bencede
New member
Şirketler ve otoriteler BT güvenliği için çok daha fazlasını yapmalı ve özellikle profesyonel saldırganlara karşı kendilerini daha profesyonel bir şekilde korumalıdır. Aksi takdirde ekonomik zarar çok büyük olabilir. Federal Anayasayı Koruma Dairesi (BfV) Başkan Yardımcısı Sinan Selen ve Bitkom Başkanı Ralf Wintergerst, konuyla ilgili 1002 şirket arasında yapılan anketi sunarken bunun altını çizdi. Ayrıca işbirliğinin geliştirilmesi gerekiyor ama iyi haberler de var.
Duyuru
Bitkom araştırmasında 10’dan fazla çalışanı olan şirketlerin neredeyse dörtte üçü geçen yıl hack’lendiklerini söylüyor. Buna BT endüstrisi derneklerinin çalınması, endüstriyel casusluk veya sabotaj da dahildir. Ankete katılan şirketlerin %8’i bundan şüpheleniyor.
Bitkom, ekonominin 206 milyar avro zarara uğrayacağını hesaplıyor. En büyük kalem: imaja verilen zarar – şirketler tarafından 35,3 milyar avro olarak tahmin ediliyor; bu da şirketlerin üretim süreçlerindeki sorunlar nedeniyle karşılaştığı 35 milyar avronun biraz üzerinde bir zarar. Buna, hukuki ihtilafların yaklaşık 30 milyar avroyu bulan yüksek maliyetleri, soruşturma çalışmaları ve 25 milyar avroyu bulan ikame tedbirleri de ekleniyor.
Ankette ekonominin yüzde 46’sının Rusya, yüzde 42’sinin ise Çin kaynaklı saldırılardan etkilendiği ortaya çıktı. Siber saldırılar arasında kimlik avı, şifre saldırıları, kötü amaçlı yazılım bulaşmaları ve fidye yazılımları, 2023 yılında şirketler tarafından bildirilen olaylar listesinin başında yer alıyor. Şirketlerin %52’si, siber saldırıların kendi varlıklarına yönelik bir tehdit oluşturabileceğine inanıyor.
yatırım yapma isteği
Bu yüksek değerlere rağmen Wintergerst için hâlâ iyi haberler vardı: şirketler siber güvenliğe yatırım yapma konusunda giderek daha istekli hale geliyor; şirketler artık BT bütçelerinin %14’ünü BT güvenliğine harcamak istiyor. Ancak Bitkom Başkanı şu uyarıyı da yaptı: “Para tek başına yeterli değil. Mantık da öyle çünkü işin her zaman yüzde 50’si teknoloji. Geriye kalan yüzde 50’si bilgisayar başında oturuyor.” Bu nedenle eğitim önemli bir faktördür.
(Resim: Bitkom)
BfV yalnızca siyasi casusluğa karşı savunmadan değil aynı zamanda endüstriyel casusluğa karşı da sorumludur. Selen, ofisinin “küçük ve orta ölçekli işletmelerin ve özel hanelerin son cihazlarının neredeyse düşmanca bir şekilde ele geçirildiği” yönündeki mevcut uyarılarına atıfta bulunarak, “Devlet kontrolündeki siber saldırı kampanyalarının daha profesyonel, agresif ve çevik olduğunu görüyoruz” dedi. Siber faaliyetler ve siber saldırılar gerçekleştirin.” Bu, saldırganların kolayca tehlikeye atılan ortamlara yerleşerek ve bunları proxy olarak kullanarak kamuflajlarını iyileştirme girişimidir.
Duyuru
BfV’nin başkan yardımcısı, bu amaçla tüm bant genişliği boyunca SOHO terminallerinin kullanıldığını ve bunun “özellikle devlet aktörleri için bir sorun” olduğunu açıklıyor. Bu ortamlar saldırganlara daha fazla esneklik sunuyor; SOHO alanındaki sertleşme “örneğin büyük şirketlerin gelişmiş güvenlik sistemlerinde gördüğümüzden önemli ölçüde daha düşük”. Ancak Selen, “değerli erişim, iletişim ve hassas veriler elde etmek için kampanyaların tedarik zincirinin farklı noktalarında başlayıp hizmet sağlayıcılar ve birincil hedef ortaklarla başladığı” konusunda da uyardı.
