Yeni dünya, yeni kurallar: Belirsizlik çağında siber güvenlik

Siber güvenlik artık alışılmışın dışında bir döneme giriyor. Hızla değişen dünya düzeni ve risk ortamı, son dönemde teknolojide yaşanan üstel sıçramalarla birlikte, mevcut siber stratejileri ciddi şekilde test ediyor.

Şirketler, küreselleşme sonrası yeni bir gerçeklikle karşı karşıya. İttifakların bölünmesi, zayıflayan küresel kurumlar, tarife şokları ve kesintiye uğrayan tedarik zincirleri bu dönemin belirleyici unsurları arasında yer alıyor. Aynı zamanda, benzeri görülmemiş teknolojik gelişmeler saldırı yüzeyini genişletiyor ve yeni nesil siber tehditleri beraberinde getiriyor.

PwC’nin 72 ülkede 3.887 iş ve teknoloji lideriyle gerçekleştirdiği 2026 Dijital Dünyada Güven araştırması, liderlerin bu belirsizlik dönemini nasıl yönettiğini, nerelerde yetersiz kaldıklarını ve bu zorluklarla daha iyi başa çıkmak için neleri farklı yapabileceklerini ortaya koyuyor.

Öne çıkan sonuçlardan bazıları:

• Jeopolitik risk stratejiyi şekillendiriyor: İş ve teknoloji liderlerinin %60’ı, süregelen jeopolitik belirsizlikler nedeniyle siber risk yatırımlarını en öncelikli üç stratejik alan arasında konumlandırıyor.
• Dayanıklılık hâlâ gelişim aşamasında: Mevcut jeopolitik ortamda, katılımcıların yaklaşık yarısı kurumlarının belirli zafiyetleri hedef alan siber saldırılara karşı en fazla “kısmen dayanıklı” olduğunu düşünüyor. Araştırmada ele alınan tüm zafiyetler açısından kendine güvenenlerin oranı ise yalnızca %6.
• Sorun çıkmasını bekleyen yaklaşım: Kurumların yalnızca %24’ü, proaktif önlemlere (izleme, değerlendirme, testler, kontroller gibi) reaktif harcamalardan (olay müdahalesi, cezalar, toparlanma) anlamlı ölçüde daha fazla bütçe ayırıyor. Oysa ideal dağılım bu yönde. Şirketlerin büyük çoğunluğu (%67) ise iki alana benzer seviyede harcama yapıyor; bu da maliyetleri artıran ve riski yükselten bir yaklaşım.
• Siber savunmada yapay zekâ ajanları: Önümüzdeki 12 ayda kurumların öncelik verdiği yapay zekâ güvenlik yetkinlikleri arasında ajan tabanlı yapay zekâ öne çıkıyor. Şirketler bu ajanları; bulut güvenliği, veri koruma, siber savunma ve operasyonlar başta olmak üzere kritik alanlarda devreye almayı planlıyor.
• Kuantum riski giderek aciliyet kazanıyor: Kuantum bilişim, kurumların hazırlıksız olduğu ilk beş tehdit arasında yer almasına rağmen, %10’dan azı bütçelerinde bu alana öncelik veriyor ve yalnızca %3’ü araştırmada yer alan kuantuma dayanıklı önlemlerin tamamını hayata geçirmiş durumda.
• Siber yetenek krizine karşı olan yaklaşım: Yetenek ve beceri eksikliği, siber alandaki ilerlemenin önündeki en büyük engellerden biri olmaya devam ediyor. Katılımcıların yarısından fazlası (%53), bu açığı kapatmak için yapay zekâ ve makine öğrenmesi araçlarını önceliklendiriyor. Ayrıca, uzmanlık ve ölçek sağlamak amacıyla dış kaynaklı yönetilen hizmetler giderek daha stratejik bir kaldıraç haline geliyor.

Günümüz siber riskleri, en az yıkıcı teknolojiler kadar jeopolitik gelişmeler tarafından da şekilleniyor. Değişen ittifaklar, ticaret anlaşmazlıkları, zayıflayan uluslararası kurumlar ve stratejik rekabetin öne çıktığı bu yeni dönemdeki istikrarı bozan diğer dinamikler hem tehdit ortamını hem de iş yapış biçimlerini yeniden şekillendiriyor.

Bu jeopolitik ortama yanıt olarak, iş ve teknoloji liderlerinin %60’ı önümüzdeki yıl için siber risk yatırımlarını en önemli üç stratejik öncelikten biri haline getiriyor. Bunun yanı sıra, kritik altyapıların konumlandırılmasında değişiklikler (%41), ticaret ve operasyon politikaları (%39) ile siber sigorta politikaları (%39) da önceliklendirilen alanlar arasında yer alıyor. Kesintilerin yeni normal haline geldiği bu dönemde, siber güvenlik dayanıklılığın kritik bir kaldıraç noktası haline geliyor.

Bu tablo karşısında siber hazırlık seviyesine duyulan güven ikiye bölünmüş durumda. Katılımcıların yaklaşık yarısı, kurumlarının araştırmada da ele alınan belirli zafiyetleri hedef alan siber saldırılara karşı “çok yeterli” olduğunu belirtirken, diğer yarısı bu konuda hazır olmadığını ifade ediyor. Daha da çarpıcısı, tüm zafiyetler genelinde kendini “çok yeterli” görenlerin oranı ise yalnızca %6.

Siber güvenlik, hazırlıklı olmayı gerektirir. Kriz ortaya çıkmadan önce; izleme, değerlendirme, testler, kontroller ve eğitim gibi proaktif önlemleri planlamak ve bu alanlara yatırım yapmak anlamına gelir.

