Aon’un raporunda öne çıkan tespitler şöyle:
Teknoloji: Bugüne kadar fiziki ofisler ve mağazalar vasıtasıyla müşterilerine ulaşan klâsik şirketlerin bulut bilişim vasıtasıyla süratle dijital iktisadın XaaS servis sağlayıcılarına dönüşmesi, onları yeni ve potansiyel olarak şimdi bilinmeyen risklerle karşı karşıya bırakıyor. Teknolojinin daha ağır ve geniş kapsamda kullanılması şirketlerin iş yapış biçimlerinde esaslı değişikliklere neden oluyor ve siber ataklara yönelik yeni zafiyetler yaratıyor. Şirketler, bu yeniliklerin farklı riskleri beraberinde getirebileceğinin farkında olmalı ve dijital dönüşüm süreçleri devam ederken bu riskleri yönetebilmelidir.
Tedarik zinciri: Tedarik zinciri tarafında yaygın görülen iki eğilimin, önümüzdeki yıllarda siber risklerin bariz biçimde artmasına neden olabileceği öngörülüyor. Bunlardan biri, taşınabilir ya da objelerin interneti özellikli yeni jenerasyon aygıtlar vasıtasıyla bulut ortamlarına genişleyen ve siber akın riskine maruz operasyonel dataların süratle artması olarak kabul ediliyor. İkincisi ise, şirketlerin her geçen gün daha fazla bel bağladığı üçüncü ve hatta dördüncü taraf tedarikçilerin ve hizmet sağlayıcılarının, siber saldırganların şirketlerin tedarik zincirine ulaşabilecekleri yeni art kapılar sunması olarak öne çıkıyor. Ponemon Institute’un 2018 yılında yaptığı bir araştırma, ABD ve İngiltere’deki şirketlerin yüzde 59’u üçüncü taraf aracılığıyla en az bir kere bilgi ihlaline maruz kaldıklarını belirtirken, sırf yüzde 35’i üçüncü taraf risk idaresi programlarının kâfi olduğunu düşünüyor.
Nesnelerin interneti: Günümüzde artık hayatın her alanına dahil olan objelerin interneti aygıtları potansiyel bir güvenlik riski teşkil ediyor. Pek çok şirketin, işlerini yürütürken kullandığı ağ ilişkili objelerin interneti aygıtlarının (konferans sistemleri, güvenlik kameraları, yazıcılar, bina otomasyon sistemleri, vb.) sayısı şirketlerin idaresindeki bilişim teknolojileri varlıklarının sayısını aşabiliyor. O denli ki, 2018 Ponemon Institute anketine nazaran, şirketlerin yüzde 52’si 1000 adet aygıtın yer aldığı bir objelerin interneti envanterini yönettiğini söylerken, çalışmanın sonucunda ortalama 15 binin üzerinde objelerin interneti aygıtının kullanıldığı ortaya çıktı. Yani, şirketler objelerin interneti aygıtlarının tamamını inançlı bir formda yönetemiyor, hatta bu aygıtların envanter kaydını dahi tutmuyor. Bu da şirketlerin data ihlaline uğramasına neden oluyor.
İş faaliyetleri: Endüstriyel denetim sistemleri ve kritik kamu hizmetleri altyapıları klâsik manada bağımsız ağlar olarak işletilmekle birlikte her geçen gün bu sistem ve altyapıların büyük bir kısmı internete bağlanmakta ve klasik Bilişim Teknolojileri ortamlarına entegre olmaktadır. Bu durum operasyonel verimliliği artırırken potansiyel siber hücum alanını da genişletmekte ve saldırganlar için şirketin BT ağının tamamına ulaşabilmeyi kolaylaştırarak iş durması riskini artırmaktadır. Öte yandan, yetersiz olan yedekleme süreçleri de siber hücumların, kurumların iş faaliyetleri üzerindeki tesirinin daha şiddetli olmasına yol açıyor. Kurumların, WannaCry saldırısının 230 bin bilgisayarı etkisiz hale getirdiği ve tüm dünyada büyük bir kaosa sebep olduğunu unutmadan, siber akınların potansiyel tesirlerinin farkında olmaları ve iş sürekliliğini sağlayacak gerekli önlemleri almaları ehemmiyet arz ediyor.