Daha fazla önleme ihtiyacımız var
Önleme, tespit ve müdahale açısından daha fazlasını yapmamız, daha hızlı ve her şeyden önemlisi daha pragmatik hareket etmemiz gerekiyor. Selen, “Muadilimiz esnektir, bütünsel hareket eder ve yaklaşımını sürekli olarak ayarlar. Bu, ülkemizin, Almanya’nın ve Alman ekonomisinin savunmaya hazırlığı için de geçerli olmalıdır” dedi. Ve bilgisayar başındaki çalışandan CEO’ya kadar katılan herkesten analog tehdit ve dijital tehdit durumuna gerçekçi ve mantıklı bir bakış atmasını istedi. Özellikle kaynak kullanımı açısından hâlâ iyileştirmeye açık alan var. Her şeyden önce, “devlet savunma makamlarının tedbirleri ile devlet dışı ortakların tedbirleri arasında daha yakın bir etkileşim” önemlidir.
Oraya ulaşmanın olası bir yolu: raporlama yükümlülüğü. Bitkom’un anketine katılan şirketlerin yüzde 84’ü siber saldırıların bildirilmesinden yanayken, yüzde 80’i de bürokratik yükün çok fazla olmasından şikayetçi. BSI Yasasında yapılan NIS2 değişiklik yasası, gelecekte siber güvenlik olaylarını federal yetkililere bildirmesi gereken kuruluşların sayısını önemli ölçüde artıracak; Kritis çerçeve yasası kapsamında fiziksel olaylar için benzer bir raporlama yükümlülüğü daha az sayıda şirkete ait olacak.
Selen, yeni düzenlemelerin aşırı yük yaratmasından korkmuyor: “BSI’daki meslektaşlarımızla birlikte aldığımız her rapordan mutluyum”. Bu bir yandan durumu netleştiriyor, diğer yandan bu ilişkiler temelinde uluslararası işbirliği kolaylaştırılıyor. Wintergerst ayrıca planlanan genişlemeyi de memnuniyetle karşıladı: “Raporlama yükümlülüğü, en azından tüm ekonominin, meydana gelen vakaların ve bunların arkasındaki kalıpların temsili bir görünümüne olanak tanıyor.” Ancak şirketleri raporlamanın iyi bir şey olduğuna ikna etmek için hâlâ yapılması gereken işler var.
Bitkom Başkanı Wintergerst başka bir alanda da ikna etmek istiyor: Fidye yazılımı saldırıları durumunda, “bunun için mutlaka para ödemeye değmez”. Çünkü fidye ödendikten sonra sistemlerin tekrar çalışacağı hiçbir şekilde garanti edilmiyor. Selen basit bir genel kural ekledi: “Yama sistemleri daha ucuz.”
(başvuru)
Haberin Sonu
Duyuru
Bitkom araştırmasında 10’dan fazla çalışanı olan şirketlerin neredeyse dörtte üçü geçen yıl hack’lendiklerini söylüyor. Buna BT endüstrisi derneklerinin çalınması, endüstriyel casusluk veya sabotaj da dahildir. Ankete katılan şirketlerin %8’i bundan şüpheleniyor.
Bitkom, ekonominin 206 milyar avro zarara uğrayacağını hesaplıyor. En büyük kalem: imaja verilen zarar – şirketler tarafından 35,3 milyar avro olarak tahmin ediliyor; bu da şirketlerin üretim süreçlerindeki sorunlar nedeniyle karşılaştığı 35 milyar avronun biraz üzerinde bir zarar. Buna, hukuki ihtilafların yaklaşık 30 milyar avroyu bulan yüksek maliyetleri, soruşturma çalışmaları ve 25 milyar avroyu bulan ikame tedbirleri de ekleniyor.
Ankette ekonominin yüzde 46’sının Rusya, yüzde 42’sinin ise Çin kaynaklı saldırılardan etkilendiği ortaya çıktı. Siber saldırılar arasında kimlik avı, şifre saldırıları, kötü amaçlı yazılım bulaşmaları ve fidye yazılımları, 2023 yılında şirketler tarafından bildirilen olaylar listesinin başında yer alıyor. Şirketlerin %52’si, siber saldırıların kendi varlıklarına yönelik bir tehdit oluşturabileceğine inanıyor.
yatırım yapma isteği
Bu yüksek değerlere rağmen Wintergerst için hâlâ iyi haberler vardı: şirketler siber güvenliğe yatırım yapma konusunda giderek daha istekli hale geliyor; şirketler artık BT bütçelerinin %14’ünü BT güvenliğine harcamak istiyor. Ancak Bitkom Başkanı şu uyarıyı da yaptı: “Para tek başına yeterli değil. Mantık da öyle çünkü işin her zaman yüzde 50’si teknoloji. Geriye kalan yüzde 50’si bilgisayar başında oturuyor.” Bu nedenle eğitim önemli bir faktördür.
