The intersection of technologies!

Herkes için Siber Güvenlik - Neleri Bilmemiz Gerekiyor?

Mayıs ayında, Sussex’in resmi düğün fotoğrafçılarının güvenliği ihlal edildi ve özel fotoğraflar yayınlandı. Bu olay, sadece büyük şirketlerin bir siber saldırının hedefi ve kurbanı olmayabileceğini ortaya koydu. Bu makalede daha küçük çaplı şirketlerin karşı karşıya olduğu siber riskleri ve bu tehlikelerden kendilerini nasıl koruyabileceklerini ele alacağız.


Bir fotoğrafçının becerisi, veri güvenliğinden ziyade sonsuza dek kalacak olan harika anları yakalayabilmekte yatmaktadır. Ancak Sussex düğün fotoğraflarının izinsiz bir şekilde yayınlanması ise fotoğrafçıların, siber güvenlik ve hatta ufak bir şirketin bile veri ihlalinin neden olabileceği zararlar hakkında düşünmelerinin ne kadar önemli olduğunu göstermiştir.


Paparazziler ve siber şantajcılar, yayınlanmamış fotoğrafları çalmaya bayılırlar. Zenginlerin ve ünlülerin genelde etkin fiziksel ve dijital güvenlikleri olsa da tedarik zincirleri, bu tür fotoğrafları elde etmenin yollarını arayanlar için harika bir fırsat sunmaktadır. İster fotoğrafçılar olsun isterse de başkaları, bu tedarik zincirindeki birçok unsur ise özel siber güvenlik kaynaklarına yatırım yapacak kaynağı olmayan, küçük çaplı veya bağımsız şirketler olabilir.


Yaşanan bir ihlalin sebebinin yayınlanması pek olası olmasa da genelde tahmin etmek pek de zor değildir: geçmişte sıkça kullanılan yöntem, e-posta hesabını veya bulut sağlayıcısını hedef almak ve ardından erişim elde edebilmek için de parola oltalama veya tahmin yürütme şeklinde olmuştur.


Zengin, ünlü ve güçlü kişilere tedarik sunan küçük şirketleri bulmak zor değildir, isimleri genelde bilinmekte olduğu gibi basında da sıkça listelenmektedir. En kolay ihlal, kendilerine telefon açmak veya e-posta göndermek suretiyle firmanın sosyal mühendisliğini yapmaya çalışarak işe başlamaktır. İletişim bilgileri çevrimiçi ortamda olacağından da nihai hedef ekstra iş yapmanın yollarını da aradığından saldırgana yardımcı olacaktır.


Tedarik zinciri denetimleri genelde FTSE 100 firmalarınca veya kamu sektörünce yürütülür, özel şahıslarca yürütülmez. Tedarikçi güvencesi de genelde tedarikçiye, “Güvenlik farkındalığı eğitiminiz var mı?”, “Varlık ve risk kaydınız var mı?” ve “PCI-DSS veya ISO 27001 sertifikasyonunuz var mı?” gibi “belge esaslı” üst düzey sorular sorulduğunda durur. Normalde bu sorulardan daha ayrıntılı olanları da sorulması gerekse de nadiren sorulur.

 

Ancak, yukarıdaki örnekde de gördüğümüz gibi rutin bir denetime tabi olmamaları veya kapsamlı kaynaklarının bulunmaması, küçük şirketlerin de hedef haline gelmeyeceği anlamına gelmez.

 

Ancak iyi haber şu ki, bir veri ihlali riskini en aza indirmek için küçük şirketlerin de alabileceği birçok kolay ve ucuz yöntem bulunmaktadır. Aşağıda, tüm küçük firmaların veri ihlallerine karşı kendilerini korumak için atabilecekleri ve atmaları da gereken sekiz basit adıma yer verdik.

