Kurumsal firmalarda bile yapılan güvenlik hataları!

Doğru teşhisi ortaya koymamak, kurumlar için gelecekte astronomik masraflar ortaya çıkarabiliyor. İşin en sinir bozucu kısmı ise güvenlik ihlallerinin çoğunun önlenebilir olması.
 
*Ferhat Kaysı
 
Günümüzün en başarılı kurumsal firmaları, ister büyük, ister küçük işletmeler olsun, çevrimiçi tabanlı çalışmaktadır. Bu bağlamda hem doğru teşhiste bulunmak hem de proaktif olan veri güvenliği çözümlerini benimsemek, çevrimiçi iş yapan birçok şirket için, güvenliği sağlamada önemlidir.  Doğru teşhisi yapmamak kurumlar için gelecekte astronomik masraflar ortaya çıkarabilmektedir. Örneğin; Ponemon Enstitüsü tarafından yapılan son çalışmada 2013 yılında, Tüketici Raporları küçük işletmelerin yarısından fazlasının güvenlik ihlali yaşadığı bildirilmiştir. Bu durum ciddi kayıpların yaşanmasına sebep olmuştur. Ayrıca, Ulusal Küçük İşletme Birliği (International Small Business Association), güvenlik ihlalinin, işletmelerin itibarını etkilemesi, ortalama yıllık 9.000 ABD doları işletme maliyeti doğurduğunu bildirmektedir.  Kısacası, büyük ya da küçük fark etmeksizin, hedefe konulan bir şirket, güvenlik ihlali nedeniyle önemli kayıplar verebilir ve bu durum özellikle küçük veya orta ölçekli bir şirketler için telafi edilemez boyutlar ortaya çıkabilir.
         Bahsettiğimiz istatistiklerin belki de en sinir bozucu kısmı, güvenlik ihlallerinin çoğunun önlenebilir olmasıdır. Bazı kurumsal firmalar, hedefli ve karmaşık olan saldırılara maruz kalabilir, özellikle küçük ve orta işletmelerdeki siber saldırılar genellikle basit oltalama ve sosyal mühendislik saldırılarıyla gerçekleşmektedir.  
Ayrıca Trustwave'in güvenlik açıklarıyla ilgili 476 BT uzmanına anket yaptığı 2014 Risk Durumu Raporu'na göre, işletmelerin büyük bir çoğunluğu, hassas verilerin kontrol edilmesi ve izlenmesi için, kısmen bir sisteme sahiptir. Ayrıca, bazıları tamamen hiçbir koruma tedbirine sahip değildir.
Güvenlik çözümü için önemli yatırımlar yapan firmalar da siber saldırılara uğrayabilmekte ve harcanan maliyetler işe yaramayabilmektedir. Bunun sebebi de ilk başta bahsettiğimiz teşhis ve proaktif yaklaşımın doğru yapılmamasıdır. Günümüzde birçok firma, etkin, daha yenilikçi ve daha güvenilir teknolojilere yatırım yapmakta, ancak teşhisi doğru olmadığından, karmaşık saldırılara karşı mağlup olabilmektedir. Çünkü siber saldırganlar, en iyi ve en güncel teknolojilerin bile, her zaman bir adım önündedir. En güncel teknolojiler, çoğu açıklarını siber saldırılar sonrasında keşfedebilmektedir. Saldılar sonucunda yeni yamalarla kendisini güncellemektedir.  
Şirketlerin verilerini korumaları için doğru teşhisi yapmaları önem arz etmektedir. Bu bağlamda, şirketlerin verilerini koruma konusunda yaptığı en yaygın (ve önlenebilir) hataları bilmek ileride yaşanacak hataların önlenmesinde önemlidir:

1. Çalışanlara, tedarikçilere ve verilere karşı ortaya çıkabilecek tehdidin anlaşılamaması,
2. Kapsamlı bir bilgi güvenliği planı ve politikasına sahip olmama,
3. Veri güvenliğini sadece bir “BT sorunu” değil “iş sorunu” olarak görmedeki başarısızlık,
4. Veri güvenliğini 3 boyutlu bir ekosistem olarak görmeme,
5. Yanlış siber ürünlerin kullanımı ve doğru olmayan güvenlik yaklaşımı,
6. Veri ve ticari sırların sınıflandırılmaması,
7. Çalışanlar, yükleniciler, satıcılar ve tedarikçilerin uygun şekilde eğitilmemesi,
8. Kurum içi çalışanların oluşturabileceği risk faktörünü kavrayamama,
9. Müşterilerin ya da kuruma gelen herkesin şirket ağına girmesine izin verme,
10. Güncellemelerin eksik yapılması veya zamanında yapılmaması,
11. Verilerin doğru bir şekilde depolanmaması ve nerede saklandığının bilinmemesi,
12. Verilere yetki sınırlamasının doğru yapılandırılmaması,
13. Verilerin doğru bir şekilde imha edilmemesi,
14. Profesyonel yardım alınmaması,
15. Çalışanların şirketlere taşıdığı mobil riskleri (akıllı telefon riskleri) önemsememe,
16. Bulut kullanılıyorsa, gerekli şifreleme önlemlerinin alınmaması (bulut yönetimi hatası),
17. Yükleniciler, satıcılar ve tedarikçiler gibi 3. tarafların, tam güvenliği sağladığından emin olunmaması,
18. Fiziksel güvenlik risklerinin önemsenmemesi,
19. Verilerin şifrelenmemesi,
20. Nesnelerin interneti (IoT) cihazlarının göz ardı edilmesi,
21. İnsan, teknoloji ve süreç unsurlarını kapsayan, proaktif güvenlik bileşenlerinin benimsenmemesi.

Yukarıda sıralanan güvenlik hatalarının bilinmesi ve bunlara göre tedbirlerin alınması; bu hatalara göre güvenlik prosedür ve politikalarının belirlenmesi, en tehlikeli karmaşık saldırılara karşı bile önlem oluşturabilir ve saldırganları en azından yavaşlatabilir. Şirketlerin verilerini koruma konusunda yaptığı önlenebilir hataları bilmek, daha sonra atılacak adımların daha doğru atılmasına vesile olacaktır.
*Bank Mellat Bilgi Teknolojileri Müdürü.