Siber güvenlik: Risk ve ceza

Her beş şirketten dördü birden çok kez siber saldırıya maruz kalıyor.
Siber güvenlik: Risk ve ceza

13 Ekim - GRİ - Exante
GRİ ile birlikte

Çok yakında: GRİ "Yatırımda Fırsat Eşitliği ve Çeşitliliği Sağlamak" 18 Ekim'de Belirsizlikler ve bilgi kirliliğiyle yoğun olarak karşılaştığımız bu dönemde, üstelik tüm yatırım araçlarına erişimimiz de yokken, elimizdekinin değerini korumaya çalışmak herkes için stres yaratabiliyor. Bu stresin farkında olan ve çözüm getirmek isteyen yeni bir isim var: GRİ . Dikkat dikkat: Yatırım stratejisini doğru kurgulamaktan uygun yatırımı nasıl belirleyebileceğinize kadar pek çok konu “Yatırımda Fırsat Eşitliği ve Çeşitliliği Sağlamak” webinar’ında Harvard Business Review ile birlikte GRİ sponsorluğunda konuşulacak. Yatırım okuryazarlığını artırmak ve fırsat eşitliği ilkesiyle herkesi birer yatırımcıya dönüştürmek üzere yola çıkan GRİ , 300’den fazla yatırım fonunu GRİ Fon Pazarı ’nda bir arada sunuyor. Doğru yatırımın kendini tanımaktan geçtiğine inanan GRİ , küresel öğretilerinden yola çıkan bir Davranışsal Yatırımcı Analizi geliştirdi. Geliştirdiği karşılaştırmalı analizle enflasyondan emlak fiyatlarına, dövizden borsa endeksine kadar tek tıkla karşılaştırma yapabilme imkânı tanıyor. GRİ mobil uygulaması ve GRİ Port YouTube kanalında, kendi yatırım yolculuğunuza katkı sağlayacak en güncel konular, en anlaşılır hâlde sunmaya hazırlanıyor. Düzenli olarak paylaşılacak videoları takip etmek de fayda var. Yatırımı çeşitlendirme ve paranızı doğru yönetme tüyolarına kulak vermek için 18 Ekim Salı günü saat 14.00’de bu bağlantıya davetlisiniz. Aynı gün GRİ mobil uygulamasını indirebileceğinizi de hatırlatmak isteriz.

Daha fazlasını öğren

Pareto

Pareto

İş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.

Siber güvenlik, bilgisayar sistemleri ve ağlarının donanım, yazılım ve veri güvenliğinin sağlanması üzerine kurulu bir BT (bilgi teknolojileri) disiplinidir. 

Siber saldırılar internetin emekleme devri diyebileceğimiz 1990'ların sonları ve 2000'lerin başındaki dönemde daha çok korsan oyun ve müzik dosyaları aracılığıyla (Carmageddon 2'nin korsan kopyasından bulaşan Chernobyl virüsü ile Limewire dosya paylaşım programı vasıtasıyla bulaşan çeşitli zararlı yazılımları 30 yaşın üzerindeki okurlarımız hatırlayacaktır) bireysel bilgisayar sistemlerine ve ağlarına zarar veren virüslerle gündeme gelse de, internet üzerinden artan ticaret ve finansal işlem hacmi nedeniyle siber suçluların ilgilerinin istismar edilebilecek finansal verilere toplu olarak ulaşma iştahıyla daha ziyade kurumsal hedeflere yöneldiğini gözlemliyoruz.

Güvenlik tehditleri

En yaygın gerçekleşen siber saldırı türleri zararlı yazılımlar (malware), fidye yazılımları (ransomware), dağıtık hizmet engelleme (DDoS), oltalama (phishing) ve kurumsal hesap ele geçirme (CATO) olarak kayda geçiyor:

