hadicanim
Aktif Üye
Enerji, ulaştırma, su, finans ve sigorta, medya, yönetim, sağlık ile BT ve telekomünikasyon alanlarını içeren kritik altyapı operatörleri için BT Güvenlik Yasaları 1.0 ve 2.0 kapsamında özel gereklilikler geçerlidir. Örneğin, minimum standartların yanı sıra raporlama ve sertifikasyon yükümlülüklerine de uymanız ve BT güvenliği konseptlerini sunmanız ve sürdürmeniz gerekir.
Reklamcılık
Düzenlemelere uyum söz konusu olduğunda, bu şirketler büyüklüklerine bağlı olarak değişen ilerlemeler kaydediyor ve bazı durumlarda hâlâ önemli ölçüde yetişmeleri gerekiyor. Bu, Federal İçişleri Bakanlığı adına Federal Bilgi Güvenliği Dairesi (BSI) ile Pazar ve Kamuoyu Araştırmaları Bilgi Enstitüsü’nün birlikte yürüttüğü bir anketten ortaya çıkıyor.
Gönüllü anket
Keşif çalışmasının amacı, Kritis operatörlerine yönelik yasal önlemlerin etkinliğini belirlemekti. 21 Şubat – 10 Mart 2023 arasındaki dönemde ise online ankete katılma fırsatı buldular. Genel olarak, davet edilen operatörlerin yüzde 45’inden fazlası yanıt verdi; BSI, katılımın gönüllülük esasına dayalı olması nedeniyle bunu bir başarı olarak değerlendirdi.
Bonn yetkilisi, Nisan ortasına kadar uzanan sonuç raporunu Pazartesi günü yayınladı. Bu nedenle teknik güvenlik önlemlerinin uygulanması katılımcıların çoğu için oldukça ileri düzeydedir. Bu, özellikle “henüz bireysel durumlarda uygulanmayan” Sanal Özel Ağların (VPN) ve erişim kontrollerinin kullanımı için geçerlidir. Şirketler, kurumsal güvenlik önlemlerinin uygulanması konusunda biraz daha geride kalıyor. Araştırmaya göre en büyük eksiklikler güvenli belge oluşturma ve güvenlik operasyonlarının başlatılmasında görülüyor. İkincisi için genellikle uzmanlardan oluşan bir ekibin siber güvenlik olaylarını günün her saatinde izlediği, tespit ettiği, analiz ettiği ve çözdüğü bir merkez kurmak gerekir.
Araştırmaya göre, şirketteki mevcut bilgi düzeyinin korunması ve çalışanların eğitilmesi ve bilinçlendirilmesi amacıyla organizasyonel alanda genel önlemler alındı. Halihazırda Enerji Endüstrisi Yasası (EnWG) veya Telekomünikasyon Yasası’nın (TKG) ek gereksinimleri kapsamına girmeyen Kritis operatörlerinin çoğu, genellikle iki BT güvenlik yasasına oldukça aşinadır. Büyük şirketlerin BT mevzuatına çok aşina olduklarını söyleme olasılıkları küçük ve orta ölçekli şirketlere (KOBİ’ler) göre önemli ölçüde daha yüksektir.
EnWG ve TKG operatörleri, teknik önlemlerin uygulanması konusunda diğer Kritis şirketlerine göre hafif bir avantaja, organizasyonel önlemlerin uygulanmasında ise açık bir avantaja sahiptir. Yasal gerekliliklerin tam olarak uygulanmamasının ana nedeni, her şeyden önce personel ve para eksikliğidir. Özellikle yasalara az ya da orta derecede aşina olan KOBİ’ler ve şirketler de zaman yetersizliğinden ve değişikliklerin kısa sürede yapılmasından şikayetçi.
Güvenlik için düşük bütçe
Her ne kadar on şirketten altısı bu bütçeyi son iki yılda artırmış olsa da, operatörlerin çoğunluğu BT güvenlik bütçesinin yetersiz olduğunu düşünüyor: üç şirketten yalnızca biri toplam operasyonel BT bütçesinin payının (ortalama yüzde 14) yeterli ol. Kurumsal şirketlere göre biraz daha yüksek yüzdeye sahip olan KOBİ’ler memnuniyetlerini daha sık dile getiriyor.
