Siber Güvenlik: Her CEO ve CFO'nun Bilmesi Gerekenler

Yönetici Özeti

giriş

[Siber güvenliği] daha çok yollarda ve arabalarda güvenlik ve güvenlik olarak düşünün. Araba son 30 yılda gerçekten değişmedi, ancak çok fazla güvenlik yerleşik ve hayatınızı kurtarana kadar seksi değil. Gizli parçalarınız var – hava yastıkları – ve emniyet kemeri gibi güvende olmanızı hatırlatacak parçalar var… Bazıları iyi davranış ve iyi tavırla ilgili, bazıları fiziksel güvenlikle ilgili, size bir risk olduğunu hatırlatmak için ve bazıları sizi kurtarmak için pişirilir.

– Sian John, Symantec Kıdemli Siber Güvenlik Stratejisti

Kabul edeceğiz. Siber güvenlik seksi değil. Ancak günümüzün dijital çağında siber güvenlik, hem büyük şirketler hem de küçük girişimler için giderek daha kritik hale geldi. Bugün, “her şirket bir teknoloji şirketi haline geldiğinden” bahisler her zamankinden daha yüksek. Teknoloji, bir şirketin operasyonlarını desteklemekten daha fazlası haline geldi ve çoğu durumda, ağlarında yaşayan varlıklar onların temel operasyonları. Bu, mobil kullanımın ve nesnelerin internetinin artmasının yanı sıra büyüyen siber suçlular ekosistemi nedeniyle bilgisayar korsanlığının yaygınlaşmasıyla daha da artıyor.

Bu makale siber suçluların türlerini, siber suç taktiklerini ve katkıda bulunan faktörleri özetlemektedir. Parça ayrıca şirketlerin kendilerini korumak için kullanabilecekleri somut çözümleri de içeriyor. Çözümler hem teknolojik korumaları hem de insan bileşenlerini içerir. Örneğin, liderlik, siber güvenliği yalnızca bir “BT sorunu” olarak değil, stratejik bir iş sorunu olarak kabul etmelidir. Ayrıca, çalışan eğitimi veya kullanıcılar için iki faktörlü kimlik doğrulama gibi en etkili çözümlerden bazıları oldukça basittir.

Siber Suç Nedir?

Basitçe söylemek gerekirse, siber suç, bir tür bilgisayar veya siber yönü olan bir suçtur. Çeşitli biçimlerde ve farklı motive edici faktörlere sahip bireylerden veya gruplardan şekil alabilir. Siber tehditler, temelde asimetrik risklerdir, çünkü küçük birey grupları orantısız olarak büyük miktarlarda hasara neden olabilir.

Siber Suçluların Kategorileri

1. Mali güdümlü organize suç grupları: Bu grupların çoğu Doğu Avrupa'da bulunuyor

2. Ulus-devlet aktörleri: Hassas bilgileri çalmak ve düşmanların yeteneklerini bozmak için hükümetleri için doğrudan veya dolaylı olarak çalışan insanlar. Genellikle en gelişmiş siber saldırganlardır ve %30'u Çin menşelidir.

3. Aktivist gruplar veya “hacktivistler”: Genellikle parayı çalmak için dışarı çıkmazlar. Dinlerini, politikalarını veya amaçlarını tanıtmak için dışarıdalar; itibarları etkilemek veya müşterileri etkilemek için.

4. İçeriden öğrenenler: Bunlar, bir şirket içinde faaliyet gösteren “hayal kırıklığına uğramış, şantaj yapılan ve hatta aşırı yardımsever” çalışanlardır. Ancak, kasıtlı olarak siber suç faaliyetlerinde bulunamazlar; bazıları, neden olabileceği zararı fark etmeden basitçe bir kişi listesi veya tasarım belgesi alabilir.

Bir siber suçlunun ortalama yaşı 35'tir ve suç korsanlarının %80'i organize suçla bağlantılıdır. Kısacası insanlar bunu meslek olarak seçiyor.

Siber Suç Taktikleri

Siber suçlular, suçlarını işlemek için hem statik hem de dinamik yöntemler kullanır. Hadi bakalım.

