Veri ihlali maliyetleri, pandemi sırasında rekor düzeye ulaştı

IBM Security araştırmasına katılan şirketlerde, global düzeyde veri ihlali ortalama 4,24 milyon dolara mal olurken, Türkiye’de ise bu maliyet ortalama 1,78 milyon dolar seviyesinde.

IBM’nin iş güvenliği birimi IBM Security, her yıl yaptığı güvenlik araştırma çalışmasını paylaştı. Araştırma sonucuna göre veri ihlalleri, katılımcı şirketlere ortalama 4,24 milyon dolara mal oldu. Bu sonuç, raporun yayınlandığı 17 yıl boyunca görülen en yüksek maliyet olarak göze çarpıyor. 500’den fazla kuruluşta meydana gelen veri ihlallerine ilişkin kapsamlı analizlere dayanan araştırma, pandemi sırasında gerçekleşen büyük değişimler sebebiyle güvenlik açıklarının çok daha maliyetli ve kontrol altına alınması zor hale geldiğini ve maliyetlerin önceki yıla kıyasla yüzde 10 oranında arttığını gösteriyor.

İşletmeler geçtiğimiz yılda; teknolojik yaklaşımları hızlıca uygulayarak, çalışanlarını evden çalışmaya teşvik etti. Kuruluşların yüzde 60’ı ise pandemi döneminde bulut tabanlı faaliyetlere geçiş yaptı. Raporla birlikte gelen yeni bulgular, güvenliğin BT’de meydana gelen hızlı değişimlerin gerisinde kalmış olabileceğini ve kuruluşların veri ihlallerine müdahale etme yeteneklerini engellediğini gösteriyor.

Türkiye’den de 21 kuruluşun katıldığı araştırmada veri ihlalinin şirketlere ortalama 1,78 milyon dolara mal olduğu belirtiliyor. Çalınan kimlik bilgileri, yüzde 22 oranla veri ihlalinin en yaygın olduğu alan olurken, bunu yüzde 16 ile e-dolandırıcılık ve yüzde 15 ile yanlış bulut yapılandırması izliyor. Bu faktörler Türkiye’deki bir şirketin sırasıyla ortalama 1,29 milyon dolar, 2,19 milyon dolar ve 1,68 milyon dolar zarara uğradığını da ortaya koyuyor. Araştırmaya zarara sebep olan en pahalı neden ise ortalama 2,25 milyon dolarla üçüncü taraf yazılımlardaki güvenlik açıkları olarak belirlendi.

IBM Security’nin desteğiyle her yıl Ponemon Institute tarafından dünya çapında düzenlenen “Veri İhlalinin Maliyeti Raporu”, araştırmaya katılan kuruluşlar arasında aşağıdaki eğilimlerin görüldüğünü ortaya koydu:

• Uzaktan çalışmanın etkisi: Pandemi sırasında hızla uzaktan operasyonlara geçiş yapılması, veri ihlallerinin maliyetli olmasına yol açtı. Araştırmaya göre uzaktan çalışma kaynaklı ihlallerin diğer ihlallere göre 1 milyon dolar daha yüksek olduğu gözlendi. 
• Sağlık hizmetlerinde ihlal maliyetleri artış gösterdi: Sağlık hizmetleri, perakendecilik, konaklama ve tüketici ürünleri üretimi ve dağıtımı gibi pandemi sırasında büyük operasyonel değişikliklerle karşı karşıya kalan sektörler de veri ihlali maliyetlerinde bir önceki yıla kıyasla büyük bir artış yaşandı.  Geçtiğimiz yıla kıyasla 2 milyon dolarlık bir artışın görüldüğü sağlık hizmetlerindeki veri ihlalleri, her bir vakada ortalama 9,23 milyon dolarla en yüksek maliyetli ihlaller arasında yer alıyor.
• Kimlik bilgilerinin ele geçirilmesi, verileri riske attı: Araştırmaya göre ele alınan ihlal sebepleri arasında kullanıcı kimlik bilgilerinin çalınması en yaygını. İsim, e-posta, parola gibi müşterilere ait kişisel veriler; yüzde 44’lük oranla veri ihlallerinde en yaygın açığa çıkarılan bilgiler konumunda bulunuyor. Bu faktörlerin bir araya gelmesi ve kullanıcı bilgileri ihlallerinin saldırganlara gelecekte daha fazla veri ihlali gerçekleştirme gücünü sağlamasıyla, sarmal bir etkiye sebep olabilir.
• Modern yaklaşımlar maliyetleri düşürdü: Yapay zeka, güvenlik analitiği ve şifrelemenin benimsenmesi veri ihlali maliyetini azaltıyor. Bu araçlara yönelik kayda değer bir kullanıma sahip olmayan şirketlerle kıyaslandığında, sahip olan şirketler 1,25 – 1,49 milyon dolar tutarında tasarruf sağladı. Araştırmada ele alınan bulut tabanlı veri ihlalleri söz konusu olduğunda, hibrit bulut yaklaşımı uygulayan kuruluşların veri ihlali maliyetlerinin 3,61 milyon dolar olduğu görüldü. Bu sonuç; genel veya özel bulut çözümlerine öncelik veren yaklaşıma sahip kuruluşlara kıyasla ortalama yüzde 27 daha düşük.