Çalışanlar: Gerek berbat niyetli olsun, gerekse ihmal sebepli olsun, çalışanlar, data ihlali olaylarının en yaygın nedenlerinden biri olmaya devam ediyor. Aon’un anketine nazaran, iştirakçilerin yüzde 53’ü 2018 yılında şirketlerinin içeriden kaynaklı bir siber taarruz yaşadığını söyledi. Çalışanlar, çalıştıkları kurumun siber güvenliği için büyük bir tehdit oluşturduklarının birçok kere farkında olmayabiliyor. Kurumların, kurum içi siber güvenlik risklerini azaltmak için kapsamlı bir yaklaşım geliştirmeleri gerekiyor. Bu doğrultuda, güçlü data idaresi, kurum genelinde siber güvenlik siyasetlerinin bağlantının yapılması, faal erişim ve data müdafaa denetimlerinin uygulanması gerekiyor.
Şirket birleşmeleri ve satın almalar: IMAA Institute’un datalarına nazaran, 2018’de şirket birleşmeleri ve satın almaların tüm dünyada toplam pahasının 4 trilyon dolara ulaştığı düşünülüyor. Birleşme ve satın almalar artarken siber güvenlik riskleri de süratle artıyor. Siber saldırganlar, sıklıkla daha büyük firmalar tarafından satın alınma sürecinde olan firmaları hedefliyor. Yeni bir birleşme yahut satın alma sürecinde, muahede tamamlanmadan evvel meydana gelebilecek bir siber hücum, satın alma fiyatını önemli oranda düşürebiliyor.
Satın alan şirketin kendi kurumsal siber güvenlik yaklaşımları ne kadar güçlü ve meselesiz olsa da, bilhassa satın alınacak ya da birleşilecek gaye şirketin birebir halde siber güvenlik önceliklerini yerine getirdiğinden emin olması gerekiyor.
Yasal düzenleme: Bilhassa 2018’de tüm dünyada siber güvenlikle ilgili çeşitli yasal düzenlemeler yürürlüğe girdi. Buna bağlı olarak şirketlerin yasal düzenlemelere ahenk riskinin 2019’da daha dikkatli bir formda değerlendirmesi ve gerekli önlemleri alması gerekiyor. 2018 mayıs ayında yürürlüğe giren ve Avrupa Birliği üyesi ülkelerde uygulanmaya başlanan GDPR (Avrupa Birliği Genel Bilgi Müdafaa Yönetmeliği), ihlali durumunda, siber güvenlikle ilgili olarak 20 milyon Euro’ya ya da bir kuruluşun yıllık küresel cirosunun yüzde 4’üne varan önemli yaptırımları da beraberinde getiriyor. O denli ki, 2018’deki çok büyük bilgi ihlallerinin sorumlusu olan şirketlerin GDPR kapsamındaki ihlallerinin netleşmesi durumunda şirket başına 500 milyon dolar ile 1 milyar doların üzerinde bir para cezası alabileceği iddia ediliyor.
Yönetim Konseyi: Siber güvenlik idaresi, idare konseyleri için kıymetli bir gündem hususu olmaya devam ediyor. Fakat yakın geçmişe bakıldığında, idare şurası üyeleri, siber idareyle ilgili artan şahsî sorumluluk riskiyle de karşı karşıya kalıyor. Hissedarların, yüksek profilli data ihlallerinden kimilerinde yöneticilere karşı tazminat talebinde bulunduğu gözleniyor. İdare konseyi üyelerinin, siber güvenlikle ilgili daha kararlı bir tavır sergileyerek, hem siber güvenlik idaresiyle ilgili alınan aksiyonlar, hem de proaktif önlemler konusunda tüm şirkete bu manada da önderlik etmesi büyük ehemmiyet arz ediyor. Aon’un raporu, 2018 yılında BDO Center for Corporate Governance and Financial Reporting tarafından yapılan bir araştırmaya katılan idare konseyi üyelerinin dörtte üçünün bir yıl öncesine nazaran siber güvenliğe daha fazla dahil olduğunu ortaya koyuyor.
