KOBİ’LER İÇİN SİBER GÜVENLİK VE TEKNOLOJİK RİSK YÖNETİMİ

Siber saldırıların %43’ü küçük ve orta ölçekli işletmeleri hedef alıyor İki tür işletme vardır. Hacklenmişler ve hacklenecekler. - Robert Mueller, FBI Direktörü 2012 İnsan nesli evrende var olduğu günden bu yana hayatta kalma mücadelesi içindedir. Atacağı adımlardaki kararların temelinde hayattaki varlığını kendine ve çevresine ispat etme çabası vardır. İlkel atalarımızdan bu yana derinde yatan bu felsefe geleceğe ilişkin merakımızın da tetikleyicisidir. Bu sebeple insan nesli hayatını tehlikeye sokabilecek durumları önceden bilerek hazırlıklı olma bilincini geliştirmiştir. Hayattaki varlığını tekrar tekrar kendine ispat edebilmek amacı ile gelecekte onu bekleyen her türlü durumu tahmin edebilmek ve mümkün olduğunca geleceği görmek adına türlü yollara başvurmuştur. Astronominden, Tarot fallarına ve hava tahminlerine, istatistiksel olasılık analizlerinden, geleceği gördüğüne inanılan kahinlere kadar pek çok yöntem deneyerek belirsizliği gidermeye çalışmıştır. Geçmiş zamanla modern zaman arasındaki sınırı belirginleştiren “riske hakim olma” kavramı, geleceğin yalnızca tanrıların bir kaprisi olmadığı ve insanın doğa karşısında edilgen kalmadığı düşüncesidir. Gelecekte ne olacağının bilinmesine ilişkin hakimiyet, yukarıda bahsi geçen sınırı aşmanın yolunu bulan kadar, geleceği öngörme yeteneği olduğuna inanılan kahinlerin ve falcıların işiydi. İçinde bulunduğumuz çağda halen geçerliliğini koruyan risk olgusunun temeli, bundan yaklaşık 7 yüzyıl öncesinde batıya doğru yolculuk eden Hint-Arap rakam sistemine dayanır. Ancak risk kavramının ciddi olarak ele alınıp hayatımızda bu derece yönetilebilir hale gelmesi, Rönesans döneminde başlar. Geçmişin sınırları olarak nitelediğimiz dogmalardan kurtulma yolculuğunun başladığı, inanç sistemlerinin altüst olduğu, kapitalizmin doğduğu, bilimsel yaklaşımların ön plana alındığı yeni bir dönemin başlangıcı olan Rönesans, risk kavramının hayatımızdaki etkilerinin yönetilebilir hale gelmesinde önemli bir kilometre taşıdır. Rönesans’ın tam anlamıyla olgunlaşmaya başladığı dönemlere rastlayan 1654 yılında, matematiğe ve kumara olan merakı ile ünlü bir Fransız soylusu Şövalye De Méré’in, yine ünlü bir Fransız matematikçi Pascal’dan bir bilmeceyi çözmesini istemesi ile başlayan süreç, risk kavramının matematiksel esası olan olasılık teorisinin geliştirilmesine giden yolu açar. Bilmece bir şans oyunu ile ilgilidir ve iki kişinin oynadığı bu oyunda, birisi öndeyken, oyunun yarıda kalması halinde ortadaki paranın, -oyun devam etseydi- iki kişinin kazanma olasılıklarına bağlı olarak nasıl bölüştürüleceğine ilişkin cevapları arar. Kısaca ifade etmek gerekirse bugün risk yönetiminde, karar ve tercihlerin değerlendirilmesinde kullanılan, oyun teorisinin katı akılcılığından, kaos teorisinin zorlayıcılığına kadar olan tüm araçlar, yalnızca iki istisna dışında, 1654 ila 1760 yılları arasındaki gelişmelerden doğmuştur. Risk, “gelecekte karşılaşılabilecek olan ve amaçların gerçekleşmesini engelleyebilecek tehditler (olumsuzluklar) veya amaçlara ulaşmayı kolaylaştırabilecek fırsatlar” olarak tanımlanabilir. Bu tanım, riskle ilgili iki temel unsuru içermektedir: Bunlardan birincisi riskin gelecekte olma ihtimali; diğer unsur ise fırsat veya tehdit içermesidir. İşletmeler açısından başlıca risk türlerini 4 ana başlık altında toplayabiliriz. Risk türleri, yeni risk anlayışı çerçevesinde ele alınmakta olup stratejik, finansal, faaliyet ve dış çevre riskleri olarak dört grup halinde sınıflandırılmaktadır. Tabiidir ki, iş dünyasının değişen dinamiklerine bağlı olarak bu ana başlıklar altındaki konu kırılımları ihtiyaca göre zaman içerisinde değişkenlik göstermektedir. Yukarıda saydığımız başlıklardan, dış çevre riskleri olarak