(Resim: Bitkom)
BfV yalnızca siyasi casusluğa karşı savunmadan değil aynı zamanda endüstriyel casusluğa karşı da sorumludur. Selen, ofisinin “küçük ve orta ölçekli işletmelerin ve özel hanelerin son cihazlarının neredeyse düşmanca bir şekilde ele geçirildiği” yönündeki mevcut uyarılarına atıfta bulunarak, “Devlet kontrolündeki siber saldırı kampanyalarının daha profesyonel, agresif ve çevik olduğunu görüyoruz” dedi. Siber faaliyetler ve siber saldırılar gerçekleştirin.” Bu, saldırganların kolayca tehlikeye atılan ortamlara yerleşerek ve bunları proxy olarak kullanarak kamuflajlarını iyileştirme girişimidir.
Duyuru
BfV’nin başkan yardımcısı, bu amaçla tüm bant genişliği boyunca SOHO terminallerinin kullanıldığını ve bunun “özellikle devlet aktörleri için bir sorun” olduğunu açıklıyor. Bu ortamlar saldırganlara daha fazla esneklik sunuyor; SOHO alanındaki sertleşme “örneğin büyük şirketlerin gelişmiş güvenlik sistemlerinde gördüğümüzden önemli ölçüde daha düşük”. Ancak Selen, “değerli erişim, iletişim ve hassas veriler elde etmek için kampanyaların tedarik zincirinin farklı noktalarında başlayıp hizmet sağlayıcılar ve birincil hedef ortaklarla başladığı” konusunda da uyardı.
Daha fazla önleme ihtiyacımız var
Önleme, tespit ve müdahale açısından daha fazlasını yapmamız, daha hızlı ve her şeyden önemlisi daha pragmatik hareket etmemiz gerekiyor. Selen, “Muadilimiz esnektir, bütünsel hareket eder ve yaklaşımını sürekli olarak ayarlar. Bu, ülkemizin, Almanya’nın ve Alman ekonomisinin savunmaya hazırlığı için de geçerli olmalıdır” dedi. Ve bilgisayar başındaki çalışandan CEO’ya kadar katılan herkesten analog tehdit ve dijital tehdit durumuna gerçekçi ve mantıklı bir bakış atmasını istedi. Özellikle kaynak kullanımı açısından hâlâ iyileştirmeye açık alan var. Her şeyden önce, “devlet savunma makamlarının tedbirleri ile devlet dışı ortakların tedbirleri arasında daha yakın bir etkileşim” önemlidir.
Oraya ulaşmanın olası bir yolu: raporlama yükümlülüğü. Bitkom’un anketine katılan şirketlerin yüzde 84’ü siber saldırıların bildirilmesinden yanayken, yüzde 80’i de bürokratik yükün çok fazla olmasından şikayetçi. BSI Yasasında yapılan NIS2 değişiklik yasası, gelecekte siber güvenlik olaylarını federal yetkililere bildirmesi gereken kuruluşların sayısını önemli ölçüde artıracak; Kritis çerçeve yasası kapsamında fiziksel olaylar için benzer bir raporlama yükümlülüğü daha az sayıda şirkete ait olacak.
Selen, yeni düzenlemelerin aşırı yük yaratmasından korkmuyor: “BSI’daki meslektaşlarımızla birlikte aldığımız her rapordan mutluyum”. Bu bir yandan durumu netleştiriyor, diğer yandan bu ilişkiler temelinde uluslararası işbirliği kolaylaştırılıyor. Wintergerst ayrıca planlanan genişlemeyi de memnuniyetle karşıladı: “Raporlama yükümlülüğü, en azından tüm ekonominin, meydana gelen vakaların ve bunların arkasındaki kalıpların temsili bir görünümüne olanak tanıyor.” Ancak şirketleri raporlamanın iyi bir şey olduğuna ikna etmek için hâlâ yapılması gereken işler var.
Bitkom Başkanı Wintergerst başka bir alanda da ikna etmek istiyor: Fidye yazılımı saldırıları durumunda, “bunun için mutlaka para ödemeye değmez”. Çünkü fidye ödendikten sonra sistemlerin tekrar çalışacağı hiçbir şekilde garanti edilmiyor. Selen basit bir genel kural ekledi: “Yama sistemleri daha ucuz.”
(başvuru)
Haberin Sonu