2020’de ortaya çıkan küresel pandemiden bu yana tüm dünyada hız kazanan dijitalleşme siber suçlardaki artışı da beraberinde getirdi. Bunun belki de en bariz örneği SolirWinds saldırıları oldu. SolarWinds Orion Network Monitoring platformuna yapılan ve tarihin en büyük beş siber saldırısından biri olarak değerlendirilen bu saldırı sonucunda birçok kuruluşun ve ABD’nin devlet kurumlarının büyük ölçüde etkilendiği tespit edilmişti. Pandemi döneminde her biri SolarWinds kadar etkili olmasa da irili ufaklı milyonlarca saldırı tüm dünyada bireyleri ve kurumları zor durumda bıraktı.
Evden çalışmanın yaygınlaşması, sadece kurumsal dünyada değil günlük işlerde de teknolojinin rolünün artmaya başlaması neticesinde hayatlarımızın daha fazla çevrim içi olması, kimlik avcıları ve bilgisayar korsanları yeni fırsatlar anlamına geliyordu. 2022’nin ilk günlerinde bu tablo aynen devam ediyor. Bu bağlamda bireylerin ve işletmelerin sürekli büyüyen saldırı yüzeylerinin yanı sıra ortaya çıkan yeni riskleri azaltmak için neler yapılabileceğinin farkında olmaları çok önemli. Bu noktada 2022’de takip etmemiz gereken siber güvenlik trendleri bize yol gösterecektir. Gelin bu trendlerin en önemli beş tanesinin detaylarına göz atalım.
Yapay zeka destekli siber güvenlik
Dolandırıcılık tespiti için finansal hizmetlerde kullanılmasına benzer şekilde, yapay zeka (AI), olağan dışı ya da şüpheli bir durumun meydana gelebileceğini gösteren davranış kalıplarını belirleyerek siber suçlara karşı koyabilir. En önemlisi, AI bunun her saniye gerçekleşen binlerce olayla başa çıkması gereken sistemlerde yapabilir. Bu da genellikle siber suçluların saldırmaya çalışacağı yerdir.
Yapay zekayı burada bu kadar kullanışlı yapan şey tahmin gücüdür. Bunun farkında olan pek çok şirket 2022’de yapay zeka destekli siber güvenlik teknolojilerine yatırım yapmayı planlıyor. Bununla birlikte ne yazık ki siber suçlular da yapay zekanın faydalarının farkındalar ve bundan dolayı yapay zekayı alt etme adına her geçen gün yeni tehditler ortaya çıkıyor. Örneğin siber suç aktörleri makine öğrenimi temelli saldırılar planlıyorlar. AI destekli siber saldırılara karşı koymanın yegane yolu ise AI’yı daha da daha gelişmiş bir şekilde kullanmak.
Capgemini tarafından yakın zamanda yapılan bir araştırma, işletmelerin üçte ikisinin artık kritik siber güvenlik tehditlerini belirlemek ve bunlara karşı koymak için yapay zekanın gerekli olduğuna inandığını ve neredeyse dörtte üçünün bu amaçla yapay zekayı kullandığını veya test ettiğini ortaya koyuyor.
Artan fidye yazılımı tehdidi
Birleşik Krallık Ulusal Siber Güvenlik Merkezi’ne göre, 2021’in ilk çeyreğinde, 2019’un tamamındakinden üç kat daha fazla fidye yazılımı saldırısı gerçekleşti. PwC tarafından yapılan güncel tarihli araştırmalar, teknoloji yöneticilerinin %61’inin bunun 2022’de artmasını beklediğini gösteriyor. Tahmin edeceğiniz üzere bu artışı büyük ölçüde pandemiye ve çevrimiçi ve dijital ortamlarda gerçekleştirilen aktivite miktarındaki artışa bağlayabiliriz.
Fidye yazılımları, dosyaları kırılmaz kriptografinin arkasına kilitleyen ve genellikle izlenemeyen kripto para birimi biçiminde bir fidye ödenmediği takdirde onları yok etmekle tehdit eden bir virüsle cihazlara bulaşmayı hedefleyen saldırılardır. Alternatif olarak, saldırganlar verileri kamuya açık bir şekilde yayınlamakla tehdit edebilir ve kurumu çok büyük para cezalarına maruz bırakabilir.
