Kilitli ve kalkanlı bir dünya üzerinde dijital internet hatlarının mavi illüstrasyonu

Her ölçekte güvenlik– KOBİ'den kurumlara proaktif koruma!

#KingstonCognate, Prof. Sally Eaves’i sunar

Prof. Sally Eaves’in fotoğrafı

Prof. Sally Eaves, Global Foundation of Cyber Studies and Research’ün Siber Güven Başkanı ve Üst Düzey Politika Danışmanı olarak görev yapmaktadır. “Etik teknoloji açısından bir lider” olarak tanımlanan Sally, Birleşmiş Milletler tarafından verilen Öncü Teknolojiler ve Sosyal Etkiler Ödülü'nün ilk sahibidir. Teknoloji Başkanlığı geçmişine sahip olan ve şu anda Gelişmiş Teknolojiler ve Gelişmekte Olan Teknolojiler Alanında Küresel Stratejik Danışmanlık yapan Sally, ödüllü bir Uluslararası Yazar, MC, Önemli Bir Konuşmacı ve Dijital Dönüşümün (Yapay Zeka, 5G, Bulut, Blockchain, Siber Güvenlik, Yönetişim, IoT, Veri Bilimi) yanı sıra Kültür, Beceriler, DEI, Sürdürülebilirlik ve Sosyal Etkiler alanında bir Düşünce Lideridir.

Yeni teknoloji yetenekleri kuşağını desteklemek için eğitim vermekte ve etkin biçimde mentörlük yapmaktadır. Eğitim ve teknolojide kapsamayı, çeşitliliği ve eşitliği geliştirmek için Aspirational Futures’u kurdu. Son kitabı “Tech For Good” yakında yayımlanacak. Sally, Yapay Zekadan ve 5G’den Sürdürülebilirlik ve ötesine kadar birden fazla disiplinde ilk 10’da yer alan, Onalytica gibi kurumlara öncülük yaparak teknoloji alanındaki küresel etkileriyle tanınmaktadır.

KOBİ'ler için siber güvenlik – ne yapmanız gerekiyor?

Birçok farklı türde siber güvenlik riski, kapsam, ölçek ve karmaşıklık açısından birbirine yakınlaşıyor ve KOBİ'lerden kurumlara kadar her sektörden ve her ölçekten kuruluş için sürekli devam eden bir tehlike oluşturuyor. Bu yazıda, özellikle KOBİ'lerin risklere daha fazla maruz kalma durumuna dikkat çekerek nelerin değiştiğini araştırıyor ve başlangıç noktanız ne olursa olsun, kültür ve eğitime dikkat etmekten sıfır güven uygulamalarına ve uç nokta siber güvenliğini uygulamalarınıza dahil etmeye kadar güvenlik duruşunuzu nasıl geliştirebileceğinizle ilgili somut örnekler veriyoruz.

İlk olarak, özellikle pandemi ve bunun "her yerden çalışma" modelleri ile ilgili etkileri, değişen beklentiler ve davranışlarla birlikte artan çalışan ve tüketici etkenleri, Ukrayna'daki durum ve hızla gelişen enerji krizi gibi güvenlik risklerindeki hızlanmanın arkasındaki katalizörlere bakmak akıllıca olacaktır. Ne yazık ki, saldırganların her zaman en savunmasız alanlarımızdan beslendiği bir gerçek olmayı sürdürmektedir. Tehdit ortamını daha ayrıntılı olarak incelediğimizde, aşağıda incelenen riskin 5 ayağı ön plana çıkmaktadır:

Siber Güvenlikte risk ayakları

Riskin ayakları bilgilendirme grafiği
  1. Siber güvenlik ekonomisinin ve özellikle fidye yazılım ve kimlik avı ile ilgili hizmetlerin büyümesi
  2. Aktörlerin, tespit edilmeyi engellemek için saldırıların hacmini ve ölçeğini artırmasıyla devlet destekli tehditlerde artış
  3. IoT ve OT’nin yakınlaşması ve yeniliklerin, güvenlik tehdidi cephelerini genişletmesi
  4. Dağıtık ve hibrit işgücü modellerinin hızla gelişmesinin, kullandığımız araçlardan işimizi nasıl yaptığımıza kadar riskin doğasını değiştirmesi
  5. Siber güvenlik saldırı kampanyalarının ikna ve psikolojik etkisini ve etkililiğini etkileyen dezenformasyon, yanlış bilgilendirme ve kötü bilgideki artış.

