Siber güvenlik uzmanı Víctor Deutsch (IMMUNE): "Asıl sorun eğitimli profesyonellerin eksikliği."

Burada veri hırsızlığı, orada dolandırıcılık - son yıllarda her hafta yeni bir siber saldırı türü, milyonlarca avro çalmayı başaran bir dolandırıcılığın hikayesi veya ülkemizdeki büyük şirketleri etkileyen kitlesel veri ve şifre hırsızlığı haberlerini duyuyoruz.

Özellikle 2025 yılında İspanyol şirketlerine yönelik saldırı ve hırsızlıkların sayısı her zamankinden daha fazla hissedilir hale gelmiş, İspanya son yıllarda en fazla siber saldırıya maruz kalan ülkeler arasında yer almış, sıralamada en çok etkilenen ülkeler arasına girmiştir.

Bu bir tesadüf değil; bunun birkaç nedeni ve faktörü var. Bu nedenle elEconomista.es, ülkemizin bugün karşı karşıya olduğu büyüyen sorun ve bunu çözmek için neler yapabileceğimiz hakkında biraz daha fazla bilgi edinmek için IMMUNE Teknoloji Enstitüsü'nde siber güvenlik uzmanı olan Víctor Deutsch ile iletişime geçti.

S. İspanya, siber saldırılardan en çok etkilenen ülkeler sıralamasında yükseldi. İspanya'nın bu kadar sürekli ve arzu edilen bir hedef haline gelmesinin başlıca nedenleri nelerdir?

Muhtemelen bir dizi faktörün birleşimidir. Bunlardan biri, KOBİ ve serbest meslek sektörlerinin diğer ülkelere göre çok daha önemli olduğu İspanya'nın ekonomik yapısı olabilir. Mafyalar KOBİ'leri hedef alma eğilimindedir çünkü saf istatistiklere göre, bir yüzdesinin savunmasız olduğu 10.000 şirkete yönelik standart bir saldırı, tek bir büyük şirkete yönelik hedefli bir saldırıdan daha karlıdır.

Başka bir neden de Web 2.0 teknolojilerinin, özellikle akıllı telefonların ve İspanya'nın lider olduğu sosyal medyanın kullanımının yaygın kabul görmesi olabilir. Bir kez daha, büyük kullanıcı nüfusları suç gruplarını cezbediyor çünkü aynı çabayla daha fazla kişiden para çekebiliyorlar. Ve tabii ki, mevcut jeopolitik bağlamda, tüm NATO üyesi ülkeler rakiplerinin saldırılarına daha fazla maruz kalıyor .

S. Diğer Avrupa Birliği ülkeleri veya benzer ekonomilerle karşılaştırıldığında, İspanya siber saldırılara karşı savunmasızlık ve hazırlık açısından nasıl bir sıralamaya sahip? Benzer zorluklarla daha başarılı bir şekilde yüzleşmiş diğer uluslardan hangi dersleri çıkarabiliriz veya hangi uygulamaları örnek almalıyız?

İspanya, Uluslararası Telekomünikasyon Birliği'nin (ITU) Küresel Siber Güvenlik Endeksi'nde (GCI) dördüncü sırada yer alarak dünyanın siber güvenlik liderleri arasında ve Avrupa'da üçüncü sırada yer almaktadır. GCI, ülkelerin siber güvenliğe olan bağlılığını değerlendirir ve beş ayağı dikkate alır: yasalılık, teknik önlemler, örgütsel önlemler, kapasite oluşturma ve iş birliği.

Belki de asıl sorun eğitimli siber güvenlik uzmanlarının eksikliğidir. Avrupa ekonomileri arasında İspanya, ISC2'den (siber güvenlik sertifikasyon konsorsiyumu) ​​alınan bu tabloda gösterildiği gibi, profesyoneller için arz ve talep arasındaki en büyük farka sahiptir .

S. Büyük ölçekli bir ihlal veya siber saldırı gerçekleştiğinde, sorumluluk sorusu sıklıkla ortaya çıkar. Yeterli güvenlik önlemlerini uygulamayan kuruluşlar yeterince sorumlu tutuluyor mu? Mevcut düzenlemeler gelecekteki ihlalleri önlemek için yeterince caydırıcı veya cezalandırıcı mı?

Veri koruması söz konusu olduğunda, İspanyol mevzuatı gizlilik ihlallerini veya şirketler tarafından verilerin kötüye kullanımını kontrol etme ve cezalandırma konusunda her zaman en katı ve en sert mevzuatlardan biri olmuştur . 2018'de GDPR'nin (Avrupa düzenlemesi) kabul edilmesiyle cezalar daha da sertleşti ve cirodan %4 veya 20 milyon avroya (hangisi daha yüksekse) ulaştı.

Diğer sorumluluk türlerine gelince, İspanya'nın Avrupa NIS2 direktifini yerel mevzuata uygulamada geride kaldığı doğrudur; bu direktif, 10 milyon avrodan fazla cirosu ve birkaç kritik sektörde 50'den fazla çalışanı olan şirketlerin önleyici siber güvenlik önlemleri almasını gerektirir. Burada, para cezaları 10 milyon avroya veya küresel cironun %2'sine kadar çıkabilir. İlk kez, yöneticilere ve Yönetim Kurulu üyelerine yükümlülüklerini yerine getirmemeleri nedeniyle yaptırımlar da öngörülmektedir.

Ancak, yasa tasarısı taslağı bu yılın Ocak ayında sunulmuş olmasına rağmen, AB'nin yerel düzenlemeleri uyumlu hale getirmek için belirlediği Ekim 2024 son tarihi çoktan aşıldı . Bugün itibariyle, yeni yasanın Kongre tarafından ne zaman onaylanacağı belirsiz.

S. Sürekli saldırıların ve veri ihlallerinin yaşandığı bu ortamda, vatandaşlar kişisel bilgilerini, cihazlarını ve nihayetinde dijital bütünlüklerini korumak için hangi pratik, sağduyulu önlemleri alabilirler?

Vatandaşlar kendilerini korumak için çeşitli önlemler alabilirler, örneğin:

1. Eleştirel düşünün ve şüpheli mesajları, e-postaları veya web sitelerini atın. Aşırı agresif tekliflere, yabancılardan gelen acil isteklere veya başka yollarla doğrulayamadığınız isteklere karşı dikkatli olun.
2. Antivirüs, VPN ve şifre yöneticileri gibi güvenlik yazılımları yükleyin.
3. Verilerinizi düzenli olarak güvenli konumlara yedekleyin.
4. Şifrelerinizi başkaları tarafından bilinmeyecek şekilde yönetin, sık sık değiştirin ve tahmin edilmesi kolay olmasın.
5. Sistemleri üreticilerin en son sürümleriyle güncel tutun.
6. Herkese açık ağları kullanırken veya güvenmediğiniz durumlarda VPN kullanın.
7. Her zaman uzman yardımına danışın ve talep edin, yardım hatlarını (örneğin 017) arayın veya sizi riske atabileceğine inandığınız herhangi bir siber aktivite tespit ettiğinizde kolluk kuvvetlerini arayın. Çocuklar her durumda ebeveynlerini, öğretmenlerini veya eğitim personelini yanlarında bulundurmalıdır.