KOBİ'lere Özel Siber Güvenlik
KOBİ'lere Özel Siber Güvenlik
Siber güvenlik önlemleri, kobilerin karşılaşabileceği
olası maddi zararların, iş gücü ve itibar kayıplarının, yasal problemlerin
önüne geçerek önleyici ve koruyucu çözümler sunmaktadır. Siber güvenlik
süreçlerini yönetmek için öncelikle siber güvenliğin ne olduğunu ve siber
saldırıların sebep olacağı kayıpların boyutları bilinmeli ve kobiler için
halihazırda bulunan tehditler ortaya koyularak çözümler ona göre
irdelenmelidir.
Siber Güvenlik Nedir, Ne değildir?Siber kelimesinin İngilizce karşılığı olan “Cyber”dan gelmekte olup bilgisayar ağlarını, interneti ve sanal gerçekliği belirtmek için kullanılan bir kelimedir. Yaygın anlamıyla siber güvenlik ise, en yalın haliyle internet ortamındaki güvenlik olarak tanımlanabilir.
Siber güvenlik veya internet ortamında güvenlik konu
olduğunda, akıllara en başta bilgisayar güvenliği, virüsler ve internet
üzerinden yapılan korsan saldırıları gelir. Burada yanılgı şudur ki, siber güvenlik sadece internete bağlı
olan bilgisayarın güvenliği ile sınırlı değildir. Siber güvenlik,
bilgisayarların, cep telefonları ve tabletler gibi mobil cihazların güvenliği
kadar, bu cihazları kullanan kişilerin, işletmenin veya kurumların maddi,
manevi ve yasal haklarını da korumakla ilgilenir.
Siber tehditlerin neler olduğunu biliyor musunuz?
Siber tehditleri günümüzde klasik “virüs bulaşması”
anlayışının oldukça dışına çıkmıştır. Hem amaç artık sadece bilgisayarı bozmak
değildir, hem
de etkilenen sadece bilgisayar değildir. Siber güvenlik denildiğinde akıllara
mutlaka cep telefonu ve tablet gibi mobil cihazlar da gelmelidir.
1) Virüs
Cihazlara donanımsal ve yazılımsal olarak zarar vermek
için yazılmış küçük ve sinsi yazılımlardır. Bir işletmenin herhangi bir
bilgisayarına yerleşen virüs, işletmedeki tüm bilgisayarlara hızlı bir şekilde ve
kolaylıkla yerleşebilir.
2) Malware/Trojan/Spyware
Cihazları ele geçirmek için yazılmış programlardır.
Ele geçirilen cihazlara uzaktan yeni programlar da kurabilen bilgisayar
korsanları, zombileştirdikleri cihazlarla başka bilgisayar ağlarına
saldırabilir; kamu kuruluşları veya bankaların sistemlerine izinsiz giriş
yapabilir; hatta internet siteleri üzerinde yasa dışı örgütlerin propagandasını
yapabilir. Bu noktada yasal sorumlu tamamen zombileştirilmiş bilgisayarın
sahibi olan kişi veya işletmedir. Ele geçirilmiş cihazda bulunan kredi kartı
bilgilerini, internet sitesi üyelik bilgilerini ve banka bilgilerini de
kullanan internet korsanları maddi çıkar elde etmeyi amaçlamaktadır.
3) Ransomware
Virüs benzeri bu yazılımın amacı cihaza zarar vermek
yerine, önemli dosyaları (örneğin; borç ve alacakların tutulduğu Excel dosyaları)
şifreleyip kullanılmaz hale getirmek ve şifreyi açmak için yüklü bir miktar
para istemektir. İki sene önce PTT Kargo tarafından gönderilmiş gibi gösterilen
bir mail aracılığıyla Türkiye’de oldukça fazla sayıda kişi bu durumdan
etkilenmiştir.
4) Kimlik Hırsızlığı
Çalınan sosyal medya hesapları ve mail hesapları
kullanılarak cihazı ele geçirilmiş kişilerin tanıdıkları, müşterileri ve hatta
iş ortakları mağdur edilebilir.
5) DDOS saldırıları
Bu saldırıların amacı kimi zaman bir internet
sitesinin, kimi zaman bir sunucunun, kimi zaman da tek bir bilgisayarın
çalışamaz hale getirilmesidir. Bir internet sitesine aşırı trafik gönderilmesi,
mail şifrelerinin çokça denenip kilitlenmesinin sağlanması DDOS saldırılarına
örnek olarak verilebilir. Bir güvenlik duvarına aşırı yük bindirildiğinde
sistem durma noktasına gelecek ve sistem yöneticisi belki de güvenlik duvarını
geçici olarak devre dışı bırakacaktır. Bilgisayar korsanlarının istediği de tam
olarak budur.
