Fransa’daki toplam 3,8 milyon şirketin 146.000’i, 10 ila 249 çalışanı olan Küçük ve Orta Ölçekli İşletmelerdir (KOBİ’ler). Ekonomik modernizasyon yasasından bu yana Çok Küçük İşletmelerin (VSE) yeni adı olan mikro işletmeler, 10’dan az çalışanı olan şirketlerdir. Fransa’da VSE’ler/KOBİ’ler toplamda 6,2 milyon çalışana karşılık gelmektedir (INSEE, 2020). Ulusal ekonomik büyümenin hayati akciğeri olan bu kuruluşlar, Fransız şirketlerinin büyük çoğunluğunu veya %99,9’unu temsil ediyor.
Fransa’da bu kuruluşlar genellikle siber suçlarla bağlantılı riskleri hafife alma eğilimindedir. Ancak danışmanlık firması Asterès’in yaptığı analize göre 385.000 başarılı siber saldırıdan1 Fransa’da 2022’de 330.000 KOBİ’yi hedef aldı.
İster şirketler, taşeronlar, tedarikçiler veya büyük grupların yan kuruluşları olsun, hepsi savunmasızdır ve kaybedecek çok şeyi vardır; bu da bir bölgenin genel ekonomisi üzerinde de etkiye sahip olabilir. Siber risk bir ülke olsaydı 3. ülke olurdue Yıllık maliyeti 6.000 milyar dolar veya küresel GSYİH’nın %6’sı olan küresel ekonomi. Bu rakam 2015’tekinin iki katı.
Bir maliyetten daha fazlası, bir hayatta kalma meselesi
KOBİ’ler neden siber saldırganların öncelikli hedefi?
2020’den bu yana BT güvenliği ortamında önemli bir değişiklik yaşandı: Siber tehditlere maruz kalma yüzey alanı önemli ölçüde arttı. Bunun nedeni, uzaktan çalışmanın yaygınlaşmasıdır ve bu da kimlik avı saldırılarında %667’lik bir artışa neden olmuştur.yani ve 23 Mart 2020! Saldırıların amaçları çeşitlenirken, mikro işletmeler ve KOBİ’ler de dijitalleşmeye teşvik ediliyor: kar güdüsü, endüstriyel veya stratejik casusluk, istikrarsızlaştırma girişimleri.
Ekonomik alanın dijitalleşmesi kaçınılmaz görünüyor ve ironik bir şekilde hiçbir zaman bu kadar savunmasız olmamıştık. Fiber ve 5G’nin geniş ölçekli dağıtımı, bulut kullanımı ve yeni finansal kaynaklara ve önemli teknik becerilere sahip siber suçlu gruplarının çeşitliliği, sektörler arasında benzeri görülmemiş karşılıklı bağımlılıklar yaratıyor. Son olarak, VSE’ler/KOBİ’ler tarafından giderek daha fazla dikkate alınan bir fırsat olan Nesnelerin İnterneti’nin (IoT) ortaya çıkışı, hem daha rekabetçi olmanın bir yolunu hem de siber riske maruz kalmanın alternatif bir yüzeyini sunuyor.
Tüm pazarlar, hem günlük tüketici ürünlerine hem de üretim zincirlerine yönelik siber saldırılardan potansiyel olarak etkileniyor.
KOBİ’ler için etkisi nedir?
Sigorta şirketi Allianz’ın yıllık risk barometresinde belirlediği iş riskleri arasında siber saldırı tehlikesi ilk sırada yer aldı. Ancak bazı iş dünyası liderlerinin bu etkilerin boyutunun mutlaka farkında olmadıklarını belirtmekte fayda var. Aralık 2021’de yapılan bir IFOP anketi, iş dünyası liderlerinin yalnızca %25’inin yüksek riske maruz kaldıklarını, yalnızca %3’ünün ise çok yüksek riske maruz kaldıklarını düşündüğünü doğruluyor. Her siber olay, faaliyetlerde birkaç hafta, hatta aylar sürebilecek az ya da çok önemli kesintilere neden olur. Hiscox 2021 raporuna göre tüm saldırıların ortalama maliyeti mikro işletmeler için 7.273 avronun biraz üzerinde, KOBİ’ler için ise 50.000 avro oldu. Güvenliğe yatırım yapmak için gereken sınırlı finansal kaynaklar, onları tespit etmek ve bunlara yanıt vermek için gerekli araçlara yatırım yapmadıkları için onları saldırılara karşı daha savunmasız hale getiriyor.
Veri kaybı, faaliyetlerin kesintiye uğraması, cironun erozyona uğraması, sigorta primlerinde artış ve hatta itibarın zedelenmesi, bu küçük işletmeler için yıkıcı sonuçlardır. 2022’de siber saldırıya uğrayan VSE/KOBİ’lerin sayısı azalıyorsa (2021’deki %54’e kıyasla 2022’de %43 (Cesin)) bunların %71’inin önümüzdeki üç yıl içinde iflas başvurusunda bulunacağını bildiğimizde bu yeterli değil .
Bu nedenle “önlemek tedavi etmekten iyidir” atasözü özellikle siber güvenlik için geçerli görünüyor.
VSE-KOBİ’ler için nasıl bir gelecek var?
