Siber risk tehditlerine ‘erken önlem’

Son dönemlerde siber riskler birçok iş alanında kişi ve kurumları tehdit ediyor. Sigorta sektörünün başta KOBİ’ler olmak üzere birçok ilgili alanı etkileyen riskleri değerlendirmesi ve risk haritasının oluşturması gerekiyor. Bu sayede risk gerçekleştiğinde erkenden farkına varmak ve problem büyümeden müdahale edebilmek adına önlemler almak mümkün oluyor.

Son dönemlerde gerçekleşen ve milyonlarca dolar hasara neden olan siber saldırılar sigorta devlerini de endişelendirmeye başladı. Siber korsanların geleneksel hedefi haline gelmiş olan bu alan aynı zamanda toplumu da doğrudan etkileyen sektörler arasında yer alıyor. Çoğunlukla bu sektörlerin hedef alınıyor olması, diğer sektörlerdeki firmaların siber tehditlere maruz kalmadığı anlamına gelmiyor.Neredeyse tüm iş süreçlerinin dijitale geçtiği bir dönemde siber kaynaklı hasarlar sigorta şirketlerinin altından kalkabileceğinden daha büyük boyutlara ulaşabiliyor. Geçtiğimiz yıllarda ‘fütüristik’ bir risk olarak görülen siber riskler sigortacılar için günümüzün bir gerçeği olmuş durumda. 

SİGORTA TEMİNATINA SAHİP OLUNMALI

Yapılan araştırmalara göre siber riskler artık pek çok sigortacı tarafından terör, doğal afetler ve politik risklerden daha tehlikeli görülüyor. Sadece birkaç yıl önce listelerde yer bile bulamayan bu yeni risk türü, günümüzde listelerin başlarında yerini almış durumda. Siber risk planının oluşturulması; iç ve dış siber tehditlere karşı mücadele edebilmek amacıyla, şirketin uğradığı finansal zararlardan kâr kaybına, veri kaybı sebebiyle oluşan masraflardan siber risk uzmanlarının sunduğu hizmetlere kadar tüm masraf ve zararları teminat altına alan tam ve kapsamlı bir siber risk sigorta teminatına sahip olması gerekiyor. Siber risk poliçesinin hazırlanması, temkinli olup işletmeniz için siber risklere karşı alacağınız önlemler, bir saldırı ya da aksama anında sorunun analizini de kolaylaştırıyor. 

En önemli riskler teknoloji ve siber

PWC ve Finansal Yenilik Etüt Merkezi (CSFI) işbirliğiyle hazırlanan Sigortacılıkta Öngörülen Riskler 2019 araştırması yayımlandı. Türkiye dâhil 53 ülkeden 900’ü aşkın katılımcının katkı sağladığı araştırma için Türkiye’den toplam 27 katılımcının görüşlerine yer verildi. Sigortacılık Sektöründe Öngörülen Riskler raporuna göre, küresel ölçekte teknoloji riski, siber riskler ve değişim yönetimi başlıkları bu yıl risk sıralamasında ilk üçte yer alıyor. İş yapış şekilleri ve kullanılan teknolojinin modernleştirilmesi gerekliliği, önümüzdeki 2 ile 3 yılda küresel sigorta sektörünün en büyük endişe kaynağı olarak öne çıkıyor.


SABANCIDx DİJİTAL DÖNÜŞÜM GENEL MÜDÜR YARDIMCISI (CDO) TEVFİK KOR: Risk yönetiminde tüm şirket aktif rol almalı

“Siber saldırıların %60’tan fazlasında hedefli ve bilinçsiz kullanıcıların yaptığı yanlışlıklar sonucu şirketler ciddi risklere maruz kalıyor” 

Sabancıdx Dijital Dönüşüm Genel Müdür Yardımcısı Tevfik Kor, siber riskler konusunda gelinen süreci değerlendirdi. Bilgi güvenliği ve risk yönetimi alanında şirketlerin sürdürülebilirlikleri açısından şirketin en üst yönetimi (Yönetim Kurulu, Genel Müdür) tarafından sahiplenilmesi ve tüm şirket çalışanlarının bu konuda aktif rol almasının çok önemli bir konu olduğunu söyleyen Tevfik Kor, “Sahiplenmenin yanı sıra şirket içerisinde süreci yönetecek ve koordine edecek bir risk ve uyum yönetim birimi oluşturulmalı. Risk yönetimi süreci uluslararası standartlar içerisinde ISO 27001 tarafından detaylı olarak ele alınmalı. 

Özetle süreç, şirketlerin kritik bilgi varlıkları envanterinin oluşturması ile başlamalı, sonrasında bilgi varlıklarının maruz kalabileceği tehditler ve riskler belirlenerek tespit edilen her bir riskin ortaya çıkma olasılığı ve etkisine göre bir risk haritası oluşturulmalıdır. Etkisi en yüksek olan riskler için önleyici aksiyon planlarının oluşturulması ve düzenli olarak risk değerlendirmelerinin yapılması gerekiyor. Günümüzde siber tehditlerin çok hızlı şekil değiştirdiğini düşünürsek risk yönetimi sürecinin mutlaka bir teknoloji çözümü ile desteklenerek değerlendirmelerin en az üç ayda bir tekrar yapılması gerekiyor” diye konuştu.

