Kaspersky’e göre personel tarafından yapılan bilgi güvenliği ihlalleri, bilgisayar korsanlığı kadar zarara neden oluyor

Kaspersky’e nazaran işçi tarafından yapılan bilgi güvenliği ihlalleri, bilgisayar korsanlığı kadar ziyana neden oluyor

Kaspersky’nin yakın vakitte yaptığı bir araştırmaya göre, çalışanların kurumun bilgi güvenliği siyasetlerini ihlal etmesi, dışarıdan gelen bilgisayar korsanlığı atakları kadar tehlikeli. Türkiye’deki işletmelerde son iki yılda gerçekleşen siber olayların %24’ü, çalışanların güvenlik protokollerini kasıtlı olarak ihlal etmelerinden kaynaklandı. Bu sayı, bilgisayar korsanlığı nedeniyle meydana gelen siber güvenlik ihlallerinin neden olduğu zararın neredeyse %27’sine denk geliyor.

İş dünyasındaki siber olayların ana nedenlerinden birinin insan kusuru olduğuna dair esaslı bir algı vardır. Lakin bu durum tam da siyah ve beyaz ayrımı üzere keskin değil. Bir kuruluşun siber güvenlik riskleri bundan daha karmaşıktır ve birden fazla vakit daha fazla faktör devreye girer. Bu durumu göz önünde bulunduran Kaspersky, dünya genelindeki KOBİ’ler ve işletmeler için çalışan BT güvenliği profesyonellerinin, çalışanların şirketteki siber güvenlik üzerindeki tesiri hakkındaki görüşlerini öğrenmek üzere bir araştırma yürüttü. Araştırma hem şirket içi işçisi hem dış aktörleri göz önünde bulundurarak siber güvenliği etkileyen farklı çalışan kümeleri hakkında bilgi toplamayı amaçlıyordu.

Kaspersky araştırması, gerçek yanlışların yanı sıra çalışanlar tarafından yapılan bilgi güvenliği siyaseti ihlallerinin de şirketler için en büyük problemlerden biri olduğunu ortaya koydu. Dünyanın dört bir yanındaki kuruluşlardan araştırmaya katılanlar, son iki yılda hem BT hem BT dışı çalışanları tarafından siber güvenlik kurallarını çiğnemeye yönelik kasıtlı aksiyonlar yapıldığını söz etti. Siber güvenlik yöneticileri tarafından yapılan siyaset ihlalleri son iki yıldaki Türkiye’deki siber güvenlik olaylarının %12’sine sebep oldu. Öbür BT uzmanları ve BT dışı çalışanların güvenlik protokollerini ihlal etmelerinden kaynaklanan siber olaylar ise sırasıyla %6 ve %12 olarak gerçekleşti. 

Bireysel çalışan davranışları açısından en yaygın sorun, çalışanların kasıtlı olarak yasak olan şeyleri yapmaları yahut gerekli olan şeyleri yerine getirmemelerinden kaynaklanıyor. Türkiye’deki iştirakçiler son iki yıldaki siber olayların %14’ünün zayıf parolaların kullanılması yahut vaktinde değiştirilmemesi nedeniyle meydana geldiğini tabir ediyor. Siber güvenlik ihlallerinin %36’sının öbür nedeni çalışanın inançlı olmayan web sitelerini ziyaret etmesinden kaynaklanıyor. %21’lik kesim ise çalışanların sistem yazılımlarını yahut uygulamalarını gerektiği vakit güncellememeleri nedeniyle siber olaylarla karşılaştıklarını bildiriyor.

Endişe verici bir formda araştırmaya Türkiye’den katılanlar, üstte bahsedilen sorumsuz davranışların yanı sıra makûs niyetli hareketlerin %29’unun çalışanlar tarafından ferdî çıkar için gerçekleştirildiğini kabul ediyor. Bir öbür farklı bulgu da, çalışanların kasıtlı olarak berbat niyetli bilgi güvenliği siyaseti ihlallerinin finansal hizmetlerde nispeten büyük bir meseleye neden olduğu. Finans bölümdeki iştirakçilerin %34’üne nazaran durum bu biçimde.

Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, şunları söylüyor: “Dışarıdan gelen siber güvenlik tehditlerinin yanı sıra, rastgele bir kuruluşta siber olaylara yol açabilecek birçok iç faktör vardır. İstatistiklerin de gösterdiği üzere, ister BT güvenlik uzmanları ister BT uzmanı olmayanlar olsun, rastgele bir departmandan çalışanlar hem kasıtlı hem de kasıtsız olarak siber güvenliği olumsuz etkileyebilir. Bu nedenle güvenliği sağlarken bilgi güvenliği siyaseti ihlallerini tedbire sistemlerini dikkate almak, yani siber güvenliğe entegre bir yaklaşım uygulamak değerlidir. Araştırmanın genelinde siber olayların %26’sı bilgi güvenliği siyasetlerinin ihlalinden kaynaklanmasının yanı sıra, ihlallerin %38’i insan yanılgıları nedeniyle meydana geliyor. Bu sayılar tasa verici olduğundan, güvenlik siyasetleri geliştirerek, uygulayarak ve çalışanlar ortasında siber güvenlik farkındalığını artırarak kuruluşta en başından itibaren siber güvenlik kültürünü oturtmak gerekir. Böylelikle işçi kurallara daha sorumlu bir biçimde yaklaşacak ve ihlallerinin mümkün sonuçlarını daha net anlayacaktır.” 

Kaynak: (BYZHA) Beyaz Haber Ajansı