Güvenlik kültürü Avrupa’nın her yerinde ve faaliyet gösterdiği sektörlerde aynı şekilde anlaşılmıyor. Bazı kuruluşlar güvenlik kültürünün hem bir süreç hem de stratejik bir önlem olduğunu anlasa da birçoğu henüz bu hedefe ulaşma taktiğine karar vermedi. Süreci üstlenenler, bir güvenlik kültürü geliştirmek için belirli güvenlik davranışlarını uygulamanın öneminin farkına varmışlardır. Proaktif güvenlik kültüründe çalışanların, güvenli davranışın kimlik avı simülasyonlarına katılmakla sınırlı olmadığını anladıklarını kabul ediyorlar. Bu çalışanlar derin bir motivasyona sahiptir ve kuruluşlarının güvenlik stratejisine katılmak isterler.
Güvenlik kültürü, bir kuruluşun güvenliğini etkileyen ve insan riskini azaltan fikirler, gelenekler ve sosyal davranışlar dizisi olarak tanımlanır. İyi bir güvenlik kültürüne sahip şirketlerde çalışanlar proaktif olarak siber güvenlik bilgilerini paylaşır, eğitimlere isteyerek katılır ve siber güvenliğin şirket için bir öncelik olduğunu anlar.
Ancak Avrupa çapında çok farklı güvenlik kültürü olgunluğu seviyeleri vardır. İnsanlar tüm kuruluşlarda ana saldırı vektörü olmaya devam etse bile, bireyleri hedef alabilecek belirli saldırılarda olduğu gibi bu boyut da yeterince dikkate alınmıyor gibi görünüyor.
Çoğu durumda, Avrupalı kuruluşlar dayanıklılıklarını güçlendirmek için insanları savunmalarına entegre etmeleri gerektiğinin farkındadır. Güvenlik farkındalığı artık yalnızca uyumluluk gerekliliklerini karşılamayı amaçlayan rutin bir uygulama olarak görülmüyor ve giderek kurum içinde güvenlik zihniyetini teşvik eden stratejik bir girişim olarak görülüyor. Siber güvenliğe adil değer verilmeyen ve farklı departmanlar arasındaki işbirliğinin konusu olmayan kuruluşlarda, güvenlik profesyonelleri sesini duyurmakta zorluk çekiyor.
Ana düzenleyici gereksinimler
AB, Avrupa’da siber güvenliğin gelişimini belirleyen mevzuat ve düzenlemelerde önemli bir itici güçtür. Geleneksel olarak yasama girişimleri, çok hızlı teknolojik gelişmelerin damgasını vurduğu bir çağda temel insan haklarını savunmayı amaçlamaktadır. Diğer bölgeler gibi AB de bu alanda giderek katılaşan düzenlemelerle tamamlanan kamu-özel ortaklığı projelerini uygulayarak işletmeleri siber güvenlik tehditlerine karşı korumak için harekete geçti. Bu girişimler, pazarda siber güvenliğin ve veri korumanın geliştirilmesi için güçlü araçlar olmaya devam ediyor.
GDPR’nin dünya çapında etkisi oldu. Avrupa Birliği genelinde yürürlükte olan bu yasa, dünyanın diğer bölgelerinde de benzer düzenlemelere ilham kaynağı olmuştur. GDPR, bireylerin çıkarlarını ön planda tutarak veri toplama ve işleme arasında bir denge kurar. NIS2 gibi sektöre özel düzenlemeler aracılığıyla da katı siber güvenlik gereklilikleri uygulanmaktadır. Kritik altyapıyı yöneten kuruluşların, siber güvenliğin sorumluluğunu yönetim kurullarına yükleyen bu yönergeyi Ekim 2024 itibarıyla uygulamaya koymuş olması gerekiyor. Bu direktif aynı zamanda kuruluşları tedarik zincirlerinin güvenliğinden de sorumlu tutuyor.
Dijital Operasyonel Dayanıklılık Yasası (DORA) Ocak 2025’te yürürlüğe girecek. Bu yasa, kuruluşların bir siber saldırıdan ne kadar çabuk kurtulabileceklerini göstermelerini ve çalışanlarına yönelik eğitim uygulamalarını zorunlu kılıyor.
