Kolay erişim, yaygına hitap etmesi ve ileri seviye güvenliğin dışında tutulan sosyal medya platformları NopSec 2016’ın en güncel Zafiyet Risk Yönetimi Raporu’nda en üst basamakta yerini aldı. Siber güvenlik gözlükleriyle duruma baktığımızda ise sosyal medya ile siber güvenliğin bir çok insanın düşündüğünden daha karmaşık bir yapıya sahip olduğu gerçeğini gözler önüne seriyor.
Son zamanlarda artan zararlı yazılım uygulamalarına karşı bir çok kurum ve kuruluşun siber güvenlik hassasiyeti göstermemesi hem kısa hem de uzun vadede dünya genelinde olduğu gibi ülkemizde de hem maddi hem de manevi bir çok kayba neden oldu, olmaya da devam ediyor. Şimdiye kadar risk yönetimi planları içerisine almadığımız sosyal medya platformları ise 2016 ikinci yarısı itibariyle bu tarz zararlı yazılımların hem barınması hem de dağıtılması için en riskli bölge olarak kabul ediliyor. Kurum ve kuruluşların kendi içlerinde yaptıkları veya dışarıdan destek alarak yaptırdıkları iş siber güvenlik tatbikatlarında bir çok firma, sosyal medyayı güvenlik risk seviyesi olarak değerlendirmiyor ve bu da, sosyal medya platformlarının zararlı yazılımlar için altın madeni haline gelmesinin ana nedeni olarak görülüyor. Bu platformların verebileceği zararlar risk olarak değerlendirilmediği için bunlara karşı bir güvenlik politikası da oluşturulmuyor. Bundan dolayı firmalar, “Kör Nokta” olarak tabir ettiğimiz ve kapatmadıkları güvenlik açıklarıyla hayatlarını sürdürmeye devam ediyorlar.

Peki Riskler Neler?
Sosyal medya platformları zararlı yazılımları birkaç yolla kullanıcısına sunmakta. İlk olarak siber saldırganlar, Sosyal medya platformu üzerinde paylaşılan linkler üzerinden kullanıcıların, zararlı yazılım uygulamalarını indirmelerini sağlayarak çok kısa sürede oldukça büyük bir kitleye ulaşmaktadırlar. Diğer taraftan hedefi belli saldırılarda ise hedefteki kişinin gerekli bilgileri sosyal medya hesapları üzerinden toplanarak (sahte hesaplarla sosyal mühendislik yapılarak ) onların, şifrelerini ele geçirmeleri için özel oluşturulan web sitelerine yönlendirerek hesap bilgileri toplanmaktadır. Son olarak da siber saldırganlar, buldukları açıkları ve bilgileri Twitter gibi platformlarda hızlıca herkesle paylaşabilmekte ve bulunan açıktan bir çok kişinin içeri sızması sağlanmaktadır. NopSec’in raporunda bu konuyla ilgili oldukça ilginç bir bilgi de yer alıyor.
“Zararlı yazılımın aktif olduğu sistem açıkları, firmalar tarafından duyurulmuş ve bilinen açıklara oranla 9 kat daha fazla retweet ediliyor.”
Platformların yaydığı riskleri tamamen ortadan kaldırmanın çözümü olsaydı sanıyorum herkes rahatlayacaktı fakat bu riski tamamen ortadan kaldırmanın şimdilik tam çözümü yok. Firmanız için bu tehditi en düşük seviyeye getirebilmek için ilk yapmanız gereken tehditleri analiz ederek anlamak. Çok fazla paralar harcayarak bir çok çözüme sahip olabilirsiniz fakat çevrenizdeki tehlikeyi analiz edemiyorsanız maalesef bu yatırımlarınız çöp olmaktan öteye gitmeyecektir. Tehlikeleri anlamak ve önem sırasında üst sıraya koymak, hem firmanızın hem de firma çalışanlarınızın bundan sonraki süreçte bu tehlikelere karşı davranışlarının daha bilinçli hale gelmesini sağlayacaktır. Bilinçlenmeden sonra sahip olduğunuz güvenlik sistemlerini iyi derecede kavramalı ve bu tehlikelere karşı nasıl konumlandırılabileceklerini öğrenmelisiniz. Her iki konuyu da doğru şekilde yönettiğinizde sosyal medya platformlarındaki riski şirket bünyenizde en düşük seviyeye indirmiş olacaksınız.
Her ne kadar firmaların bir çoğu halen sosyal medyayı bir güvenlik riski olarak görmeseler de bizler, birey olarak bazı noktalara dikkat ederek bu durumdan oldukça uzakta kalmaya çalışmalıyız. Bunun için de yapılması gereken en basit anlamda birkaç nokta var.
Eğer ki bir kurumun ağ güvenliğinden sorumluysanız en kısa sürede sosyal medya platformlarını güvenlik politikamız içerisine alın  ve çalışanların, iş saatleri içerisinde sosyal medya hesaplarına erişimlerinin kısıtlayın.
Sosyal medya üzerinde özellikle kişisel ve iş ile alakalı paylaşımlarınızı sınırlayın.
Daha güçlü ve her bir hesap için farklı şifreler üretin.
Gerçek hayatta tanışmadığınız veya hatırlamadığınız kişilerden gelen mesajlara daha şüpheci yaklaşın.
Markaların ve önemli kişilerin hesapları sosyal medya platformlarında onaylanmış hesap olarak görünürler. Bu hesaplar dışında gelecek özel mesaj veya paylaşımlara itibar etmeyin. 

Yusuf Evmez
WatchGuard Türkiye Müdürü
Yusuf.evmez@watchguard.com
0544 670 29 70
 

(daha&helliip;)