Çevrimiçi olmak, farklı siber güvenlik riskleri ile karşı karşıya kalmamıza sebep oluyor. Bilgisayar korsanları, sıradan kullanıcılar yerine küçük, orta ve büyük ölçekli işletmeleri hedeflerine aldılar.
Özellikle hedef alınmasalar bile, bu işletmeler neredeyse daima uzaktan erişim sağlanabilen bir ağa sahip olduğu için güvenlik tehditlerine daha çok maruz kalıyorlar. Örneğin, League of Slots giriş sayfasına herkes erişim sağlayabilir ve gerekli tedbirler alınmadığı takdirde, bu sayfa bütün sunucuyu etkileyebilecek bir siber saldırı düzenlemek için kullanılabilir duruma gelecek.
Kimlik avı saldırıları
Küçük işletmelerin maruz kaldığı en yaygın olan güvenlik riski, kimlik avı (phishing) saldırıları oluyor. Genel olarak bu tehdit işletmelerin yüzde 90’ının maruz kalmış olduğu bir problem ve global seviyede 12 milyar doların üstünde bir kayba sebep oluyor. Kimlik avı saldırılarında, korsanlar bir başkası (resmi bir kurum, bir arkadaş, yetkili bir personel vs.) benzeri davranış sergileyerek kullanıcıyı zararlı bir bağlantıya tıklamaya ve zararlı bir dosyayı indirmesini sağlayabiliyor. Kimlik avı saldırıları son yıllarda çok daha karışık ve ikna edici duruma geldi. Üst düzey yöneticiler bile şifrelerini çaldırarak saldırganların tüm ağın kontrolünü eline geçirmesine olanak sağlıyor.
Kötü amaçlı yazılımlar
Kötü amaçlı yazılımlar (malware), küçük işletmelerin karşı karşıya kalmış olduğu ikinci büyük risk olarak yer alıyor. Truva atları ve tuş kaydedici benzeri yazılımlar, bilgisayar korsanları tarafından ağlara erişim sağlamak, verileri ele geçirmek veya bilgisayarlardaki verileri ortadan kaldırmak için kullanılması mümkün olabiliyor. Bunlar, zannedilenin tam tersine bir virüs değiller. Bilgisayarınıza virüs bulaştığı zaman anlarsınız veya performansında fark edilecek düzeyde bir farklılık meydana gelir. Kötü amaçlı yazılımlar ise arka planda sessiz bir şekilde çalışarak bütün sisteme erişim sağlanmasını mümkün hale getirecek bir arka kapı açılıyor. Bu türden yazılımlara zararlı internet siteleri, USB bellekler ve kimlik avı saldırıları neden olabiliyor.
Fidye yazılımları
Fidye yazılımları (ransomware), her sene binlerce işletmeyi etkileyen önemli riskler arasında yer alıyor. Bir fidye yazılımı, şirketin dijital verilerini kullanılamayacak veya erişilemeyecek şekilde şifreleme yapıyor ve ardından şifreyi çözmek için para ödenmesi talebinde bulunuyor. Ödeme, Bitcoin benzeri takip edilemeyen bir yöntem ile gerçekleşiyor. İşletmeler ya fidyeyi ödemek ya da verilerini kaybetmek arasında bir seçim yapmaya zorlanıyor. Fidye yazılımı saldırılarının yüzde 71’i küçük işletmeleri hedef alıyor ve istenen fidye miktarının ortalaması 116 bin USD’ye ulaşıyor. Ödemeyi yapmak için belli bir vaktiniz var ve bu süre sona erdiği zaman tüm sistem tamamıyla kullanılamayacak hale gelmiş oluyor.