AB de benzer şekilde yapay zeka kullanımını düzenlemek için kapsamlı bir yaklaşım uyguluyor. Aralık 2023’te AB Yapay Zeka Mevzuatı ile ilgili geçici bir anlaşmaya varıldı, ancak bu 2025 yılına kadar yürürlüğe girmeyecek. Yapay Zeka mevzuatı, kabul edilemez risk, yüksek risk gibi çeşitli kategorilere karşılık gelen çeşitli kategorilerle yapay zekaya risk temelli bir yaklaşım ortaya koyuyor. , sınırlı risk veya minimum risk. Para cezaları, 35 milyon Euro’ya veya brüt gelirin %3’üne (hangisi daha büyükse) eşit olacak şekilde çok büyük olabilir.
Yeni düzenlemeleri iç politikalara dönüştürmek nispeten hızlı olsa da, bunlar belgelendikten, imzalandıktan ve dağıtıldıktan sonra kuruluşlar kendilerini siber güvenlik yönetiminin zorluklarıyla karşı karşıya buluyor. Yönetişim, kuruluşların ve liderlerinin, standartlaştırılmış süreçlere, güçlü yaptırımlara, açık sorumluluklara ve üst düzey liderlerin gözetimine dayanarak ve gerekli kaynakları sağlayarak siber güvenlik stratejilerini ve hedeflerini uyumlu hale getirmelerini sağlamak için hayati öneme sahiptir. Siber güvenlik stratejilerini gerçekten güçlendirmek için kuruluşların kapsamlı yönetişim uygulaması gerekir. Bu adımlar atılmadığı takdirde uyum yalnızca rutin bir uygulama olarak kalacaktır.
Sık güvenlik olayları
ENISA, 2023’te siber saldırıların kalitesinde ve sayısında ve sonuçlarında bir artış olduğunu, fidye yazılımı saldırılarında keskin bir artış olduğunu ve ayrıca jeopolitik iklimden kaynaklanan etkileri rapor ediyor. İlk üç tehdit fidye yazılımı, kötü amaçlı yazılım ve sosyal mühendislikti. 2023 yılı aynı zamanda mağdurlara sızmak ve fonları gasp etmek için alternatif yollar bulmaya yönelik taktik ve yöntemlerin çeşitlenmesiyle siber suç hizmetlerinin bir hizmet olarak profesyonelleştirilmesinin artmasıyla da karakterize edildi. Kimlik avı birincil saldırı vektörü olmaya devam ederken, sosyal mühendislik önemli ölçüde büyüdü. Fiziksel saldırılar da arttı.
Rusya ile Ukrayna arasındaki savaşın gösterdiği gibi, yanlış bilgi ve dezenformasyon bir kez daha artıyor. Yaklaşan 2024 seçimleri ve üretken yapay zeka araçlarının ortaya çıkması nedeniyle, dezenformasyonun niceliği ve niteliği toplum için tehdit oluşturmaya devam edecek. Üretken yapay zeka aynı zamanda, özel kuruluşları hedef alan ve para sızdırmak için kullanılan giderek yaygınlaşan iki tehdit olan sahte sahtecilik ve sesli kimlik avının da önünü açıyor.
Güvenlik kültürü dünyanın bölgelerine göre farklılık göstermektedir. Silolanmış bir yaklaşım sürdürülebilir değildir. Hükümetler mevzuat geliştirmek için birbirleriyle ve düzenleyici kurumlarla daha yakın çalışmalı, aynı zamanda güçlü bir güvenlik kültürü oluşturmak için uygulanacak somut önlemleri tanımlamalı ve entegre etmelidir.
Kuruluşlar ise insanın karşılaştığı zorlukları incelemeli ve bunu teknolojik bir sorun olarak ele almamalıdır. Bilgisayarların aksine, insanlara bir “düzeltme” uygulamak basit değildir ve sürekli bir farkındalık ve eğitim çabası gerektirir.