2024 yılındaki siber güvenlik ortamı, benzeri görülmemiş zorluklarla, önemli ihlallerle ve kuruluşların veri korumaya yaklaşımını temelden yeniden şekillendiren değişen düzenleyici gereksinimlerle damgasını vurdu.
Rekor kıran olaylardan katı yeni mevzuata kadar bu yıl, siber güvenliğe dair önemli bilgiler sağladı. Giderek daha karmaşık hale gelen dijital ekosistemde kurumsal savunmaların güçlendirilmesine yönelik kritik önceliklerin altını çizdi. Siber tehditlerin artan karmaşıklığı ve dijital dönüşüm girişimlerinin yarattığı genişleyen saldırı yüzeyi, tüm sektörlerdeki kuruluşlar için benzeri görülmemiş zorluklar yarattı.
Rekor kıran ihlaller yılı tanımlıyor
2024 yılı, tehditlerin giderek daha karmaşık hale geldiğini gösteren çok sayıda yıkıcı siber güvenlik olayına tanık oldu:
- Yıl, 2.600’den fazla kuruluşu etkileyen ve 77 milyon kaydı açığa çıkaran MOVEit tedarik zinciri ihlalinin devam eden etkileriyle başladı. Bu olay, birbirine bağlı dijital dünyada tedarik zincirindeki zayıflıkların art arda gelen etkilerini vurguladı ve endüstriler genelinde üçüncü taraf risk yönetimine yeniden odaklanılmasını ateşledi.
- Ulusal Kamu Veri ihlali özellikle ciddiydi; 2,9 milyar kaydı tehlikeye attı ve 1,3 milyon kişiyi etkiledi. Bu ihlalin benzeri görülmemiş boyutu, siber güvenlik camiasında şok dalgaları yarattı ve birçok kuruluşun veri koruma stratejilerini yeniden değerlendirmesine neden oldu.
- Sağlık sektörü, 110 milyon Amerikalıyı etkileyen Change Healthcare ihlaliyle büyük bir krizle karşı karşıya kaldı ve bu, hassas tıbbi bilgilerin işlenmesinde sağlam veri koruma önlemlerinin kritik öneminin altını çizdi. İhlal, sağlık sistemlerindeki güvenlik açıklarını açığa çıkardı ve hasta bakımı ve tıbbi faturalandırma süreçlerinde ülke çapında kesintilere yol açtı.
- AT&T, 110 milyon müşteri kaydının açığa çıkmasına neden olan ve tahminen 19,69 milyar dolarlık mali kayba yol açan siber olaylar yaşadı. Bu olaylar, yetersiz siber güvenlik uygulamalarının ciddi sonuçlarını ve müşteri güveni ile kurumsal mali sağlık üzerindeki uzun süreli etkilerini gösterdi. İhlaller, kapsamlı düzenleyici incelemelere yol açtı ve gelişmiş telekomünikasyon sektörü güvenlik standartları çağrılarına yol açtı.
Veri ihlallerinin mali bedeli önemli ölçüde artmaya devam etti ve küresel ortalama maliyet 2023’e göre %10 artışla 4,88 milyon dolara ulaştı. Üstelik kuruluşların %60’ı yalnızca veri ihlali dava maliyetlerine yıllık 2 milyon doların üzerinde harcama yaptığını bildirdi.
Bu artan maliyetler, siber tehditlerin artan karmaşıklığı, uzaktan çalışma düzenlemelerinin yarattığı genişleyen saldırı yüzeyi ve artan düzenleyici sonuçlar dahil olmak üzere çeşitli faktörlere bağlanabilir. Kuruluşlar ayrıca itibar kaybı, kaybedilen iş fırsatları ve azalan müşteri güveni gibi önemli dolaylı maliyetlerle de karşı karşıya kaldı.
BAKINIZ: ABD, 2020 Fidye Yazılımı Saldırısı İçin Çin Siber Güvenlik Firmasına Yaptırım Yaptı
Araçların yaygınlaşması ve üçüncü taraf riskleri kritik endişeler olarak ortaya çıkıyor
Yıl ayrıca karmaşık teknoloji ortamları ve üçüncü taraf ilişkilerinin yarattığı önemli güvenlik açıklarını da ortaya çıkardı.