Dağıtılmış Hizmet Reddi (DDoS)

Bir DDoS saldırısı, bir ağın hizmetini bozmaya çalışır. Saldırganlar, ağ aşırı yüklenene ve çalışmayı durdurana kadar ağ üzerinden yüksek hacimli veri veya trafik gönderir. Kurbanı akan gelen trafik, potansiyel olarak yüz binlerce farklı kaynaktan geliyor. Bu, tek bir IP adresini engelleyerek saldırıyı durdurmayı imkansız hale getirir ve meşru trafiği saldırı trafiğinden ayırt etmeyi zorlaştırır.

E-dolandırıcılık

Genellikle güvenilir bir üçüncü taraftan veri talebi gibi görünen kimlik avı saldırıları e-posta yoluyla gönderilir ve kullanıcılardan bir bağlantıya tıklayıp kişisel verilerini girmelerini ister. Genellikle psikolojik manipülasyon, aciliyet veya korku uyandırma, şüphelenmeyen bireyleri gizli bilgileri teslim etmeleri için kandırmayı içerir.

Birkaç ilgili faktör var. İlk olarak, kimlik avı e-postaları karmaşık hale geldi ve çoğu zaman meşru bilgi talepleri gibi görünüyor. İkincisi, kimlik avı teknolojisi, isteğe bağlı kimlik avı hizmetleri ve kullanıma hazır kimlik avı kitleri de dahil olmak üzere artık siber suçlulara lisanslanıyor. Belki de en endişe verici nokta, karanlık web hizmetlerinin siber suçluların kampanyalarını ve becerilerini geliştirmelerini sağlamasıdır. Aslında, kimlik avı e-postalarının tıklanma olasılığı, normal tüketici pazarlama e-postalarından altı kat daha fazladır.

kötü amaçlı yazılım

“Kötü amaçlı yazılım”ın kısaltması olan kötü amaçlı yazılım, bir bilgisayara erişmek veya bilgisayara zarar vermek için tasarlanmıştır. Kötü amaçlı yazılım, Truva atları, virüsler ve solucanlar dahil olmak üzere bir dizi siber tehdit için bir şemsiye terimdir. Genellikle e-posta ekleri, yazılım indirmeleri veya işletim sistemi güvenlik açıkları yoluyla bir sisteme tanıtılır.

Dahili Ayrıcalığın Kötüye Kullanımı

WikiLeaks'e bilgi sızdıran kötü niyetli kişiler tüm basını ve şöhreti alırken, daha yaygın bir senaryo, ortalama ancak fırsatçı bir çalışanın veya son kullanıcının hattın aşağısında bir yerde nakit para kazanma umuduyla gizli verileri gizlice almasıdır (zamanın %60'ı). . Bazen çalışanlar biraz fazla meraklı oluyor ve biraz gözetliyor (%17). Kişisel bilgiler ve tıbbi kayıtlar (%71), kimlik hırsızlığı veya vergi beyannamesi dolandırıcılığı gibi mali suçların hedefindedir, ancak bazen bunlar sadece dedikodu içindir.

Fiziksel Kart Sıyırıcıları

Bu saldırılar, bir ödeme kartından (örneğin, ATM'ler, gaz pompaları, POS terminalleri) manyetik şerit verilerini okuyan bir varlığa fiziksel olarak yerleştirmeyi içerir. Göreceli olarak yüksek verim potansiyeli ile böyle bir saldırıyı gerçekleştirmek nispeten hızlı ve kolaydır - ve bu nedenle popüler bir eylem türüdür (% 8).

Siber Güvenlik Sonuçları ve Maliyetleri

Firmalara Maliyetler

Üç yıl önce Wall Street Journal, ABD'deki siber suçların maliyetinin 100 milyar dolar olduğunu tahmin etmişti. Diğer raporlar, rakamın bundan on kat daha fazla olduğunu tahmin ediyor. 2017'de, bir veri ihlalinin ortalama maliyeti, 2014'teki 5,85 ABD Doları'na kıyasla 7,35 milyon ABD Dolarıdır. Maliyetler, tespit, sınırlama ve kurtarmadan iş kesintisi, gelir kaybı ve ekipman hasarına kadar her şeyi içerir. Parasal kaygıların ötesinde, bir siber ihlal, bir şirketin itibarı veya müşteri itibarı gibi maddi olmayan varlıkları da mahvedebilir.

