ikili kodun bulunduğu bir mavi fonda 2 boyutlu kırmızı kırık asma kilit ve kapalı mavi kilitler

Küçük ve orta büyüklükteki işletmeler için güvenlik açığının kapatılması

#KingstonCognate, Prof. Sally Eaves’i sunar

Prof. Sally Eaves’in fotoğrafı

Prof. Sally Eaves, Global Foundation of Cyber Studies and Research’ün Siber Güven Başkanı ve Üst Düzey Politika Danışmanı olarak görev yapmaktadır. ‘Etik teknoloji açısında bir lider’ olarak tanımlanan Sally, Birleşmiş Milletler tarafından verilen Öncü Teknolojiler ve Sosyal Etkiler Ödülü'nün ilk sahibidir. Teknoloji Başkanlığı geçmişine sahip olan ve şu anda Gelişmiş Teknolojiler ve Gelişmekte Olan Teknolojiler Alanında Küresel Stratejik Danışmanlık yapan Sally, ödüllü bir Uluslararası Yazar, MC, Önemli Bir Konuşmacı ve Dijital Dönüşümün (Yapay Zeka, 5G, Bulut, Blockchain, Siber Güvenlik, Yönetişim, IoT, Veri Bilimi) yanı sıra Kültür, Beceriler, DEI, Sürdürülebilirlik ve Sosyal Etkiler alanında bir Düşünce Lideridir.

Yeni teknoloji yetenekleri kuşağını desteklemek için eğitim vermekte ve etkin biçimde mentörlük yapmaktadır. Eğitim ve teknolojide kapsamayı, çeşitliliği ve eşitliği geliştirmek için Aspirational Futures’u kurdu. Son kitabı ‘Tech For Good’ 2022’de yayımlanacak. Sally, Yapay Zekadan ve 5G’den Sürdürülebilirlik ve ötesine kadar birden fazla disiplinde ilk 10’da yer alan, Onalytica gibi kurumlara öncülük yaparak teknoloji alanındaki küresel etkileriyle tanınmaktadır.

KOBİ siber güvenlik tehdidi alanı

Küçük ve orta büyüklükteki işletmeler (KOBİ’ler), hem ulusal ekonomiler hem de uluslararası ekonomik kararlılık ve büyümede hayati bir role sahiptir. Yaklaşık 400 milyon KOBİ, küresel ekonomimizin omurgasını oluşturmaktadır ve tüm iş varlıklarının %95’ine ve istihdamın %60 ila 70’ine karşılık gelerek iş ve istihdam oluşturmada önemli bir kaynaktır.

Dolayısıyla hem ekonomi hem de güvenlik açısından KOBİ’lerin günümüzün çok kanallı dijital dünyası tarafından sunulan fırsatların tümünden yararlanırken güçlü bir siber güvenliğe sahip olması çok önemlidir.

Bu da önemli bir değişim zamanında gelmektedir. Birçok KOBİ, küresel pandemi ve uzaktan/hibrit çalışma yöntemlerinin yükselişi sırasında iş etkinliklerini ve modellerini korumak, sabitlemek ya da çeşitlendirmek için yeni dijital stratejileri ve teknolojiler çok hızlı benimsemek durumunda kaldı. Bu durum ek siber risklerin de ortaya çıkmasına neden oldu.

Siber saldırıların her 39 saniyede bir ve günde ortalama 2244 kez gerçekleştiği (Varoni 2020) dikkate alındığında KOBİ’lerin siber ihlallere karşı kırılganlığı yılda %400’den fazla artıyor. Diğer taraftan bunların etkili biçimde yönetilmesi için daha az kaynak ve finansal birikim nedeniyle korumaları azalabilir. Bu yazı, giderek artan siber güvenlik tehdidine karşı değişim ve gelecekteki hazır olma durumunu güçlendirmenin çok önemli olduğu konusundaki farkındalığı artırmak amacıyla KOBİ’ler için modern tehdit ortamını, bunun neden bu kadar önemli olduğunu ve karşı karşıya kalının önemli zorlukları ortaya koymaktadır.

