Mayıs ayında, Sussex’in resmi düğün fotoğrafçılarının güvenliği ihlal edildi ve özel fotoğraflar yayınlandı. Bu olay, sadece büyük şirketlerin bir siber saldırının hedefi ve kurbanı olmayabileceğini ortaya koydu. Bu makalede daha küçük çaplı şirketlerin karşı karşıya olduğu siber riskleri ve bu tehlikelerden kendilerini nasıl koruyabileceklerini ele alacağız.
Bir fotoğrafçının becerisi, veri güvenliğinden ziyade sonsuza dek kalacak olan harika anları yakalayabilmekte yatmaktadır. Ancak Sussex düğün fotoğraflarının izinsiz bir şekilde yayınlanması ise fotoğrafçıların, siber güvenlik ve hatta ufak bir şirketin bile veri ihlalinin neden olabileceği zararlar hakkında düşünmelerinin ne kadar önemli olduğunu göstermiştir.
Paparazziler ve siber şantajcılar, yayınlanmamış fotoğrafları çalmaya bayılırlar. Zenginlerin ve ünlülerin genelde etkin fiziksel ve dijital güvenlikleri olsa da tedarik zincirleri, bu tür fotoğrafları elde etmenin yollarını arayanlar için harika bir fırsat sunmaktadır. İster fotoğrafçılar olsun isterse de başkaları, bu tedarik zincirindeki birçok unsur ise özel siber güvenlik kaynaklarına yatırım yapacak kaynağı olmayan, küçük çaplı veya bağımsız şirketler olabilir.
Yaşanan bir ihlalin sebebinin yayınlanması pek olası olmasa da genelde tahmin etmek pek de zor değildir: geçmişte sıkça kullanılan yöntem, e-posta hesabını veya bulut sağlayıcısını hedef almak ve ardından erişim elde edebilmek için de parola oltalama veya tahmin yürütme şeklinde olmuştur.
Zengin, ünlü ve güçlü kişilere tedarik sunan küçük şirketleri bulmak zor değildir, isimleri genelde bilinmekte olduğu gibi basında da sıkça listelenmektedir. En kolay ihlal, kendilerine telefon açmak veya e-posta göndermek suretiyle firmanın sosyal mühendisliğini yapmaya çalışarak işe başlamaktır. İletişim bilgileri çevrimiçi ortamda olacağından da nihai hedef ekstra iş yapmanın yollarını da aradığından saldırgana yardımcı olacaktır.
Tedarik zinciri denetimleri genelde FTSE 100 firmalarınca veya kamu sektörünce yürütülür, özel şahıslarca yürütülmez. Tedarikçi güvencesi de genelde tedarikçiye, “Güvenlik farkındalığı eğitiminiz var mı?”, “Varlık ve risk kaydınız var mı?” ve “PCI-DSS veya ISO 27001 sertifikasyonunuz var mı?” gibi “belge esaslı” üst düzey sorular sorulduğunda durur. Normalde bu sorulardan daha ayrıntılı olanları da sorulması gerekse de nadiren sorulur.
Ancak, yukarıdaki örnekde de gördüğümüz gibi rutin bir denetime tabi olmamaları veya kapsamlı kaynaklarının bulunmaması, küçük şirketlerin de hedef haline gelmeyeceği anlamına gelmez.
Ancak iyi haber şu ki, bir veri ihlali riskini en aza indirmek için küçük şirketlerin de alabileceği birçok kolay ve ucuz yöntem bulunmaktadır. Aşağıda, tüm küçük firmaların veri ihlallerine karşı kendilerini korumak için atabilecekleri ve atmaları da gereken sekiz basit adıma yer verdik.
1. Personel eğitimi
Ön bürodan CEO’ya kadar tüm personelin, oltalama, telefonla kandırma veya sosyal mühendislik riskinden haberdar olmalarını ve sadece parolaların değil, tüm bilgilerin hassas olduğunun farkına varmalarını sağlayın. Şüpheli iletişimleri nasıl ve nerede rapor edeceklerini bildiklerinden emin olun.
