2020 Türkiye Siber Risk Algı Araştırması sonuçları açıklandı
KVKK, GDPR gibi kanunlar; ISO, NIST gibi standartlar; EPDK, BDDK gibi sektör denetleme kurumları; halka açılma süreçlerinden geçen kurumlar için SPK tarafından belirlenen zorunluluklar şirketlerin siber risk konusunda harekete geçmesini etkiliyor ve yol gösterici oluyor
2020 Türkiye Siber Risk Algı Araştırması'na göre, firmaların yüzde 78'i siber saldırı olmadan bu konuda harekete geçmiyor.
Türkiye'de özel sektörde faaliyet gösteren şirketlerin siber risklere olan bakış açılarını ortaya koymak amacıyla Marsh ve Türk Sanayicileri ve İş İnsanları Derneği (TÜSİAD) iş birliğiyle hazırlanan "2020 Türkiye Siber Risk Algı Araştırması"nın sonuçları online düzenlenen toplantı ile paylaşıldı.
TÜSİAD Yönetim Kurulu Üyesi ve Dijital Türkiye Yuvarlak Masası Başkanı Serkan Sevim, toplantının açılışında yaptığı konuşmada, dijital dönüşümün etkilerini her alanda ele aldıklarını ve çalıştıklarını aktardı.
Kovid-19'un etkileriyle yeni bir dönemin başladığına işaret eden Sevim, şunları kaydetti:
"Bu süreç aslında, siber güvenlik konusunda farkındalığın ve yatırımların önemini bir kez daha ortaya koydu. Dünya çapında 4,5 milyarda fazla kişi internet kullanıyor ki bu oran küresel nüfusun yüzde 59'una tekabül ediyor. Artık internete bağlı akıllı cihazlar, çok büyük miktarda veri üretiyor.
Sektör ayırt etmeksizin veri güvenliği önem kazanıyor. 2015 yılında siber suçların dünya ekonomisine maliyeti 3 trilyon dolar seviyesinde iken bu rakamın 2021 yılına gelindiğinde 6 trilyon dolara çıkması öngörülüyor."
Açıklanan raporun şirketler için önemine işaret eden Sevim, özellikle yönetici seviyesinde konuya ilişkin farkındalığın artırılması gerektiğini söyledi.
Sevim, "İş dünyası olarak, teknolojinin ve dijitalleşmenin fırsatlarından yararlanırken aynı zamanda risklere karşı korunaklı olabilmeliyiz." tavsiyesinde bulundu.
"Siber risklere ilişkin şirketlerdeki farkındalık düşük"
Marsh&McLennan Şirketler Grubu Türkiye Yönetim Kurulu Başkanı Tayfun Bayazıt, çalışmanın Türkiye'deki büyük ve orta ölçekli şirketler için daha önce hiç yapılmadığını bildirdi.
Araştırmaya 2019 yılı sonunda başladıklarını dile getiren Bayazıt, şunları söyledi:
"Şirketlerin siber risklere bakış açılarına bakıldığında, her 10 katılımcıdan biri siber riskleri, şirketleri için önümüzdeki dönemde en önemli risk başlığı ile görmekte. 2019 Global Risk Algı Araştırması'nda bu oran Türkiye'dekinin 2 katı. Bu durum, siber risklere ilişkin şirketlerdeki farkındalığın düşük olması ve Yönetim Kurulu ajandalarında nadiren gündem maddesi olarak ele alınmasına bağlanabilir.
Siber güvenlik risklerine bakıldığında insan faktörünün ön plana çıktığını görüyoruz. İnsana yatırım yapmak önemli. Özellikle Kovid-19 sonrasında, değişen çalışma şeklimiz ve iş modelimiz, bizi siber riskleri yönetme anlamında çalışanlarımıza daha bağımlı hale getirerek, bu çıkarımı da destekleyecek."
Bayazıt, araştırmaya göre katılımcıların yüzde 81'inin siber güvenlik teknolojileri alanına, yüzde 65'inin ise çalışanlarının eğitimine yatırım yaptığını dile getirdi.
Araştırma sonuçlarının, globaldeki ile paralellik gösterdiğini aktaran Bayazıt, "Türkiye'deki kurumların siber riskleri yönetme stratejisinin temelinde, daha çok teknolojik alana yatırım eğilimi var. Şirketlerin siber güvenlik konusundaki uygulamalarına, üçüncü taraflara oranla daha çok güvendiği algısı hakim. " diye konuştu.
Araştırmanın sonuçları
Türkiye'de siber riskler konusunda yapılan ilk ve en kapsamlı çalışma olma özelliği taşıyan araştırmanın sonuçlarına göre, firmaların siber riskleri diğer risk başlıkları gibi önemsemeleri ve yönetmeleri gerektiğine ilişkin farkındalık seviyesi hızla artıyor.
