Giriş
Ekim ‘Siber Güvenlik Farkındalık Ayı’dır. Belki de bu uygundur, çünkü Ekim aynı zamanda insanların bahçelerini ve evlerini mezar taşları, hayaletler, jack-o-lantern’lar ve diğer “korkutucu” eşyayla süslediği bir aydır. Ancak her türden işletme ve organizasyon için siber güvenlik hataları gerçekten korkutucu olabilir.
Uluslararası Para Fonu’na (International Monetary Fund-IMF) göre, siber saldırılar pandemiden bu yana iki katından fazla artmıştır[1]. Dijital suçluların en büyük hedeflerinden biri olan finansal hizmetler sektörü, IMF’nin “aşırı kayıplar” (extreme losses) olarak adlandırdığı siber olaylardan sadece bir yılda 2,5 milyar dolar zarar görmüştür.
Finansal kayıplar, tüm sektörlerdeki işletmelerin siber risk yönetimi protokollerini sürekli olarak değerlendirmeleri ve güçlendirmeleri gereken tek bir nedendir—ancak önemli bir nedendir. Siber ihlaller, Sosyal Güvenlik numaraları ve banka hesap bilgileri dâhil olmak üzere hassas müşteri ve satıcı verilerinin dolandırıcılar ve diğer kötü niyetli kişiler tarafından çalınmasına ve istismar edilmesine neden olabilir.
Korkutucu olsa da korkutucu olmak zorunda değildir. Birçok kişi risk yönetimi çerçevesine aşina olsa ve veri ihlalleri, kötü amaçlı yazılımlar, korsan yazılımlar, Nesnelerin İnterneti ve diğer siber güvenlik tehditlerinin (perils of data breaches, malware, ransomware, Internet of Things, and other cybersecurity threats) tehlikelerinin farkında olsa da, siber risk yönetimi kavramına daha az aşina olabilirler. Bu, günümüzün dijital tehdit ortamında giderek daha da önemli hale gelen bir dijital veri güvenliği yaklaşımıdır; kuruluşlar varlıklarını ve verilerini ve müşterilerinin ve satıcılarının verilerini korumak için daha etkili stratejiler geliştirme ve uygulama konusunda yoğun baskı altındadır.
Ancak bu tür stratejiler yanlış yapılırsa başarılı olmaz. Siber risk yönetimi, suç teşkil eden çevrimiçi faaliyetlerle mücadele için disiplinli, entegre ve kapsamlı bir yaklaşım gerektirir.
1. Siber Risk Yönetimi
Siber risk yönetimi (cyber risk management), siber güvenlik risk yönetimi olarak da adlandırılır ve bir kuruluşun bilgi teknolojisi (information technology) altyapısına yönelik riskleri belirleme, değerlendirme ve azaltma sürecini ifade eder.
Siber risk yönetimini bu kadar önemli kılan şey, bilgi teknolojisinin bir şirketin operasyonları için ne kadar temel olduğudur. Neredeyse her sektörde, kuruluşlar ve işletmeler temel işlevlerini yerine getirmek için bilgi teknolojisi ağlarına güvenir. Başarılı bir saldırı, bir kuruluşu milyonlarca dolar tutarında dolandırabilir, kritik sistemleri çevrimdışı bırakabilir veya başka şekillerde tahribata yol açabilir ve bu da gelir kaybına, çalınan verilere, uzun vadeli itibar hasarına ve düzenleyici para cezalarına neden olabilir.
Açıklığa kavuşturulması gereken bir şey şudur: Bir siber risk yönetimi programı tüm veri güvenliği risklerini önleyemez. Bu riskler çok sayıda ve (genellikle) öngörülemezdir. Siber risk yönetiminin yapabileceği şey, kuruluşun en tehlikeli olarak tanımladığı tehditlerin olasılığını ve etkisini proaktif olarak azaltmaktır. Bunlar, işletmenin öncelikleri, ağının yapısı ve risklere ayırabileceği finansal ve çalışan kaynakları ile belirlenir.
