2020’nin ilk yarısında FortiGuard Labs ekibi, değişen çalışma ortamlarının ve kişisel cihazların daha fazla kullanılmasının siber saldırganlara kurumsal ağlara sızmak için yeni fırsatlar sunduğunu ortaya çıkardı.
Son zamanlarda saldırganların en çok başvurduğu yöntemler arasında oluşturması ve uygulaması çok kolay olan, aynı zamanda yasal gibi görünen oltalama e-postaları yer alıyor. Her ne kadar bu yeni bir yöntem olmasa da bu tür sosyal mühendislik saldırılarının ikna kabiliyeti ve verdiği hasar, çalışanların işlerine uzaktan devam etmesiyle ve ekiplerinden ayrı kalmasıyla büyümeye devam ediyor.
İçerideki Tehdit Riskini Azaltmak
Çalışanlar kurumsal ağların ve ellerinde bulundurdukları verinin güvenliğine yönelik büyük risk barındırıyor. Yakın zamanda yapılan bir araştırmaya göre kurumların yüzde 68’inin içeriden oluşan bir saldırı yaşama ihtimali olduğunu düşünmesi de bu sorunun ne kadar önemli olduğunu gösteriyor. Kötü amaçlı içeridekiler olarak değerlendirilen kişilerin yanı sıra bu tehditler “yanlışlıkla hata yapan içeridekiler” olarak adlandırılan bir grupla da bağlantılı. Aynı araştırmaya göre güvenlik ekipleri, oltalama saldırılarının kurbanı olmayı içerideki tehditlerin en büyük sonucu olarak görüyor (yüzde 38). Ardından özel oltalama saldırıları (yüzde 21), zayıf parola (yüzde 16), şüpheli web sayfalarını ziyaret etme (yüzde 7) geliyor. Başka bir deyişle yasal olup olmadığını kontrol etmeden tıklanan bir bağlantı ya da indirilen bir dosya, siber saldırganlara kapıyı açmak için yeterli.
İlgisiz ve ihmalkar davranışlar, özellikle veri ihlalinde kurumları uzun süre etkileyen sonuçlara neden olabiliyor. Çalışanların da uzakta olup şüpheli bir e-postaya dair fikirlerini almak için iş arkadaşının masasına yürüyemiyor olması da bu kişileri sosyal mühendislik saldırılarına daha açık hale getiriyor. Bu göz önünde bulundurulduğunda CISO’ların, ağlarını güvenli tutma ve içerideki tehdit riskini azaltma konularında oynadıkları rolü anlamaları için kendi çalışanlarının siber güvenlik farkındalığına önem vermesi artık çok daha önemli hale geliyor.
Güvenlik Kültürüyle İnsanlardan Güvenlik Duvarı Yaratmak
Çalışanların en iyi savunma hattı olabilecekleri düşünüldüğünde CISO’ların kendi kurumlarını korumak için çalışan eğitimlerini ve farkındalığını siber güvenlik stratejilerine dahil etmesi kritik öneme sahip. Bu tekniği benimseyen liderler, çalışanlarının birçok tehditle karşılaşmaya hazır hale geldiğinden emin olabiliyor.
İş unvanları veya rolleri ne olursa olsun, tüm çalışanların güvenlik olaylarının yaratabileceği sonuçları ve hem kurumu hem de kendilerini nasıl etkileyebileceğini anlaması gerekiyor. Tüm kurumda uygulanacak stratejik bir yaklaşımın önemi, 200’den fazla CISO’nun katıldığı 2019 Forbes Insights anketinde de öne çıkıyor. Önümüzdeki 5 yılda fonu göz önünde bulundurulduğunda önceliklendireceği güvenlik inisiyatifleri sorulduğunda, yüzde 16’lık bir kesim, güvenlik kültürünün oluşturulması cevabını verdi.
İlk aşamada CISO‘ların iyi bir siber hijyen temelini oluşturmak için çalışanların siber güvenliği ciddiye almalarına yardımcı olması çok önemli. Bunu gerçekleştirmek için aşağıda bazı yöntemler yer alıyor:
Siber Farkındalık Eğitimini Önceliklendirmek
Sosyal mühendislik saldırıları, başarılı olduğu için kurumları sıkça hedef alıyor. Hatta Verizon’un 2019 Veri İhlali Araştırma Raporu’na (DBIR) göre veri ihlallerinin yaklaşık üçte biri bir şekilde oltalama saldırısıyla bağlantılı. Bu riski ortadan kaldırmak için CISO’ların çalışanları oltalama, özel oltalama (spear phishing), SMS ile kimlik avı (smishing) veya diğer teknolojik destek dolandırıcılığı şeklinde karşılarına çıkan yaygın saldırılara karşı eğitmesi lazım. Bu dersler online buluşma ortamları, video chatler veya e-postalar üzerinden verilse dahi mutlaka önceliklendirilmesi gerekiyor. Çalışanların bu tehditleri ve tehditleri ele veren ipuçlarını anlaması, sahte e-postaların veya kötü amaçlı web sayfalarının kurbanı olmasını engellemeye büyük ölçüde yardımcı olabilir.
