Siber güvenlikte küresel ölçekte faaliyet gösteren ESET, fidye yazılımı saldırılarına ilişkin dikkat çeken bir uyarı yayımladı. Şirkete göre bu tür saldırılar çoğu zaman ani değil, uzun süren “sessiz” bir dönemin ardından ortaya çıkıyor. Bu süreçte sistemlerin sorunsuz çalışıyor gibi görünmesi ise kurumlarda yanıltıcı bir güven duygusu oluşturuyor.
Uzmanlar, uzun süre herhangi bir sorun yaşanmamasının kurumlarda rehavete neden olduğunu ve güvenlik yatırımlarının geri plana atılabildiğini vurguluyor. Bu durum, gerçek risk ile algılanan risk arasındaki farkın büyümesine yol açarken, görünürde güçlü olan sistemlerin aslında ciddi tehditler barındırabileceğine işaret ediyor.
“Uyumlu ama güvensiz” paradoksu
Birçok kurumun güvenlik değerlendirmelerinde temel bir hataya düştüğünü belirten ESET, şirketlerin çoğu zaman yalnızca sistemlerinde gerekli kontrollerin bulunup bulunmadığını denetlediğini, ancak bu kontrollerin güncel tehditlere karşı ne kadar etkili olduğunu sorgulamadığını ifade ediyor. Bu yaklaşım ise kurumları aynı anda hem mevzuata uygun hem de ciddi risk altında bırakabiliyor.
Öte yandan güvenlik analizlerinde kolay erişilebilen verilerle yetinilmesi, kritik ancak daha zor elde edilen bilgilerin göz ardı edilmesine neden oluyor. Verizon tarafından yayımlanan 2025 Veri İhlali Araştırma Raporu’na göre, fidye yazılımı mağdurlarının yüzde 54’ünün erişim bilgileri saldırıdan önce yasa dışı platformlarda dolaşıma girmiş durumda. Bu da birçok saldırının aslında çok daha erken aşamalarda başladığını ortaya koyuyor.
Milyarlarca dolarlık zarar
Fidye yazılımı saldırılarının etkisi yalnızca teknik kayıplarla sınırlı kalmıyor. İş sürekliliğini doğrudan etkileyen bu saldırılar, devasa ekonomik sonuçlar doğurabiliyor. 2024 yılında Change Healthcare’e yönelik saldırının maliyetinin 3 milyar dolar seviyesinde olduğu tahmin edilirken, 2025’te Jaguar Land Rover’a yapılan benzer bir saldırı da ciddi finansal kayıplara yol açtı. IBM verilerine göre ise bir veri ihlalinin ortalama maliyeti yaklaşık 5 milyon dolar; sağlık sektöründe bu rakam 10 milyon dolara kadar çıkabiliyor.
Veri sızıntılarının uzun vadeli etkisi
Uzmanlar, veri ihlallerinin etkisinin saldırı anıyla sınırlı kalmadığını, uzun vadede daha büyük riskler doğurduğunu belirtiyor. Sızdırılan veriler yeni kimlik avı ve iş e-postası dolandırıcılığı saldırılarını tetiklerken, aynı zamanda şirketler için hukuki yükümlülükleri de beraberinde getiriyor. Müşteri güveninin sarsılması, artan sigorta maliyetleri ve iptal edilen sözleşmeler gibi dolaylı etkiler de kurumları zor durumda bırakıyor.
ESET’e göre güçlü bir siber güvenlik yapısı; yalnızca doğru teknoloji ve insan kaynağıyla değil, aynı zamanda sürekli izleme ve değişen tehditlere hızlı uyum sağlama becerisiyle mümkün. Tehdit istihbaratının etkin kullanımı ve zamanında aksiyona dönüştürülen güvenlik uyarıları olmadan, kurumların “güvende olduğu” algısı ile gerçek durum arasındaki fark büyüyor ve bu boşluk siber suçlular tarafından yüksek maliyetlerle dolduruluyor.
