi koşulları nedeniyle bu durumun yakın zamanda değişmesini beklemiyor.

KPMG Türkiye Danışmanlık Şirket Ortağı Sezgin Topçu, yaptıkları sızma testleri ve sosyal mühendislik çalışmaları sırasında organizasyonlar içinde yer alan kişilerin eğitimli de olsa saldırıya yakalanabildiklerini vurguluyor ve devam ediyor: "Hem de ciddi oranlara çıkabiliyor. Kimi organizasyonlarda yüzde 30 kimilerindeyse yüzde 150 oranında siber saldırıya uğrama oluyor. İnsan ve insan üzerine yapılacak aktiviteler de en az yazılım ve donanım yatırımı kadar önem teşkil ediyor."

Maher Yamout, eğitime odaklanırken, "İnsan sensörü, siber tehditleri ve tehdit aktörlerini tespit etmede çok ölçeklenebilir ve etkilidir" diyor. Bugbounter Kurucu Ortağı Arif Gürdenli de "Yapay zeka tehditleri saptamak konusunda kullanılıyor. Ancak yine de kolektif insan zekasıyla boy ölçüşebilecek seviyeye henüz ulaşamadı" diye konuşuyor.

KOBİLER RİSK ALTINDA

Saldırıların artmasıyla yapılan yatırımlar da tarihi seviyelere geldi. Sadece siber güvenlik için 2021'de 150 milyar dolarlık bir yatırım yapıldığını belirten Sezgin Topçu, 2022'de ise bu rakamın 200 milyar dolara çıkacağının öngörüldüğünü söylüyor. Saldırılara maruz kalmamak ve bir saldırıyı en az hasarla atlatmak büyük ya da küçük tüm şirket ve kurumların gündeminde. Ancak tehlike henüz KOBİ'ler tarafından tam olarak görülmüş değil. Yapılan araş- tırmalarda siber saldırıya uğrayan KOBİ'lerin yüzde 68'i kaybedilen verilerin peşine dahi düşmüyor, bir kurtarma hizmeti almadan ticari hayatına devam ediyor. Bu nedenle verilerin korunmaması ile ortaya çıkan ekonomik kayıp artmaya devam ediyor. CyberArts Kurucusu Erdem Eriş, Türkiye'de dakikada üç, yılda 1,6 milyon adet zararlı yazılım saldırısı düzenlendiğini belirtiyor ve ekliyor: "Son beş yılda saldırı gerçekleştirilen ülkeler arasında Türkiye, ilk beşte yer aldı."

Platin Bilişim Kurucusu ve CEO'su Ayhan Bamyacı da "Dünya üzerinde her 15 milisaniyede bir zararlı üretiliyor ve her 39 saniyede bir siber saldırı gerçekleşiyor" diyor. Sadece 2021'in ilk yarısında her üç bilgisayardan biri saldırıya uğradığına göre kişisel verilerimiz ciddi bir tehdit altında. Bamyacı, siber güvenliğin özellikle 5G'nin de devreye girmesinden sonra en gelişmiş savunma sistemlerinden dahi daha etkin bir savunma sunacağını belirtiyor.

TEKNOLOJİ İHRACATI

Siber güvenliğin giderek daha fazla önem kazanmasıyla danışmanlık faaliyetlerine başlayan SabancıDX, bu alanda büyümeyi hedefleyen şirketlerden biri. SabancıDX Genel Müdürü Doğuş Kuran, 2021'de siber güvelik ekibini yüzde 30 genişlettiklerine değiniyor ve 2022'de yeni şirket yatırımları açıklayarak büyümeye devam edeceklerinin de sinyalini veriyor.

