2017 yılı, tüm dünyada kurumlara yönelik yüksek profilli saldırıların meydana geldiği bir yıl oldu. 150’yi aşkın ülkeyi etkileyen WannaCry saldırısı, Yahoo’nun 3 milyar kişiye ait kullanıcı bilgelerinin ele geçirilmesi ya da “Game of Thrones“ dizisinin henüz yayınlanmamış bölümlerini sızdırılması… .
Bu saldırılarla firmaların sadece paraları değil itibarları da zarar gördü. “Önümüzdeki dönemde bu tür saldırıları daha çok yaşayacağız, kurumlar buna hazırlıklı olmalı diyen ESET Kıdemli Güvenlik Araştırmacısı Stephen Cobb, “Dijital güvenlik, şirket içinde artık her çalışanın sorumluluğunda olan bir konu. Özellikle de ünvanı C ile başlayan yüksek düzeydeki yöneticilerin” açıklamasını yaptı.
ESET Kıdemli Güvenlik Araştırmacısı Stephen Cobb, hızla sayısı ve etkisi artan dijital tehditlere karşı şirketlerin kendilerini hazırlıksız hissettiklerini ve genellikle de yeterince hazırlıklı olmadıklarını dile getirdi. 2017’deki global yüksek profilli saldırıları hatırlatan Cobb, harekete geçmek için zamanın ideal olduğunu belirtti ve kurumlarda siber güvenlik açısından personel eğitimi ve farkındalığının öncelikli ve kilit önem taşıdığını söyledi.
“Dijital güvenlik artık herkesin sorumluluğunda“ diyen Stephen Cobb, tüm kuruluşların personele yönelik farkındalık aşılama noktasında şu konuları dikkate alması gerektiğini aktardı:
Düşmanınızı tanıyın!
İşgücünün, kendisini geniş bir tehdit yelpazesine karşı koruyabilmesi için öncelikle düşmanlarını bilmesine ihtiyacı var. Kötü amaçlı yazılım, kimlik avı, fidye yazılımı ve sosyal mühendislik gibi en yaygın tehditler ve bunların nasıl çalıştığıyla ilgili bilgiler, çalışanların sorunu anlamasına ve daha hassas olmalarına yardımcı olur.
Parola güvenliğini ihmal etmeyin!
Parolaları oluşturma ve hatırlama konusundaki zorluklar, kişilerin büyük çoğunluğunun her şey için aynı parolayı kullanmasına neden oluyor. Sadece her hesap için aynı şifreyi kullanmaları değil herkesin de aynı şifreyi kullanıyor olması da sorun. Kolay ve güvensiz parolalar, önemli güvenlik açığına neden olur. Çalışanlar daha güçlü parolalar konusunda bilgilendirilmeli.
Tıklamadan önce düşünün!
Sosyal mühendislik; sanal suçluların insanları, kişisel ve hassas bilgileri genelde aldatıcı ve hileli yöntemlerle vermeye yönlendiren bir psikolojik manipülasyon şekli. Örneğin en sık kullanılan kimlik avı senaryolarından biri şöyle: Bankanızdan veya finansal hizmet aldığınız kurumdan olduğunu düşündüğünüz bir e-posta alıyorsunuz. Hesabınızın ayarlarını kontrol etmenizi ve verilen link üzerinden kimlik bilgilerinizi vererek onaylamanızı talep ediyorlar. Ancak kişisel bilgilerinize erişmeye çalışan bankanız değil, siber suçlulardır. Oysa en iyi arkadaşınızdan, patrondan veya bankadan gelen “tuhaf” e-postalar, bir telefon veya mesaj yolu ile kolayca doğrulanabilir.
Güvenlik herkesin sorumluluğudur
Şirket içindeki departman veya seviyeye bakılmaksızın, tüm çalışanların farkındalık edinmesi sağlanmalı. Özellikle ünvanları C ile başlayanların (CEO, CFO, COO vs.) kurallara uyması gerekir; çünkü genellikle sanal suçluların en yoğun hedefidirler.
Bununla birlikte “güvenliğin herkesin sorumluluğunda” olması, personelin en basit kurallar konusundaki eğitiminin bile öncelik haline getirilmesini işaret eder. Çalışanların, eylemlerinin tüm şirket için nasıl zararlı olabileceğini, aynı zamanda basit adımların herkesin korunmasını nasıl kolaylaştıracağını anlamalarını sağlamak, toplu bir sorumluluk hissi yaratacak ve ortak güvenlik oluşturmaya yardımcı olacaktır.