Amerika Birleşik Devletleri (ABD) Menkul Kıymetler ve Borsa Komisyonu’nun (Securities and Exchange Commission-SEC) siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olayları için yeni kamuyu aydınlatma kurallarını benimsemesinden[1] bir yıl sonra, ‘EY’nin Ekim 2024’teki bir araştırmasında[2], birçok Fortune 100 şirketinin yatırımcılara daha fazla görünürlük sağlamak için gönüllü siber gözetim açıklamalarını artırdığı tespit edilmiştir.
Ancak bu, resmin sadece bir parçasıdır. 2025 yılında yönetim kurulları, siber tehditlerin ve saldırıların kapsam, hız ve karmaşıklık açısından büyüdüğü değişen bir siber risk manzarası görecektir.
Aslında, FBI’ın (ABD Federal Soruşturma Bürosu) 2024’teki internet suç raporu[3] şikâyetlerde yüzde 10’luk bir artış ve yıllık kayıplarda yüzde 22’lik bir artış olduğunu ortaya koymuştur. Siber suçlular, genellikle bir şirketin ilk savunma hattı olan çalışanları engellemek için kimlik avı, sosyal mühendislik ve diğer taktikleri geliştirdiler. Artık insan seslerini ve video görüntülerini taklit etmek için yapay zekâyı kullanabilirler. Yazılımı oluşturma becerilerine sahip değillerse, yazılımı bir hizmet olarak kullanarak ‘karanlık ağ’dan (dark web) edinebilirler.
Buna ek olarak, kuruluşlar karmaşık bilgi teknolojisi ortamları için üçüncü taraflara daha fazla güvendikçe, olası bir siber saldırının ve kritik sistem kesintilerinin yüzey alanı büyümüştür. Üretken yapay zekâ gibi ortaya çıkan teknolojilerin iş modellerini dönüştürmesi beklenmekle birlikte siber güvenlik için de etkileri olabilir.
Yönetim kurulu üyelerinin tüm olasılıklardan haberdar olması gerekir. ‘EY’nin büyük küresel kuruluşlara yönelik bir anketinde[4], yönetim kurulu üyelerinin ve yöneticilerinin önümüzdeki yıllarda kuruluşlarının en büyük bütünlük riskleri olarak çoğunlukla veri gizliliği ve güvenliğini seçtiği bulunmuştur. Bu ayrıca, yönetim kurullarının izlemesi gereken bir öncelik olan siber güvenlik altyapısının ve operasyonlarının güçlendirilmesi ihtiyacına da işaret etmektedir.
- Siber müdahale azaltma ve gözetimini/denetimini artırma
Siber güvenlik ile ilgili endişeler görünüşte sürekli bir büyüme yörüngesinde devam ederken, denetim komiteleri siber açıklamalarına ilişkin denetim konusunda çoğu zaman öncülük ediyor. 31 Mayıs itibarıyla 2024 Fortune 100 şirket açıklamalarına ilişkin bir analizde, yönetim kurulu denetim komitelerinin bu raporlamayı şirketlerin yüzde 81’inde denetlediği, bunun 2018’deki yüzde 20’den yukarı olduğu tespit edilmiştir.
Ancak siber endişeler yalnızca bir komitenin yetki alanı değildir; risk ve stratejiden yetenek ve tedarik zincirine kadar çeşitli tartışmalara gömülüdür. Siber sorunların ortaya çıktığı karmaşıklık ve sıklık ve bunların potansiyel maliyetleri göz önüne alındığında, tüm yönetim kurulunun dikkatli olması gerekir. Yönetim kurulu üyelerinin şirketin siber savunmasındaki zayıflıklara karşı korunmaya yardımcı olmak için doğru soruları sormaları ve bir siber saldırı durumunda kuruluşun nasıl yanıt vereceğini bilmeleri gerekir.
Analiz edilen şirketlerin neredeyse tamamı (yüzde 96), yönetimin yönetim kuruluna ve/veya siber güvenlik konularını denetleyen komitelere rapor verdiğini açıklamış; yüzde 84’ü ise, baş bilgi güvenliği görevlisi veya baş bilgi görevlisi (chief information security officer or chief information officer) gibi en az bir kıdemli yönetim üyesinin yönetim kuruluna siber güvenlik içgörüleri sağladığını bildirmiştir. Bu, şirketlerin yarısından fazlasında en az yılda bir veya üç ayda bir gerçekleşir.
Ayrıca, dört şirketten neredeyse üçü yönetim kurullarında siber güvenlik uzmanlığı aradıklarını açıklamıştır ki; bu, 2018’deki sayının üç katından fazladır. Yaklaşık üçte biri, en az bir yönetim kurulu direktörünün CISO, CIO veya baş teknoloji sorumlusu olarak görev yaptığını açıklamıştır.
Yaklaşık 10 kişiden üçü, yönetim kurulunun siber güvenlik ile ilgili eğitim veya öğretime katıldığını belirtirken, yüzde 82’si riski azaltmak için eğitim ve öğretimden yararlandığını bildirmiştir.
