Ponemon Institute tarafından 612 bilgi güvenliği uzmanı ile gerçekleştirilen anket, büyük ölçekli veri ihlallerinin devam edeceğini ve bilgi güvenliği uzmanlarının önünde zorlu bir yol olduğunu gösteriyor. Ankete göre bilgi güvenliği uzmanlarının ve bilgi güvenliği yöneticilerinin %67’si, şirketlerinin 2018’de bir siber saldırıya veya veri ihlaline maruz kalacağına inanırken %60’ı bir iş ortağının veya tedarikçisinin bu sebeple suçlanacağından endişe ediyor.
Bilgi güvenliği uzmanlarına göre şirketleri en çok tehdit eden faktörler sırasıyla şöyle;
- İnsan hatası
- Yetersiz şirket içi uzmanlık
- Dikkatsiz bir çalışanın bir kimlik avı dolandırıcılığına uğraması
- Bir kötü amaçlı yazılım saldırısı, veri ihlali veya bir siber saldırı
- Hassas ve gizli verilerin yetkisiz erişimlere karşı korunamaması
- Saldırganların karmaşıklığına ayak uydurulamaması
- Üçüncü partilerin hassas verileri kullanması kontrolünde başarısızlık
- Yıkıcı teknolojiler, örneğin IoT cihazlar
- Mobil
- Bulut
İnsan Hatası En Büyük Tehdit Faktörü
Kolaylıkla fark edileceği gibi, ilk üç madde aslında aynı faktörü temsil ediyor: İnsan hatası. Bu nedenle bilgi güvenliği uzmanlarının, işlerindeki başarının bu engellerin üstesinden gelmelerine bağlı olduğunu bilmesi gerekiyor. Bunun yanı sıra bilgi güvenliği uzmanlarının %45’i bu yıl bir veri ihlali durumunda işlerini kaybedeceğinden endişe ederken %69’u ise görevlerinin daha stresli olmasını bekliyor.
Anket sonuçlarında Avrupa Birliği Genel Veri Koruma Yönetmeliği’nden (GDPR) bahsedilmemekle birlikte, muhtemelen GDPR bu endişelerin arkasındaki kilit nedenlerden biri. GDPR kapsamındaki yeni düzenlemelerin yürürlüğe gireceği 25 Mayıs tarihinden itibaren yönetmelik, veri işleme şirketlerini bu verileri korumak için zorlayacak.
Aynı ankete göre, bilgi güvenliği uzmanlarının yarısından azı IT güvenlik bütçelerinin artacağına inanıyor. Bu bulgular, 2016 yılından beri bu tür araştırmalarda sürekli olarak ortaya çıkıyor.
“Bilgi güvenliği uzmanı olmak için kolay bir zaman değil. Bu anket sonuçlarında belirgin bir şekilde zorlanacakları durumlar olduğu görünüyor.” diyen Ponemon Institute Başkanı Dr. Larry Ponemon “Veri ihlalleri ve siber saldırılar organizasyonlara zarar vermeye devam ediyor ve hassas verilerin korunması ancak bilgi güvenliği uzmanlarının sorumlulukları ile durdurulabilir. Şirketlerin bilgi güvenliği uzmanlarını desteklemesi ve güvenlik açıklarının azaltılmasına yönelik diğer önlemleri alması gerekiyor. Bununla birlikte şirketlerin, siber güvenlik politikasının belirlenmesi, dokümantasyonların oluşturulması, yönetim kurulu üyeleri ve yöneticilerinin gözetimi de dahil olmak üzere standart işlemleri uygulayarak riski azaltmaları kritik önem taşıyor.” ifadelerinde bulundu.
Tablonun tamamı kötü değil. Katılımcıların üçte birinden fazlası, daha güçlü bir siber güvenlik kültürü için “bir yol izlediklerini” ve yarısı da yönetim kurullarının IT güvenliğine daha fazla önem vermeye başladığını söylüyor.
Şirketler İnsan Hatasından Kaynaklı Riskleri Nasıl En Aza İndirebilir?
Şirketlere sızma ve veri kayıplarının yaşanmasının en büyük nedeninin şirket çalışanlarının güvenlik ihlalleri olduğunu belirten Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, şirket içi güvenlik tedbirleri ve kullanıcıların nelere dikkat etmeleri gerektiği ile ilgili eğitimlerin düzenlenmesi ve çok personeli olduğu için bu eğitimlere toplu katılımların olası olmadığı durumlarda departmanlara yönelik içerik ve gruplar oluşturulması gerektiğini vurguluyor. Alev Akkoyunlu, eğitimler sonrasında gerekirse kullanıcılara mini sınavlar uygulanıp, başarılı sonuç elde eden personele küçük hediyeler verilmesinin eğitimlerin verimliliğini arttırabileceğini söylüyor.
Maalesef bu durumların kişilerin işinden olmasına kadar uzanan vahim sonuçlara neden olabileceğinin altını çizen Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, “Çalışanlarımıza güvenmemiz gerek ama kontrol edip eğitmek de iş verenlerin sorumluluğunda” diyor. Alev Akkoyunlu’nun, şirketlerin siber tehditlerden nasıl korunabilecekleri konusundaki tavsiyeleri ise şöyle:
- Acil durumlarda çalışanlara gerekli bilgilendirme ve uyarı mailleri hatta SMS’ler gönderilmeli. Özellikle Wannacry türevi saldırılarda bir çok çalışanın e-postasına gelen virüslü dosyayı antivirüs yazılımı engel olmasına rağmen açmaya çalıştığı vakalar sıklıkla görülüyor.
- Çalışanların sürekli değiştirilen alfanümerik karışık şifreleri unutmamak için şifreleri yapışkanlı not kağıtlarına yazıp ekranına ve şirket telefonunun üzerine yapıştırdığı durumlar oluyor. Çalışma arkadaşları ile şifrelerin paylaşılması da son derece sakıncalı. Tabii dünyada en çok kullanılan şifrenin de “123456” olduğu durumun ciddiyetini gösteriyor.
- Sosyal medya hesaplarında kurumsal şirket hesaplarında kullanılan şifrelerin kullanılmaması gerekiyor. Özellikle kurumsal şirketlerde yetkili kişilerin sosyal medya hesapları çalınarak, onlar adına tüm bağlantılarına mesajlar gönderip kandırıldığına şahit olunuyor. Daha önce, bir banka çalışanının çocuğunun adı ve doğum tarihi ile şifresini sosyal mühendislik yöntemiyle bulup kırdıktan sonra hesabı çalan kişi tüm arkadaşlarına kredi sözü veren ve hesap bilgileri isteyen mesajlar göndermişti.