İlginç bir şekilde, en yüksek düzeyde iş inovasyonuna sahip şirketler genellikle daha maliyetli saldırılara sahiptir. Bir "iş inovasyonu", bir satın alma veya elden çıkarmadan yeni bir coğrafi pazara girişe kadar her şey olabilir. Bir şirketin satın alınması veya elden çıkarılmasının siber suçların maliyetini %20 oranında artırdığı, önemli bir yeni uygulamanın başlatılmasının ise maliyeti %18 oranında artırdığı gösterildi.

Finansal hizmet firmaları için, bir güvenlik ihlalinden sonraki maliyetler, iş kesintisi, bilgi kaybı, gelir kaybı ve diğer maliyetlere bağlanabilir.

Finansal Hizmetler Sektöründe Siber Güvenlik Önem Arıyor

Talihsiz gerçek şu ki, hiçbir sektör bundan muaf olmasa da siber güvenlik sorunları özellikle finansal hizmetler için telaffuz ediliyor. 2017 Verizon Veri İhlali Araştırmaları Raporuna göre, ihlallerin %24'ü finansal kuruluşları (en iyi sektör) etkiledi ve bunu sağlık ve kamu sektörü izledi. Karşılaştırma için, 2012 yılında sanayi, savunma ve kamu hizmetleri ve enerji sektörlerinden sonra üçüncü sırada yer aldı. Sıklığın ötesinde, firmaları finanse etme maliyeti, 2013'te ortalama 16,5 milyon dolar kaybederek tüm sektörlerin en yükseğidir.

Finansal hizmetlerde, en yaygın siber ihlal türü DDoS saldırılarını içeriyordu. Ve tüm DDoS saldırılarında olduğu gibi en ağır darbeyi finans sektörü aldı.

Ünlü Finansal Hizmetler Hacklemeleri

Altı Amerikan Bankasına Saldırı (2012)

2012'de, altı büyük Amerikan bankası (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo ve PNC), Orta Doğu bağlarını iddia eden bir grup tarafından bir bilgisayar saldırısı dalgasının hedefiydi. Saldırılar internet kesintilerine ve internet bankacılığında gecikmelere neden oldu ve bu da müşterilerin hesaplarına erişemeyen veya online faturalarını ödeyemeyen hayal kırıklığına uğramasına neden oldu.

Bunlar, bilgisayar korsanlarının banka web sitelerini kapatma noktasına kadar boğduğu DDoS saldırılarıydı. Saldırılarda ayrıca suçluların emrini veren virüslü bilgisayar ağları olan botnetler de kullanıldı. Bazen botnet'ler, bir "ana botnet"in komutlarına uyan "zombi bilgisayarlar" olarak adlandırılır. Ne yazık ki, bunlar karaborsa yoluyla kiralanabilir veya suçlular veya hükümetler tarafından ödünç verilebilir.

JPMorgan (2014)

2014 yazında, bir Amerikan bankasının bugüne kadarki en büyük güvenlik ihlalinde, yaklaşık 83 milyon hesabın adları, adresleri, telefon numaraları ve e-posta adresleri bilgisayar korsanları tarafından ele geçirildi. İronik olarak, JPMorgan her yıl bilgisayar güvenliğine yaklaşık 250 milyon dolar harcıyor. 2014 ihlali, karmaşık bir planın sonucu değildi. Saldırı, karaborsada milyonlarca satan yeni yazılım hatası olan sıfır gün saldırısı kullanmadı. Ayrıca, Kuzey Kore'deki bilgisayar korsanlarının Sony'ye yönelik siber saldırılarında kullandıkları kötü amaçlı yazılımları da kullanmadı. Aksine, sorunun kaynağı basitti: Banka, kullanıcılar verilere veya bir uygulamaya erişmek için oturum açtığında ek bir güvenlik katmanı olan iki faktörlü kimlik doğrulamayı kullanmadı. JPMorgan'ın güvenlik ekibi, ağ sunucularından birini ikili parola şemasıyla yükseltmeyi ihmal etti - hepsi bu kadar.