  • Malware: Zararlı yazılımların bir sisteme girerek sistemin sağlıklı çalışmasını engelleyen; donanım, yazılım ve veri kayıplarına yol açan yazılımlara verilen genel bir isim. Bazı zararlı yazılımlar şirket bilgisayarlarını çalışmaz hale getirirken casus yazılım olarak bilinenler klavye girdilerini kaydederek hassas ticari ve finansal verileri gözetleyebilir ve şirket dışına çıkarabilir.
  • Ransomware: Son birkaç yıldır gündemde daha fazla yer tutmaya başlayan fidye yazılımları da bir çeşit malware olmakla birlikte, şirket verisini kırılması imkansız bir biçimde şifreleyerek BT sistemlerini işlemez hale getirmeyi hedefler. Bireyselden ziyade organize bir çabanın ürünü olan bu saldırılar, genelde kripto para cinsinden fidye talep eden siber suç örgütleri tarafından tercih ediliyor.
  • DDoS: Bir önceki on yılın popüler saldırılarından olan dağıtık hizmet engelleme, temelde sunucu kapasitesinin çok üzerinde sayıda sorgu göndererek bir kurumun bilgisayar sistemlerini gerçek kişilerin sorgu taleplerine cevap veremez ve erişilmez hâle getirmek için gerçekleştirilir. 
  • Phishing: Diğerlerinin aksine yazılımlardaki güvenlik açıkları yerine sosyal mühendislik yöntemi ile gerçekleştirilme ihtimali daha yüksek bir saldırı türü olan phishing (oltalama), saldırganların genelde sistemde yönetici yetkisi bulunan bir kullanıcıya giriş bilgilerini sızdırması için yanıltıcı bir e-posta atması şeklinde gerçekleşir.
  • CATO:Malware ya da phishing kullanarak bir kurumsal hesabı ele geçiren saldırganlar, kendilerine ait hesaplara para transferi için bankalara talimat verebilir.

Bu siber saldırıların ortak noktası sistemlerdeki güvenlik açıklarından istifade etmek olsa da bu güvenlik açıkları her zaman yazılım kaynaklı olmayabilir. Aslına bakarsanız en etkili yöntemin insani zaaflardan faydalanan sosyal mühendislik saldırıları olduğu söylenebilir.

Küresel risk yönetimi şirketi Marsh'tan konu hakkında görüşüne başvurduğumuz Siber Risk Müdürü Levent Mükan, sosyal mühendislik yöntemlerinin kurumlara yönelik fidye saldırılarının başarıya ulaşabilmesi amacıyla sıklıkla kullanıldığını belirtiyor:

"Sosyal mühendislik saldırıları ileri teknoloji kullanımı gerektirmez, kendisine yöneltilen soru ve sorunlara sağlıklı bir şüphecilikle yaklaşmayan ve/veya bu konuda bilinçlendirilmeyen her çalışan şirketler için risk oluşturur. Buna karşı şirketlerin alabileceği teknik önlemlerin yanı sıra çalışanların bilinçlendirilmesi ve düzenli olarak bu konuda eğitilmesi de çok önemli. Siber güvenlik her an değişebilen bir alan, çünkü biz açıkları kapattıkça saldırganlar başka açıklar aramaya devam ediyor. 

Günümüzde deepfake teknolojisinin gelişimiyle paralel olarak telefonda konuştuğunuzu düşündüğünüz yöneticinizin dahi aslında başka biri olabileceğini unutmamak gerekiyor. Bu nedenle gelecek olağandışı her türlü talebin mutlaka başka bir kanaldan teyit edilmesi ve teyit alınmadan hareket edilmemesi büyük önem arz ediyor."

  • Editörün önerisi: Deepfake teknolojisinin geldiği son noktayı teknoloji yayınımız Quando'da okumak için buraya tıklayın.

IBM'in 2022 yılına ait "Cost of a Data Breach" (Veri İhlallerinin Maliyeti) raporuna göre, şirketlerde meydana gelen veri sızıntılarının vaka başına ortalama maliyeti 4,35 milyon dolar seviyesinde gerçekleşti. Bu bir ransomware saldırısıysa maliyet —fidye hariç!— 4,54 milyon dolara kadar yükseliyor. 

Türkiye özelindeyse 2021 yılında ortalama 1,91 milyon dolar olan bu maliyet 2022 itibarıyla 1,11 milyon dolara gerilemiş gözüküyor. Ancak Türkiye bu oranın düştüğü ender ülkelerden, çünkü rapor düşüşün nedeni olarak kurda oluşan farklılıkları gösteriyor.