2. Siber Güvenlik Risk Yönetimi Süreci [cybersecurity risk management process]
Siber risk yönetimi sürekli bir süreçtir. Kuruluşların programlarını sürekli olarak değerlendirmeleri ve ayarlamaları gerekir çünkü potansiyel yeni tehditler her zaman ortaya çıkacaktır ve bunları yönetmek için geliştirilmiş stratejiler de ortaya çıkacaktır. Ortaya çıkabilecek değişikliklere rağmen, siber risk yönetimi süreci genellikle şu adımları izler:
2.1. Risklerin belirlenmesi (identifying the risks)
Risk azaltma, hangi tür siber tehditlerin mevcut olduğunu bilmekle başlar. Risk tanımlama, kesintiye neden olmadan önce olası riskleri tespit etmeye odaklanır. Ayrıca, olası görünmeyen ancak aniden ve feci bir şekilde gerçekleşebilecek olayları ortaya çıkarmalarına yardımcı olur. Siber risk yönetimi programının ele aldığı tehditler arasında veri ihlalleri, kötü amaçlı yazılımlar, korsan yazılımlar ve hesap ele geçirme (data breaches, malware, ransomware, and account takeover) bulunur. Diğer riskler arasında çalışan hataları ve doğal afetler (bir şirketin ağının bağlantısını ve diğer yönlerini kesintiye uğratabilir) yer alır. Bir diğer tehdit grubu ise yazılım kusurları ve bilgisayar korsanlarının istismar edebileceği zayıf noktalar gibi ağ güvenlik açıklarıdır.
Birçok şirket siber güvenlik ekibinin belirlemek isteyeceği bir diğer risk grubu ise çalınan kimliklerle ilişkili olanlardır. Güvenilir müşteriler veya satıcılar gibi görünen tehdit aktörleri şirketin bilgi teknolojisi sistemine erişebilir ve bu erişimi dolandırıcılık amaçlı kullanabilir.
2.2. Risklerin analizi
Siber güvenlik risk değerlendirmesi her olası riski analiz eder ve olası etkilerini ölçer. Bu adımda en kullanışlı araçlardan biri, bir eksende düşükten yükseğe doğru risk olasılığını ve diğer eksende düşükten yükseğe doğru riskin olası ciddiyetini ölçen bir tür risk analiz yöntemi olan risk değerlendirme matrisidir.
2.3. Risklerin yönetilmesi
Siber risk yönetiminin bir iş hedefi, en yüksek öncelikli riskleri ortadan kaldırmak veya en azından önlemektir. Bilgi güvenliği politikalarını ve protokollerini güçlendirmek, dolandırıcılık veya veri ihlali riski gibi riskleri önlemek veya azaltmak için bir strateji örneği olacaktır. Tekrar etmek gerekirse, bir şirket tüm olumsuz risk etkilerini önleyemez. Daha düşük öncelikli riskler için, siber risk yönetimi ekibi ve yönetici karar vericiler, riskleri önlemenin veya azaltmanın maliyetlerinin potansiyel etkilerinin maliyetlerinden daha ağır bastığına karar verebilir.
2.4. Risklerin gözden geçirilmesi (reviewing the risks)
Risk kontrolleri, riskleri önlemek veya azaltmak için olmazsa olmazdır. Bu tehditleri izlemek, riski önleme veya azaltma taktiklerinin amaçlandığı şekilde çalışıp çalışmadığını belirlemeyi de içerir. Risk kaynakları sürekli değiştiğinden, bir risk izleme planının sürekli olarak gözden geçirilmesi gerekir. Ayrıca, siber risklerin nasıl yönetildiği konusunda kuruluşun üst düzey yönetimine düzenli raporlama yapan bir risk iletişim politikasının dâhil edilmesinden de faydalanabilir.
