WTW Raporu Siber Risk Gerçeğini Ortaya Koydu

Willis Towers Watson (WTW) tarafından yayınlanan “Cyber in Focus 2025” raporuna göre, şirket yönetim kurulları siber dayanıklılıkları konusunda kendilerine güveniyor ancak veriler bu güveni desteklemiyor. Raporda, siber hazırlığın genellikle beklentilerin gerisinde kaldığı ve kayıpların liderlerin tahmin ettiğinden daha uzun sürdüğü, daha geniş kapsamlı ve maliyetli olduğu vurgulandı.

Rapor, 90 ülkeyi kapsayan ve 4.650’den fazla küresel siber sigorta talebine dayanan yönetim kurulu seviyesindeki verileri inceledi.

Yönetim kurullarının fidye yazılımı kesintilerinin sadece birkaç gün sürdüğünü varsaydığını ortaya koyan rapora göre, talep verileri ortalama kesinti süresinin 24 gün olduğunu ve ortalama kaybın 2,7 milyon doları bulduğunu gösterdi. Üç hafta boyunca çevrimdışı kalmak, nakit akışını ve itibarı ciddi şekilde zedeliyor ve her ek hafta, kayıp gelir ve artan düzenleyici incelemeler anlamına geliyor.

Liderlerin tedarikçi riskini genellikle ikincil olarak gördüğünü belirten rapor, ihlallerin yaklaşık %50’sinin tedarikçiler veya taşeronlardan başladığını tespit etti. Willis, zayıf bir tedarikçinin operasyonları durdurabileceğine dikkat çekerek, tedarikçi due diligence’inin güçlendirilmesinin, bir ihlalin bedelini ödemekten çok daha ucuz olduğunu ifade etti.

Rapora göre, çoğu yönetim kurulunun olay müdahale planı bulunuyor ancak sadece %68’i bu planları son bir yıl içinde test etti. Test edilmemiş kontroller, ceza, dava ve sigorta teminat kaybı riskini artırıyor. Kontrolleri şimdi prova etmek, bir denetim sırasında başarısız olmaktan çok daha az maliyetli.

Düzenleyici konularda ise yönetim kurulları genellikle açıklama kurallarına uymanın yeterli olduğuna inanıyor. Ancak, düzenleyiciler ve sigortacılar giderek daha fazla, sadece politika beyanları değil, kontrollerin pratikte çalıştığının kanıtını talep ediyor. Düzenleyiciler, kontrollerini işler durumda olduğunu kanıtlayamayan firmalara ceza kesiyor.

Yönetim kurullarının sadece CFO’ların ve finans ekiplerinin hedef olduğunu varsayma eğiliminde olduğu da rapordaki bir diğer saptama. Ancak saldırılar, İnsan Kaynakları, bordro ve vergi ekiplerini de giderek daha fazla hedefliyor. Deepfake’ler ve sentetik kimlikler geleneksel kontrolleri atlatıyor.

Rapor, yapay zeka destekli dolandırıcılık ve deepfake’lerin şimdiden milyonlarca dolarlık kayıplara neden olduğunu ortaya koydu. Bu durum, kuruluşların yapay zeka kaynaklı riskleri değerlendirmesi ve kontrolleri dolandırıcılık önleme programlarına entegre etmesi gerekliliğini vurguluyor.

Raporun diğer bulguları arasında, halka açık şirketlerin daha az olay yaşanmasına rağmen toplam kayıpların %36’sını oluşturması ve en büyük tek talebin 331 milyon dolar olması yer alıyor.

Willis Küresel FINEX Siber ve Siber Risk Çözümleri Başkanı Peter Foster, “Yönetim kurulları genellikle siber riskin kontrol altında olduğuna inanıyor, ancak veriler bunun aksini kanıtlıyor. Test edilmemiş planlar, zayıf tedarikçi sözleşmeleri ve net olmayan ifadeler, firmaların tam da para, itibar ve düzenleyici konum kaybettiği noktalardır. Test edilmemiş dayanıklılığın maliyeti, kayıp gelir, hissedar anlaşmazlıkları ve cezalarda kendini gösteriyor ve bu maliyet yönetim kurullarının beklediğinden daha hızlı artıyor. Fidye yazılımı simülasyonları, tedarikçi analitiği, yapay zeka yönetişimi ve politika optimizasyonu, algı ile gerçeklik arasındaki boşluğu kapatmaya yardımcı olabilir” dedi.

Haberin orijinal kaynağı Willis Towers Watson’ın “Cyber in Focus 2025” raporudur.

https://www.wtwco.com/en-us/insights/2025/10/cyber-in-focus-2025

https://willistowerswatson.turtl.co/