Yedi veya daha fazla iletişim aracı kullanan kuruluşlar ortalamadan 3,55 kat daha fazla ihlal yaşadı; bu da araçların yayılmasının tehlikelerini vurguladı. İletişim platformlarının bu şekilde çoğalması, daha fazla işbirliği ve üretkenlik sağlarken, siber güvenlik profesyonellerinin ele almakta zorlandığı yeni güvenlik açıkları da yarattı. Birden fazla platformda tutarlı güvenlik kontrollerini sürdürme zorluğu, güvenlik ekipleri için kritik bir öncelik olarak ortaya çıktı.
Risk ortamı, şirketlerin %66’sının 1.000’den fazla üçüncü tarafla hassas içerik alışverişinde bulunmasıyla, kuruluşların dış ortaklara olan bağımlılığının artmasıyla daha da karmaşık hale geldi. Bu bağımlılık, dosya aktarım sistemlerini hedef alan yazılım tedarik zinciri saldırılarında %68’lik bir artışa katkıda bulundu.
Harici içerik paylaşımının izlenmesi ve kontrol edilmesindeki zorluklar, kurumsal sınırların ötesine geçen kapsamlı veri koruma stratejilerine olan ihtiyacın altını çizdi. Birçok kuruluş, bu zorluklara yanıt olarak yeni satıcı risk yönetimi programlarını uygulamaya koydu ve üçüncü taraf güvenlik değerlendirme süreçlerini geliştirdi.
Düzenleyici ortam giderek karmaşıklaşıyor
2024, veri gizliliği ortamını dönüştüren önemli düzenleyici gelişmelere tanık oldu.
NIS 2 Direktifinin uygulanması, Avrupa Birliği’nde siber güvenlik uyumluluk ihlallerine ilişkin kişisel sorumluluğu getirerek yöneticiler ve yönetim kurulları için riskleri artırdı. Bireysel sorumluluğa yönelik bu değişim, veri koruma konusunda yukarıdan aşağıya bağlılık ve siber güvenlik hususlarının genel iş stratejisine entegre edilmesi ihtiyacını vurguladı. Kuruluşlar, bu yeni gereksinimleri karşılamak için yönetişim yapılarını ve uyumluluk çerçevelerini güncellemek için çabaladılar.
ABD’de birçok eyalet, kuruluşların gezinmesi için karmaşık bir gereksinimler bütünü oluşturan kapsamlı gizlilik yasalarını kabul etti. Bu düzenleyici genişleme, GDPR ve HIPAA’nın uygulanmasının sırasıyla 5,6 milyar dolar ve 5,3 milyar dolar tutarında para cezasıyla sonuçlanmasıyla önemli mali sonuçlara yol açtı.
Karmaşık düzenleme ortamı özellikle Kuzey Amerika kuruluşlarını etkiledi; %63’ü eyalet gizlilik yasalarını en önemli endişe kaynağı olarak belirterek, uyumlu ve tutarlı veri koruma düzenlemelerine duyulan ihtiyacı vurguladı. Pek çok kuruluş, bu gelişen gereksinimleri karşılamak için uyumluluk yönetimi sistemlerine ve gizlilik programı geliştirmelerine büyük yatırımlar yaptı.
BAKIN: Salı Yaması: Microsoft, Diğerlerinin Arasında Aktif Olarak İstismar Edilen Bir Güvenlik Açığı Yamasını Düzeltti
Ortaya çıkan tehditler ve sektöre özgü zorluklar
Yapay zeka ve makine öğreniminin yükselişi, yeni güvenlik zorluklarını beraberinde getirdi; Kuzey Amerika kuruluşlarının %50’si, AI/GenAI verilerinin açığa çıkmasını birincil endişe olarak tanımladı. Muazzam bir inovasyon potansiyeli sunarken, bu gelişen teknolojiler kuruluşların benzersiz güvenlik zorluklarını yönetmek için yeni stratejiler geliştirmesini gerektiriyor. Yapay zeka araçlarının hızla benimsenmesi, veri gizliliği, model güvenliği ve yapay zeka destekli siber saldırı potansiyeli hakkındaki endişeleri artırdı.