IBM'in raporuna göre meydana gelen siber saldırılardan finansal anlamda en büyük zararı sağlık sektöründeki şirketler görüyor. Bunu finans ve ilaç sektörleri takip ediyor. Teknoloji sektörünün 4. sırada yer aldığı listenin en sonundaysa kamu sektörü geliyor. Raporda yer alan şirketlerin %83'üyse birden çok siber saldırıya maruz kaldığını belirtiyor.

İnsan faktörü

Siber güvenlik uzmanları hoşnutsuz çalışanları da potansiyel bir güvenlik tehdidi olarak tanımlıyor. Örneğin, Birleşik Krallık'ın sağlık sistemi NHS'in veri altyapısı hizmetlerini sağlayan Palantir'in, uzun süredir şirkette bulunan çalışanların emekli sandığı kesintilerinde artışa gitme planı çalışanların büyük tepkisiyle karşılanınca firma bu fikri hızla rafa kaldırmak durumunda kalmıştı.

Mükan, insan faktörünün önemini "Her şeyde olduğu gibi tüm siber güvenlik önlemleri de ancak zincirin en zayıf halkası kadar güçlüdür. Siber güvenlik söz konusu olduğunda da en zayıf halka insan olarak kabul ediliyor. Bu nedenle insan hatalarından faydalanmaya yönelik saldırılar her zaman en sık görülecek siber saldırı yöntemlerinden olmaya devam edecek." sözleriyle aktarıyor.

IBM'in raporu da bu çıkarımı doğrular nitelikte. Rapora göre siber güvenlik prosedürlerinde yapay zeka (AI) ve otomasyondan tam anlamıyla faydalanan şirketler, ortalama bir veri sızıntısının maliyetini 3,05 milyon dolar düşürüyor. Yani insan faktörünün ağırlığını azaltmak %65,2 tasarruf sağlıyor. Dahası, AI ve otomasyona başvuran şirketlerin veri sızıntısını teşhis ederek çözüm üretmesi de ortalama 74 gün daha erken gerçekleşiyor: Bu da sızıntının keşfedilmesinin 11 ay yerine yaklaşık 9 ay sürmesi anlamına geliyor. Bu istatistikler AI ve otomasyon kullanımının son 2 yılda neden %20 artış gösterdiğini de açıklamaya yardımcı oluyor.

Marsh'ın Microsoft ile birlikte dünyanın önde gelen 650 siber risk uzmanıyla çalışarak hazırladığı "The state of cyber resilience" (Siber dayanıklılığın durumu) raporuna göre, siber hijyenlerini "mükemmel" olarak tanımlayan şirketlerin oranı yalnızca %3. Şirketlerin 4'te 1'inden daha azı siber risklere karşı güvenliklerinin "çok iyi seviyede" olduğunu belirtirken siber risk liderlerinin yarıya yakını ise şirketlerinin siber güvenliğinin geliştirilmesi gerektiğini belirtiyor.

  • Siber hijyen: Kurumların ve kişilerin kullanıcılarını ya da hesaplarını, cihazlarını, kullandıkları ağları ve verilerini güvende ve sağlıklı (doğru, güncel, hukuka uygun yollarla edinilmiş vb.) tutmak için periyodik olarak yapılan uygulamalardır.

Fidye yazılımları

Gerek Marsh ile Microsoft'un raporuna gerekse diğer küresel ölçekteki firmalarca hazırlanan ve siber güvenliğe değinen raporlara göre en baskın saldırı tipi olarak ransomware (fidye yazılımı) saldırıları öne çıkıyor. Küresel ölçekte düzenlenen siber saldırıların %71'inin bu türde olduğu belirtiliyor. Türkiye'nin de dahil olduğu Avrupa bölgesinde ise bu oran %79. Fidye saldırılarını kişisel veri ihlalleri ve sızılan tedarikçi ya da taşeronlar (üçüncü taraflar) üzerinden yapılan saldırılar takip ediyor.

Levent Mükan, "Benim burada en yoğun fark ettiğim riski üçüncü taraflar oluşturuyor" diyor. Mükan'a göre fidye yazılımlarına dair sektörde yükselen bir bilinç ve oturmakta olan bir yol haritası mevcut, ancak özellikle çok fazla sayıda tedarikçi ile çalışmak durumundaki şirketler açısından bu tedarikçilerin güvenliği dolaylı yoldan hâlâ tehdit oluşturuyor.

