Veri Hırsızlıklarının Gerçek Maliyetleri
Veri Hırsızlıklarının Gerçek Maliyetleri Araştırması Yayınlandı
Yazar: Andy Patrizio    03-12-2007
Geçen hafta ABD’de Ponemon Institute tarafından yayınlanan bir çalışma veri açıklarının yarattığı maliyetin, sorunun çözümü için atılması gereken teknolojik adımlar kadar olmasa da, firmalar için giderek arttığını çünkü veri açığı kurbanına ödenmesi gereken tazminatın ve iÅŸ kaybının sürekli arttığını ortaya koydu.
Söz konusu çalışma gizlilik ve enformasyon yönetimi araştırma firması Ponemon Institute, kısa bir süre önce Symantec tarafından satın alınan veri kaybı korunumu yazılım geliştiricisi Vontu ve Pretty Good Privacy güvenlik yazılımını üreten PGP firmaları tarafından yürütüldü.
Çalışma 2007 yılında gizliliği ihlal edilmiş müşteri başına şirketlerin 197 dolar harcadıklarını ortaya koyuyor. Bu rakam 2006 yılında 182 dolardı. Bir finans hizmetleri firması için söz konusu maliyet kayıt başına 239 doları bile bulmuş. Bu maliyetin büyük çoğunluğu daha doğrusu 197 doların 128 doları ise iş kaybından ve yeni müşteriler bulma zorunluluğundan kaynaklanmakta.
Yürütülen çalışmaya ve bazı güvenlik uzmanlarına göre bu veriler şirketlerin nasıl işlem gördüklerini de etkilemeye aşlamış durumda.
PGP firmasının ürün yönetim müdürü John Dasher InternetNews.com’a verdiÄŸi beyanda “Birkaç yıl önce veri açığı ile ilgilenen bir pazarlama çalışanı barındırmazdınız. Bu bir IT sorunu olarak görülmekteydi. Åžimdi ise yönetim kurulunda bulunan tüm idareciler bu soruna kafa yoruyorlar,” diyor. “EÄŸer bir pazarlama çalışanı olsaydım yapmak isteyeceÄŸim son ÅŸey bir açık yüzünden oluÅŸan marka zararını tazmin etmek için para harcamak olurdu.”
“2007 Yıllık Çalışması: Bir Veri Açığının Maliyeti (The 2007 Annual Study: Cost of a Data Breach)” adlı rapor bazılarında 4.000’den az ve bazılarında 125.000’den fazla kayıt içeren 35 adet veri açığı vakasının detaylı bir analizi sonucunda oluÅŸturulmuÅŸ.
BaÅŸlangıçta oldukça küçük olduÄŸuna inanılan TJX açığı, satıcı firma için bir anda inanılmaz ölçülerde büyüyerek çok pahalıya mal olmuÅŸtu. TJX AÄŸustos ayında 45 milyon kredi ve borç hesabına iliÅŸkin verilerin hırsızlığından kaynaklana maliyetler dolayısıyla 118 milyon dolar ve potansiyel güven kaybı yaÅŸayacaklarını açıklamıştı. Dasher “Bu bir veri açığının sizi, hissedarlarınızı ve borsadaki hisse fiyatlarınızı nasıl etkileyebileceÄŸini gösteren ilk örneklerden birisiydi,” diyor.
Ancak Gartner araÅŸtırma firmasında güvenlik araÅŸtırma analisti olan Peter Firstbrook, bu etkinin ölçeÄŸi konusunda aynı fikirde deÄŸil. Firstbrook InternetNews.com’a gönderdiÄŸi bir e-mailde “Açık olmasaydı ne kadar gelir elde edebileceklerini nerden biliyorlar ki? Bizim araÅŸtırmalarımız aslında pek çok müşterinin böylesi bir açıktan sonra aynı firma ile iÅŸ yapmayı bırakmadığını gösteriyor. TJMax’ın bu olaydan önceki ve sonraki satışlarını bir inceleyin,” diyor.
Firstbrook haklı bir noktaya parmak basıyor. TJX bir anlık bir darbe yemiş olabilir ancak 2007’nin üçüncü çeyreğindeki satış rakamları bir önceki yılın aynı dönemine kıyasla yüzde 8 oranında artış gösterdi ve şirket önümüzdeki birkaç yıl içerisinde 1.000’den fazla yeni mağaza açmayı planlıyor.
Söz konusu rapor ayrıca 2007 yılında ortalama toplam olay-başı maliyetin 6.3 milyon dolar olduğunu iddia ediyor. Bu rakam 2006’da 4.8 milyon dolardı. Bu olayın iyi tarafı ise, tabi öyle bir şeyden bahsetmek mümkünse, tebligat maliyetleri yüzde 40 oranında azaldı zira firmalar herhangi bir açık oluştuğunda müşterilerine bunu bildirmek konusunda kendilerini geliştirdiler.
