- Siber Tehditler Ne Durumda? - Siber Risklerin İşletmelere Maliyeti - Neler Yapılabilir?

1. Siber Risklerin İşletmelere Maliyeti ve Bu Riskleri
Fırsata Dönüştürmek için Yapılması Gerekenler
@adilburaksadic
#Locard2016

2. 2
A. Burak
Sadıç
1995
2003-2013
2014 yılında katıldığı
PricewaterhouseCoopers Türkiye ofisinde
Bilgi Güvenliği ve Siber Güvenlik
Hizmetleri Lideri olarak çalışan Burak’ın
yirmi seneden fazla danışmanlık ve
yönetim deneyimi bulunmaktadır. ODTÜ
Elektrik-Elektronik Mühendisliği
bölümünden 1995 yılında mezun olan
Burak, PwC öncesinde sırasıyla PDI-
Erkom, Siemens, Meteksan, Koç.net,
Innova ve Symantec bünyesinde çeşitli
kademelerde çalıştı. Symantec'teki 10
yıllık iş yaşamının son dört yılında ise
Güneydoğu Avrupa'daki 12 ülke ve
Türkiye'yi kapsayan bölgedeki
danışmanlık ekiplerini yönetti.
2014-…

3. PwC
Ajanda
3
Siber Tehditler Ne Durumda?
Siber Risklerin İşletmelere Maliyeti
Neler Yapılabilir?

4. PwC
Siber Tehditler Ne Durumda?
4

5. PwC
2015 yılında güvenlik olayları %38 arttı
5
2011 2012 2013 2014 2015
2,562
2,989
3,741
4,948
6,853
* http://www.pwc.com.tr/gsiss
Kurum başına düşen güvenlik olayı sayısı (ortalama)

6. PwC
Ya zararlı yazılımlar?
6
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
* 2016 Symantec Internet Security Threat Report Volume 21

7. PwC
Ya zararlı yazılımlar?
7
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
2015 yılında ise
430,555,582
* 2016 Symantec Internet Security Threat Report Volume 21

8. PwC
Ya zararlı yazılımlar?
8
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
Yani günde
1 Milyondan fazla!!!
2015 yılında ise
430,555,582
* 2016 Symantec Internet Security Threat Report Volume 21

9. PwC
Sıfır gün zafiyetleri
9
2006
14
2007 2008 2009 2010 2011 2012
0
2
4
6
8
10
12
14
16
13
15
9
12
14
8
2013 2014
24
23
2015
54
* 2016 Symantec Internet Security Threat Report Volume 21

10. PwC
Tehditler Nereden Geliyor?
10
Çalışanlar Eski Çalışanlar Hizmet Tedarikçileri Eski Hizmet
Tedarikçileri
Ürün Tedarikçileri
ve İş Ortakları
2014 2015
35%
30%
18%
13%
15%
34%
29%
22%
19%
16%
* http://www.pwc.com.tr/gsiss

11. PwC
CEO’lar siber tehditlerin
kurumlarının geleceğine etkileri
konusunda ne kadar endişeli?
11

12. PwC
Dünya
12
CEO endişeli

13. PwC
Türkiye
13
CEO endişeli

14. PwC
Siber Risklerin Maliyeti
14

15. PwC
TARGET
15
Milyonlarca müşterinin kart
bilgileri POS cihazlarından çalındı
CEO görevden ayrıldı
1 milyar dolardan daha
fazla zarar!