Örneğin şirketlere güvenli giriş hizmetleri sunan küresel kimlik doğrulama devi Okta, bu yılın ilk çeyreğinde Lapsus$ siber suç örgütünün hedefi olmuş ve şirketin her 40 müşterisinden biri —toplam 366 kurumsal müşteri— bu saldırıdan etkilenmişti. Saldırının ardından Lapsus$'un Okta'nın sistemlerine siber güvenliğin daha zayıf olduğu müşteri destek hizmetleri sağlayıcısı Sitel vasıtasıyla sızdığı ortaya çıkmıştı. Microsoft ve Roblox gibi şirketler de yine müşteri destek hizmetleri aldıkları üçüncü taraflar nedeniyle benzer saldırılara maruz kalmıştı.

"Pandemi sonrasında pek çok şirket ya hibrit çalışıyor ya da tamamen uzaktan çalışmaya geçmiş durumda. Bunun da ortaya çıkardığı birtakım riskler var. Bunların en önemlisiyse normalde şirket içerisinde kalması —ya da en fazla bir çalışanın evine gidip gelmesi— beklenen cihazların güvenliği. Bu kapsamda cihazların çalınması ya da unutulması veya kaybolması gibi risklere karşı önlemlerde yetersizlikler söz konusu olabiliyor. Örnek olarak bu tip cihazların sabit disklerinin şifrelenmemesi, çalışanın başında durmayacağı cihazı kilitlemeyi unutması gibi durumlar verilebilir."

Kritik sektörler

Öte yandan kritik sektörlerin nispeten güvende olduğunu söylemek mümkün.

"Devlet tarafından düzenleyici-denetleyici kuruluşlarca sıkı bir şekilde denetlenen bankacılık, enerji, elektronik haberleşme gibi sektörler siber saldırılar karşısında daha ciddi önlemler almak durumunda. Bu sıkı denetimin nedeni, basit bir şekilde bu sektörlerin durması halinde ortaya çıkabilecek problemlerin ciddiyeti. Tek bir bankanın mobil uygulamasının çalışamaz hale gelmesi sadece müşterilerini değil, o müşterilerin iş yapacağı diğer kişileri, ailelerini, kısaca çok daha geniş bir kümeyi etkileyebiliyor. Bir enerji santralinin veya elektronik haberleşme operatörlerinden birinin baktığı tek bir bölgenin tamamen kapandığını düşünün."

Mükan, bu tip kritik sektörlerin sadece verdikleri hizmetin değil, tuttukları verinin de çok kıymetli olduğunu belirtiyor. Bu nedenle bu veriler özelinde de denetim ve düzenlemeler yapılıyor.

"Şirketlere ait verilerin tiplerine göre (sağlık verisi, finans verisi, bankacılık verisi, kişisel veri gibi) farklı mevzuata tabi olma durumu söz konusu. Örneğin bir bankadan bahsediyorsak devreye BDDK'nin düzenlemeleri de giriyor. Bu açıdan şirketlerin verilerinin birden fazla mevzuat ile bağlantılı olabildiği söylenebilir. Şirketler bu tip veriler üzerinde kanun koyucunun da isteklerini göz önünde bulundurarak ekstra önlemler almak durumunda. Pek çok firma bu tip mevzuatın emrettiği kapsamda ve periyotta sızma testleri gerçekleştirerek zafiyetlerini saldırganlardan önce tespit etmeye ve kapatmaya dikkat ediyor. Yine pek çok firmanın sadece mevzuattaki önlemlerle yetinmediğini ve ekstra önlemlere başvurduğunu belirtmekte yarar var.

Bir sektörün tuttuğu verinin kıymeti, saldırı yoğunluğunu da belirleyen en önemli faktör. Saldırıların hatrı sayılır kısmının çalınan verileri dark web'de satmak amacıyla gerçekleştirildiğini unutmamak gerekiyor."