6) Phishing (Oltalama Saldırıları)
Kısaca “-miş gibi” yapmaktır. Banka kaynaklı gibi
gönderilen mailler, sosyal medya hesabının şifresinin değiştirilmesi gerektiği
uyarısının yazdığı mailer bunlara örnektir. Amaç şifreleri ele geçirmektir.
Siber korsanlar aslında ne istiyor?
Siber korsanlar sadece para istemiyor. İtibara zarar
vermek için yapılan saldırılar da, devlet büyüklerine hakaret etmek için
bilgisayar ele geçirenler de var. Banka hesabında para olmayan birinin bile
banka bilgileri çalınabiliyor. Bunun sebebi bu bilgileri yasa dışı kumar
siteleri için para transferinde kullanıyor olmaları. İnsanlara , ve yakınlarına bu yolla zarar
verilebilir. Son yıllarda bilgisayar korsanlarının verdiği zararlar milyar dolarlarla
ölçülmeye başlandı.
Kobiler açısından riskler neler?
Kısa kısa bazı riskleri ele almak gerekirse:
1.
Banka bilgilerinin çalınması,
2.
Zarar gören cihazların yenileme
maliyeti,
3.
Müşteri bilgilerinin çalınması veya
kaybedilmesi ile doğacak maddi ve yasal sonuçlar,
4.
Borç ve alacak gibi mali verilerin
çalınması veya kaybedilmesi,
5.
Şifrelenen dosyaları açabilmek için
ödenmesi gereken tutarlar,
6.
Büyük emek ve uzun süre birikim
gerektiren işlere ait dosyaların kaybedilmesi,
7.
Sistemi eski haline getirmek için
harcanacak iş gücü,
8.
Kimlik hırsızlığı durumunda itibar
kaybı,
9.
Bilgisayar korsanlarının ele geçirdiği
cihazlar üzerinden yaptıkları işlemler sonucunda yasal sorunlar,
10. Şirket ağına yetkisiz giriş sağlayan bilgisayar
korsanların sebep olacağı zararlar
örnek olarak verilebilir.
Siber güvenliği sağlamak isteyen işletmeler nelere dikkat etmelidir?
İşletmelerde siber güvenliği sağlamak için hem işletme
bilgisayar ve sunucularını, hem de bu cihazlarla dosya alışverişi yapan
mobil cihazları (akıllı telefon, tablet vb.) kapsayacak şekilde; buna ek
olarak tüm çalışanların da siber güvenlik konusunda bilinçlendirildiği bir
güvenlik kültürü oluşturulmalıdır.
Öncelikle siber tehditlere karşı gelişmiş, güncel ve
akıllı bir yazılıma ve bu yazılımı çalıştıracak güçlü ve hızlı bir Firewall
cihazına ihtiyaç vardır. Siber saldırıları insan metabolizmasını zayıf
düşürmeye çalışan mikroplar olarak düşünürsek, firewall cihazlarını
metabolizmayı güçlendiren vitaminlere ve besin takviyelerine benzetmek
yanlış olmaz. Firewall cihazları ve çalıştırdıkları yazılımlar sistem
güvenliğini koruyucu ve saldırıları önleyici yapıya sahiptirler. Bu cihazlara
sahip olmak güvenlik olgusunun temel taşı olmakla birlikte, bu
olguyu tamamlayıcı güvenlik kültürü de işletme çalışanlarına verilmelidir.
İşletme çalışanları sosyal mühendislik saldırılarına
karşı bilinçlendirilmelidir
Her saldırı bilgisayar üzerinden yapılır diye bir
kaide yok. Monitörün kenarına iliştirilmiş bir not kâğıdı üzerinde yazılı kredi
kartı bilgisi, mail şifresi girilirken arkadan klavyeyi dikizleyen bir
çift meraklı göz, iki kişi konuşurken onları dinleyen bir yabancı pekâlâ
işletme sistemlerine ve kaynaklarına izinsiz erişim sağlayabilir. İşletme
çalışanları sadece bilgisayarlarını değil, bildiklerini de yetkisiz kişilerden
saklamak ve sakınmak zorundadırlar. Sosyal yöntemler kullanarak, kısacası
insanın insani zaaflarından faydalanarak bilgi edinilmesi, sosyal mühendisliğin
alanıdır ve en tehlikeli ve etkili saldırı yöntemlerindendir.
