Çalışanlar İçin En Sık Yapılan Siber Güvenlik Hataları ve Bunlardan Kaçınma Yolları
Siber güvenlik, günümüzde işletmelerin en önemli ve devamlılıkları için kritik konularından biridir. Çalışanlar, şirket verilerini ve sistemlerini korumak için siber güvenlik konusunda bilinçli olmalı ve farkındalık kazanmalıdırlar. Ancak, farkında olmadan yapılan ve basit gibi görünen hatalar, büyük güvenlik zafiyetlerine yol açabilir. Aşağıda çalışanların en sık yaptığı siber güvenlik hataları ve bunlardan nasıl kaçınabilecekleri ile ilgili öneriler bulunmaktadır:
Zayıf Parola Kullanımı
Hata: Birçok çalışan, kolay hatırlanabilir parolalar kullanır, kullanılan parolalar o kadar basittir ki saldırganlar saniyeler içinde kurbanın parolasını tespit edebilmektedir.
Kaçınma Yolları:
- Karmaşık ve uzun parolalar oluşturulmalı. En az 16 karakterden oluşan, büyük harf, küçük harf, rakam ve özel karakter içeren parolalar kullanın. Güçlü parolalar için parola üreten araçlar kullanılabilir.
- Her hesap için farklı bir parola kullanılmalı, herhangi bir hesapta veri sızıntısı olursa diğer hesapları parolası farklı olduğu için saldırının etkisi minimum seviyede kalacaktır.
Parola yöneticisi (password manager) kullanarak parolalar güvenli bir şekilde saklamak. Parola yöneticilerine ek bir güvenlik adımı daha eklemek için parolanın başına veya sonuna sadece hesap sahibinin bildiği bir prefix eklenebilir.
Kimlik Avı (Phishing) Saldırılarına Düşmek
Hata: Kimlik avı e-postaları, çalışanların kişisel ve kurum bilgilerini ele geçirmek için kullanılan yaygın bir yöntemdir. Bu e-postalar genellikle güvenilir kaynaklardan geliyormuş gibi görünür. Özellikle büyük organizasyonlar hedefli oltalama saldırıları ile daha çok karşılaşır. Bu saldırılar insan duygularını manipüle etmek üzerine kurgulanmıştır. Saldırının başarılı olabilmesi için, insanları endişe, korku, panik gibi duygulara sevk eden konuları ve senaryoları kullanırlar. Öncelikle kurbanı uyandırmamak için güven tesis ederler, güveni tesis etmek için sabırla beklerler. Kurban saldırgana güvendikten sonra, saldırgan hassas verileri çalmak için gerekli zararlıyı kurbanın dikkatini çekmeyecek şekilde gönderir. Bu tip saldırılar taktik ve teknik olarak karmaşıktır, çoğu zaman teknik sistemleri kolaylıkla atlatıp kurbana ulaşabilmektedir. Son durumda saldırı ile karşılaşan çalışanın güvenlik farkındalığı durumu sonucunu değiştirmektedir. Farkındalığı yüksek olan çalışanlar genellikle bu saldırılardan etkilenmezler hem kendilerini hem de çalıştıkları kurumu büyük siber güvenlik risklerinden korumuş olurlar.
Kaçınma Yolları:
- Gelen e-postaların gönderici adreslerini dikkatlice kontrol edin. Bu e-postanın konusu sizinle ilgili kontrol edin ve ilgili bir konu ise içeriden ekip arkadaşlarınızdan teyit isteyin.
- Bilinmeyen veya şüpheli bağlantılara tıklamaktan kaçının. Sahte bağlantılar geçek bağlantılara çok benzer, bazen sadece bir harf değişikliği yapılarak sahte bağlantılar gerçeklerine benzetilebilir. Bu yüzden çok dikkatli olunmalıdır.
- Şüpheli bir e-posta aldığınızda, gönderici ile farklı bir iletişim yöntemiyle doğrulama yapın. E-postanın içeriği ne kadar acil olursa olsun mutlaka teyitli ilerlenmelidir.
- Oltalama ve sosyal mühendislik saldırılarından korunmanın en temel yolu çalışanlara güvenlik farkındalığı kazandırmaktır. Tüm çalışanlara belirli aralıklarla gerçek saldırılara benzer oltama simülasyonları göndermek etkili bir yöntemdir. Bu yöntemle saldırıya açık çalışanlar kolaylıkta tespit edilebilir ve onların farkındalığını yükseltmek için gerekli eğitimleri atayabilirsiniz. Bu alanda benzersiz çözümler sunan KnowBe4, çalışanlarınıza düzenli oltalama simülasyonları gönderip, farkındalığı eksik olan kullanıcılara eğitimleri otomatik atayabilmektedir. Sistem hem simülasyon sonuçlarını hem de eğitime katılım durumunu detaylı şekilde raporlayıp çıktılarını düzenli şekilde iletebilmektedir.
Yazılım Güncellemelerini İhmal Etmek
Hata: Yazılımlar, güvenlik açıklarını kapatmak için düzenli olarak güncellenir. Güncellemeleri ihmal etmek, bu açıkların siber saldırganlar tarafından istismar edilmesine sebep olabilir. Hem güncellenmeyen hem de desteği bitmiş yazılımları kullanmak kritik güvenlik zafiyetlerinin istismar edilmesine ve sonuç olarak saldırganların başarılı olmasına neden oldur.
