Birçok küçük veya orta ölçekli işletme, siber suçluların tuzağına düşmeyeceklerine inandıkları için bir siber güvenlik çözümü olmadan da hayatına devam edebileceğini düşünüyor. Ancak yakın zamanda yapılan bir araştırma, tüm siber saldırıların yaklaşık %46’sının KOBİ’leri hedef aldığını gösteriyor. Dünya Ekonomik Forumu’nun verilerine göre ise siber güvenlik ihlallerinin %95’i insan hatasından kaynaklanıyor.
Bu rakamlar, küçük ve orta ölçekli işletmelerdeki çalışanların istemeden, hatta bazen kasıtlı olarak şirketlerinin “düzenli işleyişine” zarar verebileceğinin farkında olmayabileceğini gösteriyor. Çalışanların gösterdiği uygunsuz davranışlar mali kayıplara, itibar kaybına veya işletme genelinde üretkenliğinin azalmasına yol açabiliyor.
Gelin, çalışanların ihmal sonucu veya kin duygusuyla siber güvenliği ve KOBİ’lerin işleyişini nasıl etkileyebileceğini birlikte keşfedelim. Kaspersky uzmanları, bu makalede konuyla ilgili hiçbir sorunuzu cevapsız bırakmayacak.
İhmal Etmek Mutluluk Getirmez
Kaspersky 2022 BT Güvenlik Ekonomisi araştırmasına göre, 26 ülkede 3 binden fazla BT güvenlik yöneticisiyle yapılan görüşmelerde KOBİ’lerdeki veri sızıntılarının yaklaşık %22’si çalışanlardan kaynaklandığı ortaya çıktı. Sızıntıların siber saldırılardan kaynaklanma oranı da neredeyse aynı. Elbette çoğu zaman bu durum çalışanların ihmali ya da farkındalık eksikliği nedeniyle gerçekleşiyor. Ancak bu da bir noktada çalışanları neredeyse bilgisayar korsanları kadar tehlikeli hale getiriyor.
Çalışanların eylemleriyle istemeden ciddi güvenlik ihlallerine yol açmasının ve küçük ve orta ölçekli işletmelerin siber güvenliğine zarar vermesinin çeşitli yolları var. Bunların başlıcaları şunlar:
1. Zayıf Parolalar: Çalışanlar, siber suçlular tarafından kolayca kırılabilecek ve hassas verilere yetkisiz erişimle sonuçlanabilecek, basit veya kolay tahmin edilebilen şifreler kullanabilir. Hatta dünyada en çok hacklenen şifrelerin listesi bile mevcut. Sizinkinin bunlar arasında olmadığından emin olmak için kontrol edin.
2. Kimlik Avı Dolandırıcılığı: Çalışanlar yanlışlıkla veya farkında olmadan e-postalardaki kimlik avı bağlantılarına tıklayarak kötü amaçlı yazılımların bulaşmasına ve ağa yetkisiz şekilde erişmesine neden olabilir. Çoğu dolandırıcı, sözde meşru bir şirkete ait bir e-posta adresini taklit ederek ekli bir belge veya arşiv içeren bir e-posta göndererek, kötü amaçlı yazılımları bunların içine yerleştirir ve birilerinin tıklamasını bekler. Agent Tesla saldırısı, benzer bir saldırının dünyanın dört bir yanındaki kullanıcıları etkileyen yakın tarihli bir örneğini oluşturuyor.
3. Kendi Cihazını Getir (BYOD) Politikası: BYOD, COVID-19 salgınının zirve yaptığı dönemde art arda yaşanan sokağa çıkma yasaklarının bir sonucu olarak daha büyük bir ivme kazandı. Bu dönemde pek çok farklı sektörlerdeki personeller evden çalışmak zorunda kaldı ve şirket yöneticilerinin aklında güvenlikten ziyade iş sürekliliği ön plandaydı.
Çalışanların kurumsal ağlara bağlanmak için sıklıkla kişisel cihazlar kullanması, bu cihazlar siber tehditlere karşı yeterli korumaya sahip değilse ciddi bir güvenlik tehdidi oluşturabiliyor. Her gün 400 binden fazla yeni kötü amaçlı programın ortaya çıktığı ve şirketlere yönelik hedefli saldırıların sayısının arttığını göz önüne aldığımızda, işletmeler kendilerini pek çok tehlikenin ortasında buluyor. Bunun yanında şirketlerin çoğunun kişisel cihazların kurumsal verilere erişimini tamamen engellemek gibi bir planı yok, ya da bunu imkansız buluyor.
