Geçen hafta ABD’de yayınlanan bir çalışma veri açıklarının yarattığı maliyetin, sorunun çözümü için atılması gereken teknolojik adımlar kadar olmasa da, firmalar için giderek arttığını çünkü veri açığı kurbanına ödenmesi gereken tazminatın ve iş kaybının sürekli arttığını ortaya koydu.
Söz konusu çalışma gizlilik ve enformasyon yönetimi araştırma firması Ponemon Institute, kısa bir süre önce Symantec tarafından satın alınan veri kaybı korunumu yazılım geliştiricisi Vontu ve Pretty Good Privacy güvenlik yazılımını üreten PGP firmaları tarafından yürütüldü.
Çalışma 2007 yılında gizliliği ihlal edilmiş müşteri başına şirketlerin 197 dolar harcadıklarını ortaya koyuyor. Bu rakam 2006 yılında 182 dolardı. Bir finans hizmetleri firması için söz konusu maliyet kayıt başına 239 doları bile bulmuş. Bu maliyetin büyük çoğunluğu daha doğrusu 197 doların 128 doları ise iş kaybından ve yeni müşteriler bulma zorunluluğundan kaynaklanmakta.
Yürütülen çalışmaya ve bazı güvenlik uzmanlarına göre bu veriler şirketlerin nasıl işlem gördüklerini de etkilemeye aşlamış durumda.
PGP firmasının ürün yönetim müdürü John Dasher InternetNews.com’a verdiği beyanda “Birkaç yıl önce veri açığı ile ilgilenen bir pazarlama çalışanı barındırmazdınız. Bu bir IT sorunu olarak görülmekteydi. Şimdi ise yönetim kurulunda bulunan tüm idareciler bu soruna kafa yoruyorlar,” diyor. “Eğer bir pazarlama çalışanı olsaydım yapmak isteyeceğim son şey bir açık yüzünden oluşan marka zararını tazmin etmek için para harcamak olurdu.”
“2007 Yıllık Çalışması: Bir Veri Açığının Maliyeti (The 2007 Annual Study: Cost of a Data Breach)” adlı rapor bazılarında 4.000’den az ve bazılarında 125.000’den fazla kayıt içeren 35 adet veri açığı vakasının detaylı bir analizi sonucunda oluşturulmuş.
Başlangıçta oldukça küçük olduğuna inanılan TJX açığı, satıcı firma için bir anda inanılmaz ölçülerde büyüyerek çok pahalıya mal olmuştu. TJX Ağustos ayında 45 milyon kredi ve borç hesabına ilişkin verilerin hırsızlığından kaynaklana maliyetler dolayısıyla 118 milyon dolar ve potansiyel güven kaybı yaşayacaklarını açıklamıştı. Dasher “Bu bir veri açığının sizi, hissedarlarınızı ve borsadaki hisse fiyatlarınızı nasıl etkileyebileceğini gösteren ilk örneklerden birisiydi,” diyor.
Ancak Gartner araştırma firmasında güvenlik araştırma analisti olan Peter Firstbrook, bu etkinin ölçeği konusunda aynı fikirde değil. Firstbrook InternetNews.com’a gönderdiği bir e-mailde “Açık olmasaydı ne kadar gelir elde edebileceklerini nerden biliyorlar ki? Bizim araştırmalarımız aslında pek çok müşterinin böylesi bir açıktan sonra aynı firma ile iş yapmayı bırakmadığını gösteriyor. TJMax’ın bu olaydan önceki ve sonraki satışlarını bir inceleyin,” diyor.
Firstbrook haklı bir noktaya parmak basıyor. TJX bir anlık bir darbe yemiş olabilir ancak 2007’nin üçüncü çeyreğindeki satış rakamları bir önceki yılın aynı dönemine kıyasla yüzde 8 oranında artış gösterdi ve şirket önümüzdeki birkaç yıl içerisinde 1.000’den fazla yeni mağaza açmayı planlıyor.
Söz konusu rapor ayrıca 2007 yılında ortalama toplam olay-başı maliyetin 6.3 milyon dolar olduğunu iddia ediyor. Bu rakam 2006’da 4.8 milyon dolardı. Bu olayın iyi tarafı ise, tabi öyle bir şeyden bahsetmek mümkünse, tebligat maliyetleri yüzde 40 oranında azaldı zira firmalar herhangi bir açık oluştuğunda müşterilerine bunu bildirmek konusunda kendilerini geliştirdiler.