‘ÖNLEYİCİ ÇÖZÜMLER MÜMKÜN’

Siber riskleri denetleme uygulamasında risk yönetimi sürecinde belirlemiş oldukları kritik risk göstergelerini düzenli olarak ölçüp, belirlemiş oldukları eşik değerlerine göre bir sapma olmuşsa hemen aksiyon aldıklarına değinen Kor, “Yine belirli dönemlerde iç denetimler yapıyoruz. Bunun yanında dışardan da denetim hizmeti alıyoruz. Süreci yönetmek için şu anda özel bir uygulama kullanmıyoruz ancak hem kendi kurumumuzda hem de bizden hizmet alan müşterilerimiz için şirket bilgi varlıkları envanterini otomatik olarak keşfedecek ve bu bilgi varlıklarının sahip olduğu zaafiyetleri anlık olarak raporlayarak anlık risk skoru raporlayabilecek bir uygulamanın denemelerini yapıyoruz. Bu konudaki odak noktamız olay meydana gelmeden önce önlem alacak teknolojilere yönelerek ve hatta bu teknolojilerin üretimine girerek önleyici çözümleri müşterilerimize hizmet olarak sunmak” dedi.

“Siber riskler hakkında önlem alma konusunda Siber Süreç, Teknoloji ve İnsan başlıklarına baktığımızda güvenlikte en zayıf halkanın insan olduğunu unutmayalım. Bu kapsamda şirket çalışanlarının siber güvenlik konusunda düzenli olarak eğitilmesi, bilgilendirilmesi şart. Siber saldırıların %60’tan fazlasında hedefli ve bilinçsiz kullanıcıların yaptığı yanlışlıklar sonucu şirketler ciddi risklere maruz kalıyor” hatırlatmasında bulunan Kor, “Eğitim ve farkındalık çalışmalarının yanı sıra risk yönetimi sürecinde belirlenen kritik bilgi varlıklarının korunmasına yönelik temel güvenlik çözümleri mutlaka kullanılmalı. Bu güvenlik çözümleri; siber saldırıların algılanması ve önlenmesini sağlayacak olan Güvenlik Duvarları, Atak Algılama Sistemleri, Anti-Virüs sistemleri gibi teknolojik çözümlerden oluşuyor. Şirketlerin risk iştahlarına ve uymak zorunda oldukları uyum yasalarına göre temel güvenlik çözümleri tek başına yeterli gelmiyor. Bu tür durumlarda tüm saldırı vektörlerine karşı sadece dışardan değil şirket içerisinden de gelebilecek bilinçli ya da bilinçsiz saldırılara karşı çözümler oluşturulmalı. Bu çözümlerin de tehditlerin oluşma aşamasında şirketi uyaracak ve önlem alacak şekilde yapay zeka, makine öğrenmesi vb. teknolojilerle desteklenmesi oldukça önemlidir. Yüzde yüz güvenliğin olmadığı bilinci ile de mutlaka şirketlerin; iş sürekliliği, felaket ve kurtarma plan çözümlerinin olması, ayrıca bunu her yıl en az iki defa test etmeliler” diye konuştu. 

‘KOBİLER İÇİN BİLGİ GÜVENLİĞİ MÜHİM’

Siber riskler gerçekleştikten sonra alınabilecek önlemlerin her bir riskin niteliğine göre değişeceğini söyleyen Kor, “Şirketler risk yönetim sürecinde belirledikleri risklerin gerçekleşmesi durumunda geri dönüş yöntemlerini belirlemeli ve bunu düzenli olarak test etmelidir” dedi. Sıklıkla siber risklere maruz kalan KOBİ’lerin bu saldırılardan korunmak için öncelikle şirket içerisinde bilgi güvenliği konusunu en üst yönetim kademesinde ele alarak bu konuda bir kişi ya da ekibi görevlendirmeleri gerektiğini söyleyen ve KOBİ’lerin konusunda uzman firmalardan mutlaka hizmet almalarını öneren Kor, şirketlerin bulut hizmetleri çerçevesinde iş ihtiyaçlarına uygun bir sözleşme ile BT altyapı ve yönetim hizmetini yerel ya da genel bir bulut hizmet sağlayıcısından almaları yönünde tavsiyelerde bulundu.