“Artık KOBİ yatırımlarının, eğitimlerinin, araştırmalarının ve genişleyen daha yüksek risk farkındalığının, KOBİ’lerin siber suçlular ve bilgisayar korsanları ve genel olarak küresel ekonomi için daha az değer sunduğu konusunda var olan yanlış algıyı ayırma zamanı!” Prof. Sally Eaves

KOBİ artan riskler Çok önemli olmasının nedeni

Yazı yazan kapüşonlu bir erkek bilgisayar korsan ve önünde uçuşan ikili verilerle sayılar ve arkasında sözcük haritası

İş büyüklüğü ile bir siber saldırının maliyetinin seviyesi ve siber saldırılara dirençlilik konusunda hazırlıklı olmamanın, başta iş kesintisi ve finansal kayıplar olmak üzere yol açabilecekleri arasında önemli bir kavram yanılgısı bulunmaktadır. Bu bağlamda bakıldığında, Birleşik Krallık’ta yakınlarda yapılan bir araştırmada (Vodafone Business 2021), başarılı bir siber saldırının ortalama maliyeti 3230 Sterlindir. Rapora göre bu tür bir kayıp, Birleşik Krallık’taki KOBİ’lerin neredeyse çeyreğinin çökmesine ve %16 ya da daha fazlasının personel işten çıkarmak zorunda kalmasına neden olacaktır. Bu bilgi, diğer küresel çalışmalarla da paraleldir. Ayrıca riskler bununla kalmamaktadır. Zarar gören itibar ve azalan tüketici ya da ekosistem güveni, ilk tehditten kurtulan işletmeler için daha uzun sürebilecek etkilerdir. Tüketicilerin %81’i, bir veri ihlali sonrasında markalarla online etkileşime girmeyi bırakacaklarını belirtmektedir.

Ayrıca ve başka bir etkileyici kavram hatası, çok çeşitli tedarikçiler ve iş ortaklarıyla çalışan KOBİ’lerin verileri, büyük kurumlar kadar değerlidir ve diğer kuruluşlara bir erişim kapısı sağlayabilir. Bir siber saldırgan, tedarik zincirinde herhangi bir halkaya sızabilirse, diğerine ve genellikle içindeki daha büyük şirketlere daha kolayca saldırabilir. KOBİ’lerin verilerinin çalınması da genellikle daha kolaydır. Bilgisayar korsanlarının, ortak finansal kazanım hedefiyle organize bir grup halinde çalışması gibi gerekçelerden dolayı bu sektörü hedef alan siber saldırıların sadece sıklığının değil gelişmişliğinin de giderek arttığını ve bunun hızla devam ettiğini görmek şaşırtıcı olmayacaktır.

KOBİ’ler için gelişen tehdit ortamı

Yeni araştırma, KOBİ’lerin karşı karşıya tehditlerin gerçek kapsamını, büyük kurumlarla karşılaştırarak ortaya koymaktadır. 2019-2020 KOBİ’lerin %65’i siber saldırılara maruz kalırken tüm işletmelerde bu oranın %46 (Towergate) olması, saldırıların tekrar tekrar gerçekleştiğini onaylamaktadır! Bir ihlal yaşayan KOBİ’lerin, bu süre boyunca her iki ayda aralıklı olmak üzere ortalama 6 kez saldırıya maruz kalmış. (NatWest).

Peki KOBİ’lerin karşı karşıya kaldığı ana tehdit taktikleri nelerdir?

2 temel dış tehdit vektörü ilk akla gelenlerdir: kimlik avcılığı ve Tedarik Zinciri ekosisteminde sosyal mühendislik. Bunlar, risk değerlendirmesinin yapılmaması, kötü erişim kontrolü, veri, cihaz ve parola koruması, düşük yatırım seviyeleri, yetersiz eğitim ve farkındalık, siber hijyen kültürü ve beceriler dahil olmak üzere iç tehdit vektörleriyle bir araya geldiğinde çok geniş olabilecek bir saldırı alanı ortaya koymaktadır.

