Birden fazla küçük veya orta ölçekli işletme, siber suçluların oyununa gelmediklerini düşündükleri için bir siber güvenlik çözümü olmadan yola devam edebileceklerine inanıyor. Fakat yakın bir süreçte yapılmış olan araştırma, bütün siber saldırıların yaklaşık yüzde 46’sının hedefinin KOBİ’ler olduğunu ortaya koyuyor. Dünya Ekonomik Forumu’nun verilerine baktığımız zaman ise siber güvenlik ihlallerinin yüzde 95’inin insan hatası kaynaklı olduğu görülüyor.
Bu rakamlar, küçük ve orta ölçekli işletmelerdeki çalışanların bilmeden, hatta bazen kasıtlı olarak şirketlerinin düzenli işleyişine zarar verebileceğinin farkına varamayabiliyor. Çalışanların göstermiş olduğu uygunsuz davranışlar mali kayıplara, itibar kaybına veya işletme genelinde üretkenliğinin düşüşe geçmesine sebep olabiliyor.
İhmal etmek olumlu sonuçlar vermez
Kaspersky 2022 BT Güvenlik Ekonomisi araştırmalarına göre, 26 ülkede 3 binin üzerinde BT güvenlik yöneticisiyle gerçekleştirilen görüşmelerde KOBİ’lerdeki veri sızıntılarının yaklaşık olarak yüzde 22’sinin çalışan kaynaklı olduğu tespit edildi. Sızıntıların siber saldırılardan kaynaklanma olasılığı hemen hemen aynı oluyor. Elbette çoğu zaman bu durum çalışanların ihmali ya da farkındalık eksikliği sebebiyle gerçekleşiyor. Fakat bu da bir noktada çalışanları hemen hemen bilgisayar korsanları kadar tehlikeli bir noktaya taşıyor.
Çalışanların eylemleriyle istemeden de olsa ciddi güvenlik ihlallerine neden olmasının küçük ve orta ölçekli işletmelerin siber güvenliğini riske atmasının birçok yolu bulunuyor. Bunların ise başlıcaları şu şekilde:
1. Zayıf parolalar: Çalışanlar, siber dolandırıcılar tarafından kolay bir şekilde kırılabilecek ve hassas verilere yetkisi olmadan erişime neden olabilecek, basit veya kolay tahmin edilebilecek şifreler kullanılıyor olabilir. Hatta dünyada en fazla hacklenen şifrelerin listesi bile yer alıyor. Sizin şifrenizin bunların içerisinde olmadığı konusuna netlik kazandırmak adına kontrol edin.
2. Kimlik avı dolandırıcılığı: Çalışanlar bilmeden veya yanlışlıkla e-postalardaki kimlik avı bağlantılarına tıklayarak zararlı yazılımların bulaşmasına ve ağa yetkisiz bir şekilde erişilmesine yol açabilir. Çoğu saldırgan, sözde meşru bir şirkete ait bir e-posta adresini kopyalayarak ekli bir belge veya arşiv içeren bir e-posta gönderimi yaparak, zararlı yazılımları bunların içerisine yerleştirir ve birilerinin tıklaması için bekler. Agent Tesla saldırısı, benzer bir saldırının dünyanın her yerindeki kullanıcıları etkisi altına alan yakın tarihli bir örneğini barındırıyor.
3. Kendi Cihazını Getir (BYOD) Politikası: BYOD, Covid-19 salgınının doruğa ulaştığı dönemde üst üste gerçekleşen sokağa çıkma yasaklarının bir yansıması olarak daha büyük bir ivme yaşadı. Bu dönemde birden fazla sektördeki çalışanlar evden çalışmak mecburiyetinde kaldı ve şirket yöneticilerinin aklında güvenlikten önce işin devamlılığı öncelik taşıdı.
