KOBİ’lerin siber suçlardan dolayı kaybetme riski iki katı daha fazla

Siber suç söz konusu olduğunda, küçük ve orta ölçekli işletmeler (KOBİ’ler) mağdur edilmeye iki kat daha fazla açıktırlar. Bunun nedeni, bilgisayar korsanları ve diğer siber suçluların saldırısının doğuracağı maliyetin yanı sıra, KOBİ’ler tüketicilerin güvenini kaybetme riski ile de karşı karşıya kalmaktadır. Küçük İşletmelerin İtibarı ve Siber Risk raporuna (Small Business Reputation and the Cyber Risk) göre, müşterilerin %58’i herhangi bir siber saldırı olayıyla karşılaşmaları durumunda, ürünü aldıkları şirkete güvenlerinin azalacağını belirtmiştir.

Affinion’un Müşteri Bağlılığı raporuna göre, müşteri bağlılığına giden yolda her adımda güven önemli bir rol oynamaktadır. Güven olmadan, bir müşterinin bir şirketi olumlu bir şekilde değerlendirmesi şirkete bağlı kalması daha az olasıdır.

KOBİ’leri siber güvenlik alanına yatırım yapmaları gerektiğine ikna etmek için bu yeterli değilse, müşteri güvenliğini korumak için henüz hiçbir tedbir almayanlar, Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Yönetmeliğinin (GVKY) öngördüğü para cezalarını göz önüne almalıdır.

Artan siber suçlardan hem büyük hem küçük şirketler etkileniyor

Günümüz dünyasında, hiç kimse bilgisayar korsanlarının ve diğer siber suçluların erişimi dışında değildir. Daha geçtiğimiz ay,  WannaCry fidye yazılımı 50 ülkede 200.000 kişinin bilgisayarını kilitlemiştir. Fidye yazılımın saldırısı sonucunda binlerce büyük şirketin, bankanın, hastanelerin, üniversitelerin ve diğer birçok kuruluşun faaliyetleri aksamıştır.

Siber saldırıya bilhassa açık olan KOBİ’ler

Büyük organizasyonlar, siber suç konusunda genellikle gazetelerin manşetlerinde yer bulurken, KOBİ’ler pek çok uzmana göre daha savunmasız durumdadır. 2015 yılında, Symantec KOBİ’lerin %75’inin ve büyük şirketlerin %35’inin, SPEAR kimlik avı saldırılarının kurbanları olduğunu ve bunun da bir başka araştırmaya göre vakaların %97’sinde fidye yazılıma kapı açtığını tespit etmiştir.

2016-2021 Ulusal Siber Güvenlik Stratejisi 2016’daki küçük şirketlerin güvenlik ihlali ortalama maliyetinin 3.100 £ olduğunu tahmin etmektedir. Bilgi Güvenliği İhlalleri Anketinin (Information Security Breaches Survey) sonuçlarına göre,  en ciddi saldırıların maliyeti 310.800 £ seviyesindedir ve bu tutar, 2014’teki 115.000 £ tutan maliyetin epey üzerindedir.

Sigorta şirketi Hiscox’un teknoloji, siber güvenlik ve verilerden sorumlu başkan vekili,  Stephen Ridley durumu şöyle ifade etmiştir: “KOBİ’ler suçlular tarafından daha yumuşak bir hedef olarak görülüyor ve doğrudan nufüz etmeleri zor olabilecek büyük kuruluşlarla sözleşmeleri varsa, çoğunlukla suçlular tarafından ‘büyük ödüle’ gidiş yolu olarak kullanılmaya çalışılıyor.

Amerikan Ulusal Küçük İşletmeler Derneği (The American National Small Business Association) Başkanı  Todd McCracken durumu şu sözleriyle değerlendirmektedir: “Sorun kısmen pek çok küçük şirketin özel bir IT departmanının olmamasıdır ve bu şirketler IT işlerinin çoğunu ya dışarıya yaptırmakta ya da başka sorumlulukları olan personele IT işleri yüklemektedir ve çoğunlukla da işletmenin sahibi bu işleri yapmaya çalışmaktadır. “http://smallbusiness.house.gov/news/documentsingle.aspx?DocumentID=398099

“Kafayı kuma gömme” tavrı,  KOBİ’ler’in sonuna getirebilir.

