Wael Abbas Radhi
Kreston Bahreyn'de Ortak
Orta Doğu’da Siber Suçlar
January 3, 2025
Orta Doğu’da siber suçlar giderek büyüyen bir tehdit, ancak veri ihlallerinin mali etkisine rağmen yerel firmalar hala bununla mücadele etmek için etkili bir strateji geliştirmekte zorlanıyor. Kreston Bahreyn Ortağı Wael Abbas Radhi bunun nedenini araştırıyor.
Orta Doğu’da siber suçların mali etkisi
IBM’in yıllık Veri İhlalinin Maliyeti Raporu’na göre, Orta Doğu’daki işletmeler için bir veri ihlalinin ortalama maliyeti 2024 yılında 32,80 milyon SAR’a ulaştı. Bu rakam, 2023’te 29,90 milyon SAR iken bu yıl yaklaşık %10’luk bir artışı temsil ediyor. Analiz edilen kuruluşlara göre, yerel işletmeler için ihlal maliyetlerini artıran ilk üç faktör güvenlik becerileri eksikliği, düzenlemelere uyulmaması ve güvenlik sistemi karmaşıklığıdır.
Siber saldırılardan en çok etkilenen sektörler
2024 raporu, enerji sektörü katılımcılarının ihlal başına ortalama 36,90 milyon SAR’a ulaşarak sektörler arasında en maliyetli ihlalleri yaşadığını vurguladı. Bölgenin finans sektörü ihlal başına ortalama 35,81 milyon SAR ile ikinci sırada yer alırken, sanayi sektörü 34,52 milyon SAR ile üçüncü sırada yer aldı.
Kreston Bahreyn Ortağı Wael Abbas Radhi’ye göre, Orta Doğu’daki siber suçlar müşteriler için giderek artan bir endişe kaynağıdır ve müşterilerden (veya çalışanlarından) gelen çok sayıda rapor kimlik avı ve fidye yazılımı saldırılarına maruz kalmaktadır. “Müşterilere karşı çeşitli fidye yazılımı saldırıları başarılı oldu” dedi. ‘Çoğunlukla, veri hırsızlığı ve şifrelemenin ardından müşterilerin verilerini geri kazanmaları veya verilerine erişebilmeleri için şifre çözme anahtarlarının serbest bırakılması için bir fidye talep ediliyor.
Siber güvenliği güçlendirme çabaları
Yerel şirketler siber güvenliği artırmak için yapay zeka ve makine öğrenimi gibi en son teknolojilere büyük yatırımlar yapıyor. Örneğin Suudi devi Saudi Aramco, kritik altyapıyı güvence altına almak için yapay zekâdan yararlanıyor. Şirketin girişim kolu, yapay zeka destekli siber güvenlik hizmetleri sunan BAE merkezli bir girişim olan SpiderSilk‘e 9 milyon ABD doları yatırım yaptı. Ancak Radhi’nin de belirttiği gibi, en büyük tehdidi insanlar oluşturuyor.
‘Altyapı güvenliğinin iyileştirilmesi için çok fazla yatırım yapıldı’ dedi. ‘Ne yazık ki altyapı nihai çözüm olamaz. Güncel BT politikalarına sahip olmak, herhangi bir saldırının başarılı olma şansını azaltmaya kesinlikle yardımcı olur. Ancak, “içeriden” gelen tehditler nihai sorundur, bu da odak noktasının insanlar ve farkındalığın artırılması olması gerektiği anlamına gelir.
Orta Doğu’daki hükümetler siber suç tehdidini çok ciddiye alıyor ve siber güvenliği güçlendirmek için yasal girişimler uyguluyor. 14 Eylül 2023 tarihinde Suudi Arabistan’ın ilk veri koruma yasası yürürlüğe girmiştir. Orta Doğu’da faaliyet gösteren şirketler, yeni mevzuatın veri işleme uygulamaları üzerindeki etkisini değerlendirmeli ve yeni gerekliliklere uyum sağlamalıdır.
Ürdün’de 2015 tarihli Siber Suçlar Kanununun yerini alan 2023 tarihli ve 17 sayılı Siber Suçlar Kanunu 13 Eylül 2023 tarihinde yürürlüğe girmiştir. Yeni yasa, siber suçlarla mücadele için gelişmiş tedbirler getirmektedir.
Radhi, müşterilerine siber savunmaların mümkün olduğunca sağlam olmasını sağlamak için dışarıdan uzmanlarla çalışmayı tavsiye etmektedir. “Mevcut sistemlerin haritasını çıkarmak ve güvenlikteki boşlukları tespit etmek için bir danışman veya güvenlik uzmanıyla çalışmak en iyisi olacaktır” dedi. Bunun yanı sıra farkındalık yaratmaya yardımcı olmak için sahte saldırılar da gerçekleştirilebilir.
Siber suç iş gücü açığının giderilmesi
Orta Doğu’nun bölge olarak karşı karşıya olduğu sorunlardan biri, kaliteli danışmanlık işi sunabilecek nitelikli kişiler konusunda ciddi bir beceri eksikliği olmasıdır. IBM raporu, yerel kuruluşlar için maliyetleri analiz ederken, güvenlik becerilerindeki eksikliğin veri ihlali maliyetlerinde ortalama 1,62 milyon SAR artışa katkıda bulunduğunu ortaya koymuştur. Bu durum, işletmelerin bu açığı kapatma konusundaki acil ihtiyacını vurgulamaktadır. Kreston Bahreyn, müşterilerine risk değerlendirmeleri, en iyi uygulamalar, çalışan eğitimi, uyum rehberliği, tehdit istihbaratı çözümleri ve düzenli denetimler gibi bir dizi hizmet sunabilecek yetenekli bir danışman ekibi oluşturmuştur.
Ancak danışmanlar sadece bu kadarını yapabilir. Firmalarda yönetimden aşağıya doğru siber güvenlik konusunda daha fazla farkındalık ve eğitim olması gerekiyor ve ne yazık ki Radhi müşterilerin hiç eğitilmediğini görüyor. ‘Yerel firmalar önleme stratejilerine ve teknolojilerine yeterince yatırım yapmıyor’ dedi. ‘Siber suçlar ne kadar tehlikeli ve maliyetli olursa olsun, bu konular hala çoğu müşteri tarafından ciddiye alınmıyor. Bunun temel nedeni oldukça basit: para. Birçok firma bu sorunla etkili bir şekilde mücadele etmek için yeterli bütçe ayırmıyor, bu da proaktif olmak yerine her zaman bir soruna tepki verdikleri anlamına geliyor.
Ancak IBM raporunun da gösterdiği gibi, yerel işletmelerin siber suçlara öncelik vermemesi yanlış bir ekonomidir. Orta Doğulu işletmeler giderek daha fazla dijitalleştikçe, sorun daha da kötüleşecek ve işletmelere maliyeti de artacaktır. Orta Doğu halihazırda veri ihlali saldırılarında dünyada ikinci sırada yer alıyor. 2025 yılında IBM raporunda birinci sırada yer alma onurunu yaşayabilir.
Kreston Global’de siber güvenlik hakkında daha fazla bilgi için buraya tıklayın.