Denetim ve cezalar

Türkiye’de veri güvenliğinden sorumlu denetçi kuruluş olan Kişisel Verileri Koruma Kurulu (KVKK), veri sızıntısı yaşanması halinde bunun "en kısa sürede" kurula bildirilmesini şart koşuyor. Kurum, Türkiye'nin önde gelen yemek sipariş uygulamalarından Yemeksepeti'nin uğradığı siber saldırının ardından gerçekleştirdiği soruşturma sonucunda şirketin yeterli önlem almadığı ve saldırı hakkında yeterince hızlı bilgilendirme yapmadığı nedeniyle firmayı 1,9 milyon TL para cezasına çarptırmıştı.

Öte yandan ülkemizde "taksi çağırma uygulaması" olarak tanınan Uber'in eski güvenlik şefi, 2016 yılında yaşanan ve takip eden yıl içinde kovulmasına neden olan büyük bir veri sızıntısını Federal Ticaret Komisyonu'ndan (FTC) sakladığı ve hacker'lara "sus payı" olarak 100 bin dolar ödediği gerekçesiyle 8 yıla kadar hapis istemiyle yargılandığı davada geçtiğimiz hafta suçlu bulunmuştu.

Sektörün durumu

Ortalama siber saldırı maliyetlerinin rekor kırdığı 2022 aynı zamanda siber güvenlik endüstrisindeki halka açık şirketlerin "maliyetleri kısmaya" karar verdiği yıl olarak da kayıtlara geçiyor. Teknoloji şirketlerinin hisselerinde yaşanan düşüş ve piyasalardaki kötüye gidişin etkisiyle halka arzların durmuş olması sektörü derinden etkilemişe benziyor.

Daha geçtiğimiz yıl 8,3 milyar dolar değerleme üzerinden 1,3 milyar dolar yatırım alan Lacework işgücünün %20'sini, yine geçtiğimiz yıl 325 milyon dolar yatırım alan Cybereason ise bin kişilik işgücünün %10'unu işten çıkaracağını açıklamıştı. İçerik üreticilere yönelik bir abonelik platformu olan ve aylık ödemeler için üyelerin kredi kartlarını saklayan Patreon ise 5 kişilik güvenlik ekibinin tamamını işten çıkararak adından söz ettirmişti. Fidye yazılım saldırılarına karşı makine öğrenimi kullanarak önlem alan Deep Instinct ise yıllık düzenli gelirinin 3 katına çıkmasına rağmen satış ekibinin %10 küçülmeye gideceğini duyurdu.

Yakın zamanda gerçekleşen bir diğer büyük işten çıkarma ise geçtiğimiz yıl 1,2 milyar dolar değerlemeyle halka açılan IronNet'te gerçekleşti. ABD'de itirafçı Edward Snowden'in sızdırdığı belgeler sonucunda yasadışı yollardan toplu olarak gözetleme yaptığı ortaya çıkan Ulusal Güvenlik Dairesi'nin (NSA) eski direktörü tarafından kurulan IronNet, bu yıl nakit akışının yetersizliğini gerekçe göstererek her üç çalışanından birinin işine son vereceğini duyurdu.

Öte yandan borsaya açılmamış olan Snyk, Tanium ve Illumio gibi şirketlerse işten çıkarma planlarının bulunmadığını belirtiyor.

400'den fazla şirketin faaliyet gösterdiği siber güvenlik sektöründe işten çıkarmalar yıl ortası itibarıyla dünya genelinde 80 bin çalışanı etkilemiş durumda

Hikâyeyi paylaşmak için:

Kaydet

Okuma listesine ekle

Paylaş

Pareto

Pareto

İş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.

NEREDE YAYIMLANDI?

ParetoPareto

BÜLTEN SAYISI

PREMIUM'A ÖZEL

🧑‍💼 Siber güvenlikte en zayıf halka: İnsan

IBM'in araştırmasına katılan şirketlerin %83'ü birden çok siber saldırıya maruz kaldığını belirtiyor. Peki hangi sektörler en çok zarar görüyor? Siber saldırılardan korunmak mümkün mü? En sık gözlemlenen siber saldırı türleri hangileri?

14 Eki 2022

GRİ ile birlikte
Leeroy Agency/Pixabay

YAZARLAR

Atilla Büyükurvay

Haber Koordinatörü

Pareto

İş dünyasından içgörü, sektör analizleri ve gelecek öngörüleri her pazartesi ve perşembe e-posta kutunuzda.