SWIFT Ödeme Sistemi (2016)

Şubat 2016'da, sınır ötesi transferleri kolaylaştıran 11.000'den fazla bankadan oluşan uluslararası bir konsorsiyum olan Dünya Çapında Bankalararası Finansal Telekomünikasyon Derneği (SWIFT) saldırıya uğradı. SWIFT ağında bir kullanıcı olan Bangladeş Bankası, 81 milyon dolar tutarında saldırıya uğradı. New York Federal Rezerv Bankası, 850 milyon dolar daha transfer etmiş olabilecek diğer 30 işlemi bloke etmeden önce sadece küçük bir kısmı geri alındı.

Bu saldırılar, ödeme ağlarının ancak en zayıf halkaları kadar güvenilir olduğunu gösteriyor. Sektördeki birçok kişi saldırıya şaşırmadı. Bir siber güvenlik şirketi olan Gotham Digital Science'ın kurucu ortağı Justin Clarke-Salt'a göre, saldırılar sistemdeki bir zayıflıktan yararlandı: Her kurum SWIFT'e erişimi aynı şekilde korumaz. Ne de olsa, “Saldırganlar genellikle saldırması daha kolay olan insanlara saldırır… Kamuya açıklanmış olan bildiğimiz kadarıyla, daha çok daha küçük finansal kurumları hedef aldılar. Bunun nedeni muhtemelen daha az karmaşık kontrollere sahip olmalarıdır.”

Küçük veya Büyük Firmalar Daha Savunmasız mı?

Haberler genellikle en büyük şirketlere (Target, Yahoo, Home Depot, Sony) yönelik saldırıları kapsasa da, küçük şirketler de bağışık değildir . 2016 State of SMB Siber Güvenlik Raporuna göre, son 12 ayda bilgisayar korsanları Amerika Birleşik Devletleri'ndeki tüm küçük işletmelerin yarısını ihlal etti.

Bir yandan, bazıları daha küçük şirketlerin bir siber saldırıdan kurtulamayabileceğini savunuyor**. **Symantec'te kıdemli siber güvenlik stratejisti Sian John'a göre, bir güvenlik sorunu yaşayan şirketler, normale dönmeden önceki yıl şirketler için "büyük bir itibar ve mali darbe" yaşıyor. “Daha küçük bir şirketseniz, bu düşüşten kurtulabilir misiniz?” Diye sordu.

Öte yandan, diğerleri küçük şirketlerin avantajlı olduğunu savunuyor: “Büyük bir şirket küçük bir şirketten daha savunmasızdır: Büyük veri havuzları vardır ve yüzlerce insanın erişmesi gerekir… PricewaterhouseCoopers ortağı Richard Horne, ölçek, iş süreçleri konusunda akıllı olmak ve bu iş süreçlerinin nerede istismar edilebileceğini anlamak, büyük bir kuruluştan daha kolaydır” dedi.

Siber Güvenlik Zorlukları

Siber Suçların Artmasına Katkıda Bulunan Faktörler

“Kurumsal” Bir Siber Suçlu Cinsi Ortaya Çıktı

Siber suçlular artık saldırılarının verimliliğini artırmak için kurumsal en iyi uygulamaları benimsiyor. En girişimci suçlulardan bazıları, bilgisayar korsanlığı araçlarını daha az karmaşık suçlulara satıyor veya lisanslıyor. Örneğin, profesyonel suçlular, hızlı bir şekilde metalaştırıldıkları açık pazarda suçlulara sıfır gün teknolojisi satıyorlar. Çeteler ayrıca fidye yazılımlarını bir hizmet olarak sunar, kurban parasal talepleri karşılayana kadar bilgisayar dosyalarını dondurur ve ardından lisans sağlamak için bir kesinti yapar.

Artık siber suçluların yararlanabileceği eksiksiz bir kaynak ekosistemi var. “Gelişmiş suç saldırı grupları artık ulus devlet saldırganlarının beceri setlerini yansıtıyor. Kapsamlı kaynaklara ve normal çalışma saatlerini sürdürecek, hatta hafta sonları ve tatil günlerinde izin alacak kadar verimlilikle çalışan yüksek vasıflı bir teknik kadroya sahipler… Düşük seviyeli suçlu saldırganların, işlerinin etkisini artırmak için çağrı merkezi operasyonları oluşturduğunu bile görüyoruz. dolandırıcılık," dedi Symantec direktörü Kevin Haley.

