Aspen Institute ve Intel Security tarafından sonuçları bugün açıklanan ankete göre, kritik altyapı şirketlerinde çalışan bilgi teknolojileri (BT) yöneticileri (ankete katılanların %86'sı), artan siber güvenlik tehditlerine karşı tedbir alabilmek için tehdit istihbaratının paylaşılmasına yönelik kamu-özel ortaklığına ihtiyaç duyulduğunu düşünüyor. Ankete yanıt verenlerin çoğunluğu (%76) ulusal sınırlar içerisinde kritik bir altyapı şirketi siber saldırı sonucunda zarar gördüğünde ulusal savunma gücünün müdahale etmesi gerektiğini savunuyor. Ayrıca, ankete yanıt verenlerin çoğu şirketlerine karşı tehditlerin arttığını kabul ediyor ancak mevcut güvenlik tedbirlerine güvenlerinin yüksek olduğunu belirtiyor.
Holding the Line Against Cyber Threats: Critical Infrastructure Readiness Survey başlıklı anket, araştırmaya katılan kritik altyapı sağlayıcılarının son üç yıl içerisinde siber güvenliği artırmak için sarf ettikleri çabaların sonuçlarından memnun olduklarını ortaya çıkardı ancak diğer taraftan bazı şirketler (%70) saldırıların giderek arttığını düşünüyor. Yanıt verenlerin neredeyse yarısına göre (%48), önümüzdeki üç yıl içerisinde kritik altyapıya yüksek ihtimalle bir siber saldırı gerçekleştirilecek ve bu da sonuç olarak büyük ihtimalle insan hayatına mal olacak.
Türkiye'de Kritik Altyapı Savunmasına Büyük Önem Veriliyor
Intel Security Türkiye ve Azerbaycan Direktörü İlkem Özar ise son yıllarda ülkemizde de, başta enerji, finans, telekom vb. olmak üzere tüm kritik altyapılarımızın savunmasına stratejik bir yaklaşımla büyük önem verildiğini ve yatırım yapıldığını belirtirken, kritik altyapıların korunması için kamu-özel sektör işbirliğinin öneminin altını çiziyor. Riskleri en aza indirgemek içinse eğitim verilmesinin yanı sıra, uzmanlık oluşturulmasının da kilit bir nokta olduğunun vurguluyor.
Aspen Institute'te Homeland Security Program Direktörü Clark Kent Ervin, anket verilerinin siber saldırıları önlemek ve bu saldırılara karşı savunma yapmak için kamu ve özel sektörün çıkarlarının nasıl birleştirilebileceğine dair yeni ve hayati önemde bazı konuları gündeme getirdiğini vurguluyor ve politika yapıcılar ile kurumsal liderlerin bu sorunu benzer şekilde ele alması gerektiğini öğütlüyor.
Anket sonuçları, kritik altyapı sağlayıcıları ile mevcut tehdit ortamı arasında bir kopukluk olabileceğini gösteriyor:
İyileştirmeler Fark Ediliyor: Ankete yanıt verenler, son üç yıl içerisinde kendilerinin siber saldırılara karşı zafiyetinin azaldığına inanıyor. Katılımcılardan geriye dönük olarak güvenlik durumlarını değerlendirmeleri istendiğinde, %50'si üç yıl öncesinde şirketlerini "çok veya oldukça çok" zayıf olarak değerlendireceklerini belirtirken, buna karşın sadece %27'si şirketlerinin şu anda "çok veya oldukça çok" zayıf olduğunu düşünüyor.
Devlet Katılımı Teşvik Ediliyor: Konu devletin özel sektörün işine dahil olmasına geldiğinde özel sektör genellikle çekimser kalıyor; ancak ankete yanıt verenlerin %86'sı altyapının korunması alanında kamu ve özel sektör arasındaki işbirliğinin başarılı bir siber savunma için kritik olduğunu düşünüyor. Ayrıca, katılımcıların %68'si kendi hükümetlerinin de siber güvenlik alanında değerli ve hatırı sayılır bir ortak olabileceğine inanıyor.
Mevcut Çözümlere Güven Duyuluyor: Ankete yanıt verenlerin yüzde altmış dördü, iyi düzeyde BT güvenlik tedbirlerinin halihazırda uygulanması sayesinde ölümcül bir saldırının henüz gerçekleşmediğini düşünüyor. Anket katılımcılarının %84'ü, uç nokta koruması, ağ güvenlik duvarı ve güvenli web ağ geçidi gibi kendi güvenlik araçlarının performansından memnun veya çok memnun olduğunu ifade ediyor.
