Siber saldırılar ve firma repütasyonu: WPP’den öğrendiklerimiz
Geçtiğimiz aylarda, dünyanın en büyük reklam şirketlerinden biri olan İngiliz WPP çok ciddi bir siber saldırı yaşayarak “Petya” olarak adlandırılan fidye yazılım virüsüne maruz kaldı. Saldırı sonrası WPP’nin global sitesine belirli bir süre erişim sağlanamadı ve firma tamamen çevrimdışı oldu. Saldırıda kullanılan Petya virüsü, bilgisayar ve programları etkileyerek kullanıcı dosyalarını şifreleyip etkisiz hale getirmekte. Yapılan bu şifreleme, kullanıcı dosyalarına erişimi tamamen engellemekte. Hackerlar ise, şifrelenen dosyaların açılması için saldırı altında olan kurum ve kişilerden Bitcoin ödeme şekliyle fidye istemekte. Belirtilen günde ve istenen miktarda ödeme yapılmaması durumunda fidye meblağının artacağını, verilerin imha edileceğini veya ele geçirilen bilgilerin satılacağı/yayılacağı söyleniyor.
Siber saldırılar nedeniyle dünya çapındaki birçok şirket operasyonel aksaklıklar yaşamıştır. WPP başta olmak üzere, Fransa tren taşımacılığı şirketi SNCF, Hollanda merkezli kargo şirketi TNT, Danimarka taşımacılık şirketi Moller-Maersk, İspanyol yiyecek şirketi Monelez, ABD ilaç şirketi Merck ve hukuk firması DLA Piper küresel saldırıya maruz kalan büyük firmalar arasındadır. Dünya üzerinde “Petya” virüsüne maruz kalan bilgisayar sayısı tam olarak bilinmese de, rakamın 1.000.000 civarında olduğu tahmin edilmekte. Sadece bu sayı bile saldırının ağır bilançosunu, firmaların marka değerine ve iş sürekliliğine verdiği zararı gözler önüne seriyor.
Riskli ve ağır sonuçlar doğurabilecek ortamlarda, işletmeler siber risk iştahlarını belirlemeli ve siber tehditlere nasıl yanıt verecekleri konusunda karar vermeli. Aynı zamanda, risk ölçümlerine ve risk matrislerine siber tehditler de mutlaka eklenmeli. Siber saldırılara teknik açıdan ne kadar hazır olunduğunu anlamak için ise insan, süreç ve teknoloji bileşenlerinin kapsamlı bir şekilde incelenmesi şarttır.
Siber saldırılara karşı korunmanın en önde gelen yöntemlerinden biri ise bireysel ve kurumsal farkındalıktır. Kurumlar ve bireyler, banka hesapları ile sosyal medya hesaplarını etkin bir şekilde yönetmeli, periyodik olarak kontrol etmelidir. Aynı zamanda kablosuz ağların şifrelenmesi, karışık şifre kombinasyonlarının kullanılması, kontrol paneli ve yönetici şifrelerinin belirli aralıklarla değiştirilmesi, website güvenlik firmalarından destek alınması gibi belli başlı tedbirler siber saldırıları erkenden fark etmeye ve saldırının engellenmesine yardım ederek siber güvenlik duvarını sağlamlaştırır.
Belirtilenlerin yanında, işletmelerin kendi siber olgunluklarını değerlendirmeleri için kullanıcı yetkilerini gözden geçirip en düşük yetki prensibi ile çalışmak, ortak hesap kullanımından kaçınıp her sisteme özgü hesap oluşturmak, çalışanları siber saldırılara karşı bilinçlendirecek eğitimler vermek, ağdaki güvenlik zafiyetlerini test etmek için düzenli aralıklarla sızma (penetrasyon) testleri yapmak, düzenli olarak yedekleme (back-up) yapmak, anti-virus yazılımlarını sürekli güncel tutmak, kurum içi sıkı şifre politikası koymak, veri erişimi için filitreler kullanmak ve buna benzer bilgi güvenliği önlemleri alarak risk bazlı hareket etmeleri şarttır.
Tüm bunlara ek olarak, siber saldırılardan korunmak için yabancı yazılımların yanında yerli yazılımların da kullanılması akıllıca olacak. Kısacası, kuruluşların bilgi varlıklarına yönelik tehditleri önleme, tespit etme ve kontrol altına alma hususunda hazırlıklı olmaları kritik bir husustur. Hatta, işletmeler bilgi risklerini avantaja dönüştürme hususunda bilinçli olmalıdır. Unutmayalım ki şu anda savaşlar silah namlusu ile değil, kalem ucu ve rakibin risk zafiyeti ile kazanılmaktadır.
Son olarak, siber saldırılarla ilgili olarak özellikle pazarlama bilim dalı kapsamında marka reputasyonunu korumak kritik bir konuma geldi.. Örnek vermek gerekirse, siber saldırılar sonrası işletmelerin birçok üst kademe yöneticisi istifa etmekte, bu da firmalarda entelektüel sermaye erozyonuna neden olmakta. Bu negatif manzara, düşüşe geçen hisse senedi fiyatları ile birleştiğinde firma reputasyonu da dibe vurmakta. Zira, işletme paydaşlarının firmaya olan güveni ve saygısı azalmakta, kişisel verilerin gerçekten korunduğuyla ilgili şüpheler ise artmakta. Müşteri şikayetleri medya haberleri ile birleştiğinde ise, artık kaçınılmaz sonla karşı karşıya kalınmakta. Dolayısıyla, işletmeler denetim faaliyetlerine odaklanmalı, uzman ekipler kurmalı, hızlı tepki vermeli ve aynı hataları tekrarlamamalı… Unutulmamalıdır ki, direkt ve net bir iletişim firma repütasyonunu koruma yoluna giden en sağlam köprüdür.