KOBİ’ler ‘siber açıdan sigortalanamaz’ hale geldiklerinde ne yapmalı?

Hem kişisel hem de profesyonel tüm verilerimizin çevrimiçi olarak depolandığı dijital öncelikli bir dünyada, veri koruması göz ardı edilemeyecek kadar önemli. Siber sigorta yoluyla işletmelerin veri korumayı önceliklendirmelerini teşvik etme çabalarına rağmen, birçok küçük ve orta ölçekli işletme (KOBİ) hala sigortasız durumda. Maalesef, KOBİ’lerin hedef alınmadıklarına ve tehditlere karşı güvende olduklarına dair yaygın kanı da tamamen yanlıştır. 

Markel tarafından yapılan bir araştırmaya göre, KOBİ katılımcılarının yarısından fazlası 2021’in sonlarında bir siber güvenlik ihlalinin kurbanı oldu. Hibrit çalışmanın artması ve kurum içi uzmanlığın sınırlı olması, KOBİ’leri siber saldırılara karşı daha da savunmasız hale getiriyor. Temmuz 2022’de, Genel Yönetici Acentesi CFC Underwriting tarafından rapor edildiği üzere, ‘BazarCall’ adı verilen yeni bir tür fidye yazılımı saldırısı KOBİ’leri hedef aldı. Bu tür saldırılar ajansın üç aylık bir dönemde portföyünde yer alan kötü amaçlı yazılım vakalarının yüzde 10’unu oluşturdu. 

Veeam Veri Koruma Trendleri Raporu 2023, siber saldırıların 2020, 2021 ve 2022’de kurumlar için en etkili kesintilere neden olduğunu ve kurumların yüzde 85’inin son 12 ayda en az bir kez saldırıya uğradığını ortaya koydu. Bu da gelişmiş dijitalleşmeye, artan farkındalığa ve hazırlıklı olmaya rağmen fidye yazılımlarının hala başarılı olduğunu gösteriyor.

Bu noktada akıllara gelen “KOBİ’leri siber saldırılara karşı savunmasız kılan nedir?” sorusuna yanıt veren Veeam Kurumsal Stratejilerden Sorumlu Başkan Yardımcısı Dave Russell ve Veeam Ürün Stratejilerinden Sorumlu Kıdemli Direktör Rick Vanover şunları aktardı: 

Her ölçekten işletme siber saldırılara karşı savunmasız olsa da, KOBİ’ler yetersiz veri güvenliği önlemleri nedeniyle bilhassa saldırılara açık durumda. KOBİ’lerin siber koruma için ayırdıkları bütçe çoğu zaman oldukça sınırlı kalıyor. CyberPeace Vakfının hazırladığı bir rapor, KOBİ’lerde yüksek teknolojili izleme sistemleri olmaması nedeniyle eylemleri tespit edilemeyen siber suçlular için bu şirketlerin sistemlerine girmenin daha cazip hale geldiğini ortaya koydu. Raporda ayrıca önemli verilerin yedeklenmemesi ve yetersiz siber güvenlik politikaları gibi güvenlik açıklarının nasıl siber saldırılara yol açabileceğine de değinildi. 

KOBİ’ler, iş ölçekleri nedeniyle genellikle sektör devleriyle rekabet edebilmek için iş stratejilerini güçlendirmeye daha fazla odaklanıyorlar. Sadece büyük ölçekli kuruluşların daha büyük siber saldırı riski altında olduğuna inandıkları için KOBİ’ler veri yedekleme ve sigorta gibi uygun siber güvenlik çözümlerine yatırım yapmaktan kaçınabiliyorlar. Sonuç olarak, siber güvenlik planlaması çoğu zaman arka planda kalabiliyor.

