Çalışanlarınız Farkında Olmadan Siber Suçluların İşini Kolaylaştırıyor Olabilir
Üstelik evden çalışıyorlarsa bu risk daha da artıyor: T-Systems tarafından 2.000 kişi üzerinde gerçekleştirilen bir araştırma, evden çalışanların sadece %12’sinin gerekli siber güvenlik tedbirlerini aldığını, %88’nin ise en az bir kez “riskli” bir eylem gerçekleştirdiğini gösteriyor.
Oltalama Saldırıları
Oltalama (phishing) saldırıları, en çok epostalar aracılığıyla gerçekleştiriliyor. Çalışanlar, gerçek ve güvenilir bir adresten geliyormuş gibi epostaları düşünmeden açma ve hatta eklerindeki dosyaları indirme (veya içlerindeki bağlantılara tıklama) eğilimi gösteriyor. Örneğin “amazon.com” yerine “amaz0n.com” adresinden gönderilen bir eposta, sadece abonelikten çıkma için bir bağlantı içeriyor olabilir ancak bu bağlantı aslında zararlı bir yazılımın sisteme yüklenmesine neden olabilir. Diğer bir saldırı türüyse, çalışılan kurumun IT departmanından geliyormuş gibi görünen epostalar: Bu mesajlar, “şifrelerin hemen değiştirilmesi gerektiği” yönünde bir içeriğe sahip ve şifre değişikliği için tıklanması gereken bir bağlantı da içeriyor. Bu bağlantıya tıklandığında açılan sayfada, önce eski şifrenin girilmesi talep ediliyor ve siber saldırgan bu sayede çalışanın gerçek şifresini ele geçirebiliyor.
Sosyal Mühendislik
Evden çalışırken telefonunuzun çaldığını, açtığınızda karşıdaki kişinin kendisini şirketin IT görevlisi olarak tanıtıp güncellemek için eski şifrenizi talep ettiğini düşünün: Ne cevap verirdiniz? Sanılanın aksine, pek çok çalışan böyle bir çağrıyı hiç garipsemeyip mevcut şifrelerini paylaşıyor. Ne de olsa, telefon numaralarını biliyorsa gerçekten de IT görevlisidir, değil mi? Böyle bir saldırıya “sosyal mühendislik” adı veriliyor ve siber saldırganın bilgisayar sistemleri konusunda bir “uzman” olması da gerekmiyor: Karşısındaki kişiyi ikna edebiliyorsa, tüm sistemlere erişim elde edebiliyor. Meşhur hacker KevinMitnick, benzer yöntemlerle sayısız şirketin ve ABD Adalet Bakanlığı'nın ağına erişebilmişti.
Kayıp Cep Telefonları
Kaybedilen cep telefonları sadece maddi zarara neden olmuyor: Şirketler tarafından verilen bu cihazlar, şirketin ağına erişmek için gereken tüm şifrelere ve uygulamalara da sahip. Yani kayıp bir cep telefonunu ele geçiren siber saldırgan, neredeyse hiç zorlanmadan tüm sistemin kontrolünü ele geçirebiliyor. Üstelik çoğu, “maaşlarından kesileceği” düşüncesiyle kayıp cihazları mümkün olduğu kadar geç rapor ediyorlar. Diğer bir deyişle, saldırganın işini tamamlamak için bol bol vakti oluyor.
Zayıf Şifreler
Siber saldırganlar çalışanların “pasif” katkılarıyla da bir ağa sızabilir: Çalışanlar zayıf şifreler kullanıyor ve farklı sistemler için aynı şifreyi kullanmayı tercih ediyorlarsa, bu şifrelerin kırılması o kadar da zor olmuyor. Üstelik bunun için çalışanın bir bağlantıya tıklaması veya bir telefonu cevaplaması da gerekmiyor: Örneğin özel Instagram hesabı ve kurum ağı için aynı şifreyi kullanıyorsa, Instagram şifresinin bir şekilde açığa çıkması kurum ağının da riske girdiği anlamına geliyor. Bilindiği üzere, Facebook gibi şirketler dahi veri sızıntılarına maruz kalabiliyor ve bu sızıntılarda ortaya çıkan şifreler, kurumların ağına sızmak için de kullanılabiliyor.
Ne Yapmalı?
● Epostaların gönderici isimlerine ve içlerindeki imla hatalarına dikkat etmeleri için çalışanlarınızı eğitin. IT departmanı veya şirketin herhangi bir departmanından geliyor gibi görünen ve hassas bilgilere erişim talep eden mesajları muhakkak şirkete telefon açarak doğrulamalarını sağlayın. Bu bağlamda, çevrimiçi güvenliklerini artırmak için VPN indir işlemini yapmalarını sağlayın: VPN kullanarak bağlantıları için şifreli bir tünel yaratıp ek bir güvenlik elde edebilirler.
● Doğrulayamadıkları hiçbir çağrıyı ciddiye almamaları için onları eğitin. Eğer telefon veya sosyal medya yoluyla kendisini şirket çalışanı gibi tanıtan birinden bir çağrı ve/veya mesaj alırlarsa, önce şirkete ulaşarak doğrulamalarını sağlayın. Genel olarak telefon ve/veya çevrimiçi mesaj üzerinden şifre değişikliği, şifre güncellemesi, indirilmesi gereken “önemli” dosya gibi konulardan bahseden kişilerin hemen hemen daima bir sahtekâr olduğunu anlamalarını sağlayın: Hiçbir şirket, şifre güncelleme işlemini telefonda yapmaz.
● Çalışanlara zimmetli cihazların güvenliği konusunda özel bir eğitim verin. Çalışanlarınız bu cihazları gözlerinin önünden ayırmamalı ve örneğin masada birkaç dakikalığına dahi bırakıp bir yere gitmemeli. Eğer cihaz bir şekilde çalınırsa, bunun şirkete mümkün olan en kısa sürede iletilmesi gerektiğini vurgulayın. Bu bağlamda, “maaş kesintisi” gibi cezalar yerine güvenliğe önem verin ve çalışanlarınızın kayıp raporu vermekten çekinmemelerini sağlayın.
● Çalışanlarınızın şirket hesapları için ayrı ve uzun bir şifre kullandığından emin olun. Mümkün olduğu sürece bu şifreleri kendiniz belirleyin ve ilgili şifrenin başka hiçbir servis için kullanılmaması gerektiğini hatırlatın. Aynı şekilde, maksimum her 6 ayda bir şifreleri otomatik olarak güncelleyin. En az 12 karakterleri ve özel karakterler/semboller içeren şifreler belirlemenizi öneririz: Kısa şifreler basit kaba kuvvet (bruteforce) saldırılarıyla dahi kırılabilir.
Çalışanlarınız siber güvenlik konusunda yeterli bilgiye sahipse ve gerekli eğitimleri almışsa, şirket ağınızı siber tehditlere karşı korumak çok daha kolaylaşacaktır. Tek bir kez eğitim vermekle yetinmeyin: Siber güvenlik eğitimlerini düzenli aralıklarla tekrarlayın ve gerekliyse sınavlar yaparak eğitimi pekiştirin. İster evden, ister ofisten çalışıyor olsun, her çalışanın uyması gereken siber güvenlik kuralları için bir rehber hazırlayın ve tüm çalışanlarınıza iletin. Hiçbir sistem %100 güvenli değildir ancak sadece bu basit önlemleri alarak dahi siber güvenlik tehditlerini kayda değer oranda azaltabilirsiniz.
--Advertorial--