16. PwC
TARGET
16
Milyonlarca müşterinin kart
bilgileri POS cihazlarından çalındı
CEO görevden ayrıldı
1 milyar dolardan daha
fazla zarar!
Kuruma giriş noktası
klima desteği veren
firma…

17. PwC
Siber Tehditlerin Hedefi ?
17
Müşteri Bilgileri Çalışan Bilgileri Sistem ya da bilgilerin
zarar görmesi
Basit Ticari Sırlar Kritik Ticari Sırlar
2014 2015
28% 29%
20%
24%
15%
38%
33%
26% 25%
23%
* http://www.pwc.com.tr/gsiss

18. PwC
Siber Risklerin Maliyeti
18
Senelik gelir
<100 milyon $
Senelik gelir: 100 milyon $ -
1milyar$
Senelik gelir > 1 milyar $
2014 2015
$4.9
milyon
$5.9
milyon
$1.3
milyon
$1.3
milyon
$940,429
$428,471
* http://www.pwc.com.tr/gsiss
Güvenlik olaylarının senelik ortalama maliyeti

19. PwC
Bütçelerdeki artış
19
2011 2012 2013 2014 2015
$2.7
milyon
$2.8
milyon
$4.3
miiyon
$4.1
milyon
$5.1
milyon
* http://www.pwc.com.tr/gsiss
Bütçe ortalaması

20. PwC
Bütçelerdeki artış (Şirket büyüklüğüne göre)
20
Senelik gelir
<100 milyon $
Senelik gelir: 100 milyon $ -
1milyar$
Senelik gelir > 1 milyar $
2014 2015
$10.1
miiyon
$10.0
milyon
$3.3
milyon
$2.8
millyon
$1.5
milyon
$733,052
* http://www.pwc.com.tr/gsiss

21. PwC
Güvenlik bütçesinin BT bütçesine oranı
21
19%
* http://www.pwc.com.tr/gsiss

22. PwC
Kanuni Maliyetler
22
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kanun No. 6698 Kabul Tarihi: 24/3/2016

23. PwC
Veri güvenliğine ilişkin yükümlülükler
23
MADDE 12-
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi
hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken
sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak
amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı
olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden
ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri
sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
* http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf

24. PwC
Cezalar
24
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler
hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler
hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne
aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel
hukuk tüzel kişileri hakkında uygulanır.
Suçlar
MADDE 17-
(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli
ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde
hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel
verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı
Kanunun 138 inci maddesine göre cezalandırılır.
* http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf

25. PwC
Sızdırılan Kimlik Bilgileri
25
232
93
552
348
0
100
200
300
400
500
600
2011 2012 2013 2014 2015
MİLYON
500
* 2016 Symantec Internet Security Threat Report Volume 21

26. PwC
Neler Yapılabilir?
26

27. PwC 27
Güvenlik

28. PwC 28
Güvenlik

29. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
29
Güvenlik
İNSAN

30. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
30
Bilgi Güvenliği Yöneticisi bulunduran kurumlar?

31. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
31* http://www.pwc.com.tr/gsiss
Bilgi Güvenliği Yöneticisi bulunduran kurumlar?

32. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
32
Bilgi Güvenliğinden sorumlu üst düzey yöneticilerin bağlı bulunduğu makam
23%
Yönetim
Kurulu
15%
CTO
13%
CPO
25%
CIO
36%
CEO
* http://www.pwc.com.tr/gsiss

33. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
33
Düzenli bilgi güvenliği farkındalık eğitimleri?

34. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
34
Düzenli bilgi güvenliği farkındalık eğitimleri
Üst yönetime özel farkındalık eğitimleri?

35. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Süreç
35
Güvenlik
İNSAN
SÜREÇ

36. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Süreç
36
Risk bazlı bir bilgi güvenliği yönetimi çerçevesi kullanan kurumlar?
(ISO 27001, SANS, NIST, ISF ve benzeri)

37. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Süreç
37* http://www.pwc.com.tr/gsiss
Risk bazlı bir bilgi güvenliği yönetimi çerçevesi kullanan kurumlar?
(ISO 27001, SANS, NIST, ISF ve benzeri)

38. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Teknoloji
38
Güvenlik
İNSAN
SÜREÇ
TEKNOLOJİ

39. PwC
Contacts
39
Sorularınız için
A. Burak Sadıç
burak.sadic @ tr.pwc.com
@adilburaksadic
www.pwc.com.tr/siberguvenlik