8 Siber Güvenlik Efsanesi ve Gerçekler
* Şirketler siber güvenlik söz konusu olduğunda zaman zaman çeşitli efsanelere dayanıp doğru olduğu sanılan yanlışlara göre hareket edebiliyor.
* Veri güvenliği politikalarının bir kısmını ya da tamamını siber güvenlik efsaneleri üzerinden oluşturan, yahut mevcut politikalarını bu efsanelerin ortaya koyduğu yanlışlara güvenerek gözden geçirmeyen şirketler; ransomware, malware ve phishing benzeri tehditlere açık hâle geliyor.
TÜHA / TÜRKUAZ İnternational News Agency
TÜHA Haber’in Kron Teknoloji’den aktardığı haberine göre, Doğru varsayılan yanlışlar ile ilgili hatalı ön kabul, şirketleri siber tehditler karşısında korumasız bıraktığı için veri ihlali olaylarının yaşanması kaçınılmaz bir sonuç olarak karşımıza çıkıyor. Siber saldırılar sonucu veri sızıntıları meydana gelmesi ise şirketlerin hem KVKK, GDPR gibi regülasyonlar kapsamında ceza almalarına hem de siber saldırganların fidye talepleri nedeniyle finansal zarara uğramalarına neden oluyor.
Marka kimliğinin zedelenmesi ve iş sürekliliğinin sekteye uğraması da siber güvenlik efsanelerine göre hareket edip güvenli bir BT altyapısı inşa etmemenin sonuçları arasında yer alıyor. Peki bu efsaneler neler, şirketleri siber saldırganlar için daha kolay bir hedef konumuna getiren yanlışların doğrusu ne? 8 siber güvenlik efsanesinin ardındaki gerçekleri inceleyerek bu sorulara yanıt arayalım!
İşte 8 Siber Güvenlik Efsanesi
Şirketlerin BT altyapılarına gereken önemi vermemelerine neden olan, hatta daha kötüsü mevcut BT altyapılarının yeterli olduğunu düşünmelerini sağlayan 8 siber güvenlik efsanesini ve bu efsaneler ile ilgili gerçekleri mercek altına alalım.
1. Siber saldırganlar küçük ve orta ölçekli şirketleri hedef almaz
Gerçek: Küçük ve Orta Büyüklükteki İşletmeler (KOBİ’ler), çok küçük oldukları ve kimsenin onların verileriyle ilgilenmediklerini düşündükleri için siber tehditler karşısında doğal bir koruma kalkanına sahip olduklarını sanıyor. Fakat işin aslı hiç de öyle değil.
Siber saldırganlar çoğu zaman belirli bir şirketi hedef almıyor. Tam aksine radarlarına giren her şeye saldırıp kârlarını artırmak istiyor. KOBİ’ler de genellikle gelişmiş güvenlik yazılımları ve uzman BT ekiplerine sahip olmadıkları için kendilerini otomatik olarak söz konusu saldırıların ortasında buluyor. Nitekim siber güvenlik açısından yeterince iyi olmamaları nedeniyle de bilgisayar korsanları için çantada keklik olduklarının altını çizmek gerekiyor.
2. Güçlü parolalar veri ihlalini önlemeye yeter
Gerçek: Şirketler standart prosedürlerle oluşturulan kurum içi parolaların iş akışını güvende tutacak kadar güçlü olduğunu düşünüyor. Fakat elbette bu da yanlış. Güçlü parola uygulamaları kullanmak yalnızca işin ilk adımı olarak kabul edilmeli ve mutlaka İki Faktörlü Kimlik Doğrulama (2FA), veri tabanı erişimi izleme ve veri maskeleme benzeri çok katmanlı güvenlik önlemlerine başvurulmalı.
3. Sadece belirli endüstriler siber saldırılar karşı savunmasızdır
Gerçek: Doğru varsayılan yanlışlar kümesinin bir üyesiyle daha karşınızdayız. Bazı şirketler faaliyet gösterdikleri sektör nedeniyle siber suçluların kendilerini hedef olarak seçmeyeceğini düşünüyor. Yine bazı şirketler de çalınmaya değer veriye sahip olmadıkları düşüncesini taşıyor. İkisi de yanlış.
Kredi kartı numaraları, adres bilgileri ve kişisel bilgiler de dahil olmak üzere, tüm şirketler çalınmaya değer, hassas veri yığınlarını bünyesinde barındırıyor. Bu nedenle sadece belirli endüstriler değil, ilgili hassas verilere sahip şirketlerin tamamı siber saldırganlar açısından son derece cazip.