Siber saldırıların yaklaşık %43'ünün1 küçük işletmeleri hedef aldığını gösteren yeni bir araştırmaya göre, KOBİ'ler özellikle fidye yazılımları ve kimlik avı gibi siber güvenlik saldırılarındaki artıştan etkilenmiştir (Verizon 2022). Birleşik Krallık'ı genel olarak temsil eden bir örnek olarak kabul ederek, 2021 NCSC Yıllık İncelemesi2, yakın zamanda fidye yazılımlarının bugün Birleşik Krallık'ın karşı karşıya olduğu en önemli siber tehdit olduğunu ortaya koydu. Birleşik Krallık ve ABD'deki işletmelerin %99'undan fazlasını temsil eden bu sektörün3 (SBA 2021) küresel ekonomik büyümeye toplu katkısı öne çıkarken, KOBİ'lerin daha geniş işletme ekosistemlerine giderek daha çekici bir giriş noktası sağlamasıyla tedarik zincirlerine yönelik riskler de öne çıkmaktadır.

Datto4 tarafından yapılan ve risklerin daha ayrıntılı ele alındığı araştırma, MSP'lerin %85'inin fidye yazılımlarını küçük işletmeler için en büyük kötü amaçlı yazılım tehdidi olarak gördüğünü ortaya koydu. Uzak Masaüstü Protokolü (RDP) bu tür saldırılar için en yaygın tür olmakla birlikte, KOBİ çalışanlarının uzaktan ve hibrit çalışma modellerinde daha fazla dağılımı ve fiziksel olarak ofisteyken “Kendi Cihazını Getir” uygulamasının artışı yeni zorluklar yaratmıştır. Bunlar, tehdit alanının genişlemesinden, çalışma lojistiğindeki sürekli değişimle birlikte güvenlik uygulamalarıyla ilgili kayıtsızlık ve alışkanlıklardan vazgeçilmemesi riskine kadar uzanmaktadır. Bu durum, KOBİ'lerin tipik olarak “ulaşabilecekleri” destek seviyeleri hakkında yanlış kanılara sahip olmaları, daha fazla bütçe kısıtlamaları, daha az kaynak ve kurum içi uzman teknik beceri eksikliği ile birleştiğinde, kötü amaçlı aktörler için bir saldırı odağı olarak çekiciliklerini artırmaktadır. Sektörün hem yerel hem de küresel ekonomiler üzerindeki etkisi göz önünde bulundurulduğunda, bu durum, bunların orantısız operasyonel, finansal ve itibar etkilerini önemli bir endişe kaynağı haline getirmektedir.

Ancak sadece olumsuz haberler yok! Öncelikle, KOBİ'ler doğaları ve altyapıları gereği, eski teknolojilerin veya süreç açısından yoğun uzun karar verme döngülerinin ağırlığını taşıma olasılıkları daha düşük olduğundan değişim ve yeni yaklaşımların uygulanmasında daha çevik olabilmektedirler. Ayrıca, KOBİ'lerin gelecekteki siber güvenlik duruşlarını iyileştirmek için bugünden yapabilecekleri çok şey vardır. Etkili güvenliğin çok zor, çok zaman alıcı ya da uygulanması çok pahalı olduğu ya da tam tersine doğrudan raftan “Sıfır Güven” gibi bir şeyi satın alabileceğiniz ve işinizin bittiği yönündeki yaygın algıların ötesine geçmenin zamanı geldi. Sistem bu şekilde çalışmıyor: bu bir varış noktası değil süregelen bir yolculuktur.

