Şirketlerini siber saldırılara karşı korumaya çalışan güvenlik uzmanları, pek çok tehditle savaşırken çeşitli eksiklikler nedeniyle oldukça zorlanıyor.
Siber tehditlerin her geçen gün daha karmaşık hale gelmesine rağmen güvenlik seviyesinin artırılmasına engel olan çeşitli faktörler, şirketlerini korumak için uğraşan siber güvenlik uzmanlarını zor durumda bırakıyor. Ciddi stres ve iş yükü altında yüksek performans göstermesi gereken güvenlik uzmanlarının şikayetçi olduğu pek çok konu olduğunun altını çizen Komtera Teknoloji güvenlik uzmanları, kabiliyet eksikliği, beklenmedik sorumluluklar, BT ortamının karmaşıklığı gibi sorunların aralarında bulunduğu 9 önemli problemi sıralıyor.
1. Ekiplerdeki kabiliyet, yapılacak işlerin çokluğu nedeniyle yetersiz kalıyor. Kasım 2018’de InfoSec Institute tarafından yapılan ve toplam 785 BT ve siber güvenlik profesyonelinin katıldığı ankete göre güvenlik uzmanları en çok yeterli ekibe sahip olmadığından şikayet ediyor. Ankete katılanların %15’inin birinci sıraya koyduğu bu iş gücü boşluğu, güvenlik uzmanlarının ve az sayıdaki ekip üyelerinin üzerinde kaldıramayacakları bir yoğunluk yaratarak ciddi stres ve sıkıntıya yol açıyor.
Bu duruma çözüm geliştirmek isteyenler arasında kabiliyetli güvenlik çalışanlarını bulup işe almak ve uzun süre şirket bünyesinde tutmanın zor olduğunu düşünen şirketler, yeni çalışanlar için bütçe ayırmak yerine teknolojiden daha fazla faydalanmak yolunu seçebiliyor. Son zamanlarda güvenlik vakası analizi ve zafiyet yönetimi gibi konularda otomasyona karşı yüksek talep oluşmasının nedenlerinden biri de bu faktörden kaynaklanıyor.
2. Sürekli beklenmedik sorumluluklar ekleniyor. Pek çok konuda sorumluluğu olan BT çalışanları arasında siber güvenlik, çoğunlukla kimsenin üstlenmek istemediği alanlardan biri oluyor. Bu nedenle aslında oldukça önemli olan bu konu, BT ekibinin öncelikli görevleri arasında genellikle yer bulamıyor.
InfoSec Institute’nin araştırmasına katılan güvenlik uzmanları, söz konusu güvenlik olduğunda ekiplerindeki kişilerin sorumluluktan kaçtıklarını ve bu konunun genelde ekipteki en kıdemli kişiye kaldığını belirtiyor. Çok fazla güvenlik alarmıyla tek başına uğraşmak zorunda kalan bu uzmanlar, işlerinde ne kadar profesyonel olurlarsa olsun tüm görevlere yetişemiyor.
3. Çalışan ve son kullanıcı eğitimi siber saldırganların gerisinde kalıyor. Siber saldırganlar, çalışanlara göre maalesef genellikle daha önde oluyor. Britaca’nın anketine katılan güvenlik çalışanları, şirketlerinde kendilerini geliştirecek bir eğitim almıyormuş gibi hissettiklerini ve ancak saldırganların yaptıklarına göre atacakları adımı düşünebildiklerini dile getiriyor.
InfoSec Institute’nin araştırmasına göre güvenlik çalışanlarının yüzde 7’si alanlarında yeterli sertifikaya sahip olmadığını, yüzde 8’i ise onlardan beklentilerin çok olması nedeniyle hissettikleri stresten sektördeki değişimlere ayak uyduramadıklarını dile getiriyor. Katılımcıların yüzde 12’si ise görevlerin çok az insan arasında bölündüğünü vurguluyor. Komtera Teknoloji güvenlik uzmanları, bu üç faktörün birbiriyle oldukça alakalı olduğunu ve çözülmedikçe sektördeki yaygın endişelerin yok olmayacağını belirtiyor.
4. Tehditler sürekli artıyor. Araştırmalara göre güvenlik uzmanlarının yüzde 25’i oltalama saldırıları, kötü niyetli yazılımlar gibi pek çok tehditle sık sık uğraşmak zorunda kaldığını belirtiyor. Şirketlerin ortak iş ağlarına daha fazla cihaz eklenmeye devam etmesi ise bu durumun şiddetini artırıyor.
