Güvenlik 16 TEMMUZ 2013 / 13:51

Veri sızıntılarının çoğu insan ve sistem hatalarından kaynaklanıyor

Symantec ve Ponemon Enstitüsü tarafından 5 Haziran’da açıklanan “Veri İhlalleri Maliyeti Araştırması 2013: Küresel Analiz” sonuçlarına göre, 2012 yılında gerçekleşen veri sızıntılarının üçte ikisi insan ve sistem hatalarından kaynaklanıyor.



Veri sızıntılarının küresel çapta kayıt başına maliyeti ise ortalama 136 ABD dolarına yükselmiş bulunuyor. Raporda yer verilen sorunlar arasında çalışanların gizli bilgiyi hatalı yönetmesi, sistem kontrollerinin eksikliği ile endüstri ve devlet yönetmeliklerinin ihlalleri bulunuyor. Sağlık, finans ve eczacılık gibi katı yönetmelikleri bulunan alanlarda veri sızıntısı maliyetlerinin diğer endüstrilere kıyasla yüzde%70 oranında daha fazla olduğu görülüyor.

Güvenliği ihlal edilmiş müşteri kaydı başına küresel maliyet önceki yıla göre artış gösterirken ABD’deki veri sızıntısı başına toplam maliyet az bir düşüşle 5,4 milyon $ oldu. Bu düşüşün bilgi güvenliği yöneticilerinin (CISO’lar) kapsamlı çalışmaları sayesinde gerçekleştiği gözlemleniyor; bir diğer deyişle bilgi güvenliği yöneticilerinin kurum genelinde sorumluluk almaları, kapsamlı olay müdahale planlaması yapmaları ve daha etkin güvenlik programları uygulamaları ABD’de veri sızıntısı maliyetlerinin düşme nedeni olarak gösteriliyor.

Ponemon Enstitüsü Başkanı Larry Ponemon araştırmayla ilgili olarak şunları söyledi:
“Harici saldırılar ve gelişen yöntemleri şirketlere büyük tehdit oluştururken içeriden gelen tehditler de aynı derecede yıkıcı ve sinsi olabiliyor. Veri sızıntısı maliyetleri üzerine yapılan sekiz yıllık araştırma sonucunda, çalışanların neden olduğu veri sızıntılarının, araştırmanın başında toplanan ilk verilere kıyasla yüzde 22 oranında artış göstermesinin şirketlerin karşılaştığı en önemli sorun olduğunu tespit etmiş bulunuyoruz.”

Symantec Bilgi Güvenliği Grubu Başkan Yardımcısı Anil Chakravarthy araştırmayı şu şekilde yorumladı:
“Güçlü güvenlik önlemlerine ve olay müdahale planlarına sahip olan işletmelerin diğerlerine oranla yüzde 20 daha az maliyetle karşılaşmaları iyi koordine edilmiş bütünsel yaklaşımın önemini açıkça ortaya koyuyor. Şirketler, PC’de, mobil cihazda, şirket ağında veya veri merkezinde depolanan gizli müşteri bilgilerini korumak zorundadır."

Sekizinci yılına giren küresel rapor, ABD, İngiltere, Fransa, Almanya, İtalya, Hindistan, Japonya, Avusturalya ve Brezilya gibi ülkeleri de kapsayan dokuz ülkeden 277 şirketin karşılaştığı veri sızıntısı deneyimlerini temel alıyor. Dokuz ülkeye ait ve küresel özet raporlarına http://bit.ly/10FjDik adresinden ulaşabilirsiniz. Raporda incelenen tüm veri sızıntısı olayları 2012 takvim yılı içinde gerçekleşirken Ponemon Enstitüsü, eğilim verilerinin doğru olarak izlenmesi için 100,000’den fazla güvenliği ihlal edilmiş kayıttan “mega veri sızıntılarını” rapora dahil etmedi.

Şirketler Symantec Veri İhlali Risk Hesaplayıcısı sayfasını ziyaret ederek organizasyonun büyüklüğünü, endüstriyi, lokasyon ve güvenlik önlemlerini göz önünde bulundurarak kayıt başına ve organizasyon kapsamında karşılaşabilecekleri olası maliyetlerin yaklaşık değerlerini ve kendi risk seviyelerini öğrenebiliyorlar.

