Kaspersky Çalışan Sağlığı 2021 raporu, kuruluşların düzenli olarak çalışan veri sızıntısı ile karşı karşıya olduğunu, ancak bunların neredeyse yarısının bu olayları kamuya açıklamamayı tercih ettiğini ortaya koyuyor. Türkiye’de ise bu oran yüzde 19 ile nispeten oldukça düşük kalıyor. İşletmelerin yalnızca yüzde 44’ü BT güvenliği eğitimi sunduğundan, personel kendilerini korumak için temel siber güvenlik bilgisinden yoksun kalabiliyor.
Başarılı bir kurumsal siber savunma, her düzeydeki çalışan güçlerini birleştirmeden mümkün olamayacak bir kavram. Teknoloji siber saldırıları önlemek için önemli olsa da, olayların yüzde 85’inde insan faktörleri hala çok önemli bir rol oynadığı biliniyor. Kaspersky’nin BT karar vericilere yönelik küresel anketi, kuruluşların ve çalışanların bu konuda ne iş birliğine ne kadar hazır olduğuna ve kendilerini, müşterilerini ve birbirlerini ne kadar iyi koruduğuna ilişkin bilgileri aktardı.
Müşteri bilgilerinin çalınmasıyla ilişkili yüksek profilli veri ihlali vakalarına rağmen, çalışanların kişisel verileri siber suçlular arasında da oldukça popüler. 2021’de kuruluşların yüzde 35’i çalışanlarının verilerinin tam güvenliğini sağlayamadı ve bu tür bilgileri içeren olaylarla karşılaştı.
Etkilenen kuruluşların yüzde 45’inin kişisel çalışan verilerinin ihlalini kamuya açıklamaması, sorunun göründüğünden daha büyük olduğunun bir işareti olarak algılandı. Geri kalanların yüzde 43’ü olayla ilgili bilgileri proaktif olarak paylaşırken, yüzde 12’si bunu medyaya sızdırıldıktan sonra yaptı. Bu, kurumsal veya müşteri veri ihlallerine kıyasla bu tür sızıntının en az ifşa edilen sızıntı türü olduğunu gösteriyor.
Kaspersky Kurumsal İşlerden Sorumlu Genel Müdür Yardımcısı Evgeniya Naumova, “Bir kuruluş siber olayla karşı karşıya kaldığında doğru kriz iletişimi, müdahale ve kurtarma eylemleri kadar önemlidir. Veri ihlali riski her zaman vardır ve işletmeler bunu proaktif olarak açıklamanın basında ifşa etmekten daha iyi olduğunu kabul etmelidir. Uygun, doğru ve zamanında iletişim yalnızca potansiyel itibar zararını en aza indirmekle kalmaz, aynı zamanda doğrudan finansal kayıpları da büyük ölçüde azaltabilir. Panik veya karışıklığı önlemek için bir şirketin net bir kriz planı geliştirmeyi düşünmesi ve çalışanları önceden eğitmesi gerekir. Kurumsal iletişim uzmanları ve BT güvenlik ekipleri, siber güvenlik içgörüleri hakkında bilgi alışverişinde bulunmak ve acil bir durumda hem iç hem de dış iletişimleri doğru bir şekilde ele almaya yardımcı olabilecek kılavuzları, araçları, kanalları ve dili belirlemek için iş birliği yapmalıdır.” konuyu bu ifadelerle yorumladı.
Potansiyel siber güvenlik olayları hakkında harici bilgi eksikliği genellikle dahili çabalarla azaltılamaz. Araştırmaya göre, kuruluşların yalnızca yüzde 44’ü, çalışanlara önemli bilgiler verilmesini sağlamak için güvenlik eğitimi ve öğretimi uygulamış. Ayrıca bu şirketlerin yarısından fazlası bu hizmetlerin kalitesiyle ilgili en az bir sorunla karşılaştığını ifade ediyor. Bu, kursların karmaşasından doğan memnuniyetsizliği ve eğitimleri sunanların destek veya uzmanlık konusundaki eksikliğini içeriyor.
İhlallerin önlenmesi, kurumsal sistemlerle etkileşime giren saldırganlar için potansiyel bir hedef olabilecek herkesin birlikte hareket etmesini gerektiriyor. Çalışanların güvenliğini güçlendirmek için şirketler, güvenilir koruyucu önlemleri ekipleri arasındaki güvenlik bilinciyle bir araya getirmelidir. Bunun için yazılımın yamalanması ve güncellenmesinin gerektiği belirtildi. Ayrıca hassas veriler için güçlü şifreler ve çift faktörlü doğrulamanın kullanılması, önemli verilere erişimi olan kişi sayısının azaltılması, çalışanlara siber güvenlik konusunda eğitim verilmesinin de önemli olduğunun altı çizildi.