mektuptan geçen bir olta iğnesinin yer aldığı bir açık posta sembolü

Kimlik avcılığı ve sosyal mühendislik
Kullanıcıları, kötü amaçlı yazılımları indirmek gibi ‘yanlış şeyi yapması’ için kandırmayı amaçlayan kimlik avcılığı girişimlerinin %85’i, genellikle e-posta etkileşimleriyle olmaktadır. Ayrıca her geçen gün daha gelişmiş hale gelmektedir. Hatta yakın zamanda yapılan bir testte Yapay Zekanın daha iyi kimlik avcılığı e-postaları yazdığı bulundu. Genellikle kimlik avcılığı ile bağlantılı sosyal mühendislik, insanları taklit etme, ikna, hatta belirli bir eylemi yapması ya da gizli bilgileri açıklaması için tehdit etme yoluyla manipüle etme sürecini temsil etmektedir. Pandemi de tipik bir örnektir. Toplu kırılganlığımızdan beslenen siber suçlular, konu olarak Covid-19'u, hatta Dünya Sağlık Örgütü’nden gelmiş gibi gösteren dosyalar ekleyerek kimlik avcılığı e-postaları, mesajları ya da WhatsApp mesajlarıyla hesaplarımıza girmeye çalışmaktadır. Tüm bunları dikkate aldığımızda bu tür siber tehditteki dönüşüm seviyesi gerçekleri ortaya koymaktadır. 1988’te ‘Morris Worm’ adı verilen ilk kayda geçmiş siber saldırıyı düşünün. Bu saldırı 6000 bilgisayarı etkiledi ve daha sonra tüm internetin yaklaşık %10’una karşılık geldi. Devir nasıl değişti!

altında 3 yuvarlağı işaret eden 3 çizginin bulunduğu bir profil resmi görüntüsü

Tedarik zinciri
Siber suçluların en çok tercih ettiği saldırı vektörü haline gelen ihlaller bir donanım kaynağı yerine bir yazılımdan gelmektedir. Örnek olarak düzenli yazılım güncellemelerine sızan kötü amaçlı yazılımlar gösterilebilir. Saldırılar, KOBİ’leri kendi tedarik zincirleriyle hedef almayı ya da daha tipik olarak daha sonra hedefteki daha büyük kuruluşlara atlamak için KOBİ’ye sızmayı amaçlamaktadır. Açık kaynak yazılım kütüphaneleri, tedarik zinciri kırılganlığının bir diğer alanıdır. Önümüze baktığımızda, 2025 yılı itibariyle ikiye katlanarak sayısı 75 Milyara ulaşacak IoT (Nesnelerin İnterneti) bağlantıları düşünüldüğünde bu, kendi başına yeni bir siber risk oluşturmaktadır. Çoğu saldırıya açık cihazlardan oluşan düşük maliyetli donanımlar ağlara bağlanabilir. Bunu gelişmiş bir IT/OT yakınlaşması ve tedarik zinciri ekosistemi perspektifinden düşünürsek tehdit alanının genişlemesi sahnedeki yerini alır.

KOBİ siber risk bariyerleri

Bu önemli bir soruyu ortaya çıkarıyor: KOBİ’lerin siber risklere karşı proaktif olmak için en yeni koruma yöntemlerini uygulamamasının arkasındaki ana faktörler nelerdir? Öncelikle bariz bir farkındalığa karşılık gerçekleştirme aralığı bulunuyor. Örnek olarak yakın bir zamanda yapılan bir araştırmada KOBİ’lerin %93’ünün siber güvenliğin işlerinin devamlılığı için hayati öneme sahip olduğuna inansa da yalnızca %64’ü gerçekten siber güvenlik çözümleri kullanmaktadır. Ayrıca Avrupa’da yapılan bir araştırma, farklı bir farkındalık ve gerçekleştirme aralığı ortaya koydu. Buna göre birçok KOBİ, yanlış biçimde, satın aldıkları ürünlerde siber güvenlik kontrollerinin var olduğuna ve uyum gereksinimleri ya da düzenlemeleri tarafından zorunlu kılınmadıkça ek güvenlik önlemlerinin gerekli olmadığına inanıyor (enisa 2021).