Öne çıkan diğer bulgular:

• Veri sızıntısı başına ortalama maliyet ülkeden ülkeye farklılık gösteriyor

Bu farkların çoğu, şirketlerin karşılaştığı tehditlerin türünden ve ilgili ülkenin veri koruma kanunlarından kaynaklanıyor. Almanya, Avustralya, Birleşik Krallık ve ABD gibi ülkeler veri gizliliği ve siber güvenliği güçlendiren daha köklü tüketici koruma yasalarına ve yönetmeliklerine sahip. ABD ve Almanya en yüksek veri sızıntısı maliyetleriyle (güvenliği ihlal edilmiş kayıt başına sırasıyla ortalama 188$ ve 199$ olarak) karşılaşmaya devam ediyor. Bu iki ülke ayrıca veri sızıntısı başına en yüksek toplam maliyete (ABD 5.4 milyon $ ve Almanya 4.8 milyon $) sahip ülkeler oldu.

• İnsan ve sistem hataları veri sızıntılarının temel nedenleri

İnsan hataları ve sistemsel sorunlar küresel olarak gerçekleşen veri sızıntılarının yüzde 64’ünü oluştururken daha önceki rapora göre çalışanların yüzde 62’si kurumsal verinin şirket dışına çıkarılmasını kabul edilebilir görürken büyük çoğunluğu veriyi silmeyip dışarıya sızdırılmaya elverişli şekilde bırakıyor. Bu tablo şirket içindekilerin veri sızıntılarına nasıl katkıda bulunduklarını ve bu gibi durumların ne kadar maliyetli olabileceğini gösteriyor. Brezilyalı şirketlerde karşılaşılan sızıntıların çoğu insan hatası nedeniyle gerçekleşiyor. Hindistan’daki şirketlerin veri sızıntıları çoğunlukla sistem arızaları veya iş akışlarındaki sorunlar nedeniyle yaşanıyor. Sistem arızaları ise uygulama hatalarını, istemsiz veri dökümlerini, veri transferlerinde yaşanan mantık hatalarını, kişilik veya kimlik doğrulama sorunlarını (haksız erişim), veri kurtarma hatalarını ve daha fazlasını kapsıyor.

• Kötü amaçlı ve suç kapsamındaki saldırılar en yüksek maliyetleri doğuruyor

Kümülatif sonuçlara göre kötü amaçlı veya kriminal saldırılar veri sızıntılarının yüzde 37’sini oluşturuyor ve dokuz ülkede en yüksek maliyetli veri sızıntısı vakaları olarak öne çıkıyor. Kötü amaçlı ve kriminal saldırılardan kaynaklı en yüksek maliyetli veri sızıntısı vakaları 277 dolar ve güvenliği ihlal edilmiş kayıt başına 214 dolar olarak Amerikan ve Alman şirketlerinde gerçekleşirken, en düşük maliyetli veri sızıntısı vakaları 71 dolar ve güvenliği ihlal edilmiş kayıt başına 46$ olarak Brezilya ve Hindistan’da gerçekleşti. Ayrıca en fazla kötü amaçlı veya kriminal saldırılara Alman firmalar hedef olurken, onları Avustralya ve Japon şirketleri takip etti.

• Bazı organizasyonel faktörler maliyeti düşürüyor

Veri sızıntısı maliyetlerinde en büyük düşüş sahip oldukları katı güvenlik kuralları, olay müdahale planları ve bilgi güvenliği yönetimi sayesinde Amerikalı ve İngiliz şirketlerinde yaşandı. Amerikalı ve Fransız firmalar ise veri sızıntısı süreç iyileştirme danışmanları ile maliyetleri düşürdü.

Symantec, veri sızıntılarını engellemek ve gerçekleşmesi durumunda maliyeti düşürmek için aşağıdaki önlemleri öneriyor:

1. Çalışanları eğitin ve gizli bilgiler işlenirken güvenliklerinin nasıl sağlanması gerektiği konusunda bilgilendirin.

2. Gizli bilgilere dışarıdan erişim ve şirket dışına çıkmasını engellemek için veri kaybını engelleyici teknolojiler kullanın.

3. Şifreleme ve güçlü kimlik doğrulama çözümleri kullanın.

4. Müşteri bilgilendirmesi için de gerekli adımları içeren bir olay müdahale planı hazırlayın.