Söz konusu veri hırsızlığı olaylarında en büyük açıklardan birisi verilerin depolandığı, yayıldığı ve daha sonra üçüncü şahıslarla paylaşıldığı senaryoda saptandı. Dış kaynak kullananlar, yükleniciler, danışmanlar ve işletme ortakları veri hırsızlıklarının yüzde 40’ını oluşturuyorlar. Bu oran 2006 yılında ise yüzde 29 idi. 2006 yılında 171 dolar olan dış açıklar da 2007 yılında 231 dolar olarak çok daha fazla maliyetli olduklarını gösteriyorlar.
Açığın Gerçek Çıkış Noktası Nedir?
Dış kaynak kullanımı ve üçüncü şahıslar birer zayıf nokta olduklarından, kötü niyetli hackerların Amazon ve Overstock’a gelen trafiği takip ettikleri düşüncesi abartalı bir düşünce olabilir. Bundan ziyade TJX gibi on-line değil de taştan ve duvardan oluşmuş mağazalar daha zayıf halkaları oluşturuyorlar.
A.B.D.’de bu Pazar yayınlanan TV haber-magazin programı 60 Minutes ne kadar çok satış mağazasının dükkanlarında bulunan kablosuz networkleri güvenliksiz bıraktıklarını ortaya koydu. Muhabir Leslie Stahl bazı bilgisayar uzmanları ile bir arabada laptop başında oturarak dükkanlardaki kablosuz işlemleri yakalamanın ne denli kolay olduğunu gösterdi.
Dasher “Bu oldukça mantıklı zira Amazon gibi doğuştan teknoloji ile yola çıkan ve sürekli kendilerini geliştiren şirketlerin başlangıçtan itibaren iyi birer güvenlik modelleri vardır,” diyor. “Taştan ve duvardan yapılmış gerçek mağazaların pek çoğu buna sahip değiller. Çelişkili ayarlara sahipler. Bazıları da hala DOS tabanlı satış-noktası sistemi kullanmaktalar.”
Bu ayrım, perakende satış mağazalarının on-line rakiplerine göre asıl sorunlarını ortaya koyuyor. Uygunluk ve satış vergilerinden kaçınmanın dışında eğer Amazon’dan alışveriş yapmak mağazadan alışveriş yapmaktan daha güvenli gözükürse, geleneksel perakende satış mağazaları için bu durum ciddi bir problem yaratabilir.
Dasher “Perakende satış mağazalarının bu konuda daha fazla çaba sarf etmeleri gerekecek, ancak bu durum onları daha da güç bir pozisyona sokabilir,” diyor. “Perakendecilerin çoğu sipariş üzerine bir satış noktası sistemi kullandıkları için anlaştıklarından çok daha ucuz bir elle oyuna başlıyorlar dolayısıyla da hızlı bir satış sonrası güvenlik yamasından kaçınacaklardır.”
Bazı finans hizmetleri firmaları için güvenlik açıkları geçmişte yaşıyor olmanın getirdiği bir talihsiz bir sonuç olarak nitelenebilir. Pek çok firma kiralık hatlar aracılığı ile birbirine bağlanmış bilgisayarlardan faydalanıyorlar dolayısıyla da güvenli networkler üzerinde güvenilir olmayan bir işlem geçmişlerine sahipler. Internet’in gelişi ile birlikte artık güvenli işlemleri hiç güvenli olmayan bir network üzerinde gerçekleştirmek durumundalar. Dasher “Dolayısıyla pozisyonlarının güvenli olduğuna dair yanlış bir fikre kapılmış olmaları çok da şaşırtıcı olmaz,” diyor.
Firstbook rapora sponsor olan iki firma tarafından satılan güvenlik ürünlerindense daha çok insan etmeni üzerine odaklanılması gerektiğini düşünüyor.
Firstbook “Veri açıkları oluşması riskini minimalize etmek teknolojinin dışında, veri tanımlaması ve sınıflandırılması, veri ayıklanması ve prosedürlerde yapılacak değişiklikler gibi birçok manuel süreci de beraberinde getiriyor. Bunlara kullanıcı eğitimi de eklenebilir,” diyor. “Bazı teknolojiler bu konuda yardımcı güç olabilirler ancak kesin çözüm değillerdir.”