Kaspersky tarafından düzenlenen yeni bir ankette endüstriyel kurumların üçte ikisinin (% 67) siber güvenlik vakalarını yetkililere bildirmediği ortaya çıktı. Yönetmeliklere uyumlu faaliyet göstermenin modern endüstriyel kurumlar için şart olmasına ve yatırımların önünü açmasına rağmen, şirketlerin uyum kurallarını uygulama şekillerini etkileyen pek çok faktör bulunuyor.
Siber suçluların endüstriyel şirketlere sızmak için karmaşık saldırı yöntemlerine başvuru yaptığı bu dönemde, sağlam siber güvenlik politikaları uygulamak ve yönetmeliklere uymak daha önce hiç olmadığı kadar önemli hale geldi. Endüstriyel kurumlar GDPR’dan (General Data Protection Regulation) IEC’nin (International Electrotechnical Commission) belirlemiş olduğu standartlara kadar pek çok koşulu yerine getirmek mecburiyetinde.
Ancak, Kaspersky’nin Endüstriyel Siber Güvenliğin Durumu 2019 adlı raporu çoğu şirketin raporlama yönergelerini görmezden geldiğini ortaya koydu. Bunun altında yönetmeliklere uyulmaması sebebiyle gelecek cezalardan ve itibar kayıplarından kaçınma isteği yatıyor. Araştırmaya katılanların yarısından fazlası (% 52) yaşadıkları vakaların yönetmelik ihlaline neden olduğunu, % 63’ü ise bir sızıntı olduğunda yaşanacak müşteri güveninin büyük bir sorun olduğunu belirtti.
Ankette ayrıca şirketlerin yönetmelikleri çok ciddiye aldığı, katılımcıların sadece beşte birinin (% 21) mecburi endüstriyel yönetmeliklere uyum sağlamadığı belirlendi. Daha da önemlisi, şirketlerin raporlama konusunda çok istekli olmasalar da yönetmeliklerdeki taleplerin karşılanması gerektiğini çok iyi anladığı ortaya çıktı. Ankete katılanların % 55’i siber güvenlik yatırım stratejilerinde uyumluluk konusunun en büyük etken olduğunu dile getirdi. Ancak prosedürlere bu derece odaklanmak şirketlerin siber güvenlik çözümlerinin kalitesine fazla güvenmesine de yol açıyor. Bu da gerçek tehditlerin göz ardı edilmesine neden oluyor. Ankete katılan kurumların sadece % 28’inin bütçe belirlerken tehdit alanını dikkate alması da bunun bir göstergesi.
Kaspersky Endüstriyel Siber Güvenlik İş Geliştirme Müdürü Georgy Shebuldaev, “Endüstriyel yönetmelikler ve bunlara uyumluluk asla hafife alınmamalı. Ancak gerçek tehditlerin de sürekli değiştiğini unutmamak gerek. Net bir politikayla beraber kullanılan verimli bir siber güvenlik çözümü, şirketlerin yönetmeliklerdeki koşullara uygun ve yeterli seviyede bir muhafaza etmeye sahip olmasını sağlıyor. Bu tür çözümlerde teknoloji odaklı önlemler, açık değerlendirmesi ve vaka müdahalesi özelliklerinin beraberinde endüstriyel otomasyon sistemlerinde çalışmakta olan herkes için güvenlik farkındalığı girişimlerinin bulunması gerekmektedir.” dedi.