Personellerin kurumsal ağlara bağlanmak için sıklıkla bireysel cihazlarını kullanması, bu cihazlar siber risklere karşı yeteri kadar korumaya sahip değilse önemli bir güvenlik riski taşıyabiliyor. Her gün 400 binin üzerinde yeni kötü amaçlı programın tespit edildiği ve şirketlere yönelik saldırıların sayısının yükseliş yaşadığını göz önüne aldığımız zaman, işletmeler birden fazla tehditle karşı karşıya kalıyor. Bunun yanı sıra şirketlerin birçoğunun bireysel cihazların kurumsal verilere erişiminin tamamıyla önüne geçmek gibi bir planı yok veya bunun imkansız olduğunu düşünüyor.
Havaalanında ya da takside kaybolmuş olan kişisel bir dizüstü bilgisayarda depolanan işe yönelik savunmasız veriler, hazırlıksız bir BT departmanının en büyük korkusudur. Bazı şirketler bu sorunu personellerinin yalnızca ofiste ve veri gönderme becerileri son derece kısıtlı bilgisayarlarda çalışmasına izin vererek ve USB flash sürücü kullanımına yasak getirerek çözmeyi tercih ediyor. Ancak bu yaklaşım BYOD odaklı bir şirkette ne yazık ki işe yaramayacaktır. Öncelikli olarak çalışanlar daha fazla esneklik adına kişisel bilgisayarlarını kullanır. Fakat bu güvenlikten ödün verilmesi anlamını taşımamalıdır. Cihazların kaybolabilmeleri sorununa karşılık ideal çözüm, sağlam bir güvenlik politikası aracılığıyla sınırları net olarak çizilmiş halde kurumsal verilerin tam veya kısmi olarak şifrelenmesi olacaktır. Bu şekilde dizüstü bilgisayar veya USB sürücü çalınmış olsa bile, içinde yer alan verilere şifre olmadan erişmek mümkün olmayacaktır.
4. Yama eksikliği: Personeller iş nedeniyle kişisel cihazlarını kullanıyorsa, BT çalışanı bu cihazların güvenliğini sağlayamayabilir ya da herhangi bir güvenlik sorununu çözemeyebilir. Ayrıca, çalışanlar sistemlerine ve yazılımlarına düzenli bir şekilde yama veya güncelleme yapmayabilir ve bu da siber dolandırıcılar tarafından ele geçirebilecek güvenlik açıklarına yol açabilir.
5. Fidye yazılımı: Fidye yazılımı saldırısı olması halinde, siber dolandırıcılar şirketin sistemini ele geçirmeyi başarmış olsa dahi şifrelenmiş bilgilere erişebilmek adına verilerinizi yedeklemek oldukça önem arz ediyor.
6. Sosyal mühendislik: Çalışanlar, sosyal mühendislik taktiklerinin veya oltalama girişimlerinin kurbanı olarak giriş bilgilerini, şifrelerini veya diğer gizli verilerini istemeden bilgisayar korsanlarına sunabilir. Şirketin kurallarından ve geleneklerinden haberi olmayan yeni çalışanların kolay bir şekilde kandırılma olasılığı daha fazladır. Örneğin, dolandırıcı yeni gelmiş olan personele kendisini patron gibi tanıtabilir ve şirket ile alakalı bazı önemli bilgileri ele geçirmeyi veya para sızdırmak isteyebilir.
Dolandırıcıların bu şekildeki çalışmalarına bir örnek, patron veya kıdemli biri gibi kendini tanıtarak (resmi olmayan bir bağlantı kullanarak) personelden bir görevi hemen yapmasını isteyen bir e-posta göndermek olacaktır. Söz konusu görev bir tedarikçiye para göndermek veya belirli bir değerde hediye çeki satın almak olabilir. İşe yeni başlayan çalışan bunu hızlı bir şekilde gerçekleştirecektir. Mesajda genel olarak hızın çok önemli olduğu ve gün sonuna kadar geri ödeme yapılacağı açık bir şekilde belirtilir. Dolandırıcılar, çalışana düşünmek ya da başka birine danışmak için süre vermemek amacıyla aciliyeti vurgular.
İntikam arzusu
Birçok sızıntının arkasında masum hatalar veya siber güvenlik politikasının göz ardı edilmesi olsa dahi, güvenlik yöneticileri çalışanların sebep olduğu sızıntıların yaklaşık yüzde 36’sının kasıtlı sabotaj veya casusluk eylemleri sonucu olduğunu belirtiyor.