KOBİ’lerin siber sigortaya yatırım yapmamalarının bir diğer önemli nedeni de gerekli güvenlik önlemlerini entegre edecek teknik uzmanların olmaması ve poliçe satın alma maliyetlerinin yükselmesidir. Global Data’nın 2021 yılında yaptığı bir araştırma, KOBİ’lerin yaklaşık yüzde 29’unun maliyetleri düşürmek için siber sigortalarını iptal ettiğini ortaya koydu. 

Siber güvenlik bütçelerine önem vermeleri için KOBİ’ler teşvik ediliyor, çünkü işleri gereği teknolojiye bağımlı oldukça, işletmeleri siber tehditlere karşı daha savunmasız hale geliyor. Deloitte’un Siber Sigorta Raporu, 2018’de %36 olan orta ölçekli şirketlerin siber saldırıya uğrama oranının 2019’da %63 seviyesine çıktığını ortaya koydu. Bütçenin küçük olması nedeniyle sigortalama yapılamıyorsa, siber güvenlik çözümleri satın almak ve verileri yedeklemek gibi başka önlemler almak yardımcı olabilir.

KOBİ’ler için çıkış yolu  

Kuruluşların temel dijital hijyen yöntemlerini uygulamaları hayati önem taşıyor. Bütün işletmeler, işletme yöneticilerine doğrudan ulaşabilen ve güvenlik çalışmalarını yönetme yetkisine sahip özel bir BT güvenlik yöneticisine ihtiyaç duyar. Ayrıca küçük işletmelerin de kurum içi ya da dış kaynaklı olması fark etmeksizin siber güvenlikten sorumlu ve veri korumada uzmanlaşmış kaynakları bünyelerinde bulundurmaları gerekir. Ek olarak, antivirüs yazılımı, güçlü bir güvenlik duvarı gibi diğer önemli siber güvenlik önlemlerinin hayata geçirilmesi ve çalışanların şüpheli bağlantıları tespit ederek fidye yazılım e-postalarına tıklamaktan kaçınmaları konusunda eğitilmesi de bu noktada oldukça önemli.

Son olarak, KOBİ’lerin dikkate alması gereken önemli bir siber güvenlik öğesi ise tüm sistemlerden izole edilmiş bir veri yedeklemesine sahip olmaktır. Kurumlar tüm veri depolama alanlarında Backup and Data Recovery kullanarak veri sistemlerinin tam olarak korunmasını sağlayabilir. Ek olarak Veeam’in önerdiği 3-2-1-1-0 yedekleme kuralı da uygulanabilir. Bu kural, önemli verilerin her zaman en az iki farklı medya ortamında, en az biri iş yeri dışında ve biri çevrimdışı olmak üzere en az üç kopyasının bulundurulmasını ve sıfır doğrulanmamış yedeklerin ya da hatalı yedeklerin bulundurulmasını önerir.  

Veeam Veri Koruma Trendleri Raporu 2023 kurumların Modern Veri Koruma çözümlerinde aradıkları en önemli özelliğin “veri korumanın siber hazırlık stratejisine entegre edilmesi” olduğunu ortaya çıkarmıştı, bu da yedeklerin ne kadar önemli olduğunu bir kez daha vurguluyor. 

Sistemin güvenliğini değerlendirmek için yapılan düzenli risk değerlendirmeleri ve sızma testleri gibi basit egzersizler bile siber tehlikeleri önlemeye yardımcı olabilir. Dolayısıyla, pahalı siber sigortaları karşılayamayan KOBİ’ler, kuruluşlarının verilerini korumak için bu uygun maliyetli uygulamaları hayata geçirebilirler. KOBİ’ler iyi bir dijital hijyen ihtiyacını ne kadar benimserlerse saldırılara karşı o kadar tetikte olabilirler. Dolayısıyla verilerin korunmasının yanı sıra siber politikaların düzenlenmesi de zorunlu hale getirilmelidir. Siber saldırılar gerçektir ve işletmenizin ölçeği ne olursa olsun bunları önlemeye yönelik tedbirler ihmal edilmemelidir.

Kaynak: (BYZHA) Beyaz Haber Ajansı