2021 siber güvenlik araştırması: Kuruluşlar siber saldırı riskini hafife alıyor

- Aşırı güven, gelecekteki ihlallerin habercisidir: CIO'ların ve CISO'ların %73'ü, gelecek yıl bir OT ihlaline maruz kalmayacağından “son derece emin”

- Siber güvenlik hala sonradan akla gelen bir düşünce: Siber sigorta %40 oranında yeterli bir çözüm olarak görülüyor

- Karmaşıklık riski artırır: Katılımcıların %78'i çok satıcılı karmaşıklığın meydan okumasıyla karşı karşıya kaldı

tarafından yeni bir araştırma çalışması Skybox Güvenliği Kuruluşların %83'ünün önceki 36 ayda bir operasyonel teknoloji (OT) siber güvenlik ihlaline maruz kaldığını tespit etti. Araştırma ayrıca kuruluşların siber saldırı riskini hafife aldıklarını ve CIO'ların ve CISO'ların %73'ünün kuruluşlarının gelecek yıl bir OT ihlaline maruz kalmayacağından "yüksek oranda emin" olduğunu ortaya çıkardı.

“İşletmeler sadece OT'ye güvenmekle kalmıyor, genel olarak halk da enerji ve su gibi hayati hizmetler için bu teknolojiye güveniyor. Ne yazık ki siber suçlular, kritik altyapı güvenliğinin genellikle zayıf olduğunun farkındadır. Sonuç olarak, tehdit aktörleri, OT'ye yönelik fidye yazılımı saldırılarının sonuç verme olasılığının yüksek olduğuna inanıyor” dedi Skybox Security CEO'su ve Kurucusu Gidi Cohen. "Kötülüğün kayıtsızlıktan beslendiği gibi, fidye yazılımı saldırıları da eylemsizlik devam ettiği sürece OT güvenlik açıklarından yararlanmaya devam edecek."

Yeni araştırma, Operasyonel teknoloji siber güvenlik riski önemli ölçüde hafife alındı, ağ karmaşıklığı, işlevsel silolar, tedarik zinciri riski ve sınırlı güvenlik açığı düzeltme seçeneklerinden oluşan OT güvenliğinin karşı karşıya olduğu zorlu savaşı ortaya çıkarıyor. Tehdit aktörleri, bu OT zayıflıklarından yalnızca tek tek şirketleri tehlikeye atmakla kalmayıp aynı zamanda halk sağlığını, güvenliğini ve ekonomiyi tehdit edecek şekilde kullanır. 

2021 araştırmasının temel çıkarımları şunları içerir:

• Kuruluşlar siber saldırı riskini hafife alıyor
  Ankete katılanların yüzde elli altısı, kuruluşlarının gelecek yıl bir OT ihlali yaşamayacağına "son derece emindi". Yine de %83'ü önceki 36 ayda en az bir OT güvenlik ihlali yaşadıklarını söyledi. Bu tesislerin kritikliğine rağmen, mevcut güvenlik uygulamaları genellikle zayıftır veya mevcut değildir.
• Algı ve gerçeklik arasındaki CISO bağlantısı
  CIO'ların ve CISO'ların yüzde yetmiş üçü, OT güvenlik sistemlerinin gelecek yıl ihlal edilmeyeceğinden oldukça emin. Saldırıların etkileriyle ilgili daha fazla ilk elden deneyime sahip olan tesis yöneticilerinin yalnızca %37'si ile karşılaştırıldığında. Bazıları OT sistemlerinin savunmasız olduğuna inanmayı reddederken, diğerleri bir sonraki ihlalin köşede olduğunu söylüyor.
• Uyumluluk, güvenlikle aynı anlama gelmez
  Bugüne kadar, uyumluluk standartlarının güvenlik olaylarını önlemede yetersiz olduğu kanıtlanmıştır. Düzenlemelere ve gereksinimlere uyumun sürdürülmesi, tüm katılımcıların en yaygın endişesiydi. Kritik altyapıya yönelik son saldırıların ışığında yasal uyumluluk gereksinimleri artmaya devam edecek.
• Karmaşıklık güvenlik riskini artırır
  Yüzde yetmiş sekizi, çok satıcılı teknolojilerden kaynaklanan karmaşıklığın, OT ortamlarının güvenliğini sağlamada bir zorluk olduğunu söyledi. Ayrıca, tüm katılımcıların %39'u, güvenlik programlarını iyileştirmenin önündeki en büyük engelin, kararların merkezi bir gözetim olmaksızın bireysel iş birimlerinde alınması olduğunu söyledi.
• Siber sorumluluk sigortası bazıları tarafından yeterli kabul ediliyor
  Ankete katılanların yüzde otuz dördü siber sorumluluk sigortasının yeterli bir çözüm olarak görüldüğünü söyledi. Bununla birlikte, siber sorumluluk sigortası, ankete katılanların en önemli üç endişesinden biri olan bir fidye yazılımı saldırısından kaynaklanan maliyetli “kayıp işleri” kapsamıyor.
• Maruz kalma ve yol analizi, en önemli siber güvenlik öncelikleridir
  CISO'ların ve CIO'ların yüzde kırk beşi, gerçek maruziyeti anlamak için ortam genelinde yol analizi yapamamanın en önemli üç güvenlik endişesinden biri olduğunu söylüyor. Ayrıca, CISO'lar ve CIO'lar, OT ve BT ortamlarında ayrık mimarinin (%48) ve BT teknolojilerinin yakınsamasının (%40) en büyük üç güvenlik riskinden ikisi olduğunu söyledi.
• İşlevsel silolar, süreç boşluklarına ve teknoloji karmaşıklığına yol açar
  CIO'lar, CISO'lar, Mimarlar, Mühendisler ve Fabrika Yöneticilerinin tümü, OT altyapısını güvence altına alma konusundaki en büyük zorlukları arasında işlevsel siloları listeler. OT güvenliğini yönetmek bir takım sporudur. Takım üyeleri farklı oyun kitapları kullanıyorsa, birlikte kazanmaları pek olası değildir.
• Tedarik zinciri ve üçüncü taraf riski büyük bir tehdittir
  Ankete katılanların yüzde kırkı, tedarik zinciri/üçüncü şahısların ağa erişiminin en yüksek üç güvenlik riskinden biri olduğunu söyledi. Yine de, yalnızca %46'sı kuruluşlarının OT'ye uygulanan bir üçüncü taraf erişim politikası olduğunu söyledi.