İngiltere'nin ulusal standartlar kuruluşu olan BSI, İngiltere imalat sektörünün gelecekteki büyümesinin ve başarısının en son dijital teknolojilere yapılan yatırıma bağlı olduğuna inanan bir kuruluştur.
İngiltere’deki üreticilerin çıkarlarını temsil eden bir başka kurulu da Make UK’dir. Make UK (eski adıyla Mühendislik İşverenleri Federasyonu) CEO'su Stephen Phipson, kısa süre önce bu tür bir yatırımın faydalarını şöyle özetledi: "Dijitalleşme modern üretimde devrim yarattı. Üretimin geçtiğimiz yıl boyunca başarılı bir şekilde işlemesini sağladı. İngiltere'nin sağladığı mal ve hizmetlerin tasarımında, geliştirilmesinde, imalatında ve işletilmesinde teknolojik atılımlar şeklinde kesin karşılık buldu.
Bu bağlamda, Make UK tarafından yapılan araştırma, üretim sektöründeki kimi liderler için de alarm zillerini çalacak. Geçen yıl yapılan bir üye anketinde kuruluş, her beş şirketten birinin, sürekli değişen küresel bir pazarda rekabet etmeye devam etmek için yapmaları gerektiğini bilmelerine rağmen, hâlihazırda yeni dijital süreçlere yatırım yapmadığını itiraf ettiğini gördü.
Sorun: siber suç
The reason, or at least a major part of it, is fear of increased exposure to cyber-attack. Many manufacturers are holding back from implementing the latest innovations in case they compromise the security of their data or the value of their intellectual property.
Make UK’s most recent report, Cyber Resilience – The Last Line of Defence, published in May this year, confirms the scale of the threat, revealing that as many as half of Britain’s manufacturers have fallen victim to cyber-crime in the last 12 months.
This figure is sure to have been boosted by thousands of businesses adopting emergency working practices when the Covid crisis struck. Many were forced to switch to remote production and monitoring, and to staff working from home on hastily supplied laptops – measures that cyber criminals were able to exploit to mount opportunistic attacks.
The cyber crimewave has come at a huge financial cost to manufacturers, with 63% suffering losses of up to £5,000 for each cyber breach, 22% losing between £5,000 and £25,000 per breach, and 6% nursing eye-watering losses of over £100,000 after an attack.
This raises an obvious question: how can manufacturing leaders respond to the scale and cost of cyber-crime?
Here, Make UK has found there is work to be done. Some 47% of manufacturers do not even have a formal plan or process agreed in case of an attack. And 44% of manufacturers still do not offer cybersecurity training to their staff, even though all employees have a responsibility for data protection – it is no longer considered the sole responsibility of the IT department
The majority (59%) cite cost as the biggest barrier to becoming more cybersecure. The cost of inaction, however, could ultimately be much higher – in tangible financial losses, in unquantifiable reputational damage caused by high-profile incidents, and in the ‘opportunity cost’ of delayed or cancelled investment in digital innovation.
Bunun nedeni ya da en azından büyük bir kısmı, siber saldırıya daha fazla maruz kalma korkusudur. Birçok üretici, verilerinin güvenliğini veya fikri mülkiyetlerinin değerini tehlikeye atma endişesiyle en son yenilikleri uygulamaktan çekiniyor.
Make UK'nin bu yıl Mayıs ayında yayınlanan en son raporu Siber Dayanıklılık - Son Savunma Hattı, tehdidin boyutunu doğrulayarak, İngiltere'deki üreticilerin yarısının son 12 ayda siber suça kurban gittiğini ortaya koyuyor.
Bu rakamın, Covid krizi baş gösterdiğinde acil çalışma uygulamalarını benimseyen binlerce işletme ile arttığı kesin. Birçok işletme, uzaktan üretim ve izlemeye, aceleyle sağlanan dizüstü bilgisayarlarda evden çalışan personele geçmeye zorlandı ve siber suçlular fırsatçı saldırılar düzenlemek için bu önlemlerden yararlandı.
Siber suç dalgası, üreticilere büyük bir finansal maliyet getirdi. Üreticilerin %63'ü her siber ihlal için 5.000 £'e kadar, %22'si ihlal başına 5.000 £ ila 25.000 £ arasında, %6'sı da saldırı sonrasında 100.000 £'in üzerinde fahiş kayıplara uğradı.
Bu, apaçık bir soruyu gündeme getiriyor: Üretim sektöründeki liderler siber suçun derecesine ve maliyetine nasıl tepki verebiliyor?