Peki KOBİ'ler hem güvenlik konusundaki söylemi değiştirmek hem de risklere karşı duruşlarını iyileştirmek için neler yapabilirler? İlk olarak, mevcut bazı eğitim ve farkındalık fırsatları göz önüne alındığında, Ulusal Siber Güvenlik Merkezi5 ücretsiz güncel kaynaklar açısından mükemmel bir başlangıç noktası sağlamaktadır. Araştırma6 küçük işletmelerin güvenilir kaynaklara başvurmadığını ve bunun yerine genel bir arama yaptıklarında, online öneri bilgilerinin çokluğundan, bunları değerlendirmenin veya önceliklendirmenin bir yolu olmadığından genelde bunaldıklarını ortaya koymaktadır. Bu nedenle, çalışanlarınızın eğitimi ve destekleyici belgelerin var olması mutlak bir zorunluluktur. İş ortaklığının gücü de çok önemlidir. Büyük kuruluşlar bile genellikle siber güvenlik araçları, eğitimleri ve en iyi uygulamalar konusunda uzmanlaşmış üçüncü taraf sağlayıcılardan yararlanmaktadırlar ve bu alanda, her büyüklükteki kuruluşa göre uyarlanabilecek çok sayıda destek olanağı bulunmaktadır. Kötü amaçlı aktörlerin işbirliğindeki artışa karşı koymanın en iyi yolu, kurumların iyilik için bir araya gelmesi ve en iyi uygulamaları açıkça paylaşmasıdır!

Güvenlik tehdidi aktörleri, giderek daha karmaşık ve profesyonel taktiklere sahip siber suç çetelerinin bir araya gelmesi de dahil olmak üzere, daha etkili hale getirmek saldırı yaklaşımlarını için sürekli olarak geliştirmektedir. Sektör olarak, kuruluşlar ve bireyler olarak aynı şekilde karşılık vermeliyiz. Bu da Teknoloji, Kültür, Süreçler ve Becerilere odaklanmayı gerektirmektedir.

Doğru yapmak: Teknoloji ve süreçler

Daha önce Kingston Cognate Twitter Sohbetinde (@kingstontechbiz) anlattığım gibi, siber saldırıların yaklaşık %98'i aslında iyi bir siber hijyen ile önlenebilir. İşte teknoloji ve süreç bakış açısından bu temeli doğru bir şekilde atmaya yönelik bazı öneriler:

  1. Verilerinizi her zaman düzenli olarak yedekleyin – ve test edin!
  2. Hem teknoloji hem de ortaklık yaklaşımı açısından hibrit bulut çözümlerini değerlendirin
  3. Donanımınız, mobil cihazlarınız, uygulamalarınız ve işletim sisteminiz genelinde güncellemeleri ve yamaları takip edin – pandemi sırasında bunların sıklığı genellikle azaltıldı
  4. Parolaları doğru kullanın ve mümkün olan her yerde İki Faktörlü Kimlik Doğrulama (2FA) uygulayın
  5. Mümkün olduğunca halka açık Wi-Fi ağlarına bağlanmaktan kaçının
  6. VPN'lerden (Sanal Özel Ağlar) ve uç nokta algılama, güvenlik duvarı ve antivirüs çözümleri dahil olmak üzere veri kaybı önleme yazılım çözümlerinden yararlanın
  7. Riski azaltacak şekilde sık sık küçük değişiklikler yapmak için Sürekli Entegrasyon, Sürekli Uygulama (Continuous Integration, Continuous Deployment - CI/CD) gibi çevik Değişim Yönetimi yaklaşımlarını benimseyin
  8. Harici SSD'ler ve USB'ler gibi donanım şifrelemeli veri saklama cihazları kullanın
  9. Çalınan veya kaybolan cihazları takip edin, kilitleyin veya silin

Özellikle USB'ler ve harici SSD'ler gibi donanım şifrelemeli cihazlar, veri kaybı korumasını hızlı bir şekilde ilerletmek için oldukça uygun maliyetli çözümler sunmaktadır ve birden fazla sektörün yer aldığı uygulamalar ve her büyüklükteki kuruluş için uygundur. Rob Allen, Kingston Technology Avrupa’da Pazarlama ve Teknik Hizmetler Müdürü açıklıyor:

