EY’nin Küresel Bilgi Güvenliği 2017-18 Araştırması sonuçlarına göre; enerji dağıtım sektörü firmalarının tamamı siber güvenlik sistemlerinin şirket ihtiyacını karşılamıyor. Katılımcıların yüzde 85’i ise şirketlerinde düzenli olarak kriz senaryolarını test eden ve olası bir siber güvenlik ihlaline karşı etkin kriz yönetimi sağlayacak bir program olmadığını ifade ediyor.
Uluslararası denetim ve danışmanlık şirketi EY, bu yıl 20.’sini gerçekleştirdiği Küresel Bilgi Güvenliği 2017-18 Araştırması’nın (Global Information Security Survey – GISS) enerji dağıtım sektörüne ilişkin sonuçlarını açıkladı. Dünya genelinden yaklaşık bin 200 büyük ölçekli şirket yöneticisinin anket yoluyla katılımı ile hazırlanan araştırma, farklı sektörlerden şirketlerin günümüzün dijital ekosisteminde siber güvenlik tehdit ve saldırılarına karşı yaptıkları hazırlık ve yatırımlar ile ilgili çarpıcı bulgular ortaya koyuyor.
Araştırma sonuçlarına göre; enerji dağıtım sektörü firmalarının tamamı (yüzde 100) siber güvenlik sistemlerinin şirket ihtiyaçlarını karşılamadığını ifade ediyor. Bununla birlikte enerji dağıtım sektörü şirketlerinin yüzde 58’i dijital ekosistemin takip edilmesi veya izlenmesi konusunda güçlük yaşanacağını öngörüyor. Araştırmada, dijital ekosistemin takip edilmesi konusunda güçlük çekileceği beklentisinin tüm sektörler genelinde yüzde 36 ile enerji sektöründen oldukça düşük olduğuna dikkate çekiliyor.
Dijital dönüşüm enerjide risk yönetimini güçleştiriyor
Teknolojik ilerlemelerin etkisiyle radikal bir dönüşüm sürecinde olan enerji dağıtım sektörü şirketleri için içerisinde faaliyet gösterdikleri dijital ortamın haritasını çıkarmak gittikçe zorlaşıyor. Araştırmada; enerji değer zincirinin daha da çok parçalı bir yapıya sahip olması ile birlikte mikro şebekeler ve dağıtılmış enerji kaynaklarındaki yükselişin enerji dağıtım sektöründe risklerin anlaşılması ve yönetimini güçleştirdiği vurgulanıyor. Artan güvenlik tehditlerine rağmen, katılımcıların yüzde 85’i şirketlerinde düzenli olarak kriz senaryolarını test eden ve olası bir siber güvenlik ihlalinin ardından etkin kriz yönetimi sağlayacak bir program olmadığını ifade ediyor.
“Siber güvenlik, şirket stratejinin ayrılmaz bir parçası olmalı”
“Dijital ekosistemin genişlemesi, enerji dağıtım sektörü firmalarını daha yoğun ve karmaşık, daha da önemlisi kritik öneme sahip fonksiyonları aksatabilecek siber saldırılarla karşılaşma riski taşıyor” diyen EY Türkiye Enerji Sektörü Lideri Erkan Baykuş konu ile ilgili şu değerlendirmede bulundu:
“Enerji dağıtım sektörü şirketleri her ne kadar siber güvenlik konusunda geçtiğimiz yıllarda kaydedilen ilerleme ile birlikte tehditler konusunda daha güvende hissetseler de araştırma sonuçları daha gelişmiş ve hedefli saldırılarla baş etmede yetersiz olduklarına işaret ediyor. Siber tehditlere karşı dirençli bir yapı oluşturulmasında şirketlerin öncelikle kurum genelinde benimsenen kapsamlı bir risk yönetimi stratejisine sahip olmaları gerekiyor. Siber güvenlik yönetim stratejisinde, karmaşıklaşan tehditler karşısında çok katmanlı bir yaklaşım ile hareket edilmesi ve başarısı kanıtlanmış öncü uygulamaların kullanılması önem taşıyor. Diğer taraftan şirketlerde güvenlikten sorumlu yetkililerin endişe duydukları konuları üst düzey yönetime taşıma kabiliyetlerinde eksiklik olduğunu gözlemliyoruz. Bu da risklerin azaltılmasını sağlayacak yatırımların yapılması önünde engel teşkil ediyor. Dolayısıyla siber güvenlik konusunun genel şirket stratejinin ayrılmaz bir parçası olarak ele alınmasına ihtiyaç duyulduğunu gösteriyor.”
Enerji dağıtım sektörü şirketlerinin yüzde 23’ünün güvenlik operasyon merkezi bulunmuyor
Araştırma sonuçlarına göre; enerji dağıtım sektörü şirketlerinin yalnızca yüzde 6’sı (2017’de yüzde 19) mevcut stratejilerinin bilgi güvenliği üzerindeki etkilerini tam anlamıyla gözden geçirdiklerini ve risk yönetim modellerinin siber tehditleri ve kırılganlıkları kapsadığı ve takip ettiğini ifade ediyor. Bununla birlikte katılımcıların yaklaşık dörtte biri (yüzde 23) halen bir güvenlik operasyon merkezlerinin olmadığını belirtiyor.
Bütçe kısıtları siber saldırılardan korunma önünde engel teşkil ediyor
Araştırmaya katılan enerji dağıtım sektörü şirketlerinin yüzde 44’ü, bütçe sınırlamalarını siber saldırılara karşı korunmada ciddi bir engel olarak görüyor. Katılımcıların yaklaşık üçte biri (yüzde 29) yönetimin arzu ettiği risk toleransı seviyesine ulaşılabilmesi için bütçede yüzde 25’ten yüksek bir artış gerçekleşmesi gerektiğini söylerken, yalnızca yüzde 9’u gelecek 12 aylık dönemde böyle bir artış gerçekleşmesini bekliyor.