Havaalanında veya takside kaybolan kişisel bir dizüstü bilgisayarda depolanan işe dair korumasız veriler, hazırlıksız bir BT departmanının en büyük kabusudur. Bazı şirketler bu sorunu çalışanlarının yalnızca ofiste ve veri gönderme yetenekleri son derece kısıtlı bilgisayarlarda çalışmasına izin vererek ve USB flash sürücü kullanımını yasaklayarak çözme yoluna gidiyor. Ama bu yaklaşım BYOD odaklı bir şirkette işe yaramaz. Öncelikle çalışanlar daha fazla esneklik için kendi bilgisayarlarını kullanırlar. Ancak bu güvenlikten ödün verilmesi gerektiği anlamına gelmemelidir. Cihazların kaybolabilmesi sorununa yönelik ideal çözüm, sağlam bir güvenlik politikası tarafından sınırları keskin olarak çizilmiş halde kurumsal verilerin tam veya kısmi olarak şifrelenmesidir. Bu şekilde dizüstü bilgisayar veya USB Sürücü çalınsa bile, içindeki verilere şifre olmadan erişilemez.
4. Yama Eksikliği: Çalışanlar iş için kişisel cihazlarını kullanıyorsa, BT personeli bu cihazların güvenliğini izleyemeyebilir veya herhangi bir güvenlik sorununu gideremeyebilir. Ayrıca çalışanlar sistemlerine ve yazılımlarına düzenli olarak yama veya güncelleme uygulamayabilir ve bu da siber suçlular tarafından istismar edilebilecek güvenlik açıklarına neden olabilir.
5. Fidye yazılımı: Fidye yazılımı saldırısı olması durumunda, siber suçlular şirketin sistemini ele geçirmeyi başarsa bile şifrelenmiş bilgilere erişebilmek için verilerinizi yedeklemeniz önemlidir.
6. Sosyal Mühendislik: Çalışanlar, sosyal mühendislik taktiklerinin veya oltalama girişimlerinin kurbanı olarak giriş bilgilerini, şifrelerini veya diğer gizli verilerini istemeden bilgisayar korsanlarına teslim edebilir. Şirketin kurallarından ve geleneklerinden habersiz olan yeni çalışanların kolayca kandırılma olasılığı daha yüksektir. Örneğin dolandırıcı, yeni gelen bir çalışana kendini patron gibi tanıtabilir ve şirketle ilgili bazı önemli bilgileri çalmaya veya para sızdırmaya çalışabilir.
Dolandırıcıların bu şekildeki çalışmalarına bir örnek, patron veya kıdemli biri gibi davranarak (resmi olmayan bir adres kullanarak) çalışandan bir görevi “hemen” yapmasını isteyen bir e-posta göndermektir. Söz konusu görev bir tedarikçiye para aktarmak veya belirli bir değerde hediye çeki satın almak olabilir. Acemi çalışan bunu hızla yerine getirecektir. Mesajda genellikle “hızın çok önemli olduğu” ve “gün sonuna kadar geri ödeme yapılacağı” açıkça belirtilir. Dolandırıcılar, çalışana düşünmek ya da başka birine danışmak için zaman tanımamak amacıyla aciliyetin altını çizer.
Bunlar çalışanların ihmali sonucunda ortaya çıkabilecek hatalardır. Ancak bir çalışan çalışırken veya işten ayrıldıktan sonra kasıtlı olarak şirketin güvenliğini zayıflatmaya çalışırsa ne olur? O zaman daha büyük sorunlar ortaya çıkar.
İntikam Arzusu
Kaspersky tarafından toplanan bazı istatistiklerle başlayalım. Çoğu sızıntının arkasında masum hatalar veya siber güvenlik politikasının göz ardı edilmesi olsa da, güvenlik yöneticileri çalışanların tetiklediği sızıntıların yaklaşık üçte birinin (%36) kasıtlı sabotaj veya casusluk eylemlerinden kaynaklandığını söylüyor.
Bu konuda yaşanan örneklerden biri, eski bir tıbbi cihaz tedarikçisinin müşterilere yapılan teslimatları sabote etmesiyle ortaya çıktı. Bir sağlık hizmetleri yöneticisi, kurumdan kovulduktan sonra sevkiyat sürecini geciktirmek için gizli bir hesap kullandı. Şirket malzemeleri zamanında teslim edemediği için tüm iş süreçlerini geçici olarak durdurmak zorunda kaldı ve kesinti aylar sonra bile devam etti. Şirket sonunda kolluk kuvvetlerine başvurma yoluna gitti.