Bu eğitimlerde siber dolandırıcılığın yaygın belirtilerinin (“ücretsiz” fırsatların promosyonu gibi) yanında bilgiyi test etmek ve hangi çalışanın daha fazla yardıma ihtiyacı olduğunu ortaya çıkarmak için oltalama örneklerinin bir simülasyonunun da yer alması gerekiyor. Bu tür yöntemler uygulandığında çalışanlar bir sosyal mühendislik saldırısının hedefi olduğunu daha iyi anlayabilir ve buna karşı daha doğru tepkiler verebilir. Fortinet’in NSE Eğitim Enstitüsü, çalışanları artan siber saldırı riskine karşı eğitmek ve tehditleri nasıl tespit edebileceklerini göstermek için ücretsiz bir Bilgi Güvenliği Farkındalık eğitim hizmeti sunuyor.
Güvenlik Ekipleri ve Diğer Departmanlar Arasında İşbirliği Oluşturmak
Siber güvenlik, özellikle siber tehditlerin büyümeye devam ettiği, daha akıllı ve fark etmesi zor hale geldiği için sadece güvenlik ve BT ekiplerinin sorumluluğunda olmamalı. Çalışanların oltalama saldırılarını tespit edebileceklerinden emin olmasına ek olarak liderlerin güvenlik ekipleri ve diğer departmanlar arasında işbirliğini de teşvik etmesi gerekiyor. Güvenlik ekipleri riskleri ve tehditleri tespit etme konusunda uzman olsa da diğer departmanlar, siber farkındalığa sahip olmayan çalışanlar için bile ofiste veya uzaktan çalışma ortamlarında uygulanması kolay, kullanıcı dostu ilkelerin oluşturulmasında kritik rol oynuyor.
Birlikte çalışma gibi aktiviteler sayesinde CISO’lar kurumdaki tüm birimlerin siber güvenlik ilkelerine dair farkındalığa sahip olduğundan ve davranışlarının tüm kurumda yaratabileceği etkinin bilincinde olduğundan emin olabiliyor. Çalışanların güvenli siber güvenlik uygulamalarını ve davranışlarının yaratabileceği sonuçları anlamalarına yardımcı olmak, bu kişilerin evden çalışırken bile şüpheli bir e-posta veya web sitesiyle karşılaştıklarında verdiği tepkilerin iyileşmesini sağlıyor.
Çalışanlar neyin beklendiğini bildiğinde ve ekibin bir parçası gibi hissettiğinde en iyi uygulamaları gerçekleştirmeye ve standart şifreyi değiştirmeyi unutmak veya güçlü şifre kullanmaktan kaçınmak gibi “yanlışlıkla hata yapan içeridekiler”in neden olabileceği sorunların kaynağındaki davranışları ortadan kaldırmaya teşvik edilmiş oluyor. Bu ilkeleri takip eden çalışan sayısı arttıkça kurumun ilk savunma hattı görevi gören insan güvenlik duvarları da o kadar güçlü oluyor.
En İyi ve Basit Uygulamaları Oluşturmak
Bir sosyal mühendislik saldırısında nelere dikkat etmesi gerektiği gösterilen çalışanlar, ilerleyen aşamalarda bazı yönlendirmelere ihtiyaç duyabiliyor. Şüpheli görünen bir e-postayı görmezden gelmek veya silmek kolay ancak e-postayı alan kişiyi şüphelendirmeyen normal görünenlerde daha dikkatli olmak gerekiyor. Böyle bir durumda CISO’ların çalışanlarını “Gönderen kişiyi tanıyor muyum?”, “Böyle bir e-posta bekliyor muydum?”, “Bu e-posta heyecan veya korku gibi hisler uyandırıyor mu?” ve “Hızlı davranmam mı söyleniyor?” gibi soruları sormaya yönlendirmesi gerekiyor.
Bu sorular, bir e-postanın kötü amaçlı olup olmadığına dair kafa karışıklığının ortadan kalkmasına yardımcı olacaktır. Ancak e-posta alıcısının kendisini ve kurumunu koruması için mutlaka ekstra adımlar atması gerekiyor. Bağlantıya tıklamadan, beklenmedik ekleri açmadan önce göz gezdirmek, e-postayı gönderen kişiyle iletişime geçerek gerçekten onun gönderip göndermediğini öğrenmek ve şüpheli görünen e-postaları BT veya güvenlik ekibine bildirmek, atılabilecek adımlar arasında yer alıyor. Bu adımları çalışanlarına ilk aşamada açıklayan CISO’lar, olumsuz sonuçların önüne geçebiliyor.
Siber farkındalık, kurumları güvende tutmak için kritik öneme sahip. Çalışanlar farkında olmasa bile davranışları, siber saldırganların hassas veriye erişmesi için gerekli kapıyı açabilir.
Departmanlar ve güvenlik ekipleri arasında eğitime ve işbirliğine öncelik veren CISO’lar, güçlü bir güvenlik kültürünün temelini oluşturabiliyor. Şüpheli davranışları tespit etmek, cihazları güncel tutmak ve siber alışkanlıkları uygulamak, insanların oluşturduğu güvenlik duvarının sağlam kalması için tüm iş alanlarının temeline işlenmesi gerekiyor.