Bu noktada Make UK, yapılacak işler olduğunu tespit etmiştir. Üreticilerin yaklaşık %47'sinin bir saldırı olması durumunda uygulamaya konacak, üzerinde anlaşmaya varılmış resmi bir planı veya süreci dahi yok. Dahası üreticilerin %44'ü, tüm çalışanların veri korumasından sorumlu olmasına rağmen, personeline hala siber güvenlik eğitimi sağlamıyor. Veri koruması artık salt IT departmanının sorumluluğu olarak görülmüyor.
Çoğunluk (%59), daha siber güvenli olmanın önündeki en büyük engel olarak maliyeti öne sürüyor. Bununla birlikte somut mali kayıplarda, yüksek profilli olayların neden olduğu ölçülemeyen itibar kaybında ve dijital inovasyona ertelenen veya iptal edilen yatırımın "fırsat maliyetide", eylemsizliğin maliyeti nihayetinde çok daha yüksek olabiliyor.
Çözüm: standartlar
Dijital bilgi öncesindeki bir dünyaya geri dönüş söz konusu değil. İmalatçılar, dahili olarak ürettikleri, harici olarak aldıkları, kısa veya uzun vadede sakladıkları verilere bağımlıdır. Bu veriler kendi operasyonları, çalışan ve ortakları, müşteri ya da kullanıcıları ile ilgili olabilir. Sürekli olarak üretilen yeni bilgilerle siber güvenliğin anahtarı, veri depolama, erişim güvenliği ve yönetim süreçlerinin kontrolünü elinde tutmaktır.
Uluslararası kabul görmüş standartları kullanmak, işletmenizin kontrol altında kalmasını sağlayabilir. Pek çoğu için en büyük öncelik, yeni süreçleri haber veren, çalışan eğitim prosedürlerini iyileştiren ve mevzuata uyumu kolaylaştıran ISO/IEC 27001 Bilgi Güvenliği Yönetimidir. Standart, bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olmak suretiyle işletmenize güven verir, kurumsal dayanıklılık sağlar.
Bulut hizmetleri artık norm haline geldiğinden, ISO/IEC 27001 ve ilgili iki standart (ISO/IEC 27002 ve ISO/IEC 27017) bulut ortaklarını seçmenize ve onlarla ortaklaşa veri depolama düzenlemelerinizi güvenli bir şekilde yönetmenize yardımcı olur.
ISO/IEC 27001'in bir başka uzantısı olan ISO/IEC 27701 Gizlilik Bilgi Yönetimi, optimize edilmiş kişisel bilgi yönetimi aracılığıyla gizliliğin korunmasına ilişkin özel rehberlik sağlar.
Ayrıca, siber saldırılara karşı korunmak için siber risk ortamını anlamanıza yardımcı olan BS 31111 mevcuttur. Veri güvenliğinin beş önemli noktasını vurgular: Kimin verilerini tutuyoruz? Bu verileri neden işliyoruz? Bu veriler nerede tutuluyor ya da nereye aktarılıyor? Bu verileri ne zamana kadar tutacağız? Yürürlükte olan hangi koruma önlemlerimiz mevcut?
Güvenilir olduğunuzu gösterin
Make UK'in son raporuna dönersek, çalışma bir diğer önemli bulguyu ortaya koydu: Bir müşteri veya tedarikçi, üreticilerin %43'ünden siber güvenliklerinin sağlamlığını göstermelerini isterken, beşte biri müşterilerden ya da tedarikçilerden siber saldırılara karşı savunmalarının kanıtlarını göstermelerini istedi.
BSI gibi bağımsız üçüncü taraf bir uzman kuruluş tarafından belgelendirmenin ön plana çıktığı yer işte burasıdır. Belgelendirme, verilerinin güvenli bir şekilde paylaşılabileceğini garanti ederek müşterilerinizin ve diğer paydaşların güvenini kazanmanıza yardımcı olur. Ayrıca, tedarik ortaklarınız arasındaki şeffaflığı artırarak, tüm taraflara uygun kontrollerin uygulandığına dair güvence verir ve tedarik zinciri boyunca sağlam uygulamaları teşvik eder. Dahası, belgelendirme bu süreçte kurumsal itibarınızı artırır.
Sonuç olarak, üreticilere yönelik siber tehdit dijitalleşmeyle birlikte büyüyor ve gelişiyor. Hiçbir işletme bunu görmezden gelemez. Standartlar ve bunlara yönelik sertifikalar, siber güvenliği kalıcı hale getirmenize ve kanıtlamanıza yardımcı olabilir, verilerin ellerinizde güvende olduğuna dair güven inşa edebilir. Her şeyden önce, belki de kendi yönetim kurulunuza siber risklerin üstesinden gelebileceğiniz konusunda güven tazeleyecek, işletmenizin uzun vadeli uygunluk düzeyini ve dayanıklılığını elde tutmasını sağlayacak dijital teknolojiye hayati yatırımlar yaparak yolunuza devam edeceksiniz.