Aksaklıklar Artıyor: Ankete yanıt verenlerin %70'inden fazlası, şirketlerindeki siber güvenlik tehdit düzeyinin giderek yükseldiğini düşünüyor. Ankete yanıt veren her on kişiden yaklaşık dokuzu (%89), son üç yıl içerisinde şirketlerinde güvenli olduğunu düşündükleri bir sistem üzerinde en az bir saldırı yaşadıklarını söylüyor, bu da yılda ortalama 20 saldırıya tekabül ediyor. Katılımcıların %41'i, bu saldırıların sonucunda fiziksel bir hasar yaşandığını belirtiyor.
İnsan Hayatına Mal Oluyor Mu?: Ankete yanıt verenlerin yüzde kırk sekizi, önümüzdeki üç yıl içerisinde kritik altyapıda insan hayatına mal olan bir siber saldırısının gerçekleşme ihtimalinin bulunduğunu düşünüyor; ancak ankete yanıt verenlerin hangi koşullar altında bu saldırıların insan hayatına mal olacağına inandığını belirleyecek ilave sorular sorulmadı. Ankete katılanlar arasında Avrupalılara kıyasla daha fazla ABD'lilerin bu senaryonun gerçekleşme ihtimalinin "oldukça yüksek" olduğunu düşünüyor.
Kullanıcı Hatası Hala 1 Numaralı Sorun: Ankete yanıt verenler, kritik altyapıya yapılan başarılı saldırıların en büyük sebebinin kullanıcı hatası olduğuna inanıyor. Kurumlar güvenlik düzeylerini güçlendirebilirler ancak çalışanlar münferit olarak kurumlarının ağlarına başarılı bir şekilde bulaşan kimlik avı amaçlı e-postaların (phishing emails), sosyal mühendislik ve drive-by browser downloads'un kurbanı olabilir.
Devlet Müdahale Etmeli: Ankete yanıt verenlerin yüzde yetmiş altısı, ulusal sınırlar içerisinde kritik bir altyapı şirketi siber saldırı sonucunda zarar gördüğünde ulusal savunma gücünün müdahale etmesi gerektiğini savunuyor.
Ülkeler Farklı Bakış Açılarına Sahip: Ankete ABD'den yanıt verenler, Avrupalılara kıyasla kritik altyapıda insan hayatına mal olacak katastrofik bir siber saldırının gerçekleşme ihtimalinin yüksek olduğunu düşünüyor. ABD kaynaklarının %18'i önümüzdeki üç yıl içerisinde bu senaryonun gerçekleşme ihtimalinin "çok yüksek" olduğunu, ancak Almanya'daki katılımcıların %2'si ve Birleşik Krallıktaki katılımcıların %3'ü bu ihtimalin "çok yüksek" olduğunu düşünüyor.
Intel Security İcra Kurulu Başkan Yardımcısı ve Genel Müdürü Chris Young, önde gelen 80'den fazla uzmanın ulusal güvenlikle ilgili en kritik sorunları tartışacağı Colorado'nun Aspen şehrinde düzenlenecek Aspen Güvenlik Forumunda konuşma yapacak.
Anket Yöntemi
Vanson Bourne tarafından gerçekleştirilen anket kapsamında, Fransa, Almanya, Birleşik Krallık ve Amerika Birleşik Devletlerinde kurumlarının güvenlik çözümleri üzerinde nüfuza sahip BT alanındaki 625 karar alıcı ile görüşmeler yapılmıştır (ABD'de 250 görüşme ve Birleşik Krallık, Fransa ve Almanya'da 125'şer görüşme).
Ankete yanıt verenler, özel ve kamu sektöründen olup (en az 500 çalışan), kritik altyapı sektörleri olarak özellikle enerji (139 katılımcı), ulaştırma (130 katılımcı), finans (159 katılımcı) ve kamu (128) sektörlerinin temsilcilerinden oluşmaktaydı. Vanson Bourne ve Intel Security tarafından gerçekleştirilen bu araştırma gibi anket çalışmalarında, veriler tek bir zaman diliminde toplanmaktadır ve bu çalışmalarda karmaşık ve nüansları bulunan yanıtları elde etme imkanı sınırlıdır. Ayrıca, bu anket çalışmaları uzun vadeli sonuçları bağımsız olarak destekleyemez.