Birçok KOBİ sahibinin, şirketlerinin siber güvenliğini ve müşterilerinin güvenliğini sağlayacak ne bilgiye ne de kaynağa sahip olmaları endişe vericidir, ancak belki de daha da endişe verici olan, diğer pek çok KOBİ işletmecisinin siber suçları sadece büyük işletmeleri etkileyebilecek ve sadece büyük işletmelerde ciddi sonuçlar doğurabilecek bir olgu olarak algılamasıdır.

Salford Üniversitesi dijital iş uzmanı ve öğretim görevlisi Alex Fenton, durumu şöyle izah ediyor: “Kafanızı kuma gömerek kısa vadede paradan tasarruf edebilirsiniz, ancak elektronik saldırının verdiği zarar, önemsiz sayılabilecek sorunlardan, itibarın zedelenmesine, müşteri verilerinin kaybedilmesine, para cezalarının ödenmesine ve nihayetinde şirketin kapanmasına kadar gidebilir.”

Küçük İşletme İtibarı ve Siber Risk (Small Business Reputation and the Cyber Risk) raporunda sunulan kanıtlar, bu ifadeleri açık bir şekilde destekliyor ve bir siber saldırının potansiyel etkilerinin “devasa ve kalıcı” olabildiğini, saldırıya uğrayan KOBİ’lerin % 89’undan:

  • %31’i markalarının zarar gördüğünü
  • %30’u müşteri kaybettiğini ve
  • %29’u yeni iş alma kabiliyetlerinin azaldığını belirtiyor.

Güven olmadan müşteri bağlılığı olmaz
KOBİ’ler ekonominin belkemiğidir

2016 Avrupa KOBİ’leri Yıllık Raporuna (Annual Report on European SMEs) göre, KOBİ’ler AB-28 ekonomisinin büyük bir unsurudur.

2015 yılında:

  • AB’nin 28 ülkesinde yaklaşık 23 milyon KOBİ vardı.
  • KOBİ’ler 3.9€ katma değer sağladılar ve bu da mali iş sektörü dışında tüm AB-28 katma değerinin beşte üçünün biraz altındadır.
  • AB-28’de KOBİ’ler 90 milyon kişiyi, çalışan nüfusun üçte ikisini istihdam etmiştir.

KOBİ’lerin sayısı, dünya ekonomileri üzerindeki etkileri ve birbirine bağlı IT sistemlerini git gide daha fazla kucakladıkları göz önünde bulundurulduğunda, siber saldırılara karşı savunmasız oluşlarının küresel bir sorun olduğu anlaşılabilir.

Güven kaybı KOBİ’lerin başını ağrıtabilir

Müşteri Bağlılığı raporuna göre, bir müşterinin hizmet/ürün sağlayıcısını değerlendirirken kendisinin önemsendiğini hissetmesi için “hem şirketten hem de şirketle olan ilişkisinden tatmin olması gerekir. Rapora göre, müşterilerin şirkete tam güven duymaları ve şirketin güvenilir olduğuna inanmaları gerekir. Aslında rapor, müşterinin bağlılık ve sadakat yolculuğunun neredeyse her aşamasında güvenin önemli bir rol oynadığını gösteriyor.

Opinium tarafından yürütülen bir araştırmaya göre, siber saldırılara karşı savunmasız konumda olan bir şirket, müşteri memnuniyetini ve güvenini riske atmaktadır, çünkü siber saldırı kurbanları kendisini ve müşterilerini koruyamayan bir şirkete karşı negatif hisler beslemeye çok daha yatkındır.

Tüketicilerden son zamanlarda yaşanan yüksek profilli siber saldırılar hakkında yorum yapmaları istendiğinde,

  • 71% ‘i bu olayların kuruluşun itibarına zarar verdiğine inandıklarını,
  • % 65’i markaya olan güvenlerinin azaldığını ve
  • % 53’ü de bu durumun gelecekte insanların markaya olan ilgisini azaltacağını düşündüklerini ifade etmiştir.

Bu, Gemalto’nun Veri İhlalleri ve Müşteri Sadakati Raporunun (Data Breaches and Customer Loyalty Report) bulguları ile de desteklenmiştir; tüketicilerin dörtte üçü şirketlerin kendi verilerinin korunmasını ve güvenliğini ciddiye almadıklarını ve %69’u verileri korumanın şirketlerinin kendi yükümlülüğü olduğunu düşündüklerini ifade etmiştir.

