KOBİ’lerin Önemi
KOBİ’ler yani küçük ve orta büyüklükteki işletmeler, ülkemizde ve dünyada işletmelerin çok büyük bir kısmını oluşturmaktadır. Ekonomi ve istihdamın önemli bir aktörü olan KOBİ’lerin dijital dönüşüm yolculuğunu ve siber güvenlik alanında mevcut durumlarını ele alacağımız yazımızda öncelikle TÜİK verilerine bakmakta fayda var.
Türkiye İstatistik Kurumu (TÜİK) 2022 verilerine göre aşağıdaki tabloda da görüldüğü üzere KOBİ’ler toplam girişim sayısının %99,7’sini oluşturmaktadır. Buna karşılık; istihdamın %70,6’sını, personel maliyetinin %47,5’ini, cironun %42,5’ini, üretim değerinin %36,3’ünü ve faktör maliyetiyle katma değerin %36,4’ünü oluşturduğu görülmektedir[1].
Yukarıdaki veriler KOBİ’lerin ülkemizde istihdam açısından önemini ve üretimdeki rolünü göstermektedir.
KOBİ’lerde Siber Güvenlik ve Farkındalık
1990’lı yılların başında internet devriminden sonra, zaman içerisinde KOBİ’ler de büyük kuruluşlar gibi gelişen dijital teknolojileri iş süreçlerinin büyük kısmında kullanmaya başlamıştır. Günümüzde finansal, operasyonel, dağıtım, pazarlama ve kaynak yönetimi gibi birçok alanda dijital dönüşüm geçiren KOBİ’ler, bu teknolojileri kullanarak daha rekabetçi olmayı, verimliliklerini ve karlılıklarını arttırmayı hedeflemektedir. Bu etkenler KOBİ’lerin dijital dönüşümünü hızlandırmıştır. Ayrıca Covid 19 pandemisiyle birlikte şirket çalışanlarının bir kısmı hibrit veya uzaktan çalışma modeline geçmiştir. Dijital dönüşümün hızlandığı pandemi dönemiyle bitlikte KOBİ’ler siber saldırılara karşı daha da savunmasız hale geldi.
Peki Türkiye ve dünya ekonomisinde bu kadar önemli bir rolü olan KOBİ’lerin dijital dönüşüm yolculuğunda siber güvenlik alanında yaptıkları yatırımlar ne durumdadır? Siber farkındalıkları yeterli midir? Siber saldırılara ne kadar maruz kalmakta ve hangi boyutta ekonomik kayba uğramaktadırlar?
Dijital teknolojilerin sürdürülebilir rekabet için bir kaldıraç aracı olduğu günümüzde, bu teknolojileri kullanmak bir seçenek değil adeta zorunluluktur. Ancak dijital dönüşümün sağlıklı ve sürdürülebilir bir şekilde yapılması için siber farkındalığın ve güvenliğin arttırılması kaçınılmaz bir durumdur.
Ancak KOBİ’lerin siber güvenlik farkındalıkları ve siber güvenliklerini sağlamak için yaptıkları yatırımlar, araştırmalara göre son derece yetersizdir. Bunun başlıca nedenleri olarak şunlar gösterilebilir:
- KOBİ’lerin, siber saldırıların büyük şirketlere yapıldığı ve kendi şirketlerinin siber saldırganlar için yeterince kazançlı hedef olmadığını düşünmeleri.
- KOBİ’lerde siber farkındalığın yeterince yüksek olmaması ve bu alanda yapılması gereken çalışmaların önemini bilmemeleri.
- KOBİ’lerin siber güvenlik için yeterince bütçe ayırmamaları.
- KOBİ’lerin, büyük şirketler kadar BT uzmanına ve siber güvenlik çözümlerine sahip olmaması.
Yukarıdaki maddeler ve başka sebeplerden dolayı KOBİ’ler siber güvenlikleri için yeterince yatırım yapmamakta ve gün geçtikçe siber saldırıların hedefi haline gelmektedir. Büyük kuruluşlar son yıllarda gerekli tedbirleri aldığı için siber saldırılarda daha zor hedef olmuştur. Ancak çok daha savunmasız durumda olan KOBİ’ler gün geçtikçe saldırıların hedefi olmaktadır. Nitekim bu durum küresel düzeyde KOBİ’lerde siber güvenliği araştıran kuruluşların raporlarına da yansımaktadır.
KOBİ’lerin En Çok Maruz Kaldığı Saldırı Türleri
Sage tarafından yapılan araştırmaya göre 2023 yılında dünya genelinde siber saldırılara maruz kalan KOBİ’lerin oranı %48. Neredeyse her iki KOBİ’den birisinin siber saldırıya uğradığını gösteren rapora göre ankete katılan şirket yöneticilerinin büyük çoğunluğu siber tehdit ve saldırıları en büyük endişe kaynağı olarak aktarmaktadır. 2024 yılı için siber güvenlik yatırımlarının aynı kalacağını veya artmasını bekleyenlerin oranı %91, şirkette bu alanda problemler çıkmadan konunun tartışılmadığını dile getirenlerin oranı ise %69 olarak dikkat çekmektedir[2].
Konuyla ilgili önemli veriler sunan bir diğer araştırma da, 2022 yılında ESET tarafından yayınlanan KOBİ’lerin dijital güvenliğini ele alan rapordur. Araştırmaya katılan KOBİ yöneticilerinin %83’ü, siber saldırıları herkesi etkileyebilecek önemli bir tehdit olarak gördüklerini aktarmıştır[3]. Rapora göre KOBİ’ler, farklı siber tehdit ve saldırılara maruz kalmayı beklediklerini ancak bu sorunlarla baş edecek güvene ve kaynaklara sahip olmadıklarını aktarmıştır. Aşağıdaki tabloda KOBİ’lerin sonraki 12 ayda en çok endişe duydukları siber atak türleri görünmektedir.
