Avrupa siber güvenlik raporlamasındaki kör nokta: Yanlış KPI’lara odaklanıyoruz 📊

Hollanda’da pek çok şeyi ölçüyor ve biliyoruz.

• 2024 yılında yaklaşık 40.000 veri ihlali bildirildi.
• 2025 yılında 65 fidye yazılımı saldırısı hakkında polise resmi olarak şikayette bulunuldu.

Gerçek sayı muhtemelen daha yüksektir.

Ölçmediğimiz şey ise, kaç şirketin bu yüzden batıyor olduğu.

📝 İflaslar şu şekilde kaydediliyor:

• Likidite sorunları
• Ciro kaybı
• Borç durumu

Oysa bu durum, bir veri sızıntısı veya fidye yazılımı olayının sonucu da olabilir.

Uluslararası alanda ise bu etkiyi bireysel vakalarda görebiliyoruz:

• Jaguar Land Rover (İngiltere), uzun süreli üretim durması yaşadı; bu durum tedarikçiler üzerinde büyük bir etki yarattı ve önemli mali baskıya neden oldu
• Fasana (Almanya), bir fidye yazılımı saldırısının ardından üretimi durdurmak zorunda kaldı; bu durum büyük günlük kayıplara ve nihayetinde iflasa yol açtı
• Stoli Group (ABD), siber olaylar ve operasyonel aksaklıklar sonrasında mali sıkıntılara girdi; bu durum iflasa katkıda bulundu
• KNP Logistics (İngiltere), BT sistemlerini tamamen felç eden bir fidye yazılımı saldırısının ardından iflas etti

Bunlar olay değildir.

Bunlar iş sürekliliği riskleridir.

Bu bağlantıyı kurmadığımız sürece, siber olayların etkisini yapısal olarak hafife alıyor ve bunu bir BT sorunu olarak görüyoruz.

Oysa gerçekte bu bir varlık riski –

ve dolayısıyla sadece BT'nin değil, yönetim kurulunun da gündeminde yer almalı.

En önemli KPI şudur:

“Kaç tane olay yaşadık?”

Değil:

“Bu olayların kaçı şirketimizi batırabilirdi?”