Zayıf şifreler
Bu teknik olarak bir siber güvenlik saldırısı değil, ancak diğerleri kadar tehlikeli olabilecek bir siber güvenlik tehdidi olarak yer alıyor. Küçük işletmelerdeki çalışanların büyük bir bölümü, üst düzey yöneticiler dahil, zayıf veya kolayca tahmin edilebilecek şifrelerinin kullanımına devam ediyor. Birden fazla küçük işletme, birçok bulut tabanlı hizmete abone oluyor ve bu hizmetler hassas veriler ile finansal bilgiler içinde barındırabiliyor. Zahmetsizce tahmin edilebilen şifreler kullanmak (veya birden fazla hesap için aynı şifreleri kullanmak) bu verilerin riske girmesi olanak sunabiliyor. Buradaki en ciddi sorun, iyi bir anti-virüs programı ve firewall kullansanız dahi, tehdidin sürmesi oluyor. Anahtarı rahatlıkla bulmak mümkün oluyorsa, kapının ne kadar sağlam olduğu anlamsız hale geliyor.
Siber güvenlik tehditlerine karşı ne yapabilirsiniz?
Hiçbir işletmenin yüzde 100 güvenlik elde etmesi imkansızdır. Dünyanın en büyük şirketleri bile saldırıya maruz kalabiliyor. Fakat basit önlemler alarak bu yüzdeyi mümkün olduğu kadar yüksek seviyeye taşıyabilir ve siber güvenlik saldırılarından etkilenme oranınızı düşürebilirsiniz. Alabileceğiniz önlemler içerisinde şunlar bulunuyor:
– İşletmenizin verilerini düzenli bir şekilde yedekleme yapmak, bir siber saldırı yaşayacak olursanız kaybettiğiniz bilgileri kurtarmanız için fayda sağlayacaktır. En önemli verilerinizi hem çevrimiçi hem de fiziki olarak yedekleme yapmanız önemlidir. Yedekleme genel anlamda çok masraflı bir işlem değildir ve yapılması basittir. Dahası, fidye yazılımı saldırılarının etkisi altında kalmamanızı (veya çok daha az kalmanızı) sağlayacaktır. Verilerinizi harici bir sürücü ya da USB bellek benzeri taşınması kolay bir aygıta yedeklemeyi alışkanlık edinin. Aynı zamanda ek bir önlem olarak çevrimiçi bir hizmet kullanarak da yedekleme yapın.
– Yazılımlarınızın güncellemesini yaptığınızdan emin olmalısınız. İşletim sisteminizi ve güvenlik yazılımınızı otomatik olarak güncellenecek şekilde ayarlamış olmanız önemlidir. Ayrıca bir güvenlik yazılımı yükleyin ve onu da otomatik şekilde güncellenecek şekilde ayarlamalısınız. Ağınızın güvenliğini artırmak için bir firewall (güvenlik duvarı) kurun ve bu ağa uzaktan bağlanabilmek için bir VPN kullanmayı düşünmelisiniz.
– Çok faktörlü kimlik doğrulama kullanmalısınız. Bu özellik (2FA), hesabınıza erişmek için şifrenizin yanında ek olarak bir kod girmeniz gerekir. Bu kod kısa süre geçerli olacaktır ve fiziki bir cihaz, mobil uygulama veya SMS yolu ile alınabilir. Çok faktörlü kimlik doğrulama, saldırganların şifrenizi çalmış olsa dahi sisteminize erişmesine engel olacaktır. Zayıf şifreler ile savaş vermenin en iyi yöntemleridir. Fakat 2FA kullanıyor olmanız şifre güvenliğinin önemli olmadığı anlamı taşımıyor. Şifreleriniz uzun, karmaşık ve özgün olması gerekir. Çalışanlarınıza şifre yönetimi eğitimi verin ve diğer siber güvenlik risklerine karşı eğitim almalarına da fırsat sunun.
Bu önlemler işletmenizi tamamıyla güvenli hale getirmez ve önlemlerde de belirttiğimiz üzere bu zaten mümkün değildir. Siz tüm önlemleri almış olsanız dahi, henüz kimsenin bilmediği bir sıfırıncı gün açığı (0 day exploit) siber güvenlik risklerinin etkisinde kalmanıza sebep olabilir. Fakat burada kontrol edebileceğiniz açıklara yoğunlaşmanız ve onları kapatmak için elinizden geleni yapmanız gerekiyor. Cihazlarınızı ve ağınızı güvende tutmak için mümkün olan bütün önlemleri alın ve işletme bütçenizde bu iş için kesinlikle bir bütçe ayırın.