LOSTAR BİLGİ GÜVENLİĞİ ŞİRKET GENEL MÜDÜRÜ MURAT LOSTAR: Risk gerçekleşmeden önlem almak daha basit

%100 güvenlik pratikte sağlanamaz. Risk durumunda  erkenden farkına varmalı ve problem büyümeden müdahale edebilmeliyiz”

Siber riskler ve sigorta sektöründeki etkilerini değerlendiren Lostar Bilgi Güvenliği Şirketi Genel Müdürü Murat Lostar, gerçekleştirilebilecek iyileştirmeler ve sektör adına bilgilendirmelerde bulundu. Siber risklerin değerlendirilmesi, haritasının çıkarılması ve derecelendirme süreci hakkında açıklama yapan Lostar, “Siber risklerin belirlenmesi, öncelikle kurumun elektronik bilgi ve teknoloji envanterinin çıkartılmasıyla başlar. Her bir envanter kalemi için, tehdit unsurları ile zafiyetler hem teker teker hem de sistemin bütünü gözetilerek belirlenir. Riskler potansiyel etkisi ve gerçekleşme olasılığı öngörülerek beş seviyeli olarak derecelendirilir” diye belirtti.

‘RİSK TESPİTİ ÖNEMLİ’

Siber risk denetlemelerinde kolaylaştırma sağlayan uygulamalar hakkında fikirlerini dile getiren Lostar, “Siber risk denetimlerine dair teknoloji ve süreç odaklı iki ayrı yaklaşımı söz konusu. Security Checkup hizmetleri adı altında özetlediğimiz yaklaşımda; hacker’ların tercih ettiği teknoloji, yöntem ve araçları kullanıyoruz. Kötü niyetli saldırganlardan bizi ayıran en önemli özellik kendimizi saklamadan, denetimler öncesinde ilettiğimiz adresler üzerinden bu işlemleri gerçekleştiriyor olmamız. Süreç yaklaşımlarında ise bu konuda geliştirilen uluslararası standartları yıllar içinde gelişen tecrübemizle hizmet verdiğimiz kuruma ve bu kurumun içinde bulunduğu sektöre göre özelleştirerek işe yarar sonuçlar üretebiliyoruz” dedi. Siber riskleri önlemek için hatırlatmalarda bulunan Murat Lostar, “Einstein’ın Dünyayı kurtarmak için bir saatim olsaydı; elli beş dakikasını problemi tanımlamaya, kalan beş dakikayı da çözümü bulmaya ayırırdım” cümlesi siber riskler için de geçerlidir. Riskleri tespit etmek, problemin kaynağını anlamak en önemli kısmıdır. Sonrasında ilgili önlemi risk gerçekleşmeden almak göreceli olarak daha basit bir işlemdir. %100 güvenlik pratikte sağlanamaz. Bu nedenle ek olarak farkında olmadığımız bir risk gerçekleştiğinde erkenden farkına varmak ve problem büyümeden müdahale edebilmek gereklidir” diye konuştu.  

‘GECİKMEDEN MÜDAHALE ŞART’

Siber riskler geliştikten sonra da önlem alınabileceğini vurgulayan Lostar, çoğu siber riskin uzun bir zaman diliminde gerçekleştiğini, bilgileri sakladığımız bir donanım arızalanıp verileri kaybetmeden önce uyarı vermeye başladığında hacker’ların bir kuruma ilk girişleriyle fiili saldırılar arasında saatler, günler hatta bazı durumlarda aylarca sistemlerde dolaştıklarını bildiklerini dile getirdi. Bu nedenle ilk sinyalleri görmek ve gecikmeden müdahale etmenin mümkün olduğunu ifade eden Lostar, “Bu durumda ya hiç zarar oluşmuyor ya da potansiyel zararın yanında çok küçük bir problemle atlatmak mümkün oluyor” dedi. 

Sıklıkla siber risklere maruz kalan KOBİ’lere bu saldırılardan korunmak için tavsiyelerde bulunan Murat Lostar, sözlerini şöyle noktaladı: “Siber dünyada varlık gösterip saldırılardan %100 korunmak mümkün değil. Mümkün olan yerlerde bilgi teknolojilerine dair hizmetleri dış kaynak hizmeti olarak satın almak (bulut hizmetleri bunun bir örneği olarak kullanılabilir) ya da sadece güvenlik dış kaynak hizmetleri ile bu konuda uzman bir kurumla işbirliği yapmak söz konusu olabilir. Ülkemizde de artık başlayan siber güvenlik risklerine karşı sigorta kullanarak kalan risklere karşı önlem almayı özellikle öneriyorum.”

LOSTAR’DAN KOBİ’lere 7 GÜVENLİK ÖNLEMİ

1. Tüm bilgilerinizin düzenli yedeğini alın ve bu yedekleri çevrimdışı olarak saklayın
2. Yamaları düzenli olarak yükleyin
3. Mobil cihazlar dahil tüm bilgisayarlarınızda anti-virüs yazılımı kullanın
4. Çalışanlarınızın güvenlik farkındalık eğitimi almalarını sağlayın
5. Ana şirket ağlarında güvenlik duvarı (firewall) kullanın
6. Mümkün olan her yerde (bankacılıkta olduğu gibi) SMS, vb yöntemlerle çalışan iki aşamalı güvenlik kullanın
7. Aynı parolayı farklı yerlerde asla kullanmayın. Parolalarınızı düzenli olarak değiştirin

Hande Bostanoğlu
hande@sigortacigazetesi.com.tr

23 Ekim 2019

İlgili Haberler

Yazarlar