 

1. Personel eğitimi

Ön bürodan CEO’ya kadar tüm personelin, oltalama, telefonla kandırma veya sosyal mühendislik riskinden haberdar olmalarını ve sadece parolaların değil, tüm bilgilerin hassas olduğunun farkına varmalarını sağlayın. Şüpheli iletişimleri nasıl ve nerede rapor edeceklerini bildiklerinden emin olun.

 

2. Disk şifreleme

Standart işletim sistemlerinin birçoğunda ‘kullanıma hazır’ disk şifreleme seçenekleri bulunduğu gibi ek yazılımlar da ucuza temin edilebilir. Tüm bilgisayarların, şeffaf bir ön yüklemeden ziyade tamamen şifrelenmiş ve korumalı bir sabit diske sahip olduklarından emin olun.

 

3. USB güvenliği

Her durumda USB çubuklarını kullanmaktan kaçının - kolayca ve sıkça kaybedilmektedirler. Kaç tane USB çubuğunuz olduğunu, nerede olduklarını ve içlerinde ne tür bilgilerin depolandığını bildiğinizden emin olun. Kullanılmaları gerektiğinde bu cihazları tamamen şifreleyin (“doldukça şifrelemekten” ziyade) veya daha da iyisi, fiziksel PIN tuşu olan ve FIPS 140-2 donanım şifrelemeli USB çubukları kullanın.

 

4. Antivirüsten de fazlası

Ücretsiz ‘standart’ antivirüs yazılımları yeterli olmayabilmektedir. Tanınmış bir antivirüs sağlayıcısından güncel bir yazılım temin ettiğinizden ve sadece imza tespiti ile sınırlı kalmayan birşeyler kullandığınızdan emin olun.

 

5. E-posta güvenliği

Ücretsiz ‘toplu’ e-posta hesaplarından kaçının Bilinen kurumsal e-posta sağlayıcılarla çalışın. E-postalarınızın nerede tutulduklarından, gelişmiş antivirüs/istenmeyen postalardan korunma özellikleri olduğundan ve iki faktörlü kimlik doğrulama kullandıklarından emin olun.

 

6. Bulut güvenliği

Her ne kadar Bulut depolama çözümleri verimlilik için fayda sağlasa da oturum açma özelliğinin güvenli olduğundan emin olun. Genel olarak bilinen bir e-posta adresiyle kaydolmayın/oturum açmayın. İki faktörlü kimlik doğrulama ile oturum açılan ve verileri, İsviçre veya Almanya gibi daha iyi gizlilik kanunlarının olduğu bir ülkede saklayan bir sağlayıcı seçin.

 

7. Güvenli paylaşma

Dosyaların çevrimiçi ortamda paylaşılması riskli bir faaliyet olabilir ve veri ihlallerinin de önemli bir kaynağıdır. Müşterilerin dosya paylaşmak için oturum açabileceği KOBİ web sitelerindeki alanlar özellikle hedef olabilir. Dosya paylaşımı için Bulut depolama platformunuzda özel bir ortak klasör oluşturun. Hassas malzemeleri ise İnternet’e veya buluta hiçbir zaman yüklemeyin, bunun yerine (şifrelenmiş) DVD’lere yazdırın, bu DVD’leri fiziksel olarak teslim edin ve dosya transferi tamamlandığında da DVD’yi imha edin.

 

8. Verilerin elden çıkartılması

Verileri etrafta DVD’ler, USB çubukları veya taşınabilir sabit disklerde bırakmayın. Şifrelenmemiş her tür depolama ortamını (kamera SD kartları gibi), güvenli bir şekilde tutun, dosyaları mümkün olan ilk fırsatta şifrelenmiş kurumsal depolama alanına kopyalayın ve ardından bu dosyaların ilgili karttan silindiğinden emin olun. Formatlamak dosyaları geri kurtarılamaz hale getirmez, bu nedenle ya hafıza kartını fiziksel olarak kırın ya da üzerine başka veriler yazdırın.

 

Links

Adres

Maslak Mahallesi, Maslak Meydan Sk. No:5. Spring Giz Plaza. Maslak/İstanbul

+90 212 282 7700

info@bilginc.com