Üçüncü Taraf Satıcıların Güvenliği

Üçüncü bir taraf saldırıya uğrarsa, şirketiniz iş verilerini kaybetme veya çalışan bilgilerini tehlikeye atma riskiyle karşı karşıya kalır. Örneğin, 40 milyon müşteri hesabını tehlikeye atan 2013 Hedef veri ihlali, üçüncü taraf bir ısıtma ve klima satıcısından ağ kimlik bilgilerinin çalınmasının sonucuydu. 2013 yılında yapılan bir araştırma, o yılın veri ihlali soruşturmalarının %63'ünün bir üçüncü taraf bileşeniyle bağlantılı olduğunu gösterdi.

Müşteriler Tarafından Mobil Teknolojilerin Artan Kullanımı

Artan sayıda çevrimiçi hedef nedeniyle, bilgisayar korsanlığı her zamankinden daha kolay hale geldi. Tüketici bankacılığında mobil cihazların ve uygulamaların kullanımı patladı. Bain & Company'nin 2014 yılında yaptığı bir araştırmaya göre, mobil, 22 ülkenin 13'ünde en çok kullanılan bankacılık kanalı ve küresel olarak tüm etkileşimlerin %30'unu oluşturuyor. Ayrıca tüketiciler mobil ödeme sistemlerini benimsemiştir. Fintech girişimleriyle rekabet eden bankalar için müşteri rahatlığı önemli olmaya devam edecek. Potansiyel dolandırıcılık kayıplarını, daha uygunsuz bir kullanıcı deneyiminden kaynaklanan kayıplarla tartmak zorunda kalabilirler. Bazı kurumlar, bu ek güvenlik riskleriyle yüzleşmek için gelişmiş kimlik doğrulaması kullanıyor ve müşterilerin ses ve yüz tanıma yoluyla hesaplarına erişmesine olanak tanıyor.

Nesnelerin İnterneti'nin (IoT) Yayılması

Nesnelerin İnterneti (IoT), aletler, araçlar ve binalar dahil olmak üzere çok çeşitli cihazların birbirine bağlanabileceği fikrine adanmıştır. Örneğin, alarmınız sabah 7:00'de çalarsa, kahve makinenizi sizin için kahve yapmaya başlaması için otomatik olarak bilgilendirebilir. IoT, makineler arası iletişim etrafında döner; mobil, sanal ve anlık bağlantılar sunuyor. Bugün kullanımda olan bir milyardan fazla IoT cihazı var ve bu sayının 2020 yılına kadar 50 milyarın üzerinde olması bekleniyor. Sorun, daha ucuz akıllı cihazların çoğunun genellikle uygun güvenlik altyapısından yoksun olmasıdır. Her teknolojinin yüksek riski olduğunda, bir araya geldiğinde risk katlanarak büyür.

Siber Güvenlik Farkındalığı ve Adrese Hazır Olma Durumu

Siber güvenlik ve tehditleri ile ilgili manşetlere rağmen, şirketlerin farkındalığı ile bunu ele almaya hazır olmaları arasında bir boşluk var. Geçen yıl, bilgisayar korsanları ABD'deki tüm küçük işletmelerin yarısını ihlal etti. Ponemon Enstitüsü'nün 2013 anketinde, yanıt verenlerin %75'i resmi bir siber güvenlik olayı müdahale planına sahip olmadıklarını belirtti. Ankete katılanların %66'sı, kuruluşlarının bir saldırıdan kurtulma yeteneğinden emin değildi. Ayrıca, siber güvenlik firması Manta'nın 2017 yılında yaptığı bir anket, her üç küçük işletmeden birinin kendilerini korumak için gerekli araçlara sahip olmadığını belirtti.

Taktiksel olarak konuşursak, finansal hizmetler şirketlerinin saldırıları tespit etme ve bunlara yanıt verme konusunda geliştirmesi gereken çok şey var. 2013 yılında FS şirketlerine yönelik başlatılan saldırıların %88'i bir günden kısa sürede başarılı olmuştur. Ancak bunların sadece %21'i bir gün içinde keşfediliyor ve keşif sonrası dönemde sadece %40'ı bir günlük zaman diliminde restore ediliyor.