Ekosistemin gelişimini teşvik ederken “dijital hijyen” kültürünü yaygınlaştırın
Bu nedenle zorluk, şirketlerde siber güvenlik kültürünü yaygınlaştırmaktır. Dijital tehditlere karşı mücadelenin herkese uygun tek bir çözümü yoktur. Her şirket karşılaştığı risklerin değerlendirmesine göre hazırlık yapmalıdır. Bu, herkesin sıkı dijital hijyeni korumasını ve her zaman BT güvenliği uygulamalarını benimsemesini gerektirir. Özellikle mevcut mekanizmanın siber saldırganları suçları tekrarlamaya teşvik etmesi ve mağdurların kırılganlığını pekiştirmesi nedeniyle.
Artık bir siber saldırının maliyetinin, iyi bir savunma sisteminin maliyetinden çok daha yüksek meblağlara ulaşabileceğini biliyoruz. Güvenlik araçlarına ayrılan bütçeyi artırmak, giderek karmaşıklaşan tehditlerin çoğalmasına karşı artık yeterli bir çözüm değil. Her çalışan sorumluluğun önemli bir kısmını üstlenir çünkü onlar en büyük potansiyel güvenlik açığını temsil ederler.
Bir ağ üzerinde hiçbir kullanıcıya tamamen güvenilemeyeceği ilkesini temel alan “Sıfır Güven” güvenlik modeli günümüzde daha iyi anlaşılmış gibi görünse de, siber tehdit karşısında insan faktörü en büyük zafiyetlerden biri olmayı sürdürüyor. Bu nedenle personeli tehditler ve iyi günlük uygulamalar konusunda eğitmek önemlidir.
Kamu politikaları VSE’leri/KOBİ’leri koruma konusunu ele alıyor
Kasım 2022’de Siber Kampüs, Dijital Geçiş ve Telekomünikasyondan Sorumlu Bakan Delegesi Jean-Noël Barrot tarafından VSE’lerin/KOBİ’lerin korunmasını sağlama misyonuyla görevlendirildi. Bu yenilikçi yaklaşım, büyümeyi ve refahı teşvik eden ulusal düzenlemelerin uyarlanabilirliğine odaklandı.
Proje, her biri VSE’lerin/KOBİ’lerin siber güvenliğini güçlendirmeyi ve kendilerini dijital tehditlere karşı daha etkili bir şekilde korumalarına yardımcı olmayı amaçlayan üç ana alana bölünmüştür. Her bir unsur, 2023 yılı sonunda yayınlanması planlanan bir raporda detaylandırılacaktır:
- KOBİ’lerle paylaşılacak iyi siber güvenlik uygulamaları kataloğunun ve siber risk değerlendirmesi için bir çerçevenin geliştirilmesi;
- KOBİ bilgi sistemlerinin dayanıklılığını güçlendiren önlemlerin belirlenmesi;
- Rekabetçi bir siber güvenlik danışmanlığı ve denetim teklifinin yapılandırılmasına katkı.
Ayrıca Avrupa Dijital İnovasyon Merkezi’nin (EDIH) bir parçası olan Siber Kampüs de CYBIAH projesinin uygulama yeri olarak belirlendi. Avrupa Komisyonu tarafından KOBİ’leri ve toplulukları desteklemek üzere görevlendirilen sitede yer alan uzmanların (kamu ve özel) desteği sayesinde dijital olgunluklarının geliştirilmesi amaçlanıyor. Desteğin beş aşaması var: dijital olgunluk değerlendirmesi, siber teşhis, teknik güvenlik planı, finansman hizmetine erişim ve eğitim.
Son olarak kamu sistemine erişim cybermalveillance.gouv.frMağdurlara yardım sağlayan ve güvenlik ve mahremiyet konularında kamuoyunu bilinçlendiren etkinlik, 2020’de +%155’lik bir katılım artışı kaydetti.
Basit ve somut çözümler
Siber saldırı risklerini önlemek ya da etkilerinin üstünü kapatmak için birçok çözüm mevcuttur. Yazılım yayıncıları, her şirketin büyüklüğüne ve bütçesine uygun çözümler sunmak için özenle çalışır.
Özellikle NDR (Ağ Tespiti ve Yanıtı), farklı stratejik noktalara konuşlandırılan ve kötü niyetli eylemlerin ve şüpheli davranışların kesin olarak tanımlanmasına olanak tanıyan bir yazılım veya donanım araştırmasıdır. Bilgi sisteminde mevcut tüm kaynakların haritalanması sayesinde siber risk seviyesinin 360° modellemesini sunar: her yerde mevcut olan tehditler konusunda netlik, yanlış pozitiflerin azaltılması, izinsiz girişlerin önlenmesi veya hızla durdurulması.
Diğer hususların yanı sıra NIS 2 Direktifi’nin (Ağ ve Bilgi Güvenliği) temsil ettiği önemli gelişmelerle karşı karşıya kalan mikro işletmeler ve KOBİ’ler benzeri görülmemiş zorluklarla karşı karşıyadır. Özellikle yazılım yayıncılarının bu değişiklikleri öngörmesi ve bu standartlarla uyumlu çözümler sunması, böylece herkesin siber güvenliğini sağlamlaştırması gerekiyor.
1. Başarılı siber saldırılar, bir kuruluşun bilgi sistemine yönelik olduğu kanıtlanmış ve operasyonel ve/veya finansal etkisi olan (Asterès) izinsiz giriş (ör. kimlik avı veya yararlanma), fidye yazılımı saldırısı veya hizmet reddi (DDoS) saldırısı olarak tanımlanır.