İLGİLİ OKUMALAR

ParetoPareto

HİKAYE

Anti-AI markaların yükselişi: Yapay zeka parmaklarınızın arasındaki kumu üretebilir mi?

Polaroid, üst üste ikinci yaz kampanyasını da yapay zeka karşıtı hissiyata ayırdı. Markanın sahillerdeki billboardlara yerleştirdiği reklamları "Veri merkezleri hepsini içip bitirmeden gidip denize atla" diyor; "yapay zekanın parmaklarımızın arasındaki kumu üretip üretemeyeceğini" sorguluyordu. Peki teknoloji liderlerinin kendilerini "tastewashing" ile yeniden paketlemeye çalıştığı bir dönemde markaların yapay zekayla mesafesi nasıl inandırıcı olur?

Deniz Kaynak

·

15 Tem 2026

Anti-AI markaların yükselişi: Yapay zeka parmaklarınızın arasındaki kumu üretebilir mi?
ParetoPareto

HİKAYE

Üretimi desteklemeden ek gümrük vergisi getirmek ekonomiyi canlandırır mı?

Ticaret Bakanlığı, yerli üretimi desteklemek ve cari açığı azaltmak amacıyla pek çok ithal üründe ek gümrük vergisi oranlarını artırdı. Her ne kadar bu düzenlemeler iç pazarda Çin ürünlerinin oluşturduğu haksız rekabetten kaynaklanan dezavantajları gidermeye yönelik olsa da, tüketiciye etkisinin zam olarak yansıyacağı beklentisi hâkim. Kur baskısıyla ithalatın üretmeye göre daha avantajlı olduğu Türkiye’de alınan bu kararların enflasyonla mücadeleye, cari açığın düşürülmesine ve yerli üretime etkileri ne olacak?

Pelin Cengiz

·

15 Tem 2026

Üretimi desteklemeden ek gümrük vergisi getirmek ekonomiyi canlandırır mı?
ParetoPareto

HİKAYE

Burhan Karaçam ile AI çağında liderlik: Çıraklığı yaşamayan gençler nasıl usta olacak?

Türkiye’de kurumsal dönüşüm yönetimi denince akla ilk gelen isimlerden biri olan Burhan Karaçam’ın "Değişim, İnsan, CEO" kitabı, yakın zamanda okuruyla buluştu. Yeni kitabı vesilesiyle Aposto editörleriyle biraraya gelen Karaçam, yöneticilik serüveninden çıkardığı en önemli dersleri ve geleceğin yöneticilerine tavsiyelerini paylaştı.

Doğa Yurduneri

·

14 Tem 2026

Burhan Karaçam ile AI çağında liderlik: Çıraklığı yaşamayan gençler nasıl usta olacak?
ParetoPareto

HİKAYE

5 kişilik ekip, 50 kişilik iş: AI çağında girişim kurmak

Yıllarca bir girişimin ciddiyetini ölçmenin en kestirme yolu ekip büyüklüğüydü. "Kaç kişisiniz?" sorusu aslında "Ne kadar gerçeksiniz?" demekti. Yapay zeka, bu denklemi sessizce bozdu. Bugün en hızlı büyüyen şirketlerin bazıları, bir toplantı odasına sığacak ekiplerle yönetiliyor. Peki küçük bir ekip nasıl büyük iş çıkarıyor ve bu modelin görünmeyen bedeli ne?

Hüseyin Kaplan

·

14 Tem 2026

5 kişilik ekip, 50 kişilik iş: AI çağında girişim kurmak
ParetoPareto

HİKAYE

Şirketlerin kaderinde lider etkisi: Doğru soruları sormak neden önemli?

Bugüne kadar liderlikle ilgili binlerce kitap ve makale yazıldı; pek çok farklı liderlik tanımı yapıldı. Yapılan onca tanımın içinde sanırım çoğunluğun hemfikir olduğu bir açı var: Kurumsal hayatta liderlik “insanlardan en yüksek verimi alabilmekle” ilgili. Bu verimlilikte doğru sorulara odaklanmanın payı da büyük.

Şirketlerin kaderinde lider etkisi: Doğru soruları sormak neden önemli?