Kaspersky’nin 2025 yılında Toluna iş birliğiyle gerçekleştirdiği ve Türkiye dahil yedi ülkede 2.800 çalışanla yapılan araştırma, siber güvenlikteki en büyük riskin teknolojiden çok insan faktörü olduğunu ortaya koyuyor. Araştırmaya göre Türkiye’deki profesyonellerin yüzde 64’ü kurumlarının siber saldırıya uğrama ihtimalini yüksek bulurken, her üç çalışandan biri son bir yılda bu tür bir olayın doğrudan ya da dolaylı tanığı olduğunu belirtiyor. Ancak buna rağmen, çalışanların yalnızca dörtte biri siber güvenliğin tüm kurumun ortak sorumluluğu olduğunu düşünüyor. Bu da farkındalık ile kurumsal hazırlık arasındaki makasın halen kapatılamadığını gösteriyor.
Türkiye’de siber risk algısı yüksek, ancak tedbirler yaygın değil
Araştırma bulgularına göre, Türkiye’deki katılımcıların yüzde 64’ü çalıştıkları kurumun siber saldırıya uğrama ihtimalini “yüksek” olarak değerlendiriyor. Bu oran, bölge genelinde ölçülen yüzde 52,1 oranındaki ortalamanın oldukça üzerinde.
Katılımcıların yüzde 59,5’i siber bir olayın işlerini ciddi biçimde etkileyeceğini düşünüyor. Bu kaygının temelinde yalnızca genel farkındalık değil, doğrudan yaşanmış deneyimler de yer alıyor: Türkiye’deki çalışanların yaklaşık yüzde 30’u son 12 ayda kurumlarında bir siber olay yaşandığını bildirirken, benzer oranda kişi bu tür vakaları iş arkadaşlarından duyduğunu belirtiyor.
İnsan hataları, saldırganların ana giriş noktası
Kuruluşların karşı karşıya kaldığı tehditler arasında kimlik avı (phishing), kurumsal e-posta dolandırıcılığı, fidye yazılımları ve gelişmiş kalıcı tehditler (advanced permanent threats – APT) öne çıkıyor. Saldırganlar, bu tür tehditleri daha etkili hale getirebilmek adına sosyal mühendislik taktikleri ve yapay zeka araçlarını yoğun biçimde kullanıyor.
Bu saldırıların büyük kısmında, kurum ağına sızmak için temel giriş noktası olarak insan hataları kullanılıyor. Dolayısıyla, sadece teknolojik çözümler değil, organizasyonel farkındalık da savunmanın önemli bir parçası haline geliyor.
Siber güvenlik sorumluluğu hala sınırlı kapsamda görülüyor
Araştırma, çalışanların büyük çoğunluğunun siber güvenliğin öncelikle BT departmanının sorumluluğunda olduğunu düşündüğünü ortaya koyuyor. Türkiye’deki katılımcıların yalnızca yüzde 26,3’ü siber güvenliğin tüm çalışanların ortak sorumluluğu olduğunu savunuyor. Öte yandan yüzde 22,5’i bu sorumluluğun üst düzey yöneticilere, yüzde 22’si ise hukuk ve finans departmanlarına ait olduğunu ifade ediyor.
Bu sonuçlar, kurumsal güvenlik kültürünün henüz yeterince yaygınlaşmadığını gösteriyor.
“Her çalışan gelişen tehditlerin farkında olmalı”
Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, siber güvenliğin sadece BT ekiplerine bırakılmaması gerektiğinin altını çizerek şu uyarıda bulunuyor:
Her çalışan gelişen tehditlerin farkında olmalı. Siber güvenlik eğitimi, doğru BT çözümleri, iyi tanımlanmış politikalar ve olay müdahale planları, kurumların bu tehditlere karşı güçlü bir duruş sergilemesini sağlar.
Şirketin araştırma sonucunda sunduğu başlıca öneriler şöyle sıralanıyor:
- Eğitim önceliklendirilmeli: Kimlik avı ve kötü amaçlı bağlantılar gibi tehditlere karşı çalışanlara farkındalık eğitimi verilmeli.
- Gelişmiş izleme sistemleri kurulmalı: İzleme sistemlerinin yanı sıra çevrimdışı yedekleme sistemleri oluşturulmalı.
- Güvenlik politikaları yaygınlaştırılmalı: Yazılım güncellemeleri, parola güvenliği, ağ segmentasyonu gibi politikalar her seviyede uygulanmalı.
- Kurumsal güvenlik kültürü inşa edilmeli: Çalışanlar, şüpheli durumları çekinmeden bildirmeye teşvik edilmeli ve iyi uygulamalar ödüllendirilmeli.
Teknoloji değil, davranış belirleyici
Araştırma, kurumların siber güvenlik yatırımlarını yalnızca teknolojik altyapıya yönlendirmekle yetinmemesi gerektiğini net biçimde ortaya koyuyor. Çünkü asıl zafiyet, kullanıcı davranışlarındaki boşluklardan kaynaklanıyor. Türkiye’de yüksek risk algısına rağmen güvenlik sorumluluğunun hala dar bir çerçevede görülmesi, kurumsal kırılganlığı artırıyor. Bu nedenle güvenli bir dijital çalışma ortamı için teknik çözümler kadar, organizasyonel farkındalık ve çalışan katılımı da stratejik öncelik haline gelmeli.
Buna da göz atın: Yenilikçiliğin geleceği: Teknolojik Yakınsama