Siber Güvenlik Çözümleri Çok Yönlü Bir Yaklaşım Gerektirir

Siber güvenlik için "herkese uyan tek bir çözüm" yoktur. Bununla birlikte, genel olarak çözümler, hem gelişmiş teknolojiyi hem de çalışan eğitimi ve yönetim kurulu odasında önceliklendirme gibi daha “insan” bileşenlerini içermelidir.

Eyleme Geçirilebilir Tehdit İstihbaratı

Gerçek Zamanlı Zeka:

Gerçek zamanlı istihbarat, siber saldırıları önlemek ve kontrol altına almak için güçlü bir araçtır. Bir saldırıyı tanımlamak ne kadar uzun sürerse, sonuçları o kadar maliyetli olur. Ponemon Enstitüsü tarafından 2013 yılında yapılan bir araştırma, BT yöneticilerinin, bir güvenlik ihlalinin 10 dakikadan daha kısa bir süre önceden bildirilmesinin tehdidi devre dışı bırakmak için yeterli olduğuna inandığını ortaya koydu. Sadece 60 saniyelik bir uzlaşma bildirimi ile ortaya çıkan maliyetler %40 oranında azaltılabilir.

BAE Systems siber hizmetler direktörü James Hatch'e göre, "[Bir siber saldırıyı] erken tespit etmek anahtardır... [bilgisayarlarınızın] %10'unu kaybetmekle %50'sini kaybetmek arasındaki fark bu olabilir." Ne yazık ki, gerçekte, şirketlerin kötü niyetli bir saldırıyı keşfetmesi ortalama olarak yedi aydan fazla sürüyor.

Tamamlayıcı Eylemler:

Şirketler kendilerini korumak için birkaç küçük, taktik adım atabilir. Bunlar şunları içerir:

• Çok katmanlı bir savunma stratejisi uygulamak. Tüm kuruluşunuzu, tüm uç noktalarınızı, mobil cihazlarınızı, uygulamalarınızı ve verilerinizi kapsadığından emin olun. Mümkünse, ağ ve veri erişimi için şifreleme ve iki veya üç faktörlü kimlik doğrulama kullanın.

• Üçüncü taraf satıcı değerlendirmesi gerçekleştirme veya üçüncü taraflarla hizmet düzeyinde anlaşmalar oluşturma: Başkalarının kimlere ve neye erişebileceğine ilişkin bir “en az ayrıcalık” politikası uygulayın. Üçüncü taraflarla kimlik bilgilerinin kullanımını gözden geçirmeyi alışkanlık haline getirin. Üçüncü tarafların şirketinizin güvenlik politikalarına uymasını sözleşmeye bağlı olarak zorunlu kılan bir hizmet düzeyi sözleşmesi (SLA) ile bunu bir adım daha ileri götürebilirsiniz. SLA'nız, şirketinize üçüncü tarafın uyumluluğunu denetleme hakkını vermelidir.

• Sürekli yedeklenen veriler. Bu, kurban parasal talepleri karşılayana kadar bilgisayar dosyalarını donduran fidye yazılımlarına karşı korunmaya yardımcı olabilir. Verilerinize erişim için ödeme yapmanız gerekmeyeceğinden, bilgisayarlarınız veya sunucularınız kilitlenirse, verilerin yedeklenmesi kritik olabilir.

• Sık sık yama. Yazılım yaması, mevcut yazılımdaki bir kod güncellemesidir. Bunlar genellikle yazılımın tam sürümleri arasındaki geçici düzeltmelerdir. Yama bir yazılım hatasını düzeltebilir, yeni güvenlik açığını giderebilir, yazılım kararlılığı sorunlarını çözebilir veya yeni sürücüler yükleyebilir.

• Beyaz listeye alma yazılım uygulamaları. Uygulamaların beyaz listeye alınması, bilgisayarların onaylanmamış yazılımları yüklemesini engeller. Bu, yöneticilerin çok daha fazla kontrole sahip olmasını sağlar.