Fidye yazılımları, genellikle kimlik avı saldırıları yoluyla dağıtılır. Saldırılan kurumun çalışanları fidye yazılımı (bazen kötü amaçlı yazılım olarak adlandırılır) bilgisayarlarına indiren bir bağlantıyı tıklatarak kandırılır. Bununla birlikte, son zamanlarda USB cihazları aracılığıyla doğrudan bulaşma giderek yaygınlaşıyor.
Savunmasız şeylerin interneti
Nesnelerin interneti (IoT) olarak bilinen bağlı cihazların sayısının 2022 yılına kadar 18 milyara ulaşacağı tahmin ediliyor. Bunun bir sonucu, güvenli dijital sistemlere erişim elde etmek isteyen siber suçlular için potansiyel erişim noktalarının sayısı da giderek artıyor. IoT uzun zamandır önemli bir tehdit olarak kabul ediliyor. Bilgisayar korsanlarının ağlara erişmek için buzdolabı ve su ısıtıcısı gibi bağlı ev aletlerini kullanması ve oradan değerli verilerin bulunabileceği bilgisayarlara veya telefonlara erişmesi gibi senaryolar karşınıza çıkmıştır. 2022’de IoT daha yaygın hale gelecek ama bir yandan bu alanda işler de çok daha karmaşık da olacak. 2022’de şüphesiz IoT cihazlarına yönelik saldırıların arttığını görmeye devam edeceğiz. Verilerin toplandığı noktaya mümkün olduğunca yakın bir yerde çalıştırılan uç bilgi işlem cihazlarının yanı sıra merkezi bulut altyapısı da tamamen savunmasız alanların başında geliyor.
Siber güvenlik riskleri şirket ortaklıkları için önemli bir değişken haline geliyor
Kurumların tedarik zincirlerindeki her bağlantı giderek artan bir şekilde siber suçlular tarafından potansiyel bir güvenlik açığı olarak görülüyor. Bu nedenle, işletmeler, kiminle ortak olacaklarını seçerken belirleyici bir faktör olarak siber güvenlik esnekliğini giderek daha fazla kullanacak.
Bu durum, Gartner’ın 2025 yılına kadar kuruluşların %60’ının kiminle iş yapacaklarını seçerken siber güvenlik riskini “birincil belirleyici” değişken olarak kullanacağını öngören araştırması tarafından doğrulanıyor. Çin Kişisel Bilgilerin Korunması Yasası ve Kaliforniya Tüketici Gizliliği Yasası gibi Avrupa Genel Veri Koruma Yönetmeliği (GDPR) gibi mevzuatların giderek artması, düzenlemelere uymayan kurumları daha büyük cezalarla karşı karşıya bırakıyor.
Siber güvenlik düzenlemeleri veya derecelendirmeleriyle ilgili soruları yanıtlayamayan işletmeler, kendilerini çok daha zor durumlarla bulacaklar. Aslında bu noktada Garner, SecurityScorecard, Black Kite veya UpGuard gibi endüstri standardı güvenlik derecelendirme planlarının şirketler için kredi derecelendirme kuruluşları kadar önemli hale geleceğini söyleyebiliriz.
Yasal düzenlemeler daha fazla ayrıntıya odaklanacak
Siber suçların küresel ekonomilere maliyeti 2021’de 6 trilyon dolara ulaşmış durumda. Security Magazine’e göre, 2022 yılı düzenleyicilerin durumun üstesinden gelmek için durakları kaldırdığı yıl olacak. Bunun bir sonucu olarak, şu anda yalnızca veri ihlali ve kaybını kapsayan cezaların, güvenlik açıklarını ve olası hasara maruz kalmayı da kapsayacak şekilde genişletilmesi mümkün olabilir. Ayrıca, veri hırsızlıklarının, kayıplarının ve ihlallerin müşteriler üzerindeki etkisini sınırlamak amacıyla, mali işlerden sorumlu yöneticilerinin sorumluluklarının bazılarının bilgi güvenliği başkanlarına verildiğini de görebiliriz. Bu kaçınılmaz olarak işletmelerde bilgi güvenliğinden sorumlu olanların yükünü artıracak olsa da uzun vadede işe yarayacaktır. Sonuç olarak şu kesin ki 2022’de bugün onlara değerli kişisel bilgilerimize erişim ayrıcalığı vermemizi isteyen kurumlar için tüketici güveni oluşturmak her zamankinden daha önemli hale gelecek.