2. Disk şifreleme
Standart işletim sistemlerinin birçoğunda ‘kullanıma hazır’ disk şifreleme seçenekleri bulunduğu gibi ek yazılımlar da ucuza temin edilebilir. Tüm bilgisayarların, şeffaf bir ön yüklemeden ziyade tamamen şifrelenmiş ve korumalı bir sabit diske sahip olduklarından emin olun.
3. USB güvenliği
Her durumda USB çubuklarını kullanmaktan kaçının - kolayca ve sıkça kaybedilmektedirler. Kaç tane USB çubuğunuz olduğunu, nerede olduklarını ve içlerinde ne tür bilgilerin depolandığını bildiğinizden emin olun. Kullanılmaları gerektiğinde bu cihazları tamamen şifreleyin (“doldukça şifrelemekten” ziyade) veya daha da iyisi, fiziksel PIN tuşu olan ve FIPS 140-2 donanım şifrelemeli USB çubukları kullanın.
4. Antivirüsten de fazlası
Ücretsiz ‘standart’ antivirüs yazılımları yeterli olmayabilmektedir. Tanınmış bir antivirüs sağlayıcısından güncel bir yazılım temin ettiğinizden ve sadece imza tespiti ile sınırlı kalmayan birşeyler kullandığınızdan emin olun.
5. E-posta güvenliği
Ücretsiz ‘toplu’ e-posta hesaplarından kaçının Bilinen kurumsal e-posta sağlayıcılarla çalışın. E-postalarınızın nerede tutulduklarından, gelişmiş antivirüs/istenmeyen postalardan korunma özellikleri olduğundan ve iki faktörlü kimlik doğrulama kullandıklarından emin olun.
6. Bulut güvenliği
Her ne kadar Bulut depolama çözümleri verimlilik için fayda sağlasa da oturum açma özelliğinin güvenli olduğundan emin olun. Genel olarak bilinen bir e-posta adresiyle kaydolmayın/oturum açmayın. İki faktörlü kimlik doğrulama ile oturum açılan ve verileri, İsviçre veya Almanya gibi daha iyi gizlilik kanunlarının olduğu bir ülkede saklayan bir sağlayıcı seçin.
7. Güvenli paylaşma
Dosyaların çevrimiçi ortamda paylaşılması riskli bir faaliyet olabilir ve veri ihlallerinin de önemli bir kaynağıdır. Müşterilerin dosya paylaşmak için oturum açabileceği KOBİ web sitelerindeki alanlar özellikle hedef olabilir. Dosya paylaşımı için Bulut depolama platformunuzda özel bir ortak klasör oluşturun. Hassas malzemeleri ise İnternet’e veya buluta hiçbir zaman yüklemeyin, bunun yerine (şifrelenmiş) DVD’lere yazdırın, bu DVD’leri fiziksel olarak teslim edin ve dosya transferi tamamlandığında da DVD’yi imha edin.
8. Verilerin elden çıkartılması
Verileri etrafta DVD’ler, USB çubukları veya taşınabilir sabit disklerde bırakmayın. Şifrelenmemiş her tür depolama ortamını (kamera SD kartları gibi), güvenli bir şekilde tutun, dosyaları mümkün olan ilk fırsatta şifrelenmiş kurumsal depolama alanına kopyalayın ve ardından bu dosyaların ilgili karttan silindiğinden emin olun. Formatlamak dosyaları geri kurtarılamaz hale getirmez, bu nedenle ya hafıza kartını fiziksel olarak kırın ya da üzerine başka veriler yazdırın.
Siber Güvenlik kataloğumuzdan, içerikleri National Cyber Security Centre (NCSC), the Centre for the Protection of National Infrastructure (CPNI) in the UK ve Critical National Infrastructure (CNI) ortaklıklarıyla hazırlanmış eğitimleri inceleyin. Uluslarası geçerli sertifikasyon sınavlarına Bilginç'le hazırlanın, firmanızın siber tehditlerden tamamen korunmasını sağlayın!