“BT Güvenliğinde İnsan Faktörü: Çalışanlar Şirketleri Nasıl Savunmasız Kılıyor” adlı rapora göre dünya çapındaki şirketlerin %40’ında, çalışanlar BT güvenliği kazalarını saklıyor. Türkiye’de ise bu oran %45; yani dünya ortalamasının üzerinde seyrediyor.
Kaspersky Lab ve B2B International’ın yayınladığı raporda, her yıl BT güvenliği kazalarının %46’sına çalışanlar sebep oluyor ve dolayısıyla şirketlerin bu zayıf noktasının sadece BT güvenliği departmanlarınca değil, birçok seviyede ele alınması önem taşıyor.
Siber suçlulara davetiye çıkarıyorlar.
Zararlı yazılımlardan sonra, bir siber güvenlik olayının en muhtemel ikinci sebebi bilgisiz veya dikkatsiz çalışanlar oluyor. Zararlı yazılımlar her geçen gün daha da karmaşık hale geliyor olsa da, her zaman var olan insan faktörü aslında daha büyük tehlikeler içerebiliyor.
Hedefli saldırılar söz konusu olduğunda, kurumların siber güvenlik kalkanındaki en zayıf noktayı çalışan dikkatsizliği oluşturuyor. Saldırganlar özel yapım zararlı yazılımlar ve yüksek teknoloji içeren teknikler kullansa da, başlangıç noktaları, faydalanması en kolay giriş noktası oluyor; yani insan tabiatı.
Yapılan araştırmaya göre, geçtiğimiz yıl içerisinde gerçekleşen her 3 hedefli saldırıdan birinin (%28) başlangıç noktası oltalama/sosyal mühendislik oldu. Örneğin dikkatsiz bir muhasebeci, iş ortaklarından birinden gelen bir fatura görünümünde gizlenen zararlı yazılımı tereddüt etmeden açabiliyor. Böyle bir durumda bütün bir şirketin altyapısı çalışmaz hale geliyor ve muhasebeci de ister istemez saldırganların suç ortağı durumuna düşüyor.
Kaspersky Lab Güvenlik Araştırmacısı David Jacoby, konuyla ilgili olarak şöyle diyor: “Siber suçlular bir şirketin altyapısına erişmek için sıklıkla çalışanlardan faydalanıyor. Oltalama e-postaları, zayıf şifreler, teknik destek ekibini taklit eden sahte aramalar gibi birçok yöntemle karşılaşılıyor. Şirketin otoparkında veya bir sekreterin masasının yakınlarında yere düşürülen bir flaş bellek bile tüm ağı tehlikeye atabilir. Suçluların tek ihtiyacı olan şey, şirket içinden, güvenlik konusunda bir şey bilmeyen veya bu konuyu önemsemeyen biridir. Bu kişi söz konusu flaş kartı alıp ve ağa bağlı bir cihaza taktığı anda iş bitmiş demektir.”
Hedefli saldırılar şirketlerin her gün başına gelen şeyler olmasa da, zararlı yazılımlar genelde geniş kitleleri hedefliyor. Araştırmaya göre, ne yazık ki zararlı yazılımlar söz konusu olduğunda da bilinçsiz ve dikkatsiz çalışanların etkisi büyük oluyor. Karşılaşılan olayların %59’unda zararlı yazılımların bulaşmasının sebebi çalışanlar.
İK ve üst yönetime düşen görev büyük
Çalışanların müdahil oldukları olayları saklaması daha da kötü sonuçlar doğurarak, toplam zararı artırabiliyor. Tek bir bildirilmemiş olay bile çok daha büyük bir saldırının işareti olabilirken, doğru müdahale yöntemlerini seçmesi gereken güvenlik ekiplerinin ise karşı karşıya oldukları tehditleri hızlıca tespit etmesi gerekiyor.
Fakat cezalandırılmaktan korkan veya yanlış bir şey yapmış olmaktan utanan çalışanlar, bir sorun bildirmektense şirketlerini riske atmayı tercih edebiliyor. Bazı şirketler ise çalışanlarını uyanık ve işbirlikçi olmaya teşvik etmektense, çok katı kurallar koyup çalışanların üzerine ek sorumluluklar yüklüyor. Bu, siber korunmanın sadece bir teknoloji meselesi değil; aynı zamanda bir şirketin kültürüyle ve eğitimle ilgilisi olan bir konu olduğu anlamına geliyor. Bu noktada da üst yönetime ve insan kaynakları departmanına önemli bir rol düşüyor.
İnsan faktörü: Kurumsal iklim ve ötesi
Türkiye çapında birçok şirket, çalışanlarının şirketleri için bir zayıf nokta oluşturduğunun farkına varmaya başlamış durumda: araştırmaya katılan şirketlerin %52’si, BT güvenliği konusunda en zayıf noktanın çalışanları olduğunu kabul ediyor. Birçoğu için çalışan odaklı önemler almanın gerekliliği de aşikar: şirketlerin %39’u çalışanlarını eğiterek güvenliklerini iyileştirmenin yollarını arıyor. Bu, şirketlerin %50’si için daha sofistike yazılımlar kullanmaktan hemen sonra gelerek, Türkiye’deki ikinci en popüler siber korunma yöntemi olarak karşımıza çıkıyor.
Şirketleri insan sebepli siber tehditlerden korumanın en iyi yolu, doğru araçlarla doğru pratikleri birleştirmekten geçiyor. Buna İK ve üst yönetimin, çalışanları dikkatli olmak ve bir olay halinde yardım istemek konusunda teşvik etmeleri de dahil. Şirketlerin bu konuda atması gereken ilk adımlar arasında, çalışanlara güvenlik farkındalığı eğitimleri vermek, birçok sayfa içeren dokümanlar yerine kısa ve net ilkeler sunmak, çalışanların yeteneklerini ve motivasyonlarını artırmak ve uygun bir çalışma ortamı sağlamak sayılabilir.
Güvenlik teknolojileri özelinde bakıldığında, bilinçsiz veya dikkatsiz çalışanları hedef alan tehditlerin bir çoğunu (oltalama da dahil) uç nokta güvenlik çözümleriyle ortadan kaldırmak mümkündür. Bunlar fonksiyonellikleri, ön ayarlı koruma ya da gelişmiş güvenlik ayarları doğrultusunda KOBİ’lerin ve büyük ölçekli şirketlerin ihtiyaçlarını karşılayarak riskleri en aza indirgemek konusunda yeterlidir.
Kaspersky Lab., geçtiğimiz günlerde akıllı cihazları hedefleyen zararlı yazılımlar 2017’de iki kattan fazla arttığını duyurmuştu. Türkiye, saldırıya uğramış Nesnelerin İnterneti cihazlarının en çok bulunduğu 5. ülke olarak açıklanmıştı.
