Tüm personele güvenlik eğitimi verilmeli

Günümüzde şirketler, güvenlik bütçelerinin çoğunu güvenlik ihlallerini önlemeye çalışmaya harcarken, saldırıları tahmin etme, tespit etme ve yanıt verme gibi alanlara ise asgari miktarda harcama yapıyorlar. Bu yaklaşım birçok yönden hatalı olduğunu belirten Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk, “Çünkü bir kuruluşun hacklenmeye karşı yüzde 100 güvenliğe alınması olanaksızdır. Bu yatırım stratejisi birçok risk barındırmaktadır. Örneğin bir saldırgan ağa girmeyi başarabildiğinde tespit edilemeden verileri çalıp gidebilir. Şirketlerin, güvenlik kaynaklarına daha çeşitli yollardan yatırım yapmaya başlamaları gerektiğine inanıyoruz” dedi.
Güvenlik yatırımlarının yüzde 60'ının yakın zamanda, saldırı tespiti ve saldırıya müdahale üzerine yapılacağı, ayrıca, saldırıyı önlemeye çalışmaktan ziyade olası saldırıların önceden tahmin edilmesi üzerine olacağını da öngördüklerini belirten Sertan Selçuk, açıklamalarını şöyle sürdürdü: “Bu durum, şirketlerin kapsamlı bir güvenlik stratejisi geliştirmelerini ve günümüzün modern siber saldırı gerçekleriyle baş edebilmelerini sağlayacaktır.  2016'da gördüğümüz tehditlerin çoğu kullanıcılara risk oluşturmaya devam edecek fakat nitelik ve nicelik olarak değişiklikler görebiliriz. Mesela düşük kaliteli fidye yazılımının hacminde büyüme olacağını öngörüyoruz. Bu örnekte saldırganlar isteseler de kurbanlara dosyalarını teslim edemeyebilir ki bu durum da insanların ödeme konusunda daha isteksiz hale gelmelerine neden olabilir. Ödeme sistemlerini hedef alan saldırılara ilgi artacak ve bu tür finansal saldırılar sıradanlaşacak. Diğer yandan, kritik altyapı ve üretim sistemleri siber saldırılara karşı savunmasız kalacak ve muhtemelen büyük bir endüstriyel kazaya neden olacak.  2017’nin ana konusunun, saldırganların kanıt ve göstergeleri kişiselleştirmek, gizlemek veya manipüle etmek konusunda gittikçe artan yeteneklerini sergilemeleri olmasını bekliyoruz ki bu onları doğru bir şekilde tespit etmeyi daha da zor hale getirecek. Casusluk ayrıca mobil olacak: İşletmeler için ciddi bir tehdit oluşturabilen casusluk girişimleri, öncelikle cep telefonlarını hedef alacak ve güvenlik endüstrisinin adli analiz için mobil işletim sistemlerine tam erişim elde etmek adına vermesi gerekebilecek mücadeleden yararlanacak. Ayrıca önümüzdeki yıl boyunca reklam ağlarının, kurbanlarını hedefli olarak vurmak isteyen ileri düzeyde siber casuslar tarafından kullanılacağına şahit olacağız. Nesnelerin interneti (IoT) cihaz üreticilerinin korunmayan ve daha sonra geniş çaplı problemlere neden olabilecek cihazlar geliştirmeye devam etmeleri sebebiyle, bilgisayar korsanlarının olabildiğince çok cihazı devre dışı bırakmaları riski söz konusu. Üreticiler bu konuda güvenlik uzmanlarına bilgi vermeli ve IoT cihazları piyasaya sürülmeden önce bu durum değerlendirilip, önlenmelidir.”
Potansiyel risklerle ilgili olarak personele eğitim vermenin çok önemli olduğunu kaydeden Sertan Selçuk, sözlerini şöyle sürdürdü: “Çünkü saldırılara karşı savunma söz konusu olduğunda, siber suçlular şirket sistemlerine ve verilerine erişmek için insan hatalarına veya saflığına çok fazla güveniyorlar. Konu saldırılara karşı korunmak olduğunda tedbiri elden bırakmamak gerek. Çalışan eğitiminin iki yönü vardır. BT personeli en son siber tehditler hakkında daima bilgi sahibi olmalı; diğer çalışanların da temel ilkeleri bilmeleri ve şirketin siber güvenlik politikalarını izlemeleri gerekir. Çalışanlar, kuruluşun güvenlik politikalarını yalnızca resmi bir süreç olarak görmemeli, onları anlamalı ve uygulamalıdırlar. Maalesef çalışanların çoğu, yalnızca işyerlerindeki ilk günlerinde siber güvenlik konusunda bilgilendiriliyorlar. Çalışanların eğitimini düzenlemenin en iyi yolu, zaman zaman siber güvenlik konusunda insanlara hatırlatmalar yapmak, yeni keşfedilen kötü niyetli yazılımlar ve saldırılar hakkında uygulamalı deneyim kazanmaları için oyunlaştırma unsurlarını kullanan eğitsel programlar düzenlemektir.”