- Çerçeveler, planlar ve hazırlık eğitimleriyle siber savunmayı güçlendirmek
Günümüzün yüksek siber riskli iş ortamında, tehditlere ve saldırılara yanıt vermeye hazır olmak kritik öneme sahiptir. ‘EY’nin bu araştırmasında, şirketlerin siber güvenlik çabalarını desteklemek için harici bir çerçeve veya standart kullandıklarını açıklamalarında belirgin bir artış bulunmuştur (yüzde 57, 2018’deki yüzde 2’den artış). Neredeyse yarısı Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology) siber güvenlik çerçevesini kullandığını bildirmiş; yüzde 20’si ise Uluslararası Standardizasyon Örgütü yönergelerini (International Organization for Standardization guidelines) kullandığını belirtmiştir.
Ulusal Standartlar ve Teknoloji Enstitüsü standartlarının ve diğer çerçevelerin benimsenmesindeki artış doğru yönde atılmış bir adım olsa da, EY Amerika siber güvenlik entegrasyon lideri Jaime Kipnes şunları söylüyor: “Bu çerçeveye en son eklenen Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi’ne (Cybersecurity Framework)[5] dayalı sağlam bir siber güvenlik yönetişim işlevi kurmak, şirketlerin siber güvenlik risk yönetimi stratejilerini, beklentilerini ve politikalarını destekleyerek hızlı, verimli ve etkili siber tehdit yanıtları vermelerini sağlamak açısından önemli olacaktır.”
Yönetim kurulları ayrıca kuruluşlarının hangi dış çerçeveyi kullandığını ve nedenini bilmelidir. Çerçeve kuruluşa en iyi şekilde hizmet ediyor mu? Yönetim bugün aynı seçimi yapar mıydı?
Bu anlayışı edinmeyle birlikte, yönetim kurulu üyeleri kendilerini kuruluşun siber kriz yanıt planlarıyla tanıştırmalıdır. Planların eksiksiz ve alakalı olduğundan emin olmaları gerekir.
İster simülasyonlar, ister masa üstü tatbikatları veya bir saldırı durumunda kurumun nasıl performans gösterebileceğini görmek için diğer hazırlık testleri kullanılsın kurumsal hazır olma durumunu net bir şekilde görebilmek için, yönetim kurulu üyeleri şirketin olay müdahale hazırlığına katılmalıdır. Tatbikatlar kriz müdahale planlarında herhangi bir zayıflık ortaya çıkardı mı? Hangi boşlukların kapatılması gerekiyor ve nasıl?
Egzersizler, organizasyonu baskı altında test ettikleri ve katılımcılara özellikle bir siber suçlunun bir şirketin savunmalarını ihlal etmesi durumunda faydalı olan kas hafızasını geliştirme fırsatı sundukları için göz açıcı olabilir. Analiz setinin neredeyse yarısı, son vekâlet (proxy) raporlama döngüsünün yaklaşık 3,5 katı kadar olan bu tür testleri kullanarak ifşa etmiştir.
Siber saldırı durumunda tehlikede olan şey ve siber savunmaları kurma ve değerlendirmeyle ilişkili karmaşıklık göz önüne alındığında, şirketlerin yüzde 87’si harici danışmanlar kullandıklarını açıklamış; yönetim kurullarının yalnızca yüzde 10’u bir danışmanla anlaştıklarını bildirmiştir.
- Yönetim kurullarının etkili bir stratejiye öncülük etmesi için dikkat edilmesi gereken hususlar
Yönetim kurulu üyeleri siber güvenlik risklerinin ve kuruluşlarının bunları azaltmak için attığı adımların yanı sıra yeni ve eski teknolojilerin sunabileceği ilişkili zorluklar ve fırsatların farkında olmalıdır. Siber güvenlik yönetim kurulları tarafından önceliklendirildiğinden, tüm görüşmelere dâhil edilmelidir. Yönetim kurulu üyeleri, hangi becerilerin gerekli olduğunu anlamak ve nerede boşluklar olabileceğini belirlemek için birden fazla yönetim üyesi ve dış uzmanla etkileşime girmelidir. Müdahale alıştırmalarına katılmak, yönetim kurullarına siber güvenlik sorunlarına daha iyi bir bakış açısı sağlayabilir ve öğrenilen derslerin şirket oyun kitaplarına yansıtıldığından emin olmak onların sorumluluğundadır.
Ayrıca, siber ifşalarını daha şeffaf ve daha zamanında hale getirirken şirketin faaliyet gösterdiği yargı bölgelerindeki düzenleyici değişikliklere ayak uydurmaları gerekir. Bunu yaparken, yönetim kurulları, paydaşların gözetim altında oldukları kuruluşlara olan güvenini artırırken, kuruluşlarının siber riski azaltmalarına yardımcı olmakta önemli bir rol oynayabilir.
[1] <https://www.sec.gov/newsroom/press-releases/2023-139>.
[2] <https://www.ey.com/en_us/board-matters/cyber-disclosure-trends>.
[3] <https://www.fbi.gov/contact-us/field-offices/sanfrancisco/news/fbi-releases-internet-crime-report>.
[4] <https://www.ey.com/en_us/insights/forensic-integrity-services/us-edition-2024-global-integrity-report>.
[5] <https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf>.
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.