Son dönem siber güvenlik analizleri, çalışanların siber saldırı veya şüpheli aktivitelerle karşılaştıklarında çoğu zaman olayları ilgili birimlere bildirmekten çekindiğini gösteriyor. Oysa ki bu sessizlik, kurumların saldırı yüzeyini genişletiyor ve hasarın büyümesine zemin hazırlıyor.
Kültürel ve Psikolojik Engeller Güvenlik Açığına Dönüşüyor
Cohesity’nin EMEA bölgesinde yaptığı yeni bir araştırma, çalışanların %39’unun siber saldırıya maruz kaldığını düşündüğünde dahi olayı siber güvenlik ekibiyle paylaşmadığını ortaya koydu. Özellikle İngiltere, Fransa ve Almanya gibi teknolojiye yüksek adaptasyonu olan ülkelerde dahi bu oranlar dikkat çekici. İngiliz çalışanların %43’ü fidye yazılımı kavramını doğru tanımlayabilirken, Fransa ve Almanya’da bu oranlar %28 ve %30 seviyesinde.
Birçok çalışanın saldırıyı kendi kişisel hatası olarak değerlendirdiği ve bu nedenle iş yerinde ceza veya disiplin uygulamasıyla karşılaşmaktan çekindiği görülüyor. Hatta bazı kurumlarda üst düzey yöneticilerin dahi veri ihlallerinin üstünü örtmeyi tercih ettiği, 2023 yılında Bitdefender tarafından yürütülen global bir ankette de teyit edildi. Siber güvenlik ekipleri, olay bildirimini engelleyen bu baskıcı kültürün, kurum içi güvenlik farkındalığını zedelediğini vurguluyor.
Raporsuz Kalan Saldırılar Zincirleme Risk Yaratıyor
Çalışanların tedirginliği sadece iş kaygısı veya ceza korkusuyla sınırlı değil; kimi zaman sorunları kendi başına çözmeye çalışmak da büyük hatalara yol açabiliyor. Siber saldırıların erken aşamada tespit edilmesi için olay raporlamasının kesintisiz olması şart. Aksi durumda, zararlı yazılım ya da veri ihlali sistemde uzun süre fark edilmeden kalabiliyor ve tehdit, tüm ağı etkileyebiliyor.
Çözüm: Suçlayıcı Değil, Destekleyici Bir Güvenlik Kültürü
Uzmanlar, şirketlerin çalışanlarını cezalandırmak yerine sürecin doğal bir parçası olarak eğitimle desteklemesi gerektiğinin altını çiziyor. Etkin bir siber güvenlik ortamı için, tüm personelin şüpheli bir olayda “güvende hissettiği” bir raporlama mekanizması kurulmalı. Periyodik siber güvenlik eğitimleri, simülasyonlar ve açık iletişim kanalları, farkındalığın artmasında ve güvenlik olaylarının erken safhada kontrol altına alınmasında belirleyici rol oynuyor.