Yatırım kapasitesi de bir diğer zorluk. Statista (2020), siber güvenlik yatırımının ortalama 5100 Sterlin’e ulaştığını ortaya koydu. Bu da KOBİ’lerin harcama açısından doğru alanda olduklarına inanmalarına neden olabilir. Ancak bu sayı, ortalaması 3490 Sterlin olan çok sayıda mikro ve küçük işletme nedeniyle sapmaktadır. Bunu muhtemelen daha hazırlıklı olan ya da en azından daha fazla kaynağa sahip olan daha büyük kuruluşlarla karşılaştırdığınızda, ortalama yatırım değeri 277.000 Sterlin’e çıkıyor. Kötü aktörlerin yararlanmaktan çok memnun olacağı şekilde açıklığın çok geniş olduğunu ortaya koyuyor.!

Diğer faktörler arasında az gelişmiş ‘siber kültür’, aşırı karmaşıklık algıları, kaygılar ve genellikle bulut güvenliği ile ilgili kavram hataları ve ‘aslında KOBİ’lerin erişim alanında olan’ teknoloji ve desteğin genel olarak farkında olunmaması sayılabilir. Hepsi arasında en dikkat çekicisi yakın bir zaman bir araştırma katılanların %54’ü, personelini veri güvenliği ve siber güvenlik tehditlerine karşı eğitmediğini belirtmektedir (Vodafone Business 2021).

Siber risklerin engellenmesi

Kingston DataTraveler Vault Privacy 3.0, bir dizüstü bilgisayara takılı ve arka planda ikili kodlar ve kilitli ve parola sembolü

Siber güvenlik, açıkça kuruluşun büyüklüğünden bağımsız olarak herkesin gündeminin en üstünde olmalıdır! Tehditlerin sürekli artması ve yaygınlaşmasıyla sisteminizin saldırılar için bir ‘açık kapı’ olmadığından emin olmak hiç bu kadar önemli olmamıştı. Bu durum çalışanların, süreçlerin, sistemlerin, ağların ve teknolojinin dikkatli biçimde koordine edilmesini gerektirmektedir. Bu da davranış değişimini karşılayacak ve her zaman başarılı teknolojik değişimlerin temelini oluşturan desteği sağlayacak ortak bir sorumluluk düşünce tarzı, kültürü ve değer değişimi gerektirmektedir. KOBİ’lerin bir numaralı insan merkezli tehdit merkezi (kimlik avcılığı ve sosyal mühendislik) olması, bu konuda eğitimin bir numaralı stratejik sağlayıcı ve destek olmasını sağlamaktadır. Bu tehlike alanlarını ne kadar iyi tanırsanız, siber güvenlik seviyeniz o kadar güçlü olabilir.

Başlangıç olarak çalışanlarınızda yerel olarak var olan verilere bakarak veri kaybının önlenmesine odaklanmak önemlidir. Şifreli USB’ler, hassas verilerin mümkün olduğunca güvenli biçimde saklanmasının ve taşınmasının sağlanmasına yardımcı olduğundan burada çok etkili olabilir.

Kingston Technology, şifreli USB bellek kategorisinde uzun süredir faaliyet gösteren çok güvenilen bir liderdir ve avantajlar ve iş gereksinimlerinize uyumlu hale getirmede özel destek sunabilir. Ayrıca Kingston Technology’nin müthiş "Bir Uzmana Sorun" Ekibi, sizin kendi veri saklama ortamınıza ve gereksinimlerinize göre kişiselleştirilmiş avantajlar hakkında özel öneriler sağlayabilir.

Son olarak bu yazıyı takiben yakında çıkacak olan, KOBİ’lerin, teknoloji, süreçler ve insan esaslı yaklaşımlarda siber güvenlik duruşunu daha iyi hale getirmek için yapabileceği 12 en iyi ipucunu inceleyebilirsiniz.

#KingstonIsWithYou

Bir Uzmana Sorun

Bir Uzmana Sorun

Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.

Bir Uzmana Sorun

İlgili Ürünler

İlgili Yazılar