Yükselen veri ihlali maliyetlerinin teknolojide gerçekleşen hızlı değişimlerin ardından, işletmeler için bir diğer ek masraf olduğunu belirten IBM Security Başkan Yardımcısı ve Genel Müdürü Chris McCurdy, çalışma hakkında şunları söyledi: “Veri ihlali maliyetleri geçtiğimiz yılda rekor düzeye ulaşırken bu rapor, yapay zeka, otomasyon ve sıfır güven yaklaşımının benimsenmesi gibi modern güvenlik taktiklerinin etkisine dair olumlu işaretler de ortaya koydu. Bu taktikler, söz konusu vakaların maliyetini daha da düşürme konusunda avantaj sağlayabilir.”

Dünya çapında yapılan araştırmada; herhangi bir bulut platformuna geçiş projesi sırasında ihlal yaşayan şirketlerin maliyetinin ortalamadan yüzde 18,8 daha yüksek olduğu gözlendi. Çalışma ayrıca genel bulut modernizasyon stratejilerinde “olgunluk” evresinde olanların erken aşamada olanlara göre, olayları daha etkili bir şekilde algılayabildiğini ve erken aşamada olanlara göre ortalama 77 gün daha hızlı müdahale edebildiğini tespit etti. 

Rapor önceki yıllara kıyasla daha fazla şirketin güvenlik otomasyonu uyguladığını ve bunun önemli maliyet tasarrufları sağladığını da ortaya koydu. Dünya çapında ankete katılan şirketlerin yaklaşık yüzde 65’i güvenlik ortamlarında otomasyonu kısmen veya tamamen devreye aldıklarını bildirdi. “Tam olarak konuşlandırılmış” bir güvenlik otomasyon stratejisine sahip olan kuruluşların ortalama ihlal maliyeti 2,90 milyon dolar otomasyonu olmayanların maliyeti ise 6,71 milyon dolar. 

Raporda olay müdahale ekiplerine ve planlarına yapılan yatırımların, veri ihlali maliyetlerini de azalttığı gözlendi. Hem olay müdahale planlanına hem de onu test eden bir ekibe sahip şirketlerin ortalama ihlal maliyeti 3,25 milyon dolarken, bir ekibe ya da plana sahip olmayanların maliyeti ortalama 5,71 milyon dolar. 

2021 global raporun ek bulguları arasında şunlar yer alıyor: 

• Müdahale süresi: Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Tespit etmek için 212, kontrol altına almak için de 75 gün süren bu işlem; önceki yılın raporuna göre bir hafta daha uzun.
• Mega ihlaller: 50 milyon ila 65 milyon kayda yönelik ihlaller arasından, bir mega ihlalin ortalama maliyeti 401 milyon dolar. Bu sonuç, raporda incelenen diğer ihlallerin çoğundan neredeyse 100 kat daha pahalı olduğunu gösteriyor
• Sektörlere göre: Sektöre göre en yüksek veri ihlalleri 9,23 milyon dolarla sağlık hizmetlerinde gerçekleşti. Sağlık hizmetlerini,  5,72 milyon dolarla finans sektörü ve 5,04 milyon dolarla ilaç sektörü takip etti. Genel maliyetleri daha düşük olmasına karşın perakendeci, medya, konaklama ve kamu sektörlerinde önceki yıla kıyasla büyük bir artış yaşandı.
• Ülkeye/bölgeye göre: En pahalı veri ihlalleri 9,05 milyon dolarla ABD’de meydana geldi. ABD’yi 6,93 milyon dolarla Orta Doğu bölgesi ve 5,4 milyon dolarla da Kanada takip ediyor.