Kurumların üçte ikisi (%67), proaktif ve reaktif harcamalarının dengeli olduğunu; yani her iki alana da benzer düzeyde ya da birine diğerinden biraz daha fazla bütçe ayırdıklarını söylüyor. Yalnızca küçük bir kesim (%24), proaktif adımlara belirgin şekilde daha fazla yatırım yaparak olması gereken dengeyi yakalayabilmiş durumda. Bu oranlar reaktif yaklaşımın gerçek maliyetini muhtemelen olduğundan daha düşük gösteriyor.

Yapay zekânın siber yetkinlikleri dönüştürme potansiyeli açık ve kapsamlı. Bu nedenle, araştırmada yer verdiğimiz birçok başlıkta en üst sıralarda yer alıyor. Temel siber yetkinliklerin yapay zekâ ile güçlendirilmesi; siber bütçelerin dağılımında, yönetilen siber güvenlik hizmetlerinin kullanımında ve siber yetenek açığının kapatılmasında en öncelikli alan olarak öne çıkıyor.

Önümüzdeki 12 ayda yapay zekâ destekli güvenlik yetkinliklerini güçlendirmek isteyen güvenlik liderleri için en öncelikli alan tehdit avcılığı olarak öne çıkıyor. Bunun yanı sıra; ajan tabanlı çözümler, olay tespiti ve davranış analitiği, kimlik ve erişim yönetimi ile zafiyet tarama ve değerlendirme gibi diğer yetkinlikler de gündemde yer alıyor.

Kuantum teknolojileri henüz doğrudan ve acil bir siber tehdit oluşturmasa da, kuantum sonrası kriptografiye geçişi geciktiren kurumlar; hassas verilerini, kimlik doğrulama hizmetlerini ve kriptografik sistemlerini riske atıyor olabilir. Uygulama süreçlerinin yıllara yayılabildiği düşünüldüğünde, kuantuma dayanıklı güvenlik altyapısının temellerini bugünden atmak; yarının olası tehditlerine karşı hazırlıklı olmak açısından kritik önem taşıyor.

Bazı kurumlar ilk adımları atmış durumda; %29’u pilot ve test aşamasında ilerliyor. Ancak yalnızca %22’si pilot aşamasını geride bırakabilmişken, neredeyse yarısı (%49) kuantuma dayanıklı güvenlik önlemlerini henüz değerlendirmemiş ya da uygulamaya başlamamış durumda. Peki bu süreci ne yavaşlatıyor? Birçok kurum için temel neden; kuantum sonrası risklere dair yeterli farkındalığın olmaması, buna ek olarak sınırlı iç kaynaklar ve öncelik rekabeti.

Siber güvenlik alanındaki iş gücü açığı, kurumların yapay zekâyı operasyonlara entegre etme, karmaşık ortamları güvence altına alma ve yeni nesil tehditlere hazırlanma çabalarını zorlaştırarak ilerlemeyi yavaşlatmaya devam ediyor.

Son bir yılda siber savunmada yapay zekâ kullanımının önündeki en büyük iki engel bilgi ve yetkinlik eksikliği oldu. Bu durum, kurumları yetkinliklerini nasıl ölçeklendireceklerini yeniden düşünmeye zorluyor. Birçok kurum; yapay zekâ araçları (%53), güvenlik otomasyon araçları (%48), siber araçların konsolidasyonu (%47) ve çalışanların yetkinliklerini geliştirme veya yeniden beceri kazandırma (%47) gibi farklı yolları değerlendiriyor. Ayrıca, özellikle büyük bir siber saldırı deneyimlemiş kurumlar (%48) için, uzmanlaşmış yönetilen hizmetler de öncelikli alanlar arasında yer alıyor.

Yapay zekâ ve bulut, uzmanlaşmış yönetilen güvenlik hizmetlerinde öne çıkan başlıca kullanım alanları. Kurumlar artık bu hizmetleri yalnızca dış kaynak kullanımı olarak görmüyor; kritik sistemlerin nasıl sunulduğunu modernize etmek için sağlayıcılarla iş ortaklıkları kuruyor.

Araştırma hakkında

2026 Dijital Dünyada Güven Araştırması, Mayıs–Temmuz 2025 döneminde 3.887 iş ve teknoloji yöneticisinin katılımıyla gerçekleştirildi.

Katılımcıların üçte biri (%33), 5 milyar dolar ve üzeri gelire sahip büyük şirketlerden oluşuyor. Katılımcılar farklı sektörlerde faaliyet gösteriyor: finansal hizmetler (%21); sanayi üretimi ve otomotiv (%21); teknoloji, medya ve telekomünikasyon (%19); perakende ve tüketici pazarları (%16); sağlık (%10); enerji, kamu hizmetleri ve doğal kaynaklar (%9); kamu ve devlet hizmetleri (%4).

Katılımcılar 72 ülkeden geliyor. Bölgesel dağılım şöyle: Batı Avrupa (%32), Kuzey Amerika (%27), Asya Pasifik (%18), Latin Amerika (%11), Orta ve Doğu Avrupa (%6), Afrika (%4) ve Orta Doğu (%3).

Araştırma, daha önce Küresel Bilgi Güvenliği Durumu Araştırması (GSISS) olarak biliniyordu. Bu yıl 28’incisi gerçekleştirilen çalışma, siber güvenlik trendlerini ele alan en uzun soluklu yıllık araştırma olma özelliğini taşıyor. Aynı zamanda sektördeki en geniş katılımlı araştırma olup, yalnızca güvenlik ve teknoloji yöneticilerini değil, üst düzey iş liderlerini de kapsayan tek çalışma olarak öne çıkıyor.

Araştırma, PwC’nin küresel pazar araştırması ve içgörü merkezi olan “PwC Research” tarafından yürütülmüştür.