Marsh ve TÜSİAD iş birliği ile gerçekleştirilen ve Türkiye’de siber riskler konusunda yapılan ilk ve en kapsamlı araştırma olma özelliği taşıyan ‘2020 Türkiye Siber Risk Algı Araştırması’na göre firmaların yüzde 78’i bir tehditle karşılaşmadan siber riski fark etme ve harekete geçmiyor. Araştırmanın sonuçlarına göre; Türkiye’de, bu alandaki risklerin yönetimi veya bilgi teknolojilerinden sorumlu çalışanların sadece yüzde 9’u şirketlerinin karşı karşıya olduğu en büyük riski siber tehdit olarak görüyor. Geçtiğimiz yıl Marsh’ın global çapta gerçekleştirdiği ’Siber Risk Algı Araştırması’nda ise bu oran yüzde 22 idi.
‘2020 Türkiye Siber Risk Algı Araştırması’, Türkiye’deki firma ve kurumların siber risklere ve bilgi güvenliğine yönelik farkındalıklarını, tedbir alma reflekslerini ortaya koymak, bu alandaki yatırımlarını, ihtiyaçlarını ve beklentilerini anlamak üzere gerçekleştirildi. Çalışma kapsamında firmaların siber risk yönetim sürecinden sorumlu üst ve orta kademe yöneticileri ve uzmanlarının değerlendirmeleri alındı.
Siber güvenlik yönetimine yatırım yapan firmaların yüzde 77’si hukuki düzenlemelerin teşvik edici etkisi olduğunu belirtiyor. Havacılık, finans, bilgi teknolojileri, enerji ve üretim sektörlerinde yer alan firmaların siber riskin yönetimi konusunda nispeten daha hassas davrandıkları ve bilgili oldukları ortaya çıkıyor. Devletin yasayla çerçevesini çizdiği, takip ettiği konular firmalar tarafından hem daha çok dikkate alınıyor hem daha çabuk içselleştiriliyor ve prosedürlere geçiriliyor. Bu bağlamda KVKK, GDPR gibi kanunlar; ISO, NIST gibi standartlar; EPDK, BDDK gibi sektör denetleme kurumları; halka açılma süreçlerinden geçen kurumlar için SPK tarafından belirlenen zorunluluklar şirketlerin siber risk konusunda harekete geçmeyi etkiliyor ve yol gösterici oluyor.
COVID-19 ve hızla devam eden dijital dönüşüm, riski de artırdı
Araştırmanın sonuçlarına göre; COVID-19 salgınının etkisiyle her alanda hızlanan dijital dönüşümün hem farkındalığı arttıracağı hem de kurumları siber risk yönetimine yönelik daha fazla önlem almaya teşvik edeceği öngörülüyor. COVID-19 salgını süreci ile birçok firmanın tam olarak hazır olmadan ve gerekli tedbirleri alamadan hızlı bir şekilde dijitalleşmesi siber saldırı olasılıklarını da yükseltiyor.
Firmaların yüzde 77’sinde siber risk konusundaki sorumluluk IT/BT ekiplerinin üzerinde bulunuyor. Firmaların yüzde 75’inde siber güvenlik sorumluluğu büyüklük ve sektörel yapıya göre CTO/CIO/CSO/CICO pozisyonlarından biriyle paylaşılıyor. Bir başka deyişle, süreci C seviyesi yönetiyor. Özellikle bu seviyedeki yöneticilerin konuya yaklaşımları kurumun farkındalığını ve stratejisini doğrudan etkiliyor. Firmaların yatırım kararı için en önemli dayanak noktası, yine sektördeki firmaların yaşadığı olumsuz deneyimler oluyor. Firmaların yüzde 56’sı ise, doğru bir strateji kurabilmek için tarafsız bir kurumdan danışmanlık alıyor.
Araştırmaya göre; firmaların yüzde 78’inin risk yönetimi konusundaki öncelikli refleksi riski azaltıcı uygulamaları hayata geçirmek yönünde. Firmalar en çok cihazların güvenliğini arttırmaya, sisteme veya ağlara hem şirket içinden hem de dışından erişimi daha güvenli hale getirmeye yönelik yatırımlar gerçekleştiriyor. Siber riski ölçme, yönetme ve önleme süreçleri belirgin alanlarda yatırım gerektirirken, bu alanların başında altyapı, organizasyon ve insan kaynakları geliyor. Firmaların yüzde 50’si söz konusu yatırımları yapma konusunda çekimser davranırken, daha çok penetrasyon ve zafiyet analizleriyle yetiniyorlar.
Siber risk sigortasının önemi gün geçtikçe artıyor
Şirketlerin siber güvenlik alanındaki olgunlukları siber risk sigortasına yatkınlıklarını olumlu yönde etkiliyor. Firmaların çoğunun siber risk sigortası hakkında yeterli bilgisi bulunmuyor. Siber risk sigortaları hakkındaki bilgi eksikliği ve siber risk sigortalarının kapsamına güvenilmemesi, siber risk sigortası yaptırılmasının önündeki en önemli engeller olarak ortaya çıkıyor. Siber risk sigortası sahibi olan firmaların yüzde 86’sı sigortanın kendilerini koruyacağına güven duyarken, bu oran sigorta sahibi olmayanlarda yüzde 34 düzeyinde kalıyor.