Siber güvenlikte Aşil topuğu
Saldırıların çoğunun başarılı olmasının sebebi insan hatası, dikkatsizlik ve eğitimsizlik. Maliyeti en düşük ve en etkili güvenlik önlemi yöntemiyse, siber güvenlik farkındalık eğitimi.
Bilal Genç*
Söylenceye göre Thetis, oğlu Aşil'i ölümsüz kılmak için kutsal nehir Styx'te yıkamaya karar verir ve oğlunu yıkarken topuğundan tutarak suya daldırır. Nehrin suyunda yıkanan Aşil'in vücuduna hiçbir silah işlemez, ancak topuğu hariç.
Siber güvenlik farkındalık eğitimi işletmelerin Aşil topuğu olabilir mi? İstatistiklere göre, siber suçluların yüzde doksan sekizi sosyal mühendislik saldırılarını kullanıyor. Kaspersky sosyal mühendisliğin tanımını "siber suçlular tarafından kullanılan ve kuşkulanmayan kullanıcıları kandırarak gizli verilerini göndermelerini sağlamak amacıyla kötü amaçlı yazılımlarla bilgisayarlarına virüs bulaştırmak veya virüslü sitelerin bağlantılarını açmak için tasarlanan bir tekniktir." şeklinde yapıyor. Hackerlar sosyal mühendisliği basamak olarak kullanıyorlar. Asıl amaçları fidye yazılımları dahil olmak üzere birçok zararlı yazılımı çalıştırabilmek.
Saldırıların çoğunun başarılı olmasının sebebi insan hatası, dikkatsizlik ve eğitimsizlik. 2022 yılında, Sophos'un yaptığı bir çalışmaya göre saldırganlar ortalama sekiz yüz on iki bin dolar fidye istemektedir. İşletmeler bu tarz bir riski ya sigorta aracılığıyla devretmek ya da riski en aza indirgemek için kendi sistemlerini yedeklemek, güvenlik çözümlerini güçlendirmek zorunda. Küçük ve orta ölçekli işletmeler (KOBİ'ler) için bu önlemlerin hepsini birden almak oldukça pahalıya mal olabiliyor ancak e-lojistik ve e-ihracat süreçlerini iyi bir şekilde yönetmek için ellerini bir şekilde taşın altına koymak durumundalar. Üstelik, güvenlik duvarı, güvenli e-posta ağ geçidi, edr/xdr, yedekleme gibi çözümler yeterli olmayabilir. Örneğin, iş sürekliliği planındaki (BCP) bir öngörülmezlikten dolayı ikiz kuleler yedeklemelerini birbirlerinde tutmuşlardı, her ikisinin aynı anda yıkımıyla büyük bir veri ve para kaybı olmuştu.
Maliyeti en düşük ve en etkili güvenlik önlemi yöntemiyse, işletmelerin çalışanlarına siber güvenlik farkındalık eğitimi aldırmalarıdır. Siber güvenliğin en zayıf halkası sistemler değil bilakis insandır. Ünlü kriptografi uzmanı Bruce Schneier şöyle demiştir: "Amatörler sistemleri hackler, profesyoneller insanları hackler".
Herhangi bir tedarik zincirinin çalışanın yaptığı hata, tedarik zincirinde bir probleme sebep olabilir hatta büyük ölçekli işletmelerde de sorun yaratabilir. Üçüncü partilerdeki oluşan bir zararlı ilgili oldukları kurumlara zarar verebilir. Dijitalleşmeyle, işletme politikalarının tavandan tabana nasıl etki ettiğini görmenin yanı sıra tabanın da tavanı nasıl etkilediğini görebilmemiz önemlidir.
Binanın etrafındaki çitten, kapıdaki bekçiden, köpekten, kameradan başlayarak işletmedeki güvenlikten herkes nasıl sorumluysa verinin, dolayısıyla bilginin, altından ve petrolden daha çok değer kazandığı günümüz dünyasında bilginin güvenliğinden ve siber güvenlikten de herkes sorumlu olmalıdır. ISO (Uluslararası Standardizasyon Teşkilatı) 27001 geçtiğimiz aylarda ismini güncelleyerek siber güvenlik ibaresini de ekledi. Farkındalık eğitimi yalnızca işletmelerin değil, her birey için, bizler içinde aşil topuğu olabilir.
Hackerlar mitleri, efsaneleri Truva atı gibi dijital ortama taşımaya başladılar. Şimdiyse kimlik avına çıkarak, fidye yazılımları ile sembolik olarak aşil topuğumuzdan vurmak istiyorlar. Her birey siber güvenliğe farkındalık için ufak da olsa bir adım atabilir. En azından, e-postamıza linklere, eklere tıklamadan önce güvenilir olup olmadığını öğrenmek için belli hazır araçları kullanabiliriz.
* Siber Güvenlik Analisti