Kritik altyapılarda kullanılan eski donanım ile yazılımlar, siber saldırıların en büyük zafiyetlerinden biri olmayı sürdürüyor. Yeni yayımlanan araştırma, kritik altyapı siber güvenliği açısından enerji ile kamu hizmetleri sektöründe faaliyet gösteren kuruluşların yüzde 77’sinin son bir yılda eski sistemleri hedef alan saldırılarla karşılaştığını ortaya koydu. Kuruluşların büyük bölümü kendisini dayanıklı olarak değerlendirse de saldırılar hizmet kesintilerinden veri kaybına kadar uzanan ciddi sonuçlar doğuruyor.

Eski Altyapılar Yeni Tehditlere Karşı Savunmasız Kalıyor

Bridewell tarafından hazırlanan “Cyber Security in Critical National Infrastructure Report 2026” raporu, kamu hizmetleri sektörünün karşı karşıya olduğu en büyük güvenlik sorunlarından birinin yıllardır kullanılan operasyonel teknoloji sistemleri olduğunu gösteriyor. Elektrik, su, doğal gaz ile benzeri kritik hizmetlerde görev yapan altyapılar uzun ömürlü çalışacak şekilde tasarlandığı için birçok sistem günümüzün siber tehditlerine karşı koruma sağlayacak güvenlik mimarisine sahip bulunmuyor.

Kuruluşlar, üretimin ya da temel hizmetlerin kesintiye uğramaması için bu sistemleri kolayca çevrim dışı bırakamıyor veya güncelleyemiyor. Eski yazılımların destek süresinin sona ermesi ya da güvenlik yamalarının yayımlanmaması da saldırganların işini kolaylaştırıyor. Rapora göre incelenen kuruluşların neredeyse yarısı son saldırılar sonrasında bilgi teknolojileri kesintileri yaşarken önemli bölümü güvenlik yatırımlarını artırmak zorunda kaldı. Veri kaybı, gelir düşüşü ile operasyonların aksaması da en sık görülen sonuçlar arasında yer aldı.

Araştırma, eski sistemlerin tek başına sorun oluşturmadığını da ortaya koyuyor. Kimlik avı saldırıları ile kurumsal e-posta dolandırıcılığı son bir yılda kuruluşların yüzde 76’sını etkilerken kötü amaçlı yazılımlar da benzer seviyede yaygınlık gösterdi. Yetkisiz sistem erişimi yaşayan kuruluşların oranı ise yüzde 70’in üzerine çıktı.

Tedarik zinciri saldırıları ise müdahale edilmesi en uzun süren olaylar arasında yer aldı. Ortalama müdahale süresi yaklaşık 10 saate yaklaşırken veri hırsızlığı ile yetkisiz erişim vakaları da güvenlik ekiplerinin saatler süren çalışmalarını gerektirdi. Uzmanlar, kritik altyapılarda kullanılan üçüncü taraf yazılımların güvenlik seviyesinin düzenli olarak denetlenmesi gerektiğini vurguluyor. Bir iş ortağında yaşanabilecek güvenlik ihlali, zincirleme şekilde birçok kritik kurumu etkileyebiliyor.

Yapay Zekâ Riskleri ile Yeni Düzenlemeler Gündemi Değiştiriyor

Rapora katılan kuruluşlar için en önemli başlık veri koruma ile kişisel gizlilik oldu. Yapay zekâ siber güvenlik riskleri, olayların erken tespit edilmesi ile düzenleyici yükümlülüklere uyum da öncelikli konular arasında gösterildi. Kuruluşların önemli bölümü veri ihlali bildirim süreçleri, üçüncü taraf güvenlik denetimi ile veri koruma uygulamalarında yeterli hazırlığa sahip olmadığını belirtti.

Siber güvenlik yatırımlarını yönlendiren temel unsur ise artık yalnızca saldırılar değil. Düzenleyici çerçeveler ile uyumluluk yükümlülükleri birçok kurum için en önemli karar kriteri hâline geliyor. Uzmanlar, görünürlüğü artıran varlık yönetimi, yama yönetimi, güvenlik açığı giderme süreçleri, olay müdahale tatbikatları ile sürekli tehdit izleme sistemlerinin birlikte uygulanmasının kritik altyapılarda siber dayanıklılığı önemli ölçüde güçlendireceğini değerlendiriyor.