Anti-hacker Sigortası

Ortaya çıkan bir eğilim, bilgisayar korsanlarına karşı sigorta veya siber sigortadır. Kapsamı sağlayıcılar arasında değişiklik gösterir, ancak genellikle güvenlik ihlallerine ve kayıplara karşı koruma sağlar. Sigortacılar genellikle kapasitelerini müşteri başına 5 milyon ila 100 milyon dolar arasında sınırlar. Ekim 2016 itibariyle, ABD işletmelerinin yalnızca %29'u siber sigorta satın almıştır. Bununla birlikte, genel siber sigorta pazarının bugün 3,25 milyar dolardan 2025 yılına kadar 20 milyar dolara çıkacağı tahmin ediliyor. Sigortacılar, primlerin önümüzdeki birkaç yıl içinde üç katına çıkacağını tahmin ederek yükselişte.

Bir kuruluşun ne kadar siber sigortaya ihtiyacı olduğunu belirlemesi için siber riskini ölçmesi gerekir. Varlıklarının bir siber saldırıdan nasıl etkilendiğini ve bunlara nasıl öncelik verileceğini anlamalıdır.

Hata Ödül Programları

Sektördeki bir başka yeni fikir de, bir kuruluşun güvenlik kusurlarını bildirmesi için dışarıdakilere (“dost bilgisayar korsanları”) ödeme yaptığı hata ödül programı adı verilen bir şeydir. Google ve Dropbox'tan AT&T ve LinkedIn'e kadar uzanan şirketler bu uygulamayı zaten benimsemiştir.

İnsan Bileşenini Unutma

• Bir "BT sorunu" stratejik bir iş sorunu haline gelir. Pek çok CEO ve CFO için, düşmanı anlamadıkları için bilgisayar korsanlığı sinir bozucu olabilir. Risk Yönetimi Enstitüsü başkanı Richard Anderson'a göre, "Hala daha büyük şirketlerin üzerinde oturan ve bunu bir iş meselesi olmaktan çok ineklerin ilgilendiği bir şey olarak gören birçok insan var." Ancak, istatistiklerin gösterdiği gibi, bu gerçeklerden daha fazla olamazdı.

  Bir Deloitte teknik incelemesi, özel bir siber tehdit yönetimi ekibi oluşturmayı ve “siber risk bilincine sahip bir kültür” oluşturmayı öneriyor. Ayrıca kuruluşların bir baş bilgi güvenliği görevlisi (CISO) ataması önerilir. Örneğin, sırasıyla 2014 ve 2013'te ihlal edildiğinde ne JPMorgan ne de Target'in CISO'ları yoktu.

• Temel bilgilere dönüş: Çalışan eğitimi. Veri ihlalleri genellikle insanların psikolojik zayıflıklarının sonucudur. Bu nedenle, çalışanlarınızı güvenlik ihlallerinin uyarı işaretleri, güvenli uygulamalar (e-posta eklerini açarken, nerede gezindikleri konusunda dikkatli olmak) ve şüpheli bir devralmaya nasıl yanıt verecekleri konusunda eğitmek çok önemlidir.

Ayrılık Düşünceleri

Siber güvenliğin tehlikelerine yönelik artan ilgiye karşı ortak bir çürütme şudur: “Peki öyleyse? Saldırılardan korktuğumuz için yenilik yapmayı bırakmamız mı gerekiyor?” Cevap, tam olarak değil. Bununla birlikte, şirketlerin siber güvenliği bir etik meselesi olarak görmeleri faydalı olabilir. Yani, siber güvenlik sadece bir teknoloji meselesi değil, aynı zamanda bir ahlak meselesi olmalıdır. Sonuçta, tüketicileri savunmasız bırakan teknolojiler yaratmak ve satmak etik midir? Silikon Vadisi'nin “büyümek ya da ölmek” ve bazen miyop kültürü ile, bu muhtemelen popüler olmayan bir tutumdur.

Ancak, diğer sektörlerde emsal var. Örneğin, Amerikan Tabipler Birliği ve Amerikan Barolar Birliği, profesyonellerin kendi etik kurallarına uymalarını şart koşmaktadır. Doktorlar, tarihin en eski bağlayıcı belgelerinden biri olan ve doktorların hastalarını koruma sözü vermelerini zorunlu kılan Hipokrat yemini etmelidir. Benzer şekilde, avukatlar, müvekkillerini korumaya ve onlara saygı göstermeye yemin ederek bir Model Mesleki Davranış Kurallarına uyarlar.

Teknoloji gelip gidebilse de, doğru ve yanlışın asla değişmediğini hepimiz hatırlasak iyi olur.