Veri gizliliği ihlallerinin kurumsal maliyeti de yükseliyor
PwC, 65 ülkede 3.522 kıdemli yöneticinin katıldığı Dijital Dünyada Güven Araştırması’nın sonuçlarını yayınladı. Araştırmaya göre; dünyada her dört şirketten biri son üç yılda 1-20 milyon dolara mal olan veri gizliliği ihlaliyle karşı karşıya kaldı. Her beş şirketten dördü ise paydaş güvenini sağlamak için siber olayların zorunlu bildiriminde tutarlı ve karşılaştırılabilir bir formatın gerekli olduğunu belirtiyor.
PwC’nin Dijital Dünyada Güven Araştırması, kıdemli yöneticilerin önümüzdeki 12-18 ay içinde şirketlerindeki siber güvenliği geliştirme ve dönüştürmeye yönelik zorluk ve fırsatlarla ilgili görüşlerini bir araya getirdi. Katılımcı şirketlerin %52’sinin geliri 1 milyar doların, %25’inin geliri ise 5 milyar doların üzerinde. Araştırmaya göre; dünyada her dört şirketten biri (%27) son üç yılda 1-20 milyon dolar arasında maddi zarara sebep olan veri gizliliği ihlaliyle karşı karşıya kaldı. Kuzey Amerika’da ankete katılan şirketlerde %34 ile bu oran daha yüksekken, dünyadaki şirketlerin sadece %14’ü bu süre boyunca hiçbir veri gizliliği ihlaliyle karşılaşmadığını bildiriyor.
PwC Türkiye Risk, Süreç ve Teknoloji Hizmetleri Şirket Ortağı Özkan Kıvanç, araştırmayla ilgili şunları söyledi: “Şirketlerin siber güvenlik programlarını iyileştirmede kaydettiği tüm ilerlemelere rağmen, araştırmamız alınacak daha çok yol olduğunu söylüyor. Dijital dönüşüme ayak uydurmak ve kamuoyunda güven oluşturmaya yardımcı olmak için şirketlerin, stratejik bir risk yönetimi programının yanı sıra, net, tutarlı raporlama süreçlerine ve iş sürekliliği ve acil durum planlarına ihtiyaçları var. Araştırmamızın ortaya koyduğu sonuçlardan bir diğeri ise siber güvenliğin bir ekip işi olması. Teknolojinin getirdiği riskleri yönetebilmek için, şirket liderlerinin ve şirket içinde her seviyedeki çalışanın Bilgi Güvenliği ekipleri ile iş birliği yapması ve siber güvenlik farkındalığını arttıracak adımlar atması kritik önem arz ediyor.’’
CFO’lar da siber alana odaklanıyor
Önümüzdeki yıl, şirketler siber güvenliğe yönelik adımları ve yatırımları artırmayı planlıyor. Katılımcı CEO’ların %52’si, şirketlerinin siber dayanıklılığını iyileştirmek amacıyla önemli girişimlerde bulunacağını söylüyor. CFO’ların çoğu da siber alana odaklanmayı planlıyor. Siber teknoloji çözümleri ve siber güvenlik çalışanlarını işe alma ve becerilerini geliştirme konuları bu taraftaki odak noktalarını oluşturuyor. Pazarlama yöneticilerine göre ise, siber güvenlik ihlallerinin maliyeti, doğrudan finansal maliyetlerin çok daha ötesine geçiyor. Son üç yılda siber saldırı veya veri gizliliği ihlali olayları nedeniyle şirketler en çok müşteri ve müşteri verisi kaybı, itibar veya marka zedelenmesi gibi olumsuz sonuçlarla karşılaştı. Bu gibi sebeplerle siber güvenlik, şirketlerin gündeminde üst sıralara yükselmeye ve siber saldırılara dair endişeler, şirketlerin en üst seviyelerine dek uzanmaya devam ediyor.
Siber saldırılar şirketlere milyonlarca dolara mal olsa da yöneticilerin %40’ından azı, bazı alanlarda siber güvenlik risklerine maruz kalma ihtimalini tamamıyla kontrol altına aldığını ifade ediyor. Bu alanların arasında; uzaktan ve hibrid çalışmanın mümkün hale getirilmesi (%38’i siber risklerin kontrol altına alındığını söylüyor), bulut sistemlere geçişin hızlanması (%35), nesnelerin interneti kullanımının artması (%34) ve tedarik zincirinin giderek dijitalleşmesi (%32) bulunuyor.
Araştırmaya katılan operasyon odaklı yöneticiler arasında, tedarik zincirinin siber güvenliği öne çıkan bir endişe. 10 katılımcıdan 9’u tedarik zincirinde aksaklık yaratan bir siber saldırı karşısında şirketlerinin dayanıklılığı hakkında endişelerini dile getiriyor. Katılımcıların %56’sı ise son derece veya çok endişeli.
Ekonomik tablodan önce güvenlik geliyor
Araştırmaya katılan her beş şirketten dördü (%79) paydaş güveninin sağlanması için siber olayların zorunlu bildiriminde karşılaştırılabilir ve tutarlı bir formatın gerekli olduğunu ifade ediyor. Dörtte üçü (%76) yatırımcılara daha çok raporlama yapmanın hem şirket hem de tüm ekosistem için faydalı olacağı konusunda hemfikir. Aynı oranda katılımcı, hükümetlerin özel sektöre yönelik siber koruma mekanizmaları geliştirmek üzere zorunlu siber saldırı bildirimlerinin oluşturduğu veri tabanını kullanması gerektiğini belirtiyor.
Siber güvenlik olaylarının zorunlu bildiriminin olumlu karşılandığı açık bir tercih olsa da araştırmaya katılan yöneticilerin yarısından azı (%42) belirtilen raporlama sürecinde önemli/kayda değer bir olay hakkında şirketlerinin gerekli bilgiyi sağlayabileceğinden tamamen emin. Gereğinden fazla bilgi paylaşma endişesi söz konusuyken, katılımcıların %70’i kamuyla daha fazla bilgi paylaşmanın ve şeffaflığın da risk oluşturduğunu ve rekabet avantajının kaybına sebep olabileceğini söylüyor.
Araştırmaya katılan yöneticilerin çoğu, şirketlerinin siber bütçesini artırmaya devam ettiğini ifade ediyor: %69’u 2022’de bütçenin arttığını, %65’i ise 2023’te siber alana yapılacak harcamaları artırmayı düşündüğünü bildiriyor. Bütçe artışı, siber dayanıklılık planlamasının şirketlerin gündeminde ilk sıralarda olduğu gerçeğini yansıtıyor. Ankete göre, yıkıcı bir siber saldırı riski şirketlerin dayanıklılık planlamasında küresel ekonomik durgunluk veya bir başka sağlık krizinden daha üst sıralarda yer alıyor.