Polonya’daki şirketlerin siber güvenlik hazırlığı yetersiz kalırken, çalışanların güvenliği ihlal eden davranışları ve NIS2 direktifi uyumluluğu konusundaki belirsizlikler, işletmeleri milyonlarca Euro’luk cezalarla karşı karşıya bırakıyor. ESET ve DAGMA tarafından hazırlanan “Polonya İşletmelerinin Siber Portresi” raporuna göre, çalışanların %55’i aynı parolayı birden fazla hesapta kullanıyor ve yarısından fazlası son beş yılda siber güvenlik eğitimi almadı. Uzmanlar da NIS2 direktifi gereklilikleri konusunda şüphe duyuyor.
Siber Saldırılar Artıyor, Şirketler Risk Altında
Siber tehditler Polonya işletmeleri için giderek büyüyen bir sorun haline geliyor. Saldırıların ölçeği ve karmaşıklığı artarken, şirketlerin bu değişime ayak uydurma kapasitesi sorgulanıyor. ESET ve DAGMA tarafından ortaklaşa hazırlanan “Polonya İşletmelerinin Siber Portresi” raporunun ikinci edisyonu, artan tehdit bilincine rağmen şirketlerin hazırlık seviyesinin hala yetersiz olduğunu gösteriyor.
Çalışanların Güvenlik Bilinci Düşük
Rapora göre, çalışanların %55’i farklı hesaplar için aynı parolayı kullanıyor ve bu durum veri ihlali riskini önemli ölçüde artırıyor. Ayrıca, çalışanların %55’i son beş yılda herhangi bir siber güvenlik eğitimi almadı. Bu durum, siber güvenlik eğitiminin hala göz ardı edildiğini gösteriyor.
Teknolojik Önlemler Yetersiz
Temel teknolojik güvenlik önlemleri konusunda da durum içler acısı. Şirketlerin sadece %53’ü antivirüs yazılımı kullanırken, işletmelerin sadece 4’te 1’i günümüzde temel bir güvenlik standardı olarak kabul edilen çok faktörlü kimlik doğrulamayı uyguluyor.
Uzmanlar Bile Kararsız
Rapordaki en dikkat çekici sonuçlardan biri, siber güvenlik uzmanlarının %36’sının kuruluşlarının NIS2 direktifi gerekliliklerine tabi olup olmadığından emin olmaması. NIS2 direktifi, siber saldırıların artan sayısına, sıklığına ve karmaşıklığına yanıt olarak hazırlanmış ve ekonomik istikrarı ve pazarın işleyişini tehdit ediyor.
NIS2 Direktifi Kapsamı Genişliyor
Güncel düzenlemeler, kısıtlamalara tabi olan kuruluşların kapsamını önemli ölçüde genişletiyor ve bunları “kritik” ve “önemli” olarak sınıflandırıyor. Bu yükümlülükler genellikle enerji, ulaşım, bankacılık, sağlık, gıda üretimi, atık yönetimi ve kamu yönetimi gibi sektörlerdeki orta ve büyük ölçekli işletmeleri kapsıyor. Ancak, güven hizmeti sağlayıcıları veya kamu iletişim ağları gibi belirli durumlarda, şirket büyüklüğü önemli olmuyor ve tüm kuruluşlar kısıtlamalara tabi oluyor.
Risk Yönetimi ve Yaptırımlar
Karol Witas (The Heart hukuk bürosu avukatı), her bir kuruluşun artık kapsamlı bir risk yönetimi önlemi uygulaması gerektiğini, bunun sadece tehdit analizini ve sistem güvenlik politikalarına sahip olmayı değil, aynı zamanda iş sürekliliğini sağlamayı, olaylara etkili bir şekilde yanıt vermeyi ve tüm tedarik zincirinde güvenliği sağlamayı içerdiğini belirtiyor. Şifreleme, şifreleme ve yapılan eylemlerin etkinliğinin düzenli olarak denetlenmesi de gerekli hale geliyor. Bu gerekliliklere uymamak, özellikle kritik kuruluşlar için 10 milyon Euro veya yıllık küresel cirosunun %2’si, önemli kuruluşlar için ise 7 milyon Euro veya cirosunun %1,4’ü oranında idari para cezalarıyla sonuçlanacak.
Siber Olaylar Gizleniyor
ESET araştırması, yetersiz olay raporlaması sorununu da ortaya koyuyor. Çalışma yerinde siber saldırıya maruz kalan kişilerin %17’si bu durumu kimseye bildirmiyor. Bu tutum, kuruluşların tehditlere yanıt vermesini ve gelecekte ders çıkarmasını zorlaştırıyor.
Kaynak : GazetaPrawna
