Kaspersky Lab tarafından 2015 yılında B2B International ortaklığıyla Türkiye’nin de aralarında olduğu 28 ülkedeki 5.500’den fazla şirkette gerçekleştirilen uluslararası bir araştırma; en pahalı güvenlik ihlali türlerinin çalışan dolandırıcılığı, siber casusluk, ağ ihlalleri ve üçüncü taraf tedarikçilerinin hataları olduğunu gösterdi. Bir güvenlik ihlalinden kurtulmak için gerekli olan ortalama bütçe, büyük kurumlar için 551.000 ABD Doları, küçük ve orta ölçekli işletmeler için ise 38.000 ABD Doları.
BT güvenlik sistemlerindeki ciddi bir ihlal, pek çok kurumsal soruna neden oluyor. Verilen zararlar çok çeşitli olabileceği için, bazen kurbanların bir ihlalin toplam maliyetini tahmin edebilmesi zor oluyor. Bu araştırmada kullanılan yöntemler, şirketlerin bir ihlali takip ederken para harcamak ya da bir ihlalin sonucu olarak para kaybetmek zorunda kaldığı alanları ortaya koymak için önceki yılların verilerine dayandırıldı. Genel olarak işletmeler, profesyonel hizmetler için (dışarıdan gelen BT uzmanları, avukatlar, danışmanlar, vb.) daha fazla para harcamak ve kaybedilen iş fırsatları ile kesintiler yüzünden daha az para kazanmak zorunda kalıyorlar.
Farklı her sonucun gerçekleşme olasılığı da farklıdır ve şirketin boyutuyla birlikte bu durum da göz önünde bulundurulmalı. Dolaylı harcamaların tahmin edilmesi için benzer bir yöntem kullanıldı: kurtarmadan sonra işletmelerin bu konuya ayırdığı bütçe yine de bir güvenlik ihlaline bağlıdır. Bu yüzden yukarıda bahsedilen rakamların yanı sıra işletmeler; istihdam, eğitim ve altyapı yükseltmeleri için 8.000 ABD Dolarından (Küçük ve Orta Ölçekli İşletmeler) 69.000 ABD Dolarına (Kurumlar) varan tutarlarda harcama yapmakta.
İhlale uğramış bir kurumun ortalama faturası:
Profesyonel hizmetler (BT, risk yönetimi, avukatlar): %88 olasılıkla 84 bin ABD Doları’na kadar
Kaybedilen iş fırsatları: 203 bin ABD Doları’na kadar, %29 olasılık
Çalışmama süresi: 1.4 milyon ABD Doları’na kadar, %30 olasılık
Toplam ortalama: 551.000 $
Dolaylı harcama: 69 bin ABD Doları’na kadar
İtibarın gördüğü zararla birlikte: 204.750 ABD Doları’na kadar
Küçük ve orta ölçekli işletmeler ve kurumlar: görülen farklı zararlar
Araştırmaya katılan on şirketten dokuzu, en az bir güvenlik olayı rapor etti. Ancak bütün olaylar ciddi değildi ve/veya hassas verilerin kaybına neden olmamıştı. Ciddi bir güvenlik ihlali sıklıkla; kötü amaçlı yazılım saldırısı, kimlik avı, verilerin çalışanlar tarafından sızdırılması ve zayıf noktalarından yararlanılan yazılımların sonucu. Maliyet tahmini, BT güvenliği olaylarının ciddiyeti konusuna yeni bir bakış açısı kazandırıyor ve küçük ve orta ölçekli işletmeler ile kurumlar için manzara farklı.
Büyük şirketler, bir güvenlik ihlali güvenilen bir üçüncü tarafın hatasının sonucu olduğunda daha fazla para ödüyor. Diğer yüksek masraflı ihlal türleri arasında ise çalışanların dolandırıcılığı, siber casusluk ve ağ ihlalleri yer alıyor. Küçük ve orta ölçekli işletmeler, neredeyse her ihlal türünde ciddi miktarda para kaybetme eğilimi gösterirken DDoS ve kimlik avı saldırılarının yanı sıra casusluk eylemlerinden kurtulmak için de benzer şekilde yüksek bedeller ödüyor.
Kaspersky Lab Pazar İstihbarat Ekibi Başkanı Brian Burke, “BT güvenlik ihlallerinin çok büyük para kayıplarıyla sonuçlandığı çok fazla rapor görmedik. Bir ortalama ortaya koyan güvenilir bir yöntem bulmak zor ancak bunu yapmak, kurumsal tehdit manzarasının teorisini iş uygulamasıyla birleştirmek zorunda olduğumuzu anladık. Sonuç olarak, en ciddi zararlara neden olan kurumsal tehditlerin bir listesini oluşturduk; işletmelerin en çok bu tehditlere dikkat etmesi gerektiğine inanıyoruz,” şeklinde yorum yaptı.
