Üçüncü yıllık Oracle ve KPMG Bulut Tehlikeleri Raporu 2020’ye göre veri güvenliği, BT profesyonelleri için korku ve endişe arz ediyor. Dünyanın dört bir yanındaki 750 siber güvenlik ve BT profesyonelinin katıldığı çalışmada veri güvenliğine yönelik yamalı bir yaklaşım sergilenmesinin, yanlış yapılandırılan hizmetlerin ve yeni bulut güvenliği modelleriyle ilgili karışıklığın, ancak güvenliği kurumsal kültürlerinin bir parçası haline getiren kuruluşlarca çözümlenebilecek bir güven krizi yarattığı görülüyor.
● BT profesyonelleri, şirketlerinin finansal bilgileri ve fikri mülkiyetlerinin güvenliği konusunda evlerinin güvenliğine kıyasla 3 kat daha fazla endişe duyuyor.
● Kuruluşların yüzde 78’i, güvenlik konularıyla ilgili olarak 50’den fazla farklı siber güvenlik ürünü kullanırken yüzde 37’si ise 100’den fazla siber güvenlik ürünü kullanıyor.
● Bulut hizmetlerinin yanlış yapılandırıldığını fark eden kuruluşlar geçen sene 10 veya daha fazla sayıda veri kaybı olayı yaşadılar.
● BT güvenliği yöneticilerinin yalnızca yüzde 8’i, buluttaki paylaşımlı sorumluluğa dayalı güvenlik modelini tam olarak anladıklarını belirtiyor.
● BT profesyonellerinin yüzde 87’si, Yapay Zeka / Makine Öğrenimi özelliklerini, güvenlikle ilgili yeni yapacakları satın almalar için “olmazsa olmaz” bir özellik olarak görüyor.
Veri Güvenliği, BT Profesyonellerinin Uykularını Kaçırıyor
BT profesyonellerinin yaşadığı korku ve endişeyi gösteren çalışma, BT profesyonellerinin şirketlerinin verilerinin güvenliği konusunda kendi evlerinin güvenliğinden daha fazla endişe duyduklarını ortaya koyuyor.
● BT profesyonelleri, şirketlerinin finansal bilgileri ve fikri mülkiyetlerinin güvenliği konusunda evlerinin güvenliğine kıyasla 3 kat daha fazla endişe duyuyor.
● BT profesyonellerinin bulut hizmeti sağlayıcıları ile ilgili endişeleri var: yüzde 80’i birlikte iş yaptıkları bulut hizmeti sağlayıcılarının ileride kendi faaliyet alanlarındaki rakipleri olacağından endişeleniyor.
● BT profesyonellerinin yüzde 75’i, genel bulutu kendi veri merkezlerinden daha güvenli görürken yüzde 92’si ise kendi kuruluşlarının genele açık bulut hizmetlerini güvenli kılacak hazırlığa sahip olduğuna inanmıyor.
● BT profesyonellerinin yaklaşık yüzde 80’i, başka işletmelerin yakın zaman önce yaşadıkları veri ihlallerinin, kendi kuruluşlarının verilerinin güvenliğini sağlama çalışmalarını daha da hızlandırdığını söylüyor.
Eski Veri Güvenliği Yaklaşımları ile BT Profesyonelleri Sadece Delikten Çıkana Vurma Oyunu Oynuyor
BT profesyonelleri, veri güvenliğiyle ilgili endişeleri gidermek için farklı siber güvenlik ürünlerinden oluşan yamalar kullanıyor, ancak bu sistemler nadiren doğru bir şekilde yapılandırılabildiklerinden sanki yokuş yukarı maç yapıyorlar.
● Kuruluşların yüzde 78’i, güvenlik konularıyla ilgili olarak 50’den fazla farklı siber güvenlik ürünü kullanırken yüzde 37’si ise 100’den fazla siber güvenlik ürünü kullanıyor.
● Bulut hizmetlerinin yanlış yapılandırıldığını fark eden kuruluşlar geçen sene 10 veya daha fazla sayıda veri kaybı olayı yaşadılar.
● Kuruluşların yüzde 59’u, ayrıcalıklı bulut hesaplarını kullanan çalışanlarının giriş bilgilerinin saldırılara maruz kaldığı bilgisini paylaşıyor.
● En sık karşılaşılan yanlış yapılandırma türleri şunlar:
- Fazla ayrıcalıklı haklara sahip hesaplar (yüzde 37)
- Saldırıya maruz kalan web sunucuları ve diğer sunucu iş yükü türleri (yüzde 35)
- Temel hizmetlere erişmek için birden çok faktörlü kimlik doğrulama olmaması (yüzde 33)
Sorumluluğun Değişimi: Daha Fazla Karışıklığın ve Daha Çok Güvenlik İhlalinin Ortaya Çıkışı
Kuruluşlar, buluta işleri açısından kritik konumda olan birçok iş yükünü taşıyorlar ancak bulut kullanımındaki artış yeni kör noktaların ortaya çıkmasına neden olurken BT ekipleri ve bulut hizmet sağlayıcıları da verileri güveni kılma konusunda kendilerinin üzerine düşen sorumlulukları anlamak için daha yoğun bir mesai harcıyor ve bu karışıklık nedeniyle de BT güvenliği ekipleri de artan güvenlik tehlikelerini nasıl ele alacakları konusunda karmaşa yaşayabiliyor.
