VSE’ler ve KOBİ’ler giderek daha fazla hedef alınsalar bile kendi siber güvenliklerini sağlayacak bilgi ve araçlara sahipler mi? Bu “taşınma” zorluğu…
VSE’ler ve KOBİ’ler giderek daha fazla hedef alınsalar bile kendi siber güvenliklerini sağlayacak bilgi ve araçlara sahipler mi? Bu meydan okuma “ ölçeklendirme “Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) genel müdürü Vincent Strubel’e göre, oyuncular için siber korumanın en küçüğü de dahil olmak üzere kitleselleştirilmesi önümüzdeki yıllardaki en büyük zorluk olacak. 11 Ekim’de Monako’daki Siber Güvenlik Konferansı’nın açılış töreninde bunu ekosisteme bir kez daha hatırlattı.
Her iki KOBİ’den biri saldırıdan sonraki 18 ay içinde iflas ediyor
Tüm muhataplar Dijital Yüzyıl Topluluklar veya sağlık kuruluşları gibi küçük ve orta ölçekli işletmeler uzun süredir siber ekosistemin kör noktasında kalmıştır. “ Saldırganlar daha çok büyük şirketleri hedef aldığı için önceden muhtemelen daha az etkileniyorlardı.s » Hexatrust profesyonel derneğinin Saymanı Olivier Morel’in şifresini çözüyor. Kâr arayışındaki siber suçlular, en yüksek kâr potansiyeline sahip hedefleri tercih etme eğilimindedir. Siber güvenlik pazarı bu büyük kuruluşların etrafında inşa edilmiştir.
Ancak son yıllarda bilinçlendirme ve korumanın güçlendirilmesi bir yan etkiye yol açmıştır. ” tarafından kolaylaştırılmıştır. VSE-KOBİ’ler aslında ilginç bir hedef haline geliyor », diye belirtiyor Olivier Morel. Rapora göre Siber güvenlik, ölçeği büyütelimMontaigne Enstitüsü’nün Haziran 2020’de yayınladığı rapora göre, ANSSI tarafından tespit edilen fidye yazılımı kurbanlarının %65’i VSE-KOBİ’ler, topluluklar, sağlık kuruluşları ve %24’ü stratejik şirketlerdi. 2022’de stratejik şirketler toplamın %6’sını temsil ederken, küçük yapılar için bu oran %73’tü.
Daha sık saldırıya uğrayan VSE-KOBİ’ler aynı zamanda daha az dirençlidir. Wavestone’un siber güvenlik ortağı ve Institut Montaigne raporunun eş raportörü Gérôme Billois ifade veriyor Dijital Yüzyıl büyük grupların bu riske eşit derecede maruz kalan ortaklarından yararlandığı dayanışma mantığının bir örneğidir. Daha iyi sigortalı ve daha iyi nakit akışıyla siber saldırının verdiği hasar nispeten kontrol altına alınabilir. Ancak daha kırılgan bir KOBİ için “ 15 günlük ciro kaybı [environ la durée moyenne d’une interruption d’activité causée par un ransomware] ekonomik modelini çökertebilir “. Hükümet rakamlarına göre her iki KOBİ’den biri saldırıdan sonraki 18 ay içinde iflas ediyor.
Siber ekosistem için ele alınması zor bir pazar
Ölçek büyütme sorununun üstesinden gelmeye acil bir ihtiyaç var, ” haute couture’ün yanı sıra hazır giyim de yapmak » ANSSI yöneticisinin iyi hissedilen metaforuna göre. Bunun için oyuncu kazandırmamız lazım” Siber güvenlik konusunda aynı olgunluğa sahip olmayan, aynı imkanlara sahip olmayanlar ” Kendilerini korumak için. Farkındalığın arttırılması veya sunulan hizmetin uyarlanması açısından da çalışmalar var.
VSE’leri ve KOBİ’leri kendi yanılabilirliklerine ikna etmek ilk zorluktur. France Num 2023 barometresine göre yalnızca %48’i siber güvenlikle ilgili korkularını dile getirdi. “ Bir siber güvenlik KOBİ’si ile görüştüğünüzde size “Bu konuda hiçbir şey bilmiyorum, yatıracak param yok, zaten işim için bütçemi yönetmekte zorlanıyorum” diyecekler. » Dell Technologies Veri Koruma ve Siber Kurtarma Satış Direktörü David Bécu’ya ifade veriyor. Halihazırda etkilenmiş varlıklar da dahil olmak üzere, bazılarının bir tür bilinç kaybı yaşamasından üzüntü duyuyor: ” kendilerine “bu benim başıma ikinci kez gelmez” diyorlar » Eklemeden önce rapor veriyor: ve yine de birçok örnek verebilirim “.
