Bitglass’ın son yayınladığı bir rapora göre son yıllarda gerçekleşen büyük çaplı güvenlik ihlalleri şirketlere milyarlarca dolara mal oldu.
Bulut güvenlik şirketi Bitglass, son üç yılda gerçekleşen en büyük siber güvenlik ihlallerini ve bunların şirketlere yansımalarını masaya yatırdı.
Söz konusu rapor, en büyük ihlallerin kimlik avı, zararlı yazılım, teknik zafiyet gibi durumlara yol açan dış kaynaklı siber saldırılardan kaynaklandığını ortaya koyuyor.
Çalışanların ihmalkârlığı ve iç tehditler, genel olarak ihlallerde bir numaralı etken olarak dikkat çekiyor, ancak dev şirketleri etkileyen geniş kapsamlı ihlaller dış kaynaklı olarak gerçekleşiyor. Bu durum da büyük işletmelerin deneyimsiz ve memnuniyetsiz çalışanlardan ziyade saldırganlarla savaşmaya odaklanması gerektiğini gösteriyor.
Kolay Erişim
Rapora göre en büyük beş güvenlik ihlali:
Marriott
2018 yılında Marriott’a ait Starwood grubu otellerinde gerçekleşen güvenlik ihlali kapsamında 387 milyon ziyaretçiye ilişkin bilgiler siber saldırganların eline geçti. İhlal edilen bilgiler arasında isimler, doğum tarihleri, cinsiyet, adresler ve pasaport numaraları yer alıyor. Marriott, ihlalin nasıl gerçekleştiği konusunda emin olmadıklarını, saldırının 2014 yılına kadar uzandığını tahmin ettiklerini açıklamıştı.
Facebook’taki dev güvenlik ihlali, yazılı kanıtlara dayanıyor. Rapora göre Eylül 2018’de gerçekleşen ihlalin menşei kötü kod.
Biri gizlilik aracında (privacy tool) biri Facebook’un video yükleme yazılımında bulunan iki hata, kullanıcı adlarının, cinsiyet bilgilerinin, e-posta adreslerinin, konum bildirimlerinin ve ilişki durumu bilgilerinin ele geçirilmesine yol açtı.
Chegg
Eğitim teknoloji şirketi Chegg’in 2018 yılında ifşa ettiği veri tabanı, saldırganların milyonlarca müşterinin bilgilerini çalmasına yol açmıştı. Bu bilgiler arasında isimler, e-posta adresleri, nakliye bilgileri, kullanıcı adları ve şifreler bulunuyordu. İhlal Chegg’in veri tabanı şifreleme algoritmasındaki bir açıktan kaynaklanmıştı.
Equifax
Son birkaç yılın en yıkıcı güvenlik ihlallerinden biri olarak kolayca ifade edebileceğimiz açık, Equifax’ta yaşanmıştı. İhlal neticesinde müşterilerin sosyal güvenlik numaraları, kredi kartı numaraları, isimleri, doğum tarihleri ve adresleri çalınmıştı. Daha da kötüsü, Equifax’ın açık kaynaklı yazılımdaki bir kusurun neden olduğu ihlali açığa çıkarması iki ay sürmüştü.
Dun and Bradstreet
Veri analiz şirketi Dun and Bradstreet 2017’de müşterilerin isimleri, kişisel ve kurumsal e-posta adresleri, ev adresleri, meslekleri ve işlevleri vb. verilerin açığa çıkmasıyla sonuçlanan çok büyük bir güvenlik ihlalinin kurbanı olmuştu. İşin daha da kötüsü, açık Dun and Bradstreet’in başka bir şirket edinmesi neticesinde devraldığı veri tabanından gelmişti. Bu durum, güvenilir olsalar bile dış kaynaklardan veri ekleyen şirketlere bir uyarı niteliğinde idi.
Dev ihlallerin maliyeti
Rapora göre bu ölçekteki ihlallerin müşteri verileri ve mağdur şirketin kar-zarar hanesine çok büyük etkileri olmakta.
Raporda bazı rakamlar da yer aldı. Buna göre:
Her bir ihlalden etkilenen ortalama müşteri sayısı 257 milyon.
Şirketlere ortalama maliyeti (yasal harçlar, para cezaları, onarım maliyetleri dahil) 347 milyon Dolar.
Etkilenen şirketler için ortalama hisse senedi fiyat kaybı % 7,5. Bu da 5,4 milyar piyasa değeri kaybına eşit.
Mağdur şirketin ihlalden önceki piyasa değerlerine dönmek için ihtiyaç duyduğu süre: 46 gün.
Bu rakamlar, müşterilerin şirketlere yönelik duyduğu güven kaybını kapsamıyor.
Raporda ismi geçen başka şirketler de bulunuyor ve her birinin yaşadığı ihlal kurumsal güvenlik uzmanları açısından bir ders niteliği taşıyor. İster içeri ister dışarı kaynaklı olsun, güvenlik ihlalleri irili ufaklı işletmeler için sürekli bir tehdit oluşturuyor.
Güvenliği artırmak ekstra harcamalara mal olabilir, ancak siber güvenliğin modern dünyada göz önünde bulundurulması gereken önemli bir ayrıntı olduğunu hatırlamakta yarar var.
Siber Bülten abone listesine kaydolmak için formu doldurunuz