• Anasayfa
  • Blog
  • Şirketler Veri Sızıntılarını Ne Zaman Açıklıyor?
Şirketler Veri Sızıntılarını Ne Zaman Açıklıyor?

Şirketler Veri Sızıntılarını Ne Zaman Açıklıyor?

Ara 11, 2022 / Kron

Her yıl milyonlarca kişinin parolaları, kredi kartı bilgileri veya sağlık bilgileri gibi kişisel verileri, bilgisayar korsanlığı veya şirketlerin veri işleme hataları nedeniyle yetkisiz kişilerin eline geçiyor.

Bu durumun mağdurlar için mali kayıplardan kimlik hırsızlığına kadar birçok yıkıcı sonucu olabiliyor. Birçok ülkede şirketler, müşterilerini korumak için yasa gereği bu olayları yetkili kurumlara bildirmek ve müşterilerini haberdar etmekle yükümlü oldukları için bu sızıntılar genellikle kamuya açıklanıyor.

Böyle durumlarda yayılmayı azaltmak ve çalınan verilerin kötüye kullanılmasını engellemek için aslında hızlı bir müdahale yapılması gerekiyor. Bununla birlikte yasaların öngördüğü son tarihler, açıklamaların zamanlaması konusunda şirketlere esneklik tanıyor. Avrupa Birliği’nde, ilgili kişiler için risk doğurabilecek her türlü veri sızıntısının 72 saat içinde bildirilmesi gerekiyor. Amerika Birleşik Devletleri'nde ise bildirim süreleri eyaletten eyalete 30 ila 90 gün arasında değişiklik gösterebiliyor.

10 Yılda 8.000'in Üzerinde Sızıntı

Münih Teknik Üniversitesi (TUM) yenilik ve dijitalleşme profesörü Jens Foerderer ve Florida Uluslararası Üniversitesi bilgi sistemleri ve iş analizleri profesörü Sebastian Schuetz benzer olayları incelediklerinde şaşırtıcı bir sonuca ulaşarak, hisse fiyatları ve şirket değerlerinin veri ihlali duyurularından çok da etkilenmediği sonucuna varmışlar.

Jens Foerderer konuyla ilgili olarak "Bu bizi şaşırttı, çünkü sızıntılar şirketin imajına zarar verir ve müşteriler arasında güven kaybına yol açar. Bu da aslında borsa değerlemesinde keskin bir düşüşe neden olmalıdır" derken, "Bizim hipotezimize göre başka haberler yatırımcıların dikkatini dağıtıyor" görüşünü paylaşıyor.

Araştırmacılar, kâr amacı gütmeyen bir kuruluş olan Identity Theft Resource Center'dan (ITRC) elde edilen bilgileri kullanarak 2008 ile 2018 yılları arasında halka açık ABD şirketleri üzerinde çalışmalar yapmış, 8.000'den fazla veri ihlalinin ne zaman açıklandığına dair veriler elde etmişler. Daha sonra bu verileri çoğu şirketin üç aylık rakamlarını açıkladığı tarihlerle, yani piyasa ile ilgili büyük miktarda bilginin yayınlanacağının önceden belli olduğu tarihlerle, karşılaştırmışlar.

Şirket İçi Nedenlere Bağlı İhlaller Konusunda İlginç Sonuçlar

Bu çalışma, araştırmacıların varsayımını doğrular şekilde günlük ve sektörel haberlerin manşetlere hakim olduğu günlerde veri ihlali basın açıklamalarının görülme sıklığının önemli ölçüde fazla olduğu görüşmüş ve şirket içi ihmal veya hatalardan kaynaklanan ciddi veri ihlalleri ile sağlık bilgilerinin ya da kişisel kimlik bilgilerinin sızması durumunda bu sızıntıların basına açıklanma zamanıyla diğer önemli haberlerin duyulması, yani gündemin yoğunluğu arasında güçlü bir bağlantı olduğu anlaşılmış.

