‘How businesses can minimize the cost of a veri breach’ başlıklı yeni Kaspersky raporuna nazaran META (Orta Doğu, Türkiye ve Afrika) bölgesinde yaşanan bir ihlal hakkında paydaşlarını ve kamuoyunu istekli olarak bilgilendirmeye karar veren işletmeler, misal bir olayın medyaya sızması durumunda meslektaşlarına kıyasla %38 daha az maddi ziyana uğruyor. Misal eğilim KOBİ’lerde de geçerli.
Yaşanan data ihlali konusunda kamuoyunu vaktinde ve uygun formda bilgilendirmemek, bilgi ihlalinin mali ve prestiji sonuçlarını daha önemli hale getirebiliyor. Birtakım yüksek profilli olaylar ortasında yatırımcılarına yaşadığı veri ihlalini bildirmediği için para cezasına çarptırılan ve eleştirilen Yahoo! ve bilgi ihlali olayını örtbas ettiği için ceza alan Uber yer alıyor.
5.200’den fazla BT ve siber güvenlik uygulayıcısının katıldığı global ankete dayanan Kaspersky raporu, yaşadığı durumun sorumluluğunu üstlenen kuruluşların hasarı daha hafif atlattığını gösteriyor. Yaşadıkları ihlali ifşa eden işletmelerin maliyetlerinin META bölgesinde 983 bin dolar olduğu iddia edilirken, olayın medyaya sızdığı emsallerde ziyan 1.579 milyon dolar çıktı. Birebir durum Orta Doğu, Türkiye ve Afrika’da faaliyet gösteren KOBİ’ler için de geçerli. Müşterilerini bir ihlal hakkında istekli olarak bilgilendirenler, olayların basına sızmasıyla ortaya çıkanlara nazaran %19 daha az mali ziyan yaşadılar (105 bin dolara karşılık 130 bin dolar).
Nasıl ifşa edildiğine bağlı olarak bir data ihlalinin ortalama maliyeti
META bölgesinde bilgi ihlali yaşayan işletmelerin yaklaşık yarısı (%53) proaktif ve istekli olarak olayı açıklamaya devam ederken, yaklaşık dörtte birinde (%26) sızıntılar medya üzerinden haber alındı. İhlal yaşayan kuruluşların %21’i ise bunu hiç açıklamadı.
Olayı açıklamamayı ve sızdırmamayı başaran işletmeler asgarî kayıp bildirmiş olsa da bu yaklaşım ülkü olmaktan hayli uzak. Çünkü bu tıp şirketler, bir siber güvenlik olayı kamuoyuna niyetlerine ters olarak açıklanırsa daha fazlasını kaybetme riskiyle karşı karşıya.
Anket ayrıyeten, saldırıyı çabucak tespit edemeyen şirketlerde risklerin yüksek olduğunu kanıtladı. İhlali keşfetmesi bir haftadan fazla vakit alan KOBİ’lerin %29’u bunun basına yansıdığını görürken, anında tespit edenlerde bu durum yaşanmıyor. Büyük kurumlar için bu oran sırasıyla %18 ve %30.
Kaspersky Kıdemli Eser Pazarlama Müdürü Yana Shevchenko, “Bilgi ihlalini proaktif olarak açıklamak, işleri bir şirketin lehine çevirmeye yardımcı olur ve sonuç yalnızca finansal tesirin ötesine geçer. Müşteriler ne olduğunu birinci elden duyduğunda markaya olan inançlarını sürdürme olasılıkları daha yüksektir. Ayrıyeten, şirket müşterilerine varlıklarını muhafazaya devam edebilmeleri için daha sonra ne yapacakları konusunda tavsiyelerde bulunabilir. Şirket ayrıyeten durumu yanlış bir formda tasvir edebilecek üçüncü kaynaklara dayanan yayınlar yerine, medyayla sağlam ve hakikat bilgileri birinci elden paylaşarak öykünün kendi tarafını kamuoyuna aktarma fırsatı bulabilir” diyor.
Data ihlalinin ziyan verici sonuçlarına maruz kalma mümkünlüğünü azaltmak için Kaspersky, işletmelere aşağıdaki adımları izlemelerini öneriyor:
- Kurumsal uç nokta seviyesinde gelişmiş tehdit algılama, inceleme, proaktif tehdit avlama ve süratli cevap için Kaspersky Endpoint Detection and Response çözümlerini uygulayın. Siber güvenlik konusunda sonlu uzmanlığa sahip küçük şirketler, uç noktalara daha âlâ görünürlük, kolaylaştırılmış temel neden tahlili ve otomatik cevap seçeneği dahil olmak üzere temel EDR yetenekleri sağlayan Kaspersky EDR Optimum’dan yararlanabilir.
- Kuruluşlar, uç nokta muhafazasına ek olarak, ağ üzerindeki gelişmiş tehditleri algılayan Kaspersky Anti Targeted Attack Platform gibi tehdit istihbaratıyla zenginleştirilmiş kurumsal bir güvenlik tahlili uygulamalıdır. Bu tahlil çoklu vektör yaklaşımını tercih eden ve çoklukla birçok farklı tekniği tek bir planlı atakta birleştiren profesyonel siber hatalılardan korunmaya yardımcı olur.
- Bir siber akına vaktinde cevap vermek için, kurum içi olay müdahale grubunu birinci müdahale çizgisi olarak birleştirin ve daha karmaşık olayları üçüncü parti uzmanlara iletin.
- Çalışanlara bir siber güvenlik olayını nasıl tanıyacaklarını ve meydana gelirse ne yapmaları gerektiğini açıklamak için, şirketin BT Güvenlik departmanını anında bilgilendirmek de dahil olmak üzere, farkındalık eğitimi verin.
- Bağlantı uzmanları ve BT güvenliği yöneticileri dahil olmak üzere data ihlalinin akabinde müdahale eforuna dahil olan tüm taraflara Kaspersky Incident Communications ile özel eğitim vermeyi değerlendirin.
Hibya Haber Ajansı
