Önemsenmesi gereken üç siber güvenlik başlığı

Siber güvenlik şirketi ESET, 2024 yılında dikkat edilmesi ve üzerinde durulması gereken eğitim başlığı tekliflerini paylaştı.

Eğitim ve farkındalık çalışmaları tüm güvenlik stratejilerinin kritik bir kesimi olsa da tek başlarına kâfi değil. Kuruluşların güçlü denetim ve taşınabilir aygıt idaresi üzere araçlarla uygulanan çok sıkı güvenlik siyasetlerine sahip olması gerekiyor. Yüksek siber güvenlikli bir kurum kültürü oluşturmaya yönelik denklemin öğeleri “insanlar, süreç ve teknoloji olarak ön plana çıkıyor . Verizon bilgilerine  göre, 2022 yılındaki tüm global ihlallerin dörtte üçü ( yüzde 74) “insan unsuru” içeriyor. Bu data  birçok durumda kusur ve ihmallerin olduğunu, sonucunda da kullanıcıların kimlik avı ve toplumsal mühendislik kurbanına dönüştüğünü gösteriyor. Güvenlik eğitimi ve farkındalık programları bu riskleri azaltmanın değerli bir yolu olsa da asıl değerli olan yanlış kullanıcı davranışlarını doğrusuyla değiştirmek.

Siber güvenliği artırabilmek için 2024 yılında  üzerinde durulması gereken bahisler ve eğitimler üç başlık altında toplandı.   

BEC dolandırıcılığı ve kimlik avı

Hedefli kimlik avı iletilerinden yararlanan iş e-postalarının güvenliğinin ihlal edilmesi (BEC) dolandırıcılığı, en çok kazandıran siber cürüm kategorilerinden biri olmaya devam ediyor. Geçen yıl FBI’a bildirilen olaylarda kurbanlar 2,7 milyar dolardan fazla para kaybetti. Bu, çoklukla mağdurun, dolandırıcının denetimi altındaki bir hesaba kurumsal kaynak transferini onaylaması için kandırılması yoluyla, temelde toplumsal mühendisliğe dayanan bir kabahat. Bunu başarmak için bir CEO yahut tedarikçinin kimliğine bürünmek üzere çeşitli prosedürler var. Bu teknikler, kimlik avı farkındalığı uygulamalarında hakikat bir halde ele alınabilir. Bunlar, gelişmiş e-posta güvenliği, inançlı ödeme usulleri ve ödeme taleplerinin birden fazla denetim edilmesi üzere bahislerle birleştirilmelidir.

Bu çeşitten kimlik avı atakları yıllardır yapılıyor fakat hala kurumsal ağlara yönelik akınlarda en çok kullanılan yol olma özelliği taşıyor. Konuttan ve taşınabilir çalışan şahısların dikkatlerinin basitçe dağılması nedeniyle de makus adamların amaçlarına ulaşma ihtimali daha da artıyor.

Uzaktan ve hibrit çalışma güvenliği

Uzmanlar uzun müddettir, meskenden çalışanların güvenlik yollarını önemsememe yahut unutma ihtimalinin daha yüksek olduğu konusunda ikazlar yapıyor. Yapılan bir çalışma, çalışanların yüzde 80’inin, örneğin yaz aylarında cuma günleri konuttan çalışmanın kendilerini daha rahat hissettirdiğini ve dikkatlerinin dağıldığını kabul ettiğini gösterdi. Bu durumda, bilhassa mesken ağları ve aygıtları kurumsal ortamlarda kullanılanlara nazaran daha az korunuyor ise, çalışanlar daha yüksek risk altında olabilir. Dizüstü bilgisayarlar için güvenlik güncellemeleri, parola idaresi ve sırf kurumsal onaylı aygıtların kullanımına ait tavsiyelerle eğitim programlarının devreye girmesi gereken yer burasıdır. Bunun kimlik avı farkındalığı eğitimiyle birlikte olması gerekir. 

Hibrit çalışma bugün birçok işletme için standart hale geldi. Yapılan bir araştırma, işletmelerin yüzde 53’ünün bu tekniği bir şirket siyaseti olarak benimsediğini ve bu sayının giderek büyüyeceğini söylüyor. Ofise gidip gelmenin yahut halka açık bir yerden çalışmanın kimi riskleri var. Bunlardan biri, taşınabilir çalışanları, ortadaki düşman (AitM) taarruzlarına ve “şeytani ikiz” tehditlerine maruz bırakabilecek halka açık Wi-Fi ilişki noktalarından gelen tehditlerdir. Bu tehditler, bilgisayar korsanları bir ağa erişip bağlı aygıtlar ile yönlendirici ortasında dolaşan bilgileri gizlice dinlemek için, belli bir pozisyonda yasal bir erişim noktası üzere görünen yinelenen diğer bir Wi-Fi erişim noktası kurduğunda oluşur. 

Veri koruma 

Düzenleyicilerin uyumsuzluklara karşı tedbir alması nedeniyle GDPR cezaları 2022’de yıllık yüzde 168 artarak 2,9 milyar Euro’nun üzerine çıktı. Bu, kuruluşların işçilerinin bilgi müdafaa siyasetlerini yanlışsız bir biçimde takip ettiğinden emin olmaları açısından epey değerlidir. Nizamlı eğitim, en hakikat data sürece uygulamalarını akılda tutmanın en düzgün yollarından biridir. Bu, güçlü şifreleme kullanımı, düzgün parola idaresi, aygıtların inançta tutulması ve rastgele bir olayın anında ilgili bireye bildirilmesi üzere tedbirler manasına gelir. 

Çalışanlar  ayrıca sık yapılan bir yanılgı olan, istenmeyen e-posta data sızıntılarına yol açan kör karbon kopya (BCC) kullanımı konusunda bilgilendirilebilir ve öteki teknik eğitimlerden de yararlanabilir. 

Kaynak: (BYZHA) Beyaz Haber Ajansı