On şirketten yedisi, özellikle de büyük şirketler, şu anda artan bir BT tehdidi durumu algıladıklarını söylüyor. Belirtilen ana nedenler arasında Rusya’nın Ukrayna’ya karşı saldırganlık savaşı ve jeopolitik durumun yanı sıra Kritis operatörlerine yönelik artan ve hedefli siber saldırılar yer alıyor. EnWG/TKG şirketleri artan BT riski durumunu diğer sektörlerdeki şirketlere göre daha sık gözlemliyor. İlgili kurumların çoğunluğu, özellikle kendi BT sistemlerine yönelik daha sık siber saldırılar nedeniyle son iki yılda daha büyük bir risk durumuyla karşılaştı. Bu genellikle e-posta eklerindeki kimlik avı ve kötü amaçlı yazılımları içerir.
Siber saldırılardan etkilenen şirketlerin üçte ikisi maddi zarara uğradı. Şirketler bu rakamı ortalama 157.000 avro, KOBİ’ler ise 71.000 avro olarak belirledi. Maliyetler öncelikle hizmet sağlayıcıların devreye alınmasından, sistemlerin geri yüklenmesinden ve operasyonel arızalardan kaynaklanıyordu. Ekonomik zararın çoğu insan için pek önemi yoktu, ancak hiçbir durumda onların varlığını tehdit etmedi.
Hemen hemen tüm şirketler BT güvenliği olaylarını genellikle dahili bir sistemde düzenli olarak belgelemektedir. Katılımcılar, olayların iletilmesinde açık ara en önemli muhatabın BSI olduğunu belirtti. İşbirliği yapılan şirketler, diğer yetkililer, müşteriler ve tedarikçiler de en sık bilgilendirilmektedir.
Güvenlik açıklarının ortadan kaldırılması farklı hızlarda gerçekleşir: KOBİ’lerin hemen harekete geçme olasılığı daha yüksekken, büyük şirketlerin risk değerlendirmesinin bir parçası olarak önceliklendirmeye göre hareket etme olasılığı daha yüksektir. Katılımcılar, BT güvenlik yasalarının en yaygın etkilerini, artan dokümantasyon ve test çalışmaları, güvenlik sistemlerinin geliştirilmesi ve bazı durumlarda öne sürülen yeni önlemlerin uygulamaya konulması olarak belirttiler. Ek görevler ekonominin her yerinde pek hoş karşılanmadı. Örneğin Berliner Verkehrsbetriebe (BVG) uzun bir süre kendisini BSI ve BT güvenlik yasası anlamında bir kriz hizmeti sağlayıcısı olarak görmedi. Ancak 2021’de teslim oldular ve BSI’ya 22 küçük BT güvenlik sorunu ve büyük bir organizasyonel kontrol açığı içeren bir kusur listesi gönderdiler.
(olb)
Haberin Sonu
Reklamcılık
Düzenlemelere uyum söz konusu olduğunda, bu şirketler büyüklüklerine bağlı olarak değişen ilerlemeler kaydediyor ve bazı durumlarda hâlâ önemli ölçüde yetişmeleri gerekiyor. Bu, Federal İçişleri Bakanlığı adına Federal Bilgi Güvenliği Dairesi (BSI) ile Pazar ve Kamuoyu Araştırmaları Bilgi Enstitüsü’nün birlikte yürüttüğü bir anketten ortaya çıkıyor.
Gönüllü anket
Keşif çalışmasının amacı, Kritis operatörlerine yönelik yasal önlemlerin etkinliğini belirlemekti. 21 Şubat – 10 Mart 2023 arasındaki dönemde ise online ankete katılma fırsatı buldular. Genel olarak, davet edilen operatörlerin yüzde 45’inden fazlası yanıt verdi; BSI, katılımın gönüllülük esasına dayalı olması nedeniyle bunu bir başarı olarak değerlendirdi.
Bonn yetkilisi, Nisan ortasına kadar uzanan sonuç raporunu Pazartesi günü yayınladı. Bu nedenle teknik güvenlik önlemlerinin uygulanması katılımcıların çoğu için oldukça ileri düzeydedir. Bu, özellikle “henüz bireysel durumlarda uygulanmayan” Sanal Özel Ağların (VPN) ve erişim kontrollerinin kullanımı için geçerlidir. Şirketler, kurumsal güvenlik önlemlerinin uygulanması konusunda biraz daha geride kalıyor. Araştırmaya göre en büyük eksiklikler güvenli belge oluşturma ve güvenlik operasyonlarının başlatılmasında görülüyor. İkincisi için genellikle uzmanlardan oluşan bir ekibin siber güvenlik olaylarını günün her saatinde izlediği, tespit ettiği, analiz ettiği ve çözdüğü bir merkez kurmak gerekir.