Bu tabloya göre virüs ve kötü amaçlı yazılımlar, KOBİ’lerin en çok endişe duyduğu siber tehdit iken web tabanlı saldırılar da en çok çekindikleri ikinci saldırı türü olarak görülmektedir.
Verizone 2024 Veri İhlali Araştırma Raporu’nda yukarıdaki kaygıları haklı çıkaran sonuçlar mevcuttur. Aşağıdaki tabloya göre KOBİ’lerde tüm veri ihlallerinin yaklaşık üçte biri fidye yazılımı ve diğer gasp tekniklerinden kaynaklanmaktadır. Son yıllarda fidye yazılımından kaynaklı veri ihlali önceki yıllara göre kısa süreli bir azalma gösterse de 2018 yılından bu yana yaşanan artış dikkat çekmektedir. Ayrıca sektörlerin %92’sinde en başta gelen tehdit, fidye yazılımıdır[4].
KOBİ’lerde Siber Saldırı Riskini Arttıran Faktörler
Yukarıdaki raporların gösterdiği gibi KOBİ’ler, günden güne siber saldırıya uğramakta ve KOBİ’lerin çoğunluğu bu tehdit ve saldırılarla nasıl baş edeceklerini bilmemektedir. Bu noktada KOBİ’lerin risklerini arttıran faktörleri değerlendirmek faydalı olacaktır. Aşağıdaki tabloda KOBİ’lerde siber saldırı risklerini arttıran 5 faktör görünmektedir. Buna göre çalışanların siber farkındalıklarının yeterince yüksek olmaması riski arttıran bir numaralı faktör olarak görünmektedir. Öte yandan devletler arası siber saldılar, uzaktan ve hibrit çalışma modellerinin getirdiği güvenlik açıkları da diğer unsurlar olarak dikkat çekmektedir[5].
Verizone raporunda ise veri ihlallerinin bir numaralı sebebi insan kaynaklı olarak görünmektedir. %68 gibi bir oranla en yüksek çıkan bu ihlal sebebiyle mücadele etmek için siber farkındalık eğitimlerinin ne kadar önemli olduğu görülmektedir. Veri ihlaline sebep olan ikinci faktör ise %32’lik oranlar kötü amaçlı yazılımlar ve siber gasp olarak dikkat çekmektedir. Bu faktörün hemen ardından hatalardan kaynaklanan veri ihlalleri gelmektedir[6].
Sonuç
Ülkemiz ve dünya ekonomisinde önemli bir yer tutan KOBİ’lerin siber güvenliğini ele aldığımız bu yazımızda, KOBİ’lerin bu alanda henüz yeterince farkındalığa ulaşmadığı görülmektedir. Son yıllarda büyük şirketlerin bu alanda aldıkları tedbirler ve ayırdıkları kaynaklardan sonra KOBİ’ler siber saldırganların daha çok ilgisini çekmeye başlamıştır. Ancak KOBİ’ler büyük şirketler gibi bu saldırılarla baş edecek donanım ve kapasiteye sahip değildir. Özellikle fidye yazılımlarına maruz kalan KOBİ’ler, bu saldırılar sonucunda önemli ekonomik kayıplara uğramaktadır. KOBİ’lerin siber saldırılarla mücadele etmesi için öncelikle siber farkındalıklarını arttırıp çalışanlara eğitim vermeleri şarttır. Bu farkındalık eğitimleriyle birlikte KOBİ’lerin siber güvenlik uzmanlarını kadrolarına katması ya da bu alanda hizmet veren MSSP şirketlerinden destek alması gerekmektedir. Sürdürülebilir rekabetin önemli unsurlarından birisi olan dijital dönüşümün KOBİ’lerde sağlıklı bir şekilde devam etmesi için siber farkındalıklarını yükseltip önlem almaları kaçınılmazdır. Aksi taktirde KOBİ’ler önemli ekonomik kayıplara uğrama ve rekabette geriye düşme riskiyle karşı karşıya kalmaya devam edecektir.
[1] Küçük ve Orta Büyüklükteki Girişim İstatistikleri, 2022 – https://data.tuik.gov.tr/Bulten/Index?p=Kucuk-ve-Orta-Buyuklukteki-Girisim-Istatistikleri-2022-49438
[2] Cyber security for SMBs: Navigating Complexity and Building Resilience – https://www.sage.com/en-gb/company/digital-newsroom/2023/10/12/cyber-security-for-navigating-complexity-and-building-resilience/
[3] ESET SMB Digital Security Sentiment Report 2022 – https://web-assets.esetstatic.com/wls/en/papers/resources/eset_smb_digital_security_sentiment_report.pdf
[4] Verizone Business 2024 Data Breach Investigations Report – https://www.verizon.com/business/en-au/resources/reports/2024/dbir/2024-dbir-data-breach-investigations-report.pdf
[5] ESET SMB Digital Security Sentiment Report 2022 – https://web-assets.esetstatic.com/wls/en/papers/resources/eset_smb_digital_security_sentiment_report.pdf
[6] Verizone Business 2024 Data Breach Investigations Report – https://www.verizon.com/business/en-au/resources/reports/2024/dbir/2024-dbir-data-breach-investigations-report.pdf
Leave a comment