Siber güvenlikte iki kritik nokta var: Denetim ile veriler elde etmek, teknoloji ile donanım ve yazılım ihtiyacını karşılamak. Kuran, Sabancı- DX'de bu iki olguyu bir araya getirerek deneyimleriyle birleştirdiklerini bu sayede fark oluşturduklarını belirtiyor. "Önümüzdeki dönemde her iki kurumdan biri kurumsal ağlarını sıfır güven yaklaşımı ile geliştirmeyi planlıyor" diyen Kuran, uzmanların bu bağlamda yapay zeka çözümlerine olan ilgisinin de artacağını anlatıyor: "Kurumlar siber saldırılardan korunmak için ağlarını sıfır güven yaklaşımı ile kurmalı ve yapay zeka çözümlerini en büyük yardımcı olarak görmeli."

Doğuş Kuran Türkiye'nin siber güvenlik alanındaki teknolojiyi ihraç edebilecek bir noktaya gelmesini umut verici olarak görüyor ve ekliyor: "Bu içgörüler ışığında güvenlik stratejilerini yeniden değerlendiren şirketlerin, sıfır güven yaklaşımını stratejilerinin merkezine koyarak, siber güvenlik alanındaki yatırımlarını artıracağını düşünüyorum."

Erdem Eriş, Nato'nun 5'inci Savaş alanı olarak siber güvenlik alanını işaret ettiğini belirtiyor ve Türkiye'nin savaşçı kimliğinin bu alanda da etkili olacağına inanıyor. Eriş, "Beş yıl sonra siber güvenlik 500 milyar dolarlık bir pazara dönüşecek. Türk malı ürün ve hizmetlerin de önü bu pazarda açık" diyor.

BEYAZ ŞAPKALILAR

Teknolojideki gelişmeleri yakından takip etmek kadar gündemi de takip etmek önemli. Bu konuda şirketlere ise en önemli destek alanında deneyimli ve uzmanlaşmış danışmanlar tarafından sağlanıyor. Premier DC Veri Merkezi Yönetim Kurulu Danışmanı Sadi Abalı, "Siber güvenlik alanında küresel bir danışmanlık şirketinden sürekli hizmet alıyoruz" diyor. Bu sayede verinin güvenliği konusunda çalışmalara ara vermeden devam edebiliyorlar. Beyaz şapkalı 'korsan'lar da aslında bu alanda kötü niyetle gelebilecek saldırıları kurumlara raporlayarak uzman görüşü sağlıyorlar.

Siber güvenlik alanında deneyimli ve donanımlı personelin henüz yetişme aşamasında olduğu Türkiye'de bu alanda deneyimli güvenlik uzmanlarını platformda toplayarak, kurumların açıklarını bulan bir girişim olan Bugbounter ise bir yıl içinde 600 güvenlik açığı raporlamış durumda. "Ödül avcılığının güvenilir hackerlar sayesinde denetlenmesi maliyeti ise sorunun ortaya çıkartacağı maliyetin yüzde 1'i" diyor Bugbounter Kurucu Ortağı Arif Gürdenli ve ekliyor; "Onaylanan 200 açıktan kaynaklanabilecek 2 milyon doların üzerinde zararın önüne geçtik."

Bir fidye yazılımı saldırısının ortalama maliyeti 140 bin dolara ulaştı. Küçük ya da büyük her saldırının ekonomi üzerinde faturası büyük. Küresel çapta ekonomiye olan maliyetinin önümüzdeki üç yılda 10,5 trilyon dolara ulaşacağı beklentisine bakılırsa siber suçlar, ülke ve şirketleri bekleyen tehditler listesinde daha uzun süre kalmaya devam edecek.

Bu nedenle hem siber güvenlik sağlayan şirketlerin sayısı hem de bu alana yapılan yatırımlar her geçen gün artmaya devam edecek. Son dönemde savunma sektöründe ön plana çıkan Türk şirketleri için bu alan yeni bir ihracat kalemi olacak gibi görünüyor.