Buna karşın, siber güvenliğe yönelik farkındalık ve yatırım, büyük ölçüde siber saldırı deneyimi ve hukuki düzenlemelerle tetikleniyor.
Türkiye'de, bu alandaki risklerin yönetimi veya bilgi teknolojilerinden sorumlu çalışanların sadece yüzde 9'u şirketlerinin karşı karşıya olduğu en büyük riski siber tehdit olarak görüyor. Geçen yıl oran yüzde 22 olarak gerçekleşmişti.
Araştırma, siber riskler konusunda ülkede farkındalığın arttığına işaret etse de şirketlerin gün geçtikçe artan bu riski öncelikleri arasına yeterince almadığını ortaya koyuyor.
Firmaların bu konudaki genel eğilimi "bekle-gör" davranışı üzerinden şekilleniyor. Firmaların yüzde 78'inin tehditle karşılaşmadan siber riski fark etme ve harekete geçme pratiğine sahip olmadıkları, yaşanan saldırının etki gücünün öngörüden daha yüksek olduğu gözüküyor.
Yaşanan siber atakların, bugüne kadar, işlerin yavaşlaması, durması veya finansal zarara sebebiyet verebilecek bir vaka yaşatmamış olması, siber güvenlik konusunun daha az gündemde olmasının temel nedeni olarak görülüyor.
Firmaların yüzde 77'si hukuki düzenlemeleri teşvik edici buluyor
Siber güvenlik yönetimine yatırım yapan firmaların yüzde 77'si hukuki düzenlemelerin teşvik edici etkisi olduğunu belirtiyor.
Havacılık, finans, bilgi teknolojileri, enerji ve üretim sektörlerinde yer alan firmaların siber riskin yönetimi konusunda nispeten daha hassas davrandıkları ve bilgili oldukları ortaya çıkıyor. Devletin yasayla çerçevesini çizdiği, takip ettiği konular firmalar tarafından hem daha çok dikkate alınıyor hem daha çabuk içselleştiriliyor ve prosedürlere geçiriliyor.
Bu bağlamda KVKK, GDPR gibi kanunlar; ISO, NIST gibi standartlar; EPDK, BDDK gibi sektör denetleme kurumları; halka açılma süreçlerinden geçen kurumlar için SPK tarafından belirlenen zorunluluklar şirketlerin siber risk konusunda harekete geçmeyi etkiliyor ve yol gösterici oluyor.
Kovid-19 ve hızla devam eden dijital dönüşüm riski de artırdı
Araştırmanın sonuçlarına göre; Kovid-19 salgınının etkisiyle her alanda hızlanan dijital dönüşümün hem farkındalığı artıracağı hem de kurumları siber risk yönetimine yönelik daha fazla önlem almaya teşvik edeceği öngörülüyor.
Salgın süreciyle birçok firmanın tam olarak hazır olmadan ve gerekli tedbirleri alamadan hızlı bir şekilde dijitalleşmesi siber saldırı olasılıklarını da yükseltiyor.
Firmaların yüzde 77'sinde siber risk konusundaki sorumluluk IT/BT ekiplerinin üzerinde. Yüzde 75'inde siber güvenlik sorumluluğu büyüklük ve sektörel yapıya göre CTO/CIO/CSO/CICO pozisyonlarından biriyle paylaşılıyor. Bir başka deyişle, süreci C seviyesi yönetiyor.
Özellikle bu seviyedeki yöneticilerin konuya yaklaşımları kurumun farkındalığını ve stratejisini doğrudan etkiliyor. Firmaların yatırım kararı için en önemli dayanak noktası, yine sektördeki firmaların yaşadığı olumsuz deneyimler oluyor. Firmaların yüzde 56'sı ise doğru bir strateji kurabilmek için tarafsız bir kurumdan danışmanlık alıyor.
Firmaların yüzde 78'inin risk yönetimi konusundaki öncelikli refleksi riski azaltıcı uygulamaları hayata geçirmek yönünde. Firmalar en çok cihazların güvenliğini artırmaya, sisteme veya ağlara hem şirket içinden hem de dışından erişimi daha güvenli hale getirmeye yönelik yatırımlar gerçekleştiriyor.
Siber riski ölçme, yönetme ve önleme süreçleri belirgin alanlarda yatırım gerektirirken, bu alanların başında altyapı, organizasyon ve insan kaynakları geliyor. Firmaların yüzde 50’si söz konusu yatırımları yapma konusunda çekimser davranırken, daha çok penetrasyon ve zafiyet analizleriyle yetiniyorlar.
Şirketlerin siber güvenlik alanındaki olgunlukları siber risk sigortasına yatkınlıklarını olumlu yönde etkiliyor. Firmaların çoğunun siber risk sigortası hakkında yeterli bilgisi bulunmuyor.