Bu konu ile alakalı yaşanmış olan örneklerden biri, eski bir tıbbi cihaz tedarikçisinin müşterilere gerçekleştirilen teslimatları sabote etmesi ile başladı. Bir sağlık hizmetleri yöneticisi, kurumdan kovulmasının ardından sevkiyat sürecini geciktirmek adına gizli bir adres kullandı. Şirket malzemelerinin zamanında teslimatını yapamadığı için bütün iş süreçlerini geçici süreyle durdurmak durumunda kaldı ve kesinti aylar sonrasında bile sürdü. Şirket sonunda kolluk kuvvetlerine başvurmak zorunda kaldı.
Bu türden başka bir vaka da eski bir BT personelinin bir kuruluşa yönelik ırk ayrımcılığı şikayetinde bulunması oldu. Çalışan kendisine bir taşınma paketi teklifi yapıldığında uzaktan çalışması sebebiyle bunu geri çevirdi. Sonuçta işten çıkarıldı ve işvereninden intikam almak istedi. Şirketin Google hesabının şifresini değiştirdi, eski iş arkadaşlarının e-posta erişimini ve 2 binin üzerinde öğrencinin çalışma materyallerini almasına engel oldu.
Bu örnekler, intikam peşinde olan eski çalışanların eski işverenlerine nasıl gerçekten zarar verebileceğini gözler önüne seriyor.
KOBİ’ler kendilerini korumak konusunda ne yapmalı?
Çalışanların eylemleri sonucunda yaşanan çok sayıda siber vaka, tüm şirket ve kurumların personeline yaygın güvenlik hatalarından nasıl korunacaklarını öğrenmek adına kapsamlı siber güvenlik eğitimine ihtiyacı olduğu anlamına geliyor.
Öncelikle işletmeler, saldırı ve veri ihlali riskini azaltmak için tehdit algılama ve karşı koyma özelliklerine sahip uç nokta koruması kullanması gerekiyor. Yönetilen koruma hizmetleri de saldırıların incelenmesi ve profesyonel tepki verilmesi ile alakalı kuruluşlara fayda sağlayacaktır. Çalışanların yol açtığı olayların olasılığını düşürmek adına, yaygın güvenlik risklerinin nasıl önüne geçileceğini öğreten kapsamlı siber güvenlik siber farkındalık eğitimi de gerekli olacaktır.
İşletmenizin siber güvenliğine yönelik her şeyin yolunda olduğundan emin olabilmek için Kaspersky’nin hazırlamış olduğu tavsiye listesi şu şekilde:
- Kimlik avı e-posta yoluyla bulaşma olasılığını azaltmak adına uç noktalar ve e-posta sunucuları için kimlik avı önleme özellikleri bulunan bir siber güvenlik çözümü kullanın.
- Temel veri koruma önlemlerinizi alın. Parola korumasını açmak, iş için kullanılan cihazları şifrelemek ve verilerin yedeklenmesini sağlamak dahil olmak üzere kurumsal verileri ve cihazları her zaman korumaya alın.
- İş için kullanmış olduğunuz cihazların fiziksel güvenliğini sağlamak oldukça önem arz ediyor. Bu cihazları halka açık yerlerde gözetimsiz bir şekilde bırakmayın. Her zaman kilitleyin, güçlü parolalar ve şifreleme yazılımları kullanmaya özen gösterin.
- Çalışanların kurumsal veya kişisel cihazlarında çalıştığından bağımsız olarak, küçük şirketler bile kendilerini siber tehditlere karşı koruması gerekir. Kaspersky Small Office Security çözümünü cihazlara uzaktan kurabilir ve buluttan yönetebilirsiniz. Yaygınlaştırma ve yönetim için fazladan zaman, kaynak veya özel bilgiye ihtiyaç duymaz.
- Küçük ve orta ölçekli işletmeler için Kaspersky Endpoint Security Cloud benzeri basit yönetilen ve kanıtlanmış koruma özelliklerine sahip özel bir çözümü tercih edin. Alternatif olarak, siber güvenlik bakımını özel koruma sunabilecek bir hizmet sağlayıcıya devredebilirsiniz.