Virüs vb. zararlı yazılımlar hakkında farkındalık
Bilgisayara korsanları önce virüsleri yazar; bu
virüsler yayılır, zararları ortaya çıkar. Bu virüsü engelleyecek ve/veya
temizleyecek antivirüs güncellemesi ise virüs bir süre yayıldıktan sonra ancak
geliştirilebilir. Zararlı yazılımları işletme sistemlerinden uzak tutmak için
sadece güvenlik cihazlarına ve yazılımlarına güvenmek yetmeyebilir. İşletme
bilgisayarlarına ve özellikle sunuculara kaynağı belirsiz USB flash bellek
takılmamalı, mail yoluyla gelen çalıştırılabilir dosyalara kaynağına yüzde yüz
güvenilmedikçe tıklanmamalı, internet üzerinden indirilen dosyalara son derece
şüpheyle yaklaşılmalıdır.
Ağ güvenliği
İşletmeye ait taşınabilir bilgisayarların ortak ağlara
(cafe, havalimanı, otel v.b. herkese açık ağlar) veya güvensiz kablosuz
ağlara bağlanmaması konusunda çalışanlar bilinçlendirilmelidir.
Şirket ağına VPN bağlantı
İşletme dışında bir yerden (evden veya dışarıdan)
şirkete VPN ile bağlanıldığında siber ortamda güvenli bir bağlantı kurulmuş
olur. Ancak oturum açıkken bilgisayar başından ayrılınması durumunda, o
bilgisayarın başına geçebilecek kötü niyetli kişiler, işletmenin dosya ve
kaynaklarına erişebilir ve çeşitli zararlara sebep olabilirler. İşletme
çalışanları bilgisayarlarının başından ayrıldıklarında ekranlarını
kilitlediklerinden emin olmaları gerekmektedir.
Bir kobi siber güvenlik süreçlerini nasıl yönetir?
Siber güvenliği sağlamak için sürekli ve takipçi bir
yaklaşım benimsenmeli; siber güvenlik süreçleri döngüsel olarak
belirli aralıklarla kendisini tekrar etmelidir.
·
İşletme için olası siber tehditler ve
bunların olası zararları ortaya koyulur.
·
Siber güvenliği sağlayacak cihaz ve
yazılımlar tespit edilir.
·
Seçilen cihazların ve ilgili
yazılımların kurulumları yapılır.
·
Güncel siber saldırılar, bu saldırılara
karşı güvenlik önlemleri ve sosyal mühendislik konularında çalışanlar
bilgilendirilir.
·
Düzenli olarak raporlar alınıp gerekli
güncellemeler yapılır.
·
Yeni ihtiyaçlar tespit edilmeli,
ihtiyaca göre yeni güvenlik yatırımları değerlendirilir.
Kobiler için en uygun çözüm nedir?
Öncelikle ortada bir risk var. Bu riskin maddi, manevi
ve yasal birçok karşılığı var. Risk azaltılabilir ve dönüştürülebilir bir
olgudur. Örneğin; yangın alarmı takmak riski azaltır, yangına karşı sigorta
yaptırmak ise riski dönüştürerek maddi güvence sağlar.
Kobiler öncelikle riski azaltma yoluna gitmelidir.
Bahsi geçen siber saldırıların tamamı ve gelecekte geliştirilecek yeni
yöntemler için güncel ve bütünleşik bir çözüm olmazsa olmazdır.
Kullanılması gereken siber güvenlik sistemi:
·
5651 sayılı yasaya (internet yayınları
yoluyla işlenen suçlar ile ilgili kanun) ve 6698 sayılı yasaya (kişisel
verilerin korunması kanunu) uygun bir şekilde yasal kayıtlar tutmalıdır.
·
Kolay anlaşılabilir ve yönetilebilir
olmalıdır.
·
Zararlı yazılımlara karşı koruması
olmalıdır.
·
İstenilen detayda rapor ve görüntüleme
sağlamalıdır.
·
İnternet üzerinden gelen saldırıları
engelleme sistemi olmalıdır.
·
Güncel ve geliştirilmekte olmalıdır.
·
Sistem güvenliği merkezi bir firewall
vasıtasıyla tüm bilgisayarlar için sağlanıyor olmalıdır.
·
Siber güvenlik sistemi hem donanım hem
de yazılımsal olarak bir bütün olmalıdır.
Yorum Yap