Devlet, Savunma ve İstihbarat Kurumlarından FinTech ve Sağlık Hizmetlerine, Küçük ve Orta Büyüklükteki İşletmelerinize ve SOHO (Küçük Ofis Ev Ofisi) kullanıcılarına kadar geniş bir kitleye şifrelenmiş USB çözümleri sunuyoruz... Gerçekten etkilendiğim ve heyecan duyduğum bir tanesi, dokunmatik ekranlı pin ve parolalı harici bir SSD. Bu genelde alıştığımız sistemlere kıyasla heyecan verici bir ek özellik.

Ayrıca Kingston Technology'nin mükemmel Bir Uzmana Sorun ekibi, veri merkezi müşterilerine, kurumsal son kullanıcılara ve KOBİ'lere sağladığı çok sayıda, ücretsiz olarak erişilebilen kaynak kılavuzlarının yanı sıra iletişim taleplerini doğrudan teknik kaynak grubuna iletilerek kuruluşunuza özel veri saklama ortamına ve gereksinimlerine göre uyarlanmış olası faydalar hakkında özelleştirilmiş öneriler sağlayabilir. Ayrıca KOBİ’lerin siber güvenliği artırmasına yönelin en iyi 12 ipucu’nu bulabileceğiniz Veri Güvenliği Blogu’nda da daha fazla destek bulunmaktadır.

Doğru yapmak: İnsanlar ve kültür

Tehditlerin azaltılması söz konusu olduğunda herkes bir fark yaratma becerisine sahiptir; her birey bir nevi güvenlik bekçisidir. Bu, “sesini yükseltmeye” olanak tanıyan bir kültürde yer alması gereken ortak bir sorumluluktur. Rob, Kingston IronKey Şifrelenmiş ürün portföyünün faydalarını anlatırken son derece önemli bir noktaya değindi:

Yani önlemek istediğiniz şey, insanların daha az güvenli olan atlatma çözümleri bulmasıdır. Ve aynı şekilde, ki bu çok önemli, yapmak istediğiniz şey onların adım atabilecekleri bir ortam yaratmaktır... ve en iyi uygulamalarla, gerçek dünyadan örnekler vererek bunu insanların evdeki hayatlarında da uygulayabilecekleri ilgili şeyler yapmaktır.

Bu durum, en yeni bilgilere, teknolojiyle ilgili bir pozisyona sahip olup olmadığına bakılmaksızın tüm çalışanlar tarafından ulaşılmasını sağlayarak siber güvenlik ve daha geniş bağlamda veri okuryazarlığı konusunda becerilere erişilebilirliğe ve beceriler konusundaki güvene de uzanır. Bu, insanların, kendilerine en uygun şekilde büyümesi ve gelişebilmesi için kendi öğrenme tarzı tercihlerini belirlemelerine yardımcı olan daha kişiselleştirilmiş eğitim programları geliştirilerek daha da desteklenebilir: akıllı teknolojileri tamamlayan akıllı düşünce tarzı. Bu durum da hem birey, hem ekip hem de kuruluş genelinde sonuçları iyileştirir. İşte ortak değer etkisi budur!

Kingston Technology, şifrelenmiş USB bellek kategorisinde uzun süredir faaliyet gösteren çok güvenilen bir liderdir ve avantajlar ve iş gereksinimlerinize uyumlu hale getirmede özel destek sunabilir. Bu; mükemmel Bir Uzmana Sorun ekibi ile birleştiğinde, ortamınıza ve gereksinimlerinize özel, gerçekten uyarlanmış öneriler alabilmenizi sağlar.

#KingstonIsWithYou #KingstonIronKey

Bir devre kartı yonga seti üzerinde Kingston bir uzmana sorun sembolü

Bir Uzmana Sorun

Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.

Bir Uzmana Sorun

İlgili Yazılar