TÜRKIYE'DE ETKIN MÜCADELE

Yayımlanan Ulusal Siber Güvenlik Stratejisi ve Eylem Planı ile Türkiye'nin siber güvenlik çalışmaları 2013'te başladı. Bilgi güvenliği ve siber güvenliği artırıcı projeler geliştirilmesi amacıyla Dijital Dönüşüm Ofisi kurularak bu alanda somut adımlar atıldı. 2017'de Türkiye Siber Güvenlik Kümelenmesi kurularak bu alanda standartların belirlenmesi, siber güvenlik firmalarının sayısını artırma, markalaşma konusunda danışmanlık yapma ve en önemlisi toplumda siber güvenlik bilinci oluşturmak için harekete geçildi. 2020'de atılan yeni adımlar ile fiziki sınırların korunmasının önemi kadar dijital altyapı ve verinin de korunmasının önemi vurgulandı.

ANA HEDEF FİNANSAL GELİR

Covid-19 ile birlikte uzaktan çalışma yöntemi sonucu oltalama ve bilgi sızmasına neden olan siber saldırılar da giderek arttı. '2021 Verizon Veri Sızması' raporunda, saldırıların yüzde 75'inde yetkinin kötüye kullanılması sonucunda veri sızmaları yaşandığı dikkat çekiyor. Ana hedef olan finansal gelir etme trendinde son 3 yıla göre ciddi yükseliş olduğu da görülüyor. EY Siber Güvenlik Sektör Lideri Ateş Sümbül, "Raporun belki de en tedirgin edici istatistiği veri sızma süresi ve tespit edilmesi arasındaki zaman oranı. Veriler günler veya daha kısa zamanda sızarken, şirketlerin sızmayı tespit etmelerinin aylar sürdüğü görünüyor" diyor ve ekliyor; "Yeni güvenlik ortamında sanal uzak masaüstü bilgisayarlar, çoklu doğrulama yöntemleri ve akıllı saldırı tespit sistemleri devreye alınmalı. Olmazsa olmazımız son kullanıcı farkındalığı. Düzenli eğitimler son kullanıcının farkındalığı artırarak aktif bir güvenlik katmanı olmasında büyük rol oynuyor."

METAVERSE MAĞDURIYETLERI OLACAK

2021'de 150 milyar dolarlık bir harcama gerçekleşen siber güvenlik yatırımlarının 2022'de 200 milyar dolar olarak gerçekleşmesi bekleniyor. KPMG Şirket Ortağı Sezgin Topçu, "Türkiye, kripto paralara ilgisi yüksek olan bir nüfusa sahip. Blok zinciri yüksek güvenliğe sahip akıllı kontratlar içerse de henüz bu kontratları denetleyerek yönetme becerisine ve bilgi birikimine sahip değiliz" diyor ve ekliyor: "Bu nedenle 2023'de metaverse, gamify, De-Fi gibi alanlarda mağduriyetleri duymaya başlayacağımızı düşünüyorum. Türkiye seviyesinde IoT, entegre ve otomasyonu artırılmış uygulamalardaki açıklar kullanılarak yapılan ataklar 2022 ve sonrasında ön plana çıkacak."

OLTALAMA VE FIDYE SALDIRILARI ÖN PLANDA

Hem dünyada hem de Türkiye'de en çok kullanılan yöntem oltalama. Genellikle e-posta ile geliyor ve kişilerin kimlik bilgilerinden hesap bilgilerine kadar ele geçirme amacıyla direkt zarara uğratmayı hedefliyor. Aynı zamanda kripto paralarla yaşamın olağan akışı içine yerleşen blok zinciri de oltalama ve fidye virüsleri için yeni mecra oluşturuyor.

Birçok kurumun özellikle pandemiyle ajandasına giren siber güvenlik konusunda ortadaki açığı kapatmak ve stratejiler geliştirmek konusunda danışmanlara ihtiyacı olduğunu belirten CyberArts Kurucusu ve Genel Müdürü Erdem Eriş, "Özellikle uluslararası deneyim sorunları çözmede daha hızlı hareket etmeyi sağlıyor" diyor.