2017 yılında başta Equifax olmak üzere büyük şirketlerin yaşadığı veri ihlalleri ve siber saldırılar sonucunda yaşadığı finansal ve itibar kayıpları basında sıkça yer aldı. Fakat haber değeri olmadığı için küçük işletmelerin başına gelen siber saldırılar ile ilgili haberlerle hiç karşılaşmıyoruz. Bu sebeple mi bilinmez ama girişimcilerin çok büyük bir kısmı, küçük işletmelerin büyük işletmelere oranla çok daha fazla risk altında olduğunun farkında değil.
Kolay Erişim
Hackerler neden küçük işletmeleri hedef alıyor?
Türkiye’de küçük işletmeler başta fidye yazılım olmak üzere birçok farklı siber saldırı çeşidiyle karşılaşıyor. Bir kısmı Emniyet’e yansıyan bu olaylardan bazılarının üstü duyulmadan kapanıyor. Küçük işletmelerin hedef olmasının en büyük nedeni bilgi güvenliği konusunda dikkatsiz ve duyarsız olmaları. Küçük işletme sahiplerinin büyük bir kısmı siber riskleri küçümsüyor ve çalmaya değecek verilerinin olmadığını düşünüyor.
Bu mantıkla hareket eden ve güvenlik yatırımları olmayan veya çok düşük güvenlik seviyesine sahip küçük işletmeler, güvenlik anlamında çok büyük bütçelere sahip ve yatırım yapan büyük şirketlere oranla çok daha kolay hedef olmaları sebebiyle, hackerler tarafından cazip bir seçenek olarak değerlendiriliyor. Bundan daha önemli bir neden ise, büyük şirketler ile çalışan küçük işletmelere sızarak bunlar üzerinden büyük işletmelere erişim elde etmek.
Somut bir örnek ile açıklayacak olursak, ülke çapında binlerce bayisi ve distribütörü olan büyük bir gıda şirketini ele alalım. Bu şirketin yeterli güvenlik seviyesine sahip olmayan bir bayisine yapılacak saldırı sonucu, sistemsel olarak erişimi ve bağlantısı olduğu gıda şirketine bayi sistemleri üzerinden erişmek, doğrudan erişmekten daha kolay bir yöntem olabilir.
Hemen hemen her durumda siber saldırının nihai hedefi ister müşterilere ait kredi kartı bilgisi olsun, ister kişilere ait kimlik bilgileri olsun hassas verileri çalmak ve bunları istismar etmektir. Gün geçtikçe ve teknoloji geliştikçe saldırı teknikleri ve türleri de gelişerek artış gösteriyor.
Küçük işletmelerde sıklıkla rastlanan saldırılara bakıldığında,
İçerden saldırılar:
Kurum içinden yönetici ayrıcalıklarına sahip bir kişinin gizli şirket bilgilerine erişmek için kendi yetkilerini kötüye kullanması olarak kendini göstermektedir. Bu çoğunlukla kurumdan memnun olmadan ayrılmış eski çalışanlar tarafından gerçekleştirilen bir ‘intikam’ eylemi olarak ortaya çıkmakla birlikte içerideki mutsuz çalışan veya dışarıdan hizmet alınan kişiler tarafından da gerçekleştirilen istismarlardır.
Fidye yazılımlar:
Makine üzerinde bulunan tüm verileri şifreleyerek karşılığında fidye talep eden kötücül yazılımlardır. Dünya üzerinde milyonlarca bilgisayarı etkisi altına alan ve hızla büyüyen bu zararlı, geçtiğimiz yıl mayıs ayında Wannacry adı ile 90’dan fazla ülkede 200 binin üzerinde bilgisayara bulaşarak, 28 dilde fidye talebi ile geniş çaplı bir saldırıya imza attı.
Kötücül yazlımlar:
Virüsler, truva atları, solucanlar, casus yazılımlar ve fidye yazılımları gibi zararlılardan kaynaklı siber tehlikeler arasında ilk sırada yer almakta.
Siber risklere karşı çalışanlarda farkındalık oluşturmak ve teknik önlemler almak karşılaşabileceğiniz riskleri önemli oranda azaltacak fakat yüzde yüz koruma hiçbir zaman sağlamayacaktır. Kaldı ki, küçük işletmeler saldırı tespit ve önleme sistemleri, ileri jenerasyon güvenlik duvarları, e-posta güvenlik ürünleri gibi yüz binlerce doları bulan güvenlik ürünleri yatırımları için büyük bütçelere sahip olmayabiliyor.
Tam bu noktada Siber Risk Sigortalarının küçük işletmeler için önemi daha fazla ön plana çıkıyor.
Küçük işletmeler neden Siber Risk Sigortası satın almalı?
- Veriler en önemli varlıklarınızdan biridir, çalındığında veya kaybolduğunda iş yeri sigortanız bunu karşılamaz.
- Sistemler günlük işleri yürütmek için kritik öneme sahiptir. Yaşanacak bir sistem kesintisi yüz binlerce lira zarara uğramanıza neden olabilir. Sistemlerde yaşanan kesintiler sorumluluk sigortası kapsamında değildir.
- Siber suçlar, emniyeti suistimal poliçeleri tarafından karşılanmaz.
- Üçüncü kişilerin verileri KVKK (Kişisel Verileri Korum Kanunu) ile korunmakta, bunları kaybederseniz sorumlu olursunuz ve ciddi cezalar ile karşılaşabilirsiniz. 3. Şahıs sigortaları özel bilgilerin ifşası, veri ihlalleri ile ilgili savunma masrafları gibi teminatları içermez.
- Tüm bu yaşanan siber saldırılar ciddi itibar kayıplarına neden olur.
Siber saldırılar ile meydana gelen, veri kayıplarının restorasyonu, saldırı sonrası iş durması, avukatlık ve adli bilişim masrafları, veri kayıpları ile ilgili bilgilendirme maliyetleri hatta itibarınızı korumak için yapılacak olan PR çalışmaları dahi Siber Risk Sigortaları tarafından teminat altına alınır. Bütün bu teminatlara ek olarak işletmeye özel teminatlar da sigorta şirketleri tarafından poliçelere dahil edilebilir.
Alınacak tüm tedbirler riski azaltır ve sizi siber saldırılara karşı koruyabilir, fakat siber saldırıların gerçekleşmeyeceğine dair bir garanti oluşturmaz.