Söz konusu veri hırsızlığı olaylarında en büyük açıklardan birisi verilerin depolandığı, yayıldığı ve daha sonra üçüncü şahıslarla paylaşıldığı senaryoda saptandı. Dış kaynak kullananlar, yükleniciler, danışmanlar ve işletme ortakları veri hırsızlıklarının yüzde 40’ını oluşturuyorlar. Bu oran 2006 yılında ise yüzde 29 idi. 2006 yılında 171 dolar olan dış açıklar da 2007 yılında 231 dolar olarak çok daha fazla maliyetli olduklarını gösteriyorlar.
Açığın Gerçek Çıkış Noktası Nedir?
Dış kaynak kullanımı ve üçüncü şahıslar birer zayıf nokta olduklarından, kötü niyetli hackerların Amazon ve Overstock’a gelen trafiği takip ettikleri düşüncesi abartalı bir düşünce olabilir. Bundan ziyade TJX gibi on-line değil de taştan ve duvardan oluşmuş mağazalar daha zayıf halkaları oluşturuyorlar.
A.B.D.’de bu Pazar yayınlanan TV haber-magazin programı 60 Minutes ne kadar çok satış mağazasının dükkanlarında bulunan kablosuz networkleri güvenliksiz bıraktıklarını ortaya koydu. Muhabir Leslie Stahl bazı bilgisayar uzmanları ile bir arabada laptop başında oturarak dükkanlardaki kablosuz işlemleri yakalamanın ne denli kolay olduğunu gösterdi.
Dasher “Bu oldukça mantıklı zira Amazon gibi doÄŸuÅŸtan teknoloji ile yola çıkan ve sürekli kendilerini geliÅŸtiren ÅŸirketlerin baÅŸlangıçtan itibaren iyi birer güvenlik modelleri vardır,” diyor. “TaÅŸtan ve duvardan yapılmış gerçek maÄŸazaların pek çoÄŸu buna sahip deÄŸiller. ÇeliÅŸkili ayarlara sahipler. Bazıları da hala DOS tabanlı satış-noktası sistemi kullanmaktalar.”
Bu ayrım, perakende satış mağazalarının on-line rakiplerine göre asıl sorunlarını ortaya koyuyor. Uygunluk ve satış vergilerinden kaçınmanın dışında eğer Amazon’dan alışveriş yapmak mağazadan alışveriş yapmaktan daha güvenli gözükürse, geleneksel perakende satış mağazaları için bu durum ciddi bir problem yaratabilir.
Dasher “Perakende satış maÄŸazalarının bu konuda daha fazla çaba sarf etmeleri gerekecek, ancak bu durum onları daha da güç bir pozisyona sokabilir,” diyor. “Perakendecilerin çoÄŸu sipariÅŸ üzerine bir satış noktası sistemi kullandıkları için anlaÅŸtıklarından çok daha ucuz bir elle oyuna baÅŸlıyorlar dolayısıyla da hızlı bir satış sonrası güvenlik yamasından kaçınacaklardır.”
Bazı finans hizmetleri firmaları için güvenlik açıkları geçmiÅŸte yaşıyor olmanın getirdiÄŸi bir talihsiz bir sonuç olarak nitelenebilir. Pek çok firma kiralık hatlar aracılığı ile birbirine baÄŸlanmış bilgisayarlardan faydalanıyorlar dolayısıyla da güvenli networkler üzerinde güvenilir olmayan bir iÅŸlem geçmiÅŸlerine sahipler. Internet’in geliÅŸi ile birlikte artık güvenli iÅŸlemleri hiç güvenli olmayan bir network üzerinde gerçekleÅŸtirmek durumundalar. Dasher “Dolayısıyla pozisyonlarının güvenli olduÄŸuna dair yanlış bir fikre kapılmış olmaları çok da ÅŸaşırtıcı olmaz,” diyor.
Firstbook rapora sponsor olan iki firma tarafından satılan güvenlik ürünlerindense daha çok insan etmeni üzerine odaklanılması gerektiğini düşünüyor.
Firstbook “Veri açıkları oluÅŸması riskini minimalize etmek teknolojinin dışında, veri tanımlaması ve sınıflandırılması, veri ayıklanması ve prosedürlerde yapılacak deÄŸiÅŸiklikler gibi birçok manuel süreci de beraberinde getiriyor. Bunlara kullanıcı eÄŸitimi de eklenebilir,” diyor. “Bazı teknolojiler bu konuda yardımcı güç olabilirler ancak kesin çözüm deÄŸillerdir.”