Siber güvenlik şirketi ESET, 2024 yılında dikkate alınması ve üzerinde durulması gereken eğitim konusu önerilerini paylaştı.
Eğitim ve farkındalık faaliyetleri tüm güvenlik stratejilerinin kritik bir modülü olmasına rağmen tek başına yeterli değildir. Kuruluşların, güçlü denetim ve taşınabilir cihaz yönetimi gibi araçlar aracılığıyla uygulanan çok sıkı güvenlik politikalarına sahip olmaları gerekir. Siber güvenliği yüksek bir kurum kültürü yaratmanın denkleminin unsurları “insanlar, süreç ve teknoloji”dir. Verizon verilerine göre 2022’deki tüm küresel ihlallerin dörtte üçü (yüzde 74) “insan unsuru” içeriyor. Bu bilgi, birçok durumda kusur ve ihmallerin söz konusu olduğunu göstermektedir. Sonuç olarak kullanıcılar kimlik avı ve sosyal mühendisliğin kurbanı oluyor. Güvenlik eğitimleri ve farkındalık programları bu riskleri azaltmanın değerli bir yolu olsa da en önemli şey yanlış kullanıcı davranışlarını doğru olanlarla değiştirmektir.
Siber güvenliğin artırılması için 2024 yılında üzerinde durulması gereken konular ve eğitimler üç başlık altında toplanıyor.
BEC dolandırıcılığı ve kimlik avı
Hedef odaklı kimlik avı bildirimlerinden yararlanan iş e-postası ihlali (BEC) dolandırıcılıkları, siber kabahatler arasında en yüksek kazanç sağlayan kategorilerden biri olmaya devam ediyor. Geçen yıl FBI’a bildirilen olaylarda mağdurlar 2,7 milyar dolardan fazla para kaybetti. Bu, çoğunlukla mağdurun, kurumsal kaynakların dolandırıcının kontrolü altındaki bir hesaba aktarılmasını onaylaması için kandırılması yoluyla, öncelikle sosyal mühendisliğe dayanan bir kabahattir. Bunu başarmak için bir CEO veya tedarikçiyi taklit etmenin çeşitli teknikleri vardır. Bu teknikler, kimlik avı farkındalığı uygulamalarına uygun şekilde dahil edilebilir. Bunlar, gelişmiş e-posta güvenliği, güvenli ödeme sistemleri ve ödeme taleplerinin çoklu kontrolüyle birleştirilmelidir.
Bu tür kimlik avı saldırıları yıllardır yapılıyor ancak hâlâ kurumsal ağlara saldırmanın en çok kullanılan yolu. Evde ve mobil ortamda çalışan insanların basit bir şekilde dikkatlerinin dağılması nedeniyle kötü adamların hedeflerine ulaşma ihtimali daha da artıyor.
Uzaktan ve hibrit çalışma güvenliği
Uzmanlar uzun süredir evde çalışanların güvenlik prosedürlerini görmezden gelme veya unutma olasılığının daha yüksek olduğu konusunda uyarıyordu. Yapılan bir araştırma, çalışanların yüzde 80’inin yaz aylarında cuma günleri evden çalışmanın kendilerini daha rahat hissettirdiğini ve dikkatlerini dağıtmadığını itiraf ettiğini gösterdi. Bu durumda, özellikle konut ağları ve cihazları kurumsal ortamlarda kullanılanlardan daha az korunuyorsa, çalışanlar daha yüksek risk altında olabilir. Dizüstü bilgisayarlar için güvenlik güncellemeleri, şifre yönetimi ve yalnızca kurumsal onaylı cihazların kullanılmasına yönelik öneriler içeren eğitim programlarının devreye girmesi gereken yer burasıdır. Buna kimlik avı farkındalığı eğitiminin de eşlik etmesi gerekiyor.
Hibrit çalışma günümüzde birçok işletme için standart hale geldi. Yapılan bir araştırma, işletmelerin yüzde 53’ünün bu yolu şirket politikası olarak benimsediğini ve bu sayının giderek artacağını gösteriyor. Ofise gidip gelmenin veya halka açık bir yerden çalışmanın bazı riskleri vardır. Bunlardan biri, mobil çalışanları ortadaki rakip (AitM) saldırılarına ve “kötü ikiz” tehditlerine maruz bırakabilen halka açık Wi-Fi bağlantı noktalarından gelen tehditlerdir. Bu tehditler, bilgisayar korsanlarının bir ağa erişim sağlaması ve bağlı cihazlar ile yönlendirici arasında dolaşan verileri gizlice dinlemek için belirli bir konumda meşru bir erişim noktası gibi görünen yinelenen bir Wi-Fi erişim noktası kurmasıyla ortaya çıkar.
veri koruması
Düzenleyicilerin uyumsuzluklara karşı önlem alması nedeniyle GDPR cezaları yıllık yüzde 168 artarak 2022’de 2,9 milyar Euro’nun üzerine çıktı. Bu, kuruluşların çalışanlarının veri koruma politikalarına gerçekten uyduklarından emin olmaları açısından çok değerlidir. Sistematik eğitim, doğru bilgi ve uygulamaları korumanın en iyi yollarından biridir. Bu, güçlü şifreleme kullanılması, doğru şifre yönetimi, cihazların güvende tutulması ve herhangi bir olayın anında ilgili tarafa bildirilmesi gibi önlemler anlamına gelir.
Çalışanlar ayrıca, istenmeyen e-posta bilgileri sızıntılarına yol açan yaygın bir kusur olan kör karbon kopyanın (BCC) kullanımı hakkında da bilgilendirilebilir ve diğer teknik eğitimlerden yararlanabilirler.
Kaynak: (BYZHA) Beyaz Haber Ajansı