Bulut güvenliği, bulut ortamına izinsiz girişlerin yıldan yıla %75 oranında artması ve ihlallerin %33’ünün yanlış yapılandırmalardan kaynaklanmasıyla bir başka kritik zorluk olarak ortaya çıktı. Kuruluşlar daha güvenli bulut dağıtım seçenekleri arayışına girdikçe, tek kiracılı ve çok kiracılı bulut barındırma arasındaki durum daha da ilgi görmeye başladı. Güvenlik ekipleri, gelişmiş bulut güvenliği duruş yönetimi araçlarını uygulamaya ve bulut güvenliği mimarilerini geliştirmeye odaklandı.
Tehdit ortamı önemli ölçüde gelişti; tespit edilen olayların %75’i kötü amaçlı yazılım içermeyen saldırılardan oluştu ve fidye yazılımı ödemeleri %500 artarak ortalama 2 milyon dolara ulaştı. Yapay zeka destekli bir algoritma kullanarak 2018’den 2024’e kadar farklı endüstri sektörlerini puanladık; konaklama, perakende ve imalat 2024’ün ilk yarısında en yüksek risk puanlarını aldı. En yüksek haftalık saldırılar 3.086 ile eğitim ve araştırma sektörüyle yaşandı. Bir önceki yıla göre %37 artış. Bu, akademik kurumlarda artırılmış güvenlik önlemlerine duyulan ihtiyacı vurguladı.
Federal hükümet, kurumların %28’inin 5.000’den fazla tarafla veri alışverişinde bulunması nedeniyle önemli bir üçüncü taraf riskiyle boğuşuyordu. Bu arada, finansal hizmetler sektörü risk değerlendirmelerinde sürekli olarak tüm sektörlerin üzerinde puan aldı. Bu sektöre özgü zorluklar, hedeflenen güvenlik çerçevelerinin ve sektöre özgü en iyi uygulamaların geliştirilmesine yol açtı.
BAKIN: En İyi CSPM Araçları 2024: Karşılaştırılan En İyi Bulut Güvenliği Çözümleri
İleriye bakmak: siber dayanıklılığı geliştirmek
Kuruluşlar siber güvenlik duruşlarını güçlendirmeye çalışırken bazı temel öncelikler ortaya çıktı. Sıfır güven yaklaşımlarını benimsemek çok önemli hale geldi, ancak kuruluşların %45’i hâlâ içerik güvenliği konusunda sıfır güvene ulaşmak için mücadele ediyor. Uçtan uca şifreleme, veri kaybını önleme araçları ve güçlü erişim yönetimi uygulamalarını içeren kapsamlı veri koruma stratejileri önem kazanmıştır.
2024’ten alınacak dersler, veri koruma ve risk yönetimine yönelik proaktif, uyarlanabilir ve kapsamlı yaklaşımlara duyulan ihtiyacı vurguluyor. “Özel İçerik Maruz Kalma Riskini Yönetmeye İlişkin 2025 Tahmini Raporumuz”da bunları derinlemesine ele aldık. Gelişen tehdit ortamındaki başarı, kuruluşların sürekli iyileştirmeyi benimsemesini, sağlam siber güvenlik önlemlerine yatırım yapmasını ve sektörler arası işbirliğini teşvik etmesini gerektirir.
2025’e girerken, dijital çağda hassas verileri korumak ve müşteri güvenini sürdürmek yalnızca iş zorunlulukları değil, temel sorumluluklar olmaya devam ediyor.
Kiteworks’ün baş strateji sorumlusu Tim Freestone, pazarlama liderliği, marka stratejisi, süreç ve organizasyonel optimizasyon konularında 17 yılı aşkın uzmanlığa sahip kıdemli bir liderdir. 2021’de Kiteworks’e katıldığından beri içerik yönetimi, uyumluluk ve korumaya ilişkin küresel ortamın şekillendirilmesinde önemli bir rol oynadı.
Kaynak: https://www.techrepublic.com/article/cyber-threat-landscape-lessons-learned-whats-ahead/