Kaçınma Yolları:
- Yazılımlarınızı ve işletim sistemlerinizi düzenli olarak güncelleyin. Bu oldukça basit ve zahmetsizdir.
Otomatik güncelleme özelliğini etkinleştirin. Kurumsal ortamlar için güncelleme ve yama yönetimi çözümleri bu süreçleri daha etkili ve kolay şekilde yerine getirebilmektedir. Özellikle uzun süre güncelleme almaya çalışanların güncelleme almadan kurumsal ağa giriş yapamaması veya uzaktan çalışanların VPN bağlantısı yaparken de güncelleme durumunu kontrol etmek güvenlik açısından önemlidir.
Güvenli Olmayan Wi-Fi Ağlarını Kullanmak
Hata: Halka açık (public) Wi-Fi ağları, siber saldırganlar için ideal bir hedeftir. Bu ağlar üzerinden yapılan iletişim kolayca ele geçirilebilir. Zorunda kalmadıkça halka açık kablosuz ağların kullanımından kaçınılmadır. Bunun yerinde kuruma ait mobil cihazlardan hot-spot yöntemi ile internete erişmek daha güvenli olacaktır.
Kaçınma Yolları:
- Halka açık Wi-Fi ağları yerine, güvenilir ve şifreli ağları tercih edin. Mümkün olduğunda kuruma ait mobil cihazlar üzerinde hotspot yönetimi ile internete güvenli şekilde erişmeye devam edin.
VPN (Virtual Private Network) kullanarak internet bağlantınızı güvence altına alın. Herhangi bir yere erişmeden önce VPN bağlantısı yaptığınızdan emin olun.
Verilerin Yedeklenmemesi
Hata: Verilerin düzenli yedeklenmemesi, veri kaybı durumunda büyük sorunlara yol açabilir. Siber saldırılar, cihaz arızaları veya diğer nedenlerle veri kaybı yaşanabilir. Günümüzde özellikle fidye tabanlı siber saldırıların yıkıcı etkileri ile karşılaşıyoruz, bu saldırılar kurbana verileri dakikalar içinde şifreleyip kullanılmaz hale getirmektedir. Tek çözüm bu verilerin güvenli bir yere yedeklenmiş olmasıdır.
Kaçınma Yolları:
- Önemli verilerinizi düzenli olarak yedekleyin. Bu konuyu ihmal etmenin sonuçları yıkıcı olabilir.
- Yedeklerinizi güvenli bir şekilde saklayın ve erişimlerini sınırlayın. Fidye yazılımları yedekleme sistemlerini de hedef almaktadır.
- Farklı bir cihazda yedeklerinizi geri dönüp, yedekleme işlemlerinizin başarı durumunu test edin.
Bilinçsiz Yazılım ve Uygulama Kurulumu
Hata: Güvenilir olmayan kaynaklardan yazılım ve uygulama indirmek, zararlı yazılımların sisteminize bulaşmasına neden olabilir. Güvenilir olmayan kaynaklardan indirilen yazılımların zararlı içerme ihtimali çok yüksektir, “bedava peynir fare kapanında olur”, bunu asla unutmamak lazım. Eğer bir yazılıma ihtiyacınız varsa, mutlaka legal kopyasını edinmeniz sizi güvenlik risklerinden koruyacaktır.
Kaçınma Yolları:
- Sadece güvenilir kaynaklardan yazılım ve uygulama indirin. Kaynağın legal veya orijinal olduğundan emin olur.
- Kurulum öncesi yazılımı ve uygulamayı tarayın. Şüpheli bir durum varsa yüklemekten kaçının.
- Kurumsal ortamlar için kullanıcılardan lokal admin yetkilerinin alınması.
- Whitelisting yönteminin etkin şekilde uygulanması.
Cihaz Güvenliğinin İhmal Edilmesi
Hata: Cihazların fiziksel güvenliğinin sağlanmaması, hırsızlık veya izinsiz erişim riskini artırır. Özellikle halka açık alanlarda cihazların unutulması, araç içerisinde kuruma aiti kritik cihazların veya evrakların bırakılması ciddi güvenlik problemlerine neden olabilir.
Kaçınma Yolları:
- Cihazlarınızı kilitleyin ve yetkisiz erişime karşı koruyun.
- Halka açık alanlarda kritik cihaz ve doküman unutmayın.
- İş yerinde ve dışarıda cihazlarınızı güvende tutmak için ek güvenlik önlemleri alın. Aracınızdan inince kritik cihaz ve evrakları yanınıza aldığınızdan emin olun.
Siber güvenlik, sadece IT ve siber güvenlik departmanlarının sorumluluğunda olan bir mecra değildir; tüm çalışanların bilinçli ve dikkatli olmasını gerektiren bir konudur. Yukarıda belirtilen hatalardan kaçınarak, şirket verilerinizi ve sistemlerinizi daha güvenli hale getirebilirsiniz. Unutmayın, siber güvenlikte en zayıf halka insan faktörüdür ve bu halkayı güçlendirmek sizin elinizde. Siber saldırganlar büyük ölçüde taktiksel olarak insan hatalarını sömürür, peşi sıra ise teknik zafiyetleri sömürürler.