Küçük yapıların bilinçli liderleri için hâlâ kendilerini korumanın yollarını bulmaya ihtiyaç var. Bir siber çözümün maliyetini ölçmek karmaşıktır çünkü doğası gereği şirketin riskine, faaliyet sektörüne, işlenen verilere vb. bağlı olarak değişir. Gérôme Billois, BT bütçesinin %5 ila %10’u arasında bir yatırım aralığından bahsediyor: ” 5’in altı gerçekten risk almaktır, 10’a ulaşmak fena değil ama herkesin bu kadar ileri gitmesine gerek yok “. Olivier Morel için ” Eğer yılda birkaç bin avro kazanmayı başarırlarsa, bu dünyanın sonu olur ama biz bundan çok ama çok uzağız. “. Bu sorulara kendini adamış bir kişi, potansiyel olarak gerekli olan diğer kaynak türlerini hesaba katmadan, David Bécu’ya “becerilerin siber dünyada nadir ve pahalı olduğunu” belirtiyor.
Bu özel pazarın temel ihtiyaçlarını karşılamanın alternatifi hâlâ, insan müdahalesi ihtiyacını azaltan, düşük maliyetle anahtar teslimi bir çözüm olan SaaS sunmaktır. “ Bu basit bir denklem değil ama bugün Hexatrust üyeleri de dahil olmak üzere bu teklifler üzerinde çalışan şirketler var. », diye savunuyor Olivier Morel. Bu aynı zamanda Dell’in bu pazara hitap etmek için seçtiği yol” çok basit şeylerle, birkaç tıklamayla, ister onlar tarafından ister üçüncü bir tarafça yönetilmesi mümkün olduğu kadar kolay » David Bécu’yu övüyor.
Gittikçe daha fazla siber oyuncu küçük ve orta ölçekli işletmelerle ilgileniyorsa, bu yol onlar için de tuzaklarla dolu. “ Karmaşık olan bu pazarın satın alınması ve dağıtımıdır. », Olivier Morel’e dikkat çekiyor. Fransa’da 150.000’in biraz altında KOBİ ve milyonlarca VSE’nin faaliyet gösterdiği ve faaliyetleri genellikle çok yerel bir ortama dayandığı için müşteri bulmak çok fazla çaba gerektiriyor. Ucuz ve dolayısıyla az marjlı çözümler sunma zorunluluğuyla ilişkilendirilen ve bu nedenle hacim üzerinde çalışmamızı gerektiren, kuyruğunu öldüren yılandır. Siber Güvenlik Konferansı’ndan birkaç hafta önce VSE-KOBİ pazarında uzmanlaşmış bir start-up olan ProHacKtive kapılarını kapatmak zorunda kaldı. Kurucusu nedenlerini kamuoyuna açıklamadıysa, pazara hitap etmenin zorluğu makul bir açıklama gibi görünüyor. “ Biz yanacağız » Gérôme Billois bu varlıkları aramanın gerekli olduğuna inanıyor.
Ancak siber güvenlik ulaşılamayacak kadar uzak değil.
Institut Montaigne raporu, ölçeklendirme zorluğuna yanıt vermeye çalışmak için yaklaşık on farklı öneri sunuyor. Yerel yaklaşımları teşvik edin, teşhisleri teşvik edin, yıllık siber uyarı oluşturun, siber standartları birkaç temel nokta etrafında erişilebilir hale getirin… Buradaki zorluk, teşvikler ve düzenlemeler arasında bir denge bulmaktır. Dosyanın eş raportörü Gérôme Billois, kendisine göre küçük yapıların korumasını arttırmanın tek yolu olan kaldıraç etkilerinin araştırılmasında özellikle ısrar ediyor. Bunlardan en önemlisi Tasarım Yoluyla Güvenlik’tir, ” Bugün dikkat çekicidir, muhasebe yönetim yazılımı satın alırsınız, güvenlik entegre değildir. Tıpkı 70’lerde araba alırken emniyet kemerinin bir seçenek olduğu zamanlar gibi. “.
Dell Technologies’den David Bécu bu düşünceye karşı temkinli davranıyor. ısrar etmeyi tercih ediyor” pragmatizm tarafından » Mevcut ekosisteme ve her bireyin sorumluluğuna. Şunu tahmin ediyor” belki bir gün olur [la Security by Design]ama bugün orada değiliz “. Tam tersine, Gérôme Billois işlerin doğru yönde ilerlediğini düşünüyor. Avrupa Birliği şu anda dijital ürünlere minimum güvenlik getirmeyi amaçlayan Siber Dayanıklılık Yasası adlı bir düzenleme üzerinde çalışıyor. Wavestone’un siber güvenlik ortağı, özellikle telekom operatörleri arasında varsayılan olarak minimum siber güvenliğin entegrasyonunu da savunuyor.
Küçük işletmelerin yükümlülüklerini, örneğin personel dosyalarının yönetimini veya bilgi sistemlerine erişim haklarını ortadan kaldırmadan, yüz binlerce işletmenin güvenliğini bir üst seviyeye çıkarmak amaçlanıyor. Şifreleme, güçlü kimlik doğrulama, düzenli yedekleme, iyi bir antivirüs ile birleştiğinde bu temel önlemler erişilemez değildir, hatta bazıları bankacılık uygulamalarını veya e-ticaret sitelerini kullanmaya zaten aşinadır. Bütçe gibi gereksinimlerin daha önemli olduğu KOBİ’ler veya ETI’ler için siber ekosistem mevcuttur.