Hazırlıklı olmak
Potansiyel siber tehditlere karşı hazırlıklı olmak, tedbirler almak KOBİ’ler için akıllı bir harekettir

ConnectOne Bank CEO’su Frank Sorrentino, “Aynı bir yangın tatbikatı gibi, bir siber saldırıya müdahale için bir eylem planı hazırlamak çok önemlidir” diyor. “Daha da önemlisi, tüm çalışanların ihlal durumunda tam olarak ne yapacaklarını bilmesi için böyle bir tatbikat yapılmalıdır.

Uzman personel istihdam etmeye maddi güçleri yeten işletmeler, KOBİ’lerin verilerini ve çevrimiçi itibarlarını korumalarına yardımcı olabilmeleri için bunu yapmalıdır. Koruma süitleri, KOBİ’lerin siber tehditlerle ilgili endişelerini hafifletmeye yardımcı olabilir ve bir ihlal durumunda çözümler sunabilir ve aynı zamanda, tüketicinin güven kaybını en aza indirgeyerek, ihlalin yansımalarının yapıcı bir şekilde yönetilmesine yardımcı olabilir.

Masrafını karşılayabilecek güçleri olmayanların yararlanabileceği pek çok kaynak mevcuttur. Birleşik Krallık Hükümeti’nin Cyber Essentials web sitesinde, ücretsiz olarak indirilebilen bir belgelerin yanı sıra bir özdeğerlendirme anketi de bulunmaktadır. KOBİ’ler ayrıca siber güvenlik konusunda akreditasyona başvurabilir ve müşterilerine ve ortaklarına siber güvenliği ciddiye aldıklarını, akreditasyon rozeti/amblemi ile gösterebilir.

KOBİ’ler en azından Cyber Streetwise tarafından özetlenen üç basit adıma uymalıdır:

  • Üç rastgele kelime kullanarak güçlü bir şifre oluşturun.
  • Tüm cihazların güvenlik yazılımı tarafından korunduğundan emin olun.
  • Yazılımı daima güncel tutun.

Veri korumayı ciddiye almayan kişilere ağır yaptırımlar

25 Mayıs 2018’de Genel Veri Koruma Yönetmeliği (GVKY) yürürlüğe girdi. GVKY, AB çapında veri koruma standartlarını düzenleme amacını taşır ve uyarılara dikkat etmeyen kişiler için Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (PCI SSC) (Payment Card Industry Security Standards Council) uyarınca verilen cezalar can sıkıcı olabilir.

PCI SSC uluslararası direktörü Jeremy King, şöyle diyor: “Bunun için,  her ölçekteki şirketin “şimdi harekete geçmesi ve siber güvenlik tehdidine karşı koymak için sağlam standartları ve prosedürleri uygulamaya koyması gerekir, aksi takdirde düzenleyicinin öngördüğü para cezalarında astronomik artışlar olacaktır ve markalarının itibarı zedelenecektir”

GVKY’ye hazırlanmak için, KOBİ’ler şunları yapmalıdır:

  • Yönetmeliğe uygunluk sağlanmasından sorumlu bir Veri İşleme Görevlisi atayın.
  • Veri işleme prosedürlerini belgeleyin.
  • Verilerin ihlal edilmesini önlemek için risk düzeylerini inceleyin ve uygun önlemleri alın.
  • Müşterilerinizi, verilerin korunma biçiminden düzenli olarak haberdar edin.

KOBİ’lerin faaliyetleri çevrimiçi dünyayla git gide artan oranda iç içe geçerken, KOBİ’lerin siber suçlular tarafından saldırıya maruz kalma riski de artmaktadır. KOBİ’ler genellikle kendilerini savunmaya yarayacak kaynaklardan ve bilgiden yoksun olduklarından, bu saldırı türlerine karşı özellikle savunmasızdırlar.

Sonuç olarak, müşterilerinin kişisel bilgilerini korumayarak, güven ve itibar kaybına yol açma riski taşırlar. Günümüz dünyasında, siber suçlara karşı hazırlıklı olmak artık bir tercih meselesi değildir. Siber saldırı riskini göz ardı etmenin sonuçları hem potansiyel maddi külfeti hem de müşteri kaybı açısından çok büyüktür.