Ayrıca, çoğu güvenlik çalışanı siber saldırganların taktiklerini sürekli geliştireceğinden korkuyor. Dark Reading anketine katılanların yüzde 60’ı saldırıların karmaşıklık düzeni nedeniyle güvenlik seviyelerinin bir önceki yıla kıyasla daha zayıf olduğunu düşünüyor. Yarısı kurumsal ağlara saldırmak için çok fazla yol olduğunu kabul ederken yüzde 40’ı da sahip oldukları güvenlik zafiyetlerinin çok olduğunu kabul ediyor.
5. Siber güvenliğin önemi yeterince anlaşılmıyor. Güvenlik ekibinin dışındaki çalışanların siber güvenliğin önemini anlamakta zorlanması ve sorumluluk üstlenmemesi emeklerin boşa gitmesine yol açıyor. Güvenlik riskleri ve pratikleri ile ilgili bilincin zayıf olması probleminin her boyuttaki şirketlerde görülebildiğini belirten Komtera Teknoloji güvenlik uzmanları, çalışanların çoğunlukla otomatik şifreleri değiştirmediğini, çabuk tahmin edilen şifreler koyduğunu ya da şifreleri paylaştığını ve bu hataları başlangıç pozisyonunda çalışanından uzmanına kadar her çalışanın yaptığını belirtiyor.
Güvenliğin öneminin yeterince anlaşılmamasının bir başka sonucu da bu konuya yeterince bütçe ayırmamak oluyor. Bütçelerinin artırılması yönündeki beklentileri ile ilgili sürekli hayal kırıklığına uğrayan güvenlik departmanları,şirketlerini korumak için ihtiyaç duydukları araç ve teknolojilere yeterli yatırımı yapamamaktan dolayı hedeflerini gerçekleştiremiyor.
6. Karmaşık BT çevrelerinin görünürlüğü gitgide azalıyor. Güvenlik riskleri çoğaldıkça şirketlerin güvenlik ile ilgili oluşturdukları portfolyolar da büyüyerek yönetmesi daha zor hale geliyor. Farklı programlar üzerinden kontrol edilmeye çalışılan güvenlik, BT altyapısını dağınıklaştırıp bölüyor. Koşullarını bildikleri bir BT çevresini bile güvenli kılmakta zorlanan güvenlik ekiplerinin bilmedikleri bir çevrede başarı sağlaması imkansız oluyor.
BYOD (Kendi Cihazını Getir) uygulaması ve birden çok bulut tabanlı yedekleme sağlayıcısından aynı anda faydalanılması da bu karışıklığın artmasına yol açan faktörlerden biri olarak karşımıza çıkıyor. Bu nedenle güvenlik araçları ve güvenlik politikalarına eşit önem verilmesi gerekiyor.
7. Nesnelerin internetindeki zayıf güvenlik felakete dönüşüyor. Bağlantılı cihazlar evlerde ve iş yerlerinde büyük yığınlar yaratarak olası güvenlik risklerini artırıyor. Dijital kimliklerin bu soruna çözüm oluşturarak yaygınlaşması bekleniyor. Çalışanların yeterince dikkat etmemesi veya güvenlik uzmanlarının çok fazla cihaz nedeniyle güvenliği yönetememesi dışında ürünlerin satın alınması sürecinde de bilinçsizlik gözlemleniyor. Ürün sertifikalarının ve referanslarının açık olarak belirtilmediği ve hangi güvenlik testlerinden başarıyla geçtiği anlaşılmayan cihazlarına alıp kullanan şirketler, güvenlik seviyesini artırmak yerine azaltmış oluyor.
8. Veri sızıntıları engellenemiyor. Veri sızıntıları, güvenlik problemlerinde son yıllarda değişmeyen bir trend olarak güvenlik ekiplerinin en çok başını ağrıtan konulardan biri oluyor. Verileri korumak için gereken şirket kültürünü yaratmak, doğru politikayı kurup uygun araçlar ile birleştirerek sürekli kontrol sağlamak üst düzey BT uzmanlarını bile zorluyor. GPDR gibi kişisel verileri koruma kanunları şirketler için ciddi bir yükümlülük oluşturarak veri sızıntılarına yönelik önemli önlemleri zorunlu kılsa da, hala yapılması gereken pek çok çalışma bulunuyor.
9. Devlet destekli saldırılar korkutuyor. Çoğu güvenlik çalışanlarının endişeleri, sadece şirketlerine ya da bulundukları lokasyona bağlı olmakla kalmıyor. Devlet destekli saldırılar gibi global problemler, güvenlik çalışanlarının kabusu oluyor. Oldukça kabiliyetli ve eğitimli olan hacker ağının 2019’da daha da yayılarak büyük saldırılar düzenleyeceği tahmin ediliyor. Bu nedenle politika, kültür ve devletler arası ilişkilerden nasibini almaması için şirketlerin mutlaka önlem alması gerekiyor.