● Şirketlerin yaklaşık yüzde 90’ı yazılım hizmetlerini (SaaS) ve yüzde 76’sı da altyapı hizmetlerini (IaaS) kullanıyor; yüzde 50’si ise önümüzdeki iki yıl içinde verilerini buluta taşımayı planlıyor.
● Paylaşımlı sorumluluğa dayalı güvenlik modelleri karmaşıklığa neden oluyor: BT güvenliği yöneticilerinin yalnızca yüzde 8’i, buluttaki paylaşımlı sorumluluğa dayalı güvenlik modelini tam olarak anladıklarını belirtiyor.
● BT profesyonellerinin yüzde 70’i, genele açık bulut ayak izlerini güvence altına almak için çok fazla özelleştirilmiş araç gerektiğini düşünüyor.
● BT profesyonellerinin yüzde 75’i ise bir bulut hizmeti nedeniyle birden çok veri kaybı olayı yaşadıklarını belirtiyor.
Güvenliği Önceliklendiren bir Model İnşa Etmenin Zamanı
Veri güvenliğiyle ilgili artan sorunları ve güvenlik endişelerini ele almak için bulut hizmeti sağlayıcılarının ve BT ekiplerinin, güvenliğe öncelik veren bir kültür inşa etmek amacıyla birlikte çalışmaları gerekmektedir. Buna, yetenekli BT güvenliği profesyonellerinin işe alınması, eğitilmesi ve elde tutulmasının yanı sıra gittikçe daha da genişleyen dijital dünyadaki tehlikeleri en aza indirmek amacıyla süreçlerin ve teknolojilerin sürekli olarak iyileştirilmesi de dahildir.
● Kuruluşların yüzde 69’u, CISO’larının reaktif bir şekilde tepki verdiğini ve genele açık bulut projelerine ise ancak siber güvenlikle ilgili bir olayın meydana gelmesinden sonra dahil olduğunu bildiriyor.
● Kuruluşların yüzde 73’ü, bulut güvenliği konusunda beceriye sahip bir CISO’ya sahip olduklarını veya sahip olmayı planladıklarını belirtirken yarısından fazlası (yüzde 53) ise CISO ile işbirliği içinde olması ve güvenlik kültürünü işletmeye entegre etmeye yardımcı olması için İş Bilgileri Güvenlik Sorumlusu (BISO) adıyla yeni bir role sahip olduklarını belirtiyor.
● BT profesyonellerinin yüzde 88’i, önümüzdeki üç yıl içinde bulutlarının büyük bir çoğunluğunda güvenliği geliştirmek amacıyla akıllı ve otomatik yama uygulaması kullanılacağını düşünüyor.
● Yüzde 87’si ise Yapay Zeka/Makine Öğrenimi özelliklerini, dolandırıcılık, zararlı yazılımlar ve yanlış yapılandırmalar gibi şeylere karşı daha iyi koruma elde edebilmek için yapılacak yeni güvenlik amaçlı satın almalarda “olması gereken” bir özellik olarak görüyor.
Oracle Buluttan Sorumlu Kıdemli Başkan Yardımcısı Steve Daheb, “Geçtiğimiz birkaç yıl içinde kritik bilgilerin buluta aktarılmasında görünen artış oldukça umut verici görülüyor, ancak Frankenstein tarzında güvenlik araçları ve süreçlerinden oluşan yamalamalar nedeniyle ise maliyetli yanlış yapılandırmalar ve veri sızıntıları da sürekli bir artış göstermiştir. Yine de olumlu yönde bir ilerleme görülmektedir,” diyor şöyle devam ediyor: “Beceri eksikliğini kapatmaya yardımcı olmak amacıyla akıllı otomasyonlardan faydalanabilecek araçların benimsenmesi, yakın gelecekteki BT harcama planları arasında önemli bir yer tutuyor ve üst düzey yöneticiler de farklı bölümleri güvenliğe öncelik veren bir çalışma kültürü etrafında birleştiriyor.”
“İçinde bulunduğumuz zorlu ortama yanıt olarak şirketler, yeni çalışma tarzını desteklemek ve maliyet modellerini en verimli hale getirmek amacıyla iş yüklerinin ve iş yükleriyle ilişkili hassas verilerin buluta taşınma sürecini hızlandırmış durumdalar. Bu da var olan güvenlik açıklarını ortaya çıkartırken beraberinde yeni riskler de getiriyor,” diyor KPMG LLP’nin Siber Güvenlik Hizmetlerinden Sorumlu Ortak Küresel Lideri ve ABD Lideri Tony Buffomante. “Günümüzün yeni gerçekliğindeki bu artan tehdit seviyesini yönetebilmek içinse CISO’ların buluta geçiş ve uygulama stratejilerinin tasarımına güvenliği de dahil ederek işletmenin kendisi ile sürekli iletişim halinde olması önemlidir.”