Araştırmaya göre, şirketteki mevcut bilgi düzeyinin korunması ve çalışanların eğitilmesi ve bilinçlendirilmesi amacıyla organizasyonel alanda genel önlemler alındı. Halihazırda Enerji Endüstrisi Yasası (EnWG) veya Telekomünikasyon Yasası’nın (TKG) ek gereksinimleri kapsamına girmeyen Kritis operatörlerinin çoğu, genellikle iki BT güvenlik yasasına oldukça aşinadır. Büyük şirketlerin BT mevzuatına çok aşina olduklarını söyleme olasılıkları küçük ve orta ölçekli şirketlere (KOBİ’ler) göre önemli ölçüde daha yüksektir.
EnWG ve TKG operatörleri, teknik önlemlerin uygulanması konusunda diğer Kritis şirketlerine göre hafif bir avantaja, organizasyonel önlemlerin uygulanmasında ise açık bir avantaja sahiptir. Yasal gerekliliklerin tam olarak uygulanmamasının ana nedeni, her şeyden önce personel ve para eksikliğidir. Özellikle yasalara az ya da orta derecede aşina olan KOBİ’ler ve şirketler de zaman yetersizliğinden ve değişikliklerin kısa sürede yapılmasından şikayetçi.
Güvenlik için düşük bütçe
Her ne kadar on şirketten altısı bu bütçeyi son iki yılda artırmış olsa da, operatörlerin çoğunluğu BT güvenlik bütçesinin yetersiz olduğunu düşünüyor: üç şirketten yalnızca biri toplam operasyonel BT bütçesinin payının (ortalama yüzde 14) yeterli ol. Kurumsal şirketlere göre biraz daha yüksek yüzdeye sahip olan KOBİ’ler memnuniyetlerini daha sık dile getiriyor.
On şirketten yedisi, özellikle de büyük şirketler, şu anda artan bir BT tehdidi durumu algıladıklarını söylüyor. Belirtilen ana nedenler arasında Rusya’nın Ukrayna’ya karşı saldırganlık savaşı ve jeopolitik durumun yanı sıra Kritis operatörlerine yönelik artan ve hedefli siber saldırılar yer alıyor. EnWG/TKG şirketleri artan BT riski durumunu diğer sektörlerdeki şirketlere göre daha sık gözlemliyor. İlgili kurumların çoğunluğu, özellikle kendi BT sistemlerine yönelik daha sık siber saldırılar nedeniyle son iki yılda daha büyük bir risk durumuyla karşılaştı. Bu genellikle e-posta eklerindeki kimlik avı ve kötü amaçlı yazılımları içerir.
Siber saldırılardan etkilenen şirketlerin üçte ikisi maddi zarara uğradı. Şirketler bu rakamı ortalama 157.000 avro, KOBİ’ler ise 71.000 avro olarak belirledi. Maliyetler öncelikle hizmet sağlayıcıların devreye alınmasından, sistemlerin geri yüklenmesinden ve operasyonel arızalardan kaynaklanıyordu. Ekonomik zararın çoğu insan için pek önemi yoktu, ancak hiçbir durumda onların varlığını tehdit etmedi.
Hemen hemen tüm şirketler BT güvenliği olaylarını genellikle dahili bir sistemde düzenli olarak belgelemektedir. Katılımcılar, olayların iletilmesinde açık ara en önemli muhatabın BSI olduğunu belirtti. İşbirliği yapılan şirketler, diğer yetkililer, müşteriler ve tedarikçiler de en sık bilgilendirilmektedir.
Güvenlik açıklarının ortadan kaldırılması farklı hızlarda gerçekleşir: KOBİ’lerin hemen harekete geçme olasılığı daha yüksekken, büyük şirketlerin risk değerlendirmesinin bir parçası olarak önceliklendirmeye göre hareket etme olasılığı daha yüksektir. Katılımcılar, BT güvenlik yasalarının en yaygın etkilerini, artan dokümantasyon ve test çalışmaları, güvenlik sistemlerinin geliştirilmesi ve bazı durumlarda öne sürülen yeni önlemlerin uygulamaya konulması olarak belirttiler. Ek görevler ekonominin her yerinde pek hoş karşılanmadı. Örneğin Berliner Verkehrsbetriebe (BVG) uzun bir süre kendisini BSI ve BT güvenlik yasası anlamında bir kriz hizmeti sağlayıcısı olarak görmedi. Ancak 2021’de teslim oldular ve BSI’ya 22 küçük BT güvenlik sorunu ve büyük bir organizasyonel kontrol açığı içeren bir kusur listesi gönderdiler.
(olb)
Haberin Sonu