Bu türden bir başka vaka da eski bir BT çalışanının bir kuruluşa karşı ırk ayrımcılığı şikayetinde bulunması oldu. Çalışan kendisine bir taşınma paketi teklif edildiğinde uzaktan çalıştığı gerekçesiyle bunu reddetti. Sonuçta işten çıkarıldı ve işvereninden intikam almaya karar verdi. Şirketin Google hesabının şifresini değiştirdi, eski iş arkadaşlarının e-posta erişimini ve 2 binden fazla öğrencinin çalışma materyallerini almasını engelledi.
Bu örnekler, intikam peşindeki eski çalışanların eski işverenlerine nasıl gerçekten zarar verebileceklerini gösteriyor.
KOBİ’ler Kendilerini Korumak İçin Ne Yapmalı?
Çalışanların eylemlerinden kaynaklanan çok sayıda siber vaka, tüm şirket ve kurumların personeline yaygın güvenlik hatalarından nasıl kaçınacaklarını öğretmek için kapsamlı siber güvenlik farkındalık eğitimine ihtiyaç duyduğunu gösteriyor.
Öncelikle işletmeler, saldırı ve veri ihlali riskini azaltmak için tehdit algılama ve karşı koyma özelliklerine sahip uç nokta koruması kullanmalıdır. Yönetilen koruma hizmetleri de saldırıların araştırılması ve profesyonel tepki verilmesi konusunda kuruluşlara yardımcı olacaktır. Çalışanların neden olduğu olayların olasılığını azaltmak için, yaygın güvenlik tehditlerinin nasıl önleneceğini öğreten kapsamlı siber güvenlik farkındalık eğitimi de gereklidir.
Firmanızın siber güvenliğine dair her şeyin yolunda olduğundan emin olmak için Kaspersky’nin hazırladığı aşağıdaki tavsiye listesine göz atabilirsiniz:
- Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalar ve posta sunucuları için kimlik avı önleme özelliklerine sahip bir siber güvenlik çözümü kullanın.
- Temel veri koruma önlemlerinizi alın. Parola korumasını açmak, iş için kullanılan cihazları şifrelemek ve verilerin yedeklenmesini sağlamak dahil olmak üzere kurumsal verileri ve cihazları her zaman koruma altına alın.
- İşe için kullandığınız cihazların fiziksel güvenliğini sağlamak önemlidir. Bu cihazları halka açık yerlerde gözetimsiz bırakmayın. Her zaman kilitleyin, güçlü parolalar ve şifreleme yazılımları kullanın.
- Çalışanların kurumsal veya kişisel cihazlarında çalıştığından bağımsız olarak, küçük şirketler bile kendilerini siber tehditlere karşı korumalıdır. Kaspersky Small Office Security çözümünü cihazlara uzaktan kurabilir ve buluttan yönetilebilirsiniz. Yaygınlaştırma ve yönetim için fazladan zaman, kaynak veya özel bilgi gerektirmez.
- Küçük ve orta ölçekli işletmeler için Kaspersky Endpoint Security Cloud gibi basit yönetilen ve kanıtlanmış koruma özelliklerine sahip özel bir çözüm kullanın. Alternatif olarak, siber güvenlik bakımını özel koruma sunabilen bir hizmet sağlayıcıya devredebilirsiniz.
Kaspersky Türkiye Genel Müdürü
İlkem Özar Kimdir?
İlkem Özar, BT ve siber güvenlik alanlarında sektörde global ölçekte köklü bir deneyime sahiptir. Unilever, Microsoft, CA Technologies ve Intel Security (McAfee) gibi birçok küresel endüstri lideri şirkette çalışmış olan Özar, kamu ve özel sektörde üst düzey ve stratejik pozisyonlarda görev alarak kayda değer başarılar sergiledi.
İlkem Özar’ın Kaspersky’deki hedefleri arasında müşteri memnuniyetine odaklanmak, kurumsal sektörde büyümeyi teşvik etmek, şirketin sektördeki etkisini daha da artırmak, daha fazla iş ortağı edinmek ve B2B portföyü genelinde daha fazla müşteriye ulaşmak yer alıyor.