Foerderer konuyla ilgili olarak "Haberlerin yoğun olduğu günlerde hem haber merkezleri hem de analistler topladıkları bilgilere öncelik vermek zorundadır. Bizim ulaştığımız sonuçlara göre şirketler veri sızıntısına ilişkin açıklama zamanını stratejik olarak belirliyor ve bilerek açıklamanın daha az dikkat çekeceği zamanları hedefliyorlar." diyor.

Gündemin Yoğun Olduğu Günlerde Hisse Fiyatları Daha Az Etkileniyor

Çalışmanın ikinci adımda araştırmacılar bu taktiğin şirketler için başarılı olup olmadığını öğrenmek isteyip, bunun için veri kayıplarının açıklanmasından sonra şirket hisselerinin performansını değerlendirmişler. Hisse fiyatları ortalama olarak düşse de yoğun haber günlerinde düşüşün çok daha az yaşandığı sonucuna varmışlar.

Sebastian Schuetz'un buna dair açıklaması ise şu yönde: "Veri işleme hatalarını başka haberlerle gizleyen şirketler, böylece kendilerinin ve diğer şirketlerin veri ihlallerine karşı daha güçlü önlemler alması için kamuoyundan gelen baskıyı önlüyorlar."

Süre Konusunda Esnekliğin En Aza İndirilmesi İsteniyor

Araştırmacılar, veri sızıntılarını duyurmak için şirketlere tanınan sürenin mümkün olduğunca kısıtlayıcı olmasını tavsiye ediyor. Öyle ki Jens Foerderer konuyla ilgili yaptığı yorumda "Açıklamaya ilişkin verilen süre ne kadar uzun olursa şirketler de duyurularını o kadar stratejik olarak planlıyor ve açıklamanın gerçek amacından sapıyorlar" diyor.

Kaynak: Help Net Security

Öne Çıkanlar

Yapay Zeka Destekli Ayrıcalıklı Erişim Yönetimi ile Siber Güvenliği Geliştirme

Yapay Zeka Destekli Ayrıcalıklı Erişim Yönetimi ile Siber Güvenliği Geliştirme

Mar 20, 2024
Büyük Kurumların Log Yönetim Zorlukları

Büyük Kurumların Log Yönetim Zorlukları

Mar 20, 2024
Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Dijital Çağda Güçlü Veri Güvenliği: Veritabanı Erişim Yönetimi ve Dinamik Veri Maskeleme Alanında Uzmanlaşmak

Nis 03, 2024
İşletmelerinizi Güvence Altına Alın: Kron PAM ile Siber Güvenlik Sigortası Maliyetlerini Düşürün

İşletmelerinizi Güvence Altına Alın: Kron PAM ile Siber Güvenlik Sigortası Maliyetlerini Düşürün

Nis 18, 2024

Diğer Bloglar

Blog
Kron’un Omdia Universe’deki Konumu ve Rapor İncelemesi

Kron’un Omdia Universe’deki Konumu ve Rapor İncelemesi

Kas 07, 2021 Devamını Oku

Blog
Paylaşımlı Hesaplar ve Dikkat Edilmesi Gerekenler

Paylaşımlı Hesaplar ve Dikkat Edilmesi Gerekenler

Mar 13, 2022 Devamını Oku

Blog
Kron Bir Kez Daha Gartner Magic Quadrant Raporu’nda

Kron Bir Kez Daha Gartner Magic Quadrant Raporu’nda

Ağu 08, 2021 Devamını Oku

Blog
5 İpucu ile Şirketinizde Veri İhlalini Önleyin

5 İpucu ile Şirketinizde Veri İhlalini Önleyin

Oca 10, 2021 Devamını Oku

Blog
Log4Shell'den Bir Yıl Sonra Dahi Çoğu Şirket Hala Saldırılara Maruz Kalıyor

Log4Shell'den Bir Yıl Sonra Dahi Çoğu Şirket Hala Saldırılara Maruz Kalıyor

Ara 04, 2022 Devamını Oku

Blog
GDPR ve KVKK döneminde veri güvenliğine hazır mısınız ?

GDPR ve KVKK döneminde Veri Güvenliğine Hazır mısınız?

Kas 26, 2018 Devamını Oku

Bize Ulaşın

Kron Teknoloji'nin siber güvenlik ürünleri hakkında bilgi almak için bize ulaşın.