4. Siber tehditler dışarıdan gelir
Gerçek: Siber tehditler her zaman dışarıdan gelmiyor, aksine çoğu zaman kaleyi içten fethetmek üzerine kurgulanıyor. Dış tehditler tabii ki dikkatli şekilde izlenmeli ve denetlenmeli fakat iç tehditlerin varlığının yadsınması, yapılan büyük yanlışların başında geliyor. İç tehditler maddi kazanç elde etmek ya da şirketten intikam almak isteyen bir çalışanın kasıtlı bir girişimden kaynaklanabileceği gibi, yeterli siber güvenlik eğitimi almamış bir çalışanın yapacağı hatadan da doğabilir.
IBM tarafından hazırlanan Cost of a Data Breach Report 2021 isimli çalışmaya göre güvenliği ihlal edilmiş kimlik bilgileri, veri ihlallerinin %20’sine karşılık geliyor. %20’lik dilim içinde ise kötü niyetli çalışanlar en yüksek maliyete neden olan üçüncü grup. Rapor, iç tehditlerin şirketleri 2021’de 4,61 milyon dolar kayba uğrattığını ortaya koyuyor.
5. Veri ihlallerini önce BT ekipleri ve hukukçular ele almalı, şirketteki diğer kilit ekiplere daha sonra bilgi verilmelidir
Gerçek: Veri sızıntıları, yüksek seviyede itibar kaybı riski meydana getirdiği için şirket bünyesindeki iletişim ekibinin sürece en başında dahil olması gerekiyor. Zira şirketin yaşanan veri ihlali ile ilgili paydaşların güvenini nasıl sağlayacağı konusunu erken aşamada ele alması bir hayli önemli.
6. Anti-virus ve anti-malware yazılımları bizi güvende tutmak için yeterlidir
Gerçek: İmkânsız. Anti-virus ve anti-malware yazılımları, hiçbir şüpheye yer bırakmaksızın, şirketinizin güvenliğini sağlamak için gerekli ancak tek başlarına yeterli değil. İki yazılım türü, tüm BT altyapınızı siber tehditlere karşı koruyamaz. Bu nedenle sadece temel yazılım ve donanım desteği içeren değil, çok katmanlı veri erişim güvenliği yapısını ve çalışan eğitimini de içine alan kapsamlı bir siber güvenlik çözümüne sahip olmalısınız.
7. Sektör düzenlemeleri ile uyumlu olmak veri güvenliği tahsis etmek için yeterlidir
Gerçek: Faaliyet gösterdiğiniz sektörün veri düzenlemeleri ile uyumlu olmak, olumsuz yasal sonuçlardan kaçınmak için çok önemli. Fakat sektörün veri düzenlemeleri ile uyumlu olmak, sadece temel seviyede koruma sağlayacağı için minimum güvenlik uygulamalarını destekliyor. Bu nedenle tüm kritik sistemleri ve hassas verileri kapsayacak bir BT ağı inşa etmeniz gerektiğini unutmamalısınız.
8. Dört dörtlük siber güvenlik sağladık, her şey tamam
Gerçek: Yanlış! Siber güvenliği bir süreç olarak görmelisiniz. Her zaman daha yeni ve karmaşık siber saldırılar ile karşılaşabileceğinizi unutmamalı ve veri güvenliği altyapınızı daima geliştirmeye çalışmalısınız. Bunu yapmak için de Ayrıcalıklı Erişim Yönetimi uygulamalarından yararlanabilirsiniz.
Doğru varsayılan yanlışlar, şirketlerin siber güvenlik çalışmalarına yeterince önem vermemelerine neden olarak veri güvenliğini tehlikeye atıyor. Siz de veri güvenliği tehditlerini önlemek, gelişmiş bir güvenlik ağı oluşturmak, uçtan uca veri erişimi güvenliği sağlamak için Gartner tarafından hazırlanan Magic Quadrant for PAM raporunda yer alan ve dünyanın en gelişmiş Privileged Access Management (PAM) çözümlerinden biri olan Single Connect’i inceleyebilirsiniz.
Single Connect başta olmak üzere, siber güvenlik çözümlerimiz hakkında daha detaylı bilgi almak amacıyla bizimle iletişime geçebilir, merak ettiğiniz her şeyi alanında uzman ekip arkadaşlara sorabilirsiniz.