3. Siber Risk Yönetiminin Önemi
Siber risk yönetimi, genel bir operasyonel risk yönetimi programının temel bir unsuru olarak düşünülmelidir ve dolayısıyla kuruluşun operasyonel ve finansal refahı için olmazsa olmazdır. Ancak, uygun planlama yapılmadan, başarılı siber saldırılar bir kuruluşa temelden zarar verebilir.
3.1. Tehlikede olan nedir?
- Finansal kayıplar (financial losses): Tedarik zincirinden finans sektörüne, sağlıktan perakende sektörüne kadar her sektör siber tehditlerden etkilenebilir. 2024 tarihli bir FBI raporu, Amerika Birleşik Devletleri’ndeki (ABD) siber suç kayıplarının 2023 yılında 12,5 milyar dolara ve bunun rekor bir seviyeye ulaştığını iddia etmiştir[2]. Bu kayıpların çoğu yatırım dolandırıcılığı ve elektronik posta (e-posta) dolandırıcılıklarıyla ilgili olsa da, işletmeler de önemli kayıplarla karşı karşıya kalmıştır. Örnek olarak: Veri ihlalleri yalnızca sağlık işletmelerine ortalama 9,77 milyon dolara mal olmaktadır.
- Yasal sonuçlar (legal ramifications): Giderek daha fazla eyalet, veri gizliliğini korumak için sıkı yasalar çıkarmaktadır[3]. Bu yasaların ve sektöre özgü veri gizliliği düzenlemelerinin ihlalleri önemli para cezalarına yol açabilir.
- İtibar zedelenmesi (reputational damage): Başarılı bir siber saldırının tek tehlikesi finansal kayıplar değildir. Bir şirket, tescilli verilerini korumadığı ortaya çıkarsa müşterilerinin ve satıcılarının güvenini kaybedebilir.
3.2. Zorluklar
Bu risklerin yanı sıra siber risk yönetimi süreçleri, aşağıdakiler de dâhil olmak üzere bir dizi önemli zorlukla baş etmek zorundadır:
- Hızla gelişen tehdit ortamı (rapidly evolving threat landscape): Kuruluşlar, güçlü olduğuna inandıkları veri güvenliği savunmalarını kurar kurmaz, siber suçlular bunları kırmanın yeni yollarını ararlar. Belki de en tehlikeli yeni tehdit, çalışanları suçluların şirket bilgi teknolojisi ağına erişmesine izin vermeye kandırmak için “derin sahtecilik” (deepfake) içeren e-postalar ve telefon mesajları oluşturmak için yapay zekânın kullanılmasıdır (use of artificial intelligence). Yapay zekâ destekli parola kırma, hacker cephaneliğinde güçlü bir silah haline de gelebilir.
- Değişen düzenlemelere ayak uydurma ihtiyacı (need to keep up with changing regulations): Aralık 2023’te ABD Menkul Kıymetler ve Borsa Komisyonu (Securities and Exchange Commission) veri güvenliği ile ilgili yeni kurallar yayınlamıştır[4]. Bu düzenlemeler öncelikle halka açık şirketlerin uygulamalarını ele almaktadır. Yine de her türden şirket, bir siber risk yönetim planı geliştirirken ve sürdürürken bu kurallarla kendilerini tanıştırmalıdır. Sonuçta halka açık şirketler, yazılım ve bileşenler için genellikle daha küçük şirketlerle sözleşme yapar. Sonuç olarak, bir şirketi etkileyen bir siber saldırı, ister müşteri ister satıcı olsun, diğerlerini etkileyebilir.
- Nitelikli siber güvenlik uzmanlarının eksikliği (shortage of skilled cybersecurity professionals): Çok sayıda büyük işletmedeki bilgi teknolojisi işten çıkarmalarına ilişkin istatistikleri gören kuruluşlar, iş arayan siber güvenlik uzmanlarının bol miktarda mevcut olduğuna inanabilir. Aslında, nitelikli siber güvenlik yeteneği kıttır. Bu yetenek kıtlığı, şirketleri siber risk yönetim planlarını “küçültmeye” (downsize) ve en olası tehditlere daha da dar bir şekilde odaklanmaya zorlayabilir.