adlandırılanlar işletmelerin faaliyetlerinden ya da piyasadaki değişimlerden kaynaklanmayan; bir başka anlatımla işletmelerin kontrolü dışında meydana gelen sel, yangın, fırtına, kasırga ve koronavirüs salgını gibi sebeplerle meydana gelen risklerdir. İçinde bulunduğumuz dönemde dünya üzerinde geniş bir alanda etki yaratan koronavirüs salgınının önüne geçmek için farklı ülkelerdeki hükümet otoriteleri tarafından getirilen kısıtlamalar, beraberinde evden çalışma, uzaktan eğitim, çevrimiçi fuar organizasyonları, e-ticaret platformlarında yapılan alışverişler gibi hem işletmelerin hem de son kullanıcıların çevrimiçi kanalları kullanma etkinliğini beklenmedik bir hızla artırmıştır. Burada konu edilen dijital dönüşüm, bir yönden işletmelerin tüketiciye ulaşma hızını, verimliliğini ve karlılığını artırıcı olanaklar oluştursa da diğer yönden bakıldığında veri ihlali, her geçen gün artan siber saldırı frekansı ve yükselen maliyetler, işletmeler için aslında yeni olmayan ancak dikkatlerin üzerinde toplandığı önemli bir kavram olan SİBER risk algısını gündeme taşımıştır. Marsh ve TÜSİAD ortaklığı ile 2020 yılında gerçekleştirilen Türkiye Siber Risk Algı araştırmasına göre siber güvenliğe yönelik farkındalık ve yatırımlar büyük ölçüde siber saldırı deneyimi ve yasal regülasyonlarla tetiklenmektedir. Bir başka deyişle kurumların yaklaşık %78’i riskin varlığının kabul etmek ve önlem almak için temel tetikleyici riskin gerçekleşmesini bekliyor.(1) 86 ülkede gerçekleştirilen bir diğer araştırmada alınan sonuçlara göre gerçekleştirilen siber saldırıların %43’ü küçük ve orta ölçekli işletmeleri hedef almış. Ülkemizde maalesef durum biraz daha vahim görünüyor. Araştırmada Türkiye’deki siber saldırıların %71’i 100’den az çalışanı olan KOBİ’leri vuruyor. Sebepler araştırıldığında, KOBİ’lerde siber güvenlik bilincinin oluşmamış olması ve gerekli siber güvenlik önlemlerinin alınmamış olması sebebiyle sistemlerinin kolayca ele geçirilmesi olarak görülüyor. (2) Bugüne kadar yaşanan örneklerde, siber bir saldırıya maruz kalan işletmenin temelde 3 ana alanda zarar gördüğü gözlemleniyor. Bunlardan ilki fikri mülkiyet hırsızlığı sonucu işletmenin ticaretinde yaşanan aksaklıklar ve olası hasar gören bilişim sistemlerinin zarar görmesi sonrası oluşan onarım maliyetlerinin sonucu ekonomik kayıplar, ikincisi müşterilere verilerinin gizliliğinin ihlali sonucu işletmeye olan güven kaybından kaynaklanan marka itibarına yönelik kayıplar ve son olarak verilerin çalınması ve üçüncüsü veri sahibinin rıza dışında kullanılması ile sonuçlanan süreçlere ilişkin veriyi koruma sorumluluğun işletmelerde olması sebebiyle yasal otoritenin verdiği idari para cezaları ve yaptırımlardan oluşan kayıplardır. Merkezi Amerika’da bulunan Cybersecurity Ventures isimli şirketin araştırmasına göre siber güvenlik suçlarının dünya ekonomisini 2015 yılı içinde uğrattığı kayıp miktarının yaklaşık 3 trilyon dolar olduğu tespit edilmiş. AON ile Financial Times tarafından ortak olarak hazırlanan C-Suite siber risk raporuna göre ise günümüzde de hız kesmeyen siber saldırıların dünyaya maliyetinin 2021 yılı itibariyle 6 milyar dolar olacağı tahmin ediliyor. Görünen o ki önümüzdeki günlerde siber güvenlik diye adlandırdığımız bilişim sistemlerine yönelik koruma önlemlerine yapılacak yatırım harcamaları kurumların bütçesinde hiç de azımsanmayacak önemli bir büyüklüğe ulaşacak. Üstelik tüm dünyanın, sınırları henüz belirli olmadığı için tam olarak korunamayan ortak bir ağa bağlı hareket ettiği düşünülecek olursa pandemi sürecinde yaşanan biyolojik virüs salgınına benzer olarak, sanal ortamlarda ve çevrimiçi kanallarda tüm dünyayı etkisi altına alabilecek virüs salgılarına da,  işletmeler açısından hazırlıklı olunması gerekliliği kaçınılmaz gibi görünüyor.