Okulların tatil olduğu Türkiye’de pek çok şirket de personelini evden çalıştırma eğiliminde. Bu, kurum verilerine bilgisayar ve telefonlarla uzaktan erişim yapılması anlamına geliyor. Ancak uzaktan erişim, çeşitli siber güvenlik riskleri de beraberinde getiriyor. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, kurum dışında çalışılması durumunda cihazlara dijital virüslerin bulaşmaması için şirketlerin ve personelin dikkat etmesi gerektiği konulara dikkat çekti.
Tam yapılmış güncellemeler. Yazılım şirketleri yayınladıkları güncellemelerle kullanıcılarına sadece yenilikleri yansıtmaz. Aynı zamanda yazılımlarındaki güvenlik seviyesini de yükseltirler. Hackerlar ise siber saldırı gerçekleştirmek için sistem açıklarını kollarlar. Bu nedenle ilk kural, maliyeti de olsa, yazılımları güncel tutmak, program yamalarını düzenli olarak yüklemektir.
Kurum içi güvenlik politikası. Herkes her dosyaya ulaşamamalı. Kurum içinde bir güvenlik ve gizlilik politikası oluşturulmalı. Erişim kuralları belirlenmeli, duyurulmalı. Güvenlikle ilgili personele yüklenecek rol ve sorumluluklar tanımlanmalı. Çalışanları eve göndermeden bunların anlaşılması sağlanmalıdır.
Uzaktan Erişim, VPN ve 2FA. Uzaktan erişimde kullanıcılar tipik olarak VPN bağlantısı ve RDP ile şirket verilerine ulaşır. Ancak bu tür bağlantılarda var olan şifreler yetersiz kalır. Günümüzde birçok saldırı, tek şifre ile girilebilen açık RDP uygulamaları üzerinden yapılıyor. Şirket verilerine uzaktan erişimde mutlaka çift faktörlü kimlik doğrulama kullanılmalı (2FA – Two-factor authentication). Tıpkı online banka girişlerinde olduğu gibi, ilgili kişinin telefonuna SMS veya uygulama aracılığı ile ikinci bir giriş şifresi iletilmesi güvenliği artıracaktır.
Uç nokta güvenliği. Uç nokta güvenlik yazılımları, çok kullanıcılı sistemlere yönelik birden fazla koruma katmanı sağlar. Ayrıca merkezi bir yönetim konsolu üzerinden denetim ve raporlama imkânı sunar. Kullanılan cihaz şirket ağı dışında bile olsa güvenlik ilkeleri uzaktan yönetilebilir. Evde kullanılan cihazların da bu güvenlik ağına entegre olması sağlanmalıdır.
E-posta güvenliği. Kurumlara ulaşan virüs ve zararlı yazılımların çoğu, özelikle de fidye yazılımları, çalışanlara gelen e-postalar özellikle de istenmeyen e-postalar (spam) yoluyla ulaşır. Şirketin posta sunucularını koruyan güvenlik yazılımları, ek güvenlik katmanı sağlar. Gelişmiş antispam filtreleriyle zararlı mesaj ve eklentileri kullanıcıya ulaşmadan durdurur. Böyle bir çözüm programlar, potansiyel tehditleri bile ekstra bir güvenlik katmanı olan bulut tabanlı sandbox çözümünde inceler.
Veri Güvenliği (DLP). Data Loss Prevention yani DLP yazılımları, kurum cihazlarından kaynaklanabilecek veri sızıntılarını izlemeye ve engellemeye yöneliktir. Çalışanlar, önemli verilerini şirket dışında bir oluşuma taşıyamaz.
Güçlü şifreler. Sistemlerde zayıf şifreler kullanılmamalı, alfa numerik, karmaşık şifreler belirlenmeli, sık aralıklarla değiştirilmeli ve benzer şifrelerin tekrar kullanılması engellenmelidir.
Yedekleme. Hangi sektörde olursa olsun, örneğin bir fidye saldırısı sonucu şirket verilerinin ulaşılmaz hale gelmesi; güven, itibar, bilgi, iş ve para kaybı anlamına gelir. Olabilecek her tür siber sadırı veya meydana gelebilecek her tür fiziksel felaket için şirket verileri mutlaka yedeklenmeli. Üstelik mümkünse başka bir lokasyona kopyalanmalıdır.
Hırsızlıklar ve şifreleme. Bilgisayarın, tabletin veya cep telefonunun çalınması, uzaktan çalışma ortamlarında sıklıkla başa gelen olaylardır. Çalışanlar, cihazlarını güvenli yerde tutmalı ve mümkünse güvenlik kilidi kullanmalı. Günümüzde verinin değeri, cihazın değerinden çok çok fazla. Bu nedenle bilgi işlem departmanları, tüm cihazların sabit ve çıkarılabilir disklerini uzaktan şifreleyerek en azından verilerin güvenliğini sağlamalı.
USB aygıtlar. Taşınabilir bellek aygıtları, evde ve işte çok fazla kullanılırlar ve çoğu zaman zararlıların taşınmasında büyük rol oynarlar. Güncel bir güvenlik yazılımı, bu aygıtlar üzerinden gelebilecek riskler konusunda da korur.
Kablosuz ağlar: Herkese açık kablosuz ağlardan temkinli faydalanılmalı. Özellikle muhasebesel veya finansal işlemleri, herkese açık Wi-Fi noktaları aracılığıyla yapmak oldukça sağlıksızdır. İnternete erişmek için, çalışanın kendi telefonunu mobil erişim noktası olarak değerlendirmesi, açık ve güvensiz Wi-Fi bağlantılarını kullanmaktan çok daha güvenlidir.