- Zaman ve kaynak kısıtlamaları (time and resource constraints): Şirketlerin tüm tehditleri durduramamasının nedenlerinden biri, siber risk yönetimine adamak için personel zamanına ve finansal kaynaklara sahip olmamalarıdır. Bu, elbette, tehditleri önceliklendirmenin siber risk yönetim planının bir parçası olmasının nedenlerinden biridir.
- Güvenliği iş operasyonları ve kullanıcı deneyimiyle dengeleme (balancing security with business operations and user experience): Bir organizasyonun siber risk azaltma çabaları operasyonel verimliliğinde bir azalmaya yol açmamalıdır. Müşterilerin ve tedarikçilerin işletmeyle çevrimiçi etkileşim kurmasını da zorlaştırmamalıdır. Herkes şirketin bilgi teknolojisi ağına asgari “sürtünme” ile erişebilmek ister. Ağ erişimine izin veren (veya yasaklayan) güvenlik protokolleri, meşru kullanıcıların yavaşlatılmaması ancak yine de tehdit aktörlerinin dışarıda tutulması için tasarlanmalıdır.
3.3. Faydalar
Tüm bu endişeleri ve düşünceleri yönetmek ve dengelemek göz korkutucu görünebilir. Ancak güçlü bir siber risk yönetimi programı kurmanın faydaları, buna değecek kadar zaman ve zahmete değerdir. Faydaları şunlardır:
- Hassas verilerin ve varlıkların gelişmiş koruması;
- Daha iyi karar alma ve kaynak tahsisi;
- İyileştirilmiş düzenleyici uyum,
- Paydaşların güveninin artması.
4. Siber Risk Yönetimi İçin En İyi Uygulamalar
Bu riskleri, faydaları ve zorlukları belirleyip bunlara göre hareket ederek, bir organizasyonun siber risk yönetimi ekibi kuruluş genelinde kapsamlı bir siber güvenlik stratejisi geliştirebilir. Bu tür bir planın temel hedeflerinden biri, siber saldırı meydana gelirse, müşteriler, alıcılar veya organizasyonun operasyonları üzerindeki etkinin mümkün olduğunca azaltılmasını ve en aza indirilmesini sağlamaktır.
4.1. Risk değerlendirme çerçevesi (risk assessment framework)
Bir risk değerlendirme çerçevesi, risk değerlendirmesinin kapsamını ve hedeflerini açıkça tanımlar ve her siber saldırının olasılığı ve olası etkisi dâhil olmak üzere riski değerlendirmek için kriterler oluşturur. Eyleme dönüştürülebilir bir olay planı, olası tehditlerin etkisini önlemeye veya azaltmaya yardımcı olabilir.
Bir organizasyonun siber risk yönetimi ekibi, çerçeveyi işletmenin genel risk yönetimi stratejisiyle uyumlu hale getirmelidir. Bir organizasyonun siber risk değerlendirme çerçevesi oluştururken danışabileceği birkaç model vardır. Bazı önemli örnekler şunlardır:
- Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi [National Institute of Standards and Technology (NIST) Cybersecurity Framework[5]]: Her ölçekteki işletmeye yönelik ABD tarafından geliştirilen bir dizi prosedür ve standart.
- ISO/IEC 27001[6]: Uluslararası düzeyde geliştirilmiş bir siber güvenlik standardıdır.
- İnternet Güvenliği Merkezi’nin Kritik Güvenlik Kontrolleri (Center for Internet Security’s Critical Security Controls[7]): Bu siber güvenlik en iyi uygulamaları, her türden kuruluşun çeşitli endüstri düzenlemelerine [örneğin sağlık alanında Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (Health Insurance Portability and Accountability Act-HIPAA)] uyumu içeren bir siber tehdit yanıt planı için bir çerçeve oluşturmasına yardımcı olmak amacıyla oluşturulmuştur.
4.2. Ağın düzenli olarak kusurlara karşı test edilmesi ve sistemlerin güncellenmesi ve yamalanması
Bir kuruluşun bilgi teknolojisi departmanı veya güvenlik ekibi bu uygulamaları standart işletim prosedürleri olarak takip etmelidir. Kuruluşun siber risk yönetimi ekibi bunun gerçekten bir siber güvenlik protokolü olarak yürütüldüğünden emin olmalıdır. Bu nedenle denetimler güvenlik önlemlerinin bir parçası olmalıdır.
4.3. Çalışan eğitimi ve farkındalığı (employee training and awareness)
Neredeyse her seviyedeki çalışanlar, bir kuruluşun siber güvenlik stratejisinde önemli bir rol oynar. Bu nedenle şirketler, çalışanların kimlik avı dolandırıcılıklarını ve maruz kalabilecekleri diğer siber tehditleri tanımalarına yardımcı olmak için sürekli eğitimden oluşan sıkı bir eğitim programı oluşturmalı ve sürdürmelidir. Web seminerleri, videolar veya makaleler içerebilen bu önleyici program, yeni tehditler ve savunma taktikleri hakkında düzenli güncellemeler içermelidir.
4.4. Siber risk yönetiminin dolandırıcılık önleme teknolojisi ile bütünleştirilmesi (integrating cyber risk management with anti-fraud technology)
Teknoloji araçları bir şirketin siber güvenlik savunmalarında önemli bir rol oynadığından, kuruluşlar kullandıkları diğer dijital platformlarla entegre olabilen gerçek zamanlı çözümler aramalıdır. Bu, dolandırıcılığın önlenmesi söz konusu olduğunda özellikle önemlidir çünkü dolandırıcılık, bir işletmenin bilgi teknolojisi altyapısına saldırırken genellikle bir bilgisayar korsanının hedefidir. Bu ayrıca siber güvenlik ve dolandırıcılık önleme ekiplerinin çabalarını entegre etmeleri gerektiği anlamına gelir. Kuruluşlar, ağ erişim noktalarını güçlendirme ve dolandırıcılık önleme stratejilerini birleştiren siber güvenlik önlemlerini entegre ederek daha güçlü bir proaktif savunma oluşturabilir.
Sonuç
Siber suçun giderek artan tehlikesi göz önüne alındığında, işletmeler siber risk yönetimine “olması güzel” bir seçenek olarak bakamazlar. Potansiyel finansal ve itibar kayıpları çok büyük, düşmanlar çok becerikli ve amansızdır.
Siber risklerin sayıca ve şiddette arttığı günümüz tehdit ortamında, kuruluşların dolandırıcılık önleme ekiplerini, üst düzey yönetimi, bilgi teknolojisi personelini, teknoloji platformlarını ve ön saflardaki çalışanları entegre eden proaktif ve uyarlanabilir bir yaklaşıma ihtiyacı vardır.
Tüm siber risklerden kaçınılamaz. Ancak en tehlikeli olanlar hafifletilebilir ve işletmenin kârlılığı ve operasyonel istikrarı daha iyi korunabilir.
[1] <https://www.imf.org/en/Blogs/Articles/2024/04/09/rising-cyber-threats-pose-serious-concerns-for-financial-stability#:~:text=Attacks%20on%20financial%20firms%20account,banks%20are%20the%20most%20exposed>
[2] FBI (Federal Bureau of Investigation-Federal Soruşturma Bürosu) raporuna erişim: <https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf>
[3] <https://legal.thomsonreuters.com/en/insights/articles/understanding-data-privacy-a-compliance-strategy-can-mitigate-cyber-threats>
[4] <https://www.thomsonreuters.com/en-us/posts/government/sec-cybersecurity-rules/>
[5] <https://www.nist.gov/cyberframework>
[6] <https://www.iso.org/standard/27001>
[7] <https://www.cisecurity.org/controls>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.