Hatice ZÜMBÜL
hatice.zumbul@zumbul.av.tr
Tüm dünyayı etkileyen COVID-19 salgını nedeniyle, birçok iş yeri iş sürekliliğinin sağlanabilmesi ve çalışanların korunması amacıyla iş faaliyetlerinin önemli bir kısmını çevrimiçi ortama taşımış durumda. Bu durum, özellikle küçük ve orta büyüklükteki işletmeler (“KOBİ”) bakımından çevrimiçi ortamda birçok siber saldırıya da açık olmak anlamına geliyor.
İşbu hususları gözeterek, Milletlerarası Ticaret Odası (International Chamber of Commerce – “ICC”) KOBİ’lerin siber güvenlik tehditleri hakkında bilgilendirilmesi ve bu konuda dayanıklılıklarının artırılması amacıyla bir kılavuz hazırlanmıştır. Kılavuzda ifade edildiği üzere, KOBİ’lerin bu dönemde karşı karşıya kalabilecekleri bazı siber güvenlik riskleri şunlardır:
Oltalama (phishing) ve kurumsal e-posta hesabı saldırıları
Özellikle kriz dönemlerinde, e-posta kullanıcılarının önemli bilgilerini paylaşmaya ikna etmek için temel sosyal mühendislik tekniklerini kullanan kötü niyetli e-postalarda artış görülmektedir. Bu dönemde de kötü niyetli kişilerce, COVID-19 salgını hakkındaki korku ve endişeden yararlanılarak, kişilerin kendi bilgilerini paylaşmaları için bir çeşit kandırmacadan ibaret olan e-postalar gönderilmektedir. Örneğin, kişilerin sağlık verisi, mali kimlik verisi de dahil olmak üzere hassas verilerine ulaşabilmek amacıyla siber suçlular, Dünya Sağlık Örgütü veya yerel yetkililer gibi meşru bir otorite ya da güvenilir bir kaynak olarak kendilerini gösterebileceklerdir.
Kötü amaçlı yazılım dağıtımı
Benzer şekilde, kötü niyetli kişilerce COVID-19 salgını işletmelerin iş ağlarına müdahalede bulunmak için bir bahane olarak kullanılmaktadır. Siber güvenlik firmaları; sektörde COVID-19 ile ilgili temaları kullanan ancak fidye yazılım (kullanıcının programa yeniden giriş yapabilmesi için belirli bir fidye tutarı ödenene kadar bilgisayardaki dosyaları kilitleyen yazılım) veya casus yazılım (kullanıcını bilgisi dışında kişisel bilgiler toplayan yazılım) niteliğinde olan kötü amaçlı yazılımlar bulunduğunu aktarmaktadır. Bu durum, birçok hassas verinin güvenliğini tehlikeye atmakta ve KOBİ’lerin bilgi sistemlerinde ciddi problemlere sebep olabilmektedir.
Uzaktan çalışma ve tedarik zinciri tehditleri
Uzaktan çalışma düzeni için gerekli güvenlik altyapısı, her KOBİ için mevcut olmayabilmektedir. Çalışanlar, müşteriler, tedarikçiler gibi birçok kişi arasındaki iletişimin iş yeri dışında, kişisel cihazlar üzerinden çevrimiçi uygulamalarla yürütülüyor olması, KOBİ’leri birçok tehlikeye açık hale getirmektedir.
Farkındalık eksikliğinden kaynaklı güvenlik açığı
Nakit akışının sağlanamaması, tedarik zincirindeki aksaklıklar gibi COVID-19 salgını kaynaklı birçok sorunla karşı karşıya kalan KOBİ’ler; maalesef ki siber güvenlik tehditlerini hafife alma ve önemsememe eğiliminde olabilmektedirler.
Kılavuzda yer alan Cyber Readiness Institute¹ tarafından hazırlanan istatistiklere göre; KOBİ’lerin karşı karşıya oldukları temel risklere işaret edilmiştir;
– Daha Güçlü Şifre Kullanımı:
Veri ihlallerinin %63’ü zayıf veya çalınmış şifrelerden kaynaklanıyor.
– Yazılım Güncellemelerinin Takip Edilmesi:
2017’deki saldırıların %77’si halihazırda bilgisayarda bulunan yazılımlardaki boşluklardan yararlanmıştır.
– Phishin E-Postalara Dikkat Edilmesi:
Tüm siber saldırıların %91’i phishing e-postasıyla başlamaktadır.
– USB Kullanımı:
Kötü amaçlı bulaşmaların %27’si virüs bulaşmış USB’lerden kaynaklanmaktadır.
KOBİ’ler bu tehlikelerden basit ama etkili önlemler alarak korunabileceklerdir. Söz konusu önlemlerden bazıları aşağıdaki şekildedir:
1) İşletme içerisinde farkındalığın artırılması
Çalışanlar siber saldırılara karşı ilk savunma hattıdır; siber saldırıların önlenmesi ve durdurulmasında hayati öneme sahiptirler. Kılavuzda işaret edildiği üzere; 2018 yılında, yaşanılan siber güvenlik olaylarının %50’sinden fazlası, kasıtlı bir saldırıdan ziyade insan hatasından kaynaklanmıştır. Ayrıca, çalışanların gerekli bilgi birikimine sahip olmaları halinde, kasıtlı saldırıların da önüne geçilmesi ve durdurulması kolaylaşmaktadır.
Bu kapsamda çalışanlara öncelikle şirket verilerini ve ağlarını ele alma, koruma ve destekleme konusundaki günlük sorumlulukları anlatılmalı; buna ilişkin politika ve prosedürler güncellenmeli ve somut durumun ihtiyacına hızlı bir şekilde cevap verebilecek hale getirilmelidir. Güçlü şifre seçimi/kullanımı ve uygun e-posta kullanımı konusunda çalışanların bilgilendirilmeleri de bu kapsamdadır.
Ancak en önemlisi; çalışanların, zararlı materyalleri zamanında tanımak, paylaşmaktan kaçınmak ve raporlamak için olası dolandırıcılıklar ve kötü amaçlı yazılımlar hakkında bilgilendirilmeleridir. Bu kapsamda KOBİ’lerin iş yerinde bilgi güvenliği kültürü oluşturması, politika ve prosedürlerle konunun desteklenmesi gerekmektedir. Özellikle lisanssız yazılım
kullanımını yasaklayan, güvenli internet kullanımı ve sosyal medya kurallarını açıklayan politika ve prosedürler büyük önem arz etmektedir.
2) Uzaktan erişim politika ve prosedürlerinin güçlendirilmesi
Çalışma esnasında kullanılan elektronik cihazlar arttıkça, internete bağlanmak (ev, iş, genel wi-fi bağlantı noktaları/şirkete ait kablosuz bağlantı noktaları) ve şirket verilerine erişmek için mümkün olan yollar (VPN, bulut teknolojisi vb.) da farklılaşmış durumdadır. Bu nedenle, KOBİ’lerin uzaktan erişimin doğru kullanımı konusunda çalışanları için açık kurallar koymaları önemlidir. Bu kurallara örnek vermek gerekirse;
– Öncelikle genel bir kural olarak, şirket tarafından verilen cihazlar kişisel veya genel cihazlara tercih edilmelidir.
– Benzer şekilde, özel ağlar ve şirket tarafından sağlanan kablosuz bağlantı noktaları, VPN kullanımını kısıtlayan genel ağlara tercih edilmelidir.
– Belgelere erişmek ve bunları paylaşmak için bulut tabanlı sistemler, merkezi dosya paylaşım sistemleri veya şirket gözetimine sahip özel bir dosya paylaşım sitesi kullanılmalıdır. Bu kapsamda da veri güvenliği ile ilgili olarak gerekli her türlü teknik ve idari tedbir alınmalıdır.
3) Güvenli tedarikçi portalları ve diğer sistemler
KOBİ’lerin, bilgi sistemlerini dış müdahalelere karşı geçirimsiz hale getirme amacıyla tüm giriş noktalarını haritalaması, değerlendirmesi ve yönetmesi oldukça önemlidir. Bu kapsamda hızlı ve pratik bir şekilde, yazılım güncellemeleri ve yamalar yapılmalı, parola güncelleme ve çok faktörlü kimlik doğrulama uygulamaları teşvik edilmelidir.
Ayrıca ağ güvenliğinin sağlanabilmesi için bu süreçte işletme, iş ortakları ile de yakın iletişim halinde olunmalıdır. İşletmenin siber güvenlik konusunda liderliğini göstermesi, tedarik zincirindeki diğer işletmelerin de konuya hassasiyet göstermeleri ve zayıf noktalarını fark etmelerine neden olabilecektir.
4) Acil durum veri ihlali müdahale planı
Siber tehditlerin doğası nedeniyle, çok iyi korunan şirketler dahi güvenlik ihlalleri ile karşı karşıya kalabilmektedirler. İşletmeler, riskin en aza indirilebildiği ancak tamamen ortadan kaldırılamadığı bir ortamda faaliyet göstermektedirler. Siber saldırı durumunda işletme içerisinde herkesin rolünün belirli olduğu bir düzen oluşturulmuşsa, siber saldırıya hızlı bir yanıt verilebilecektir. Bu durumda saldırının yıkıcı etkileri hafifletilebilecek ve mümkünse ortadan kaldırılabilecektir.
Başarılı bir acil durum veri ihlali müdahale planı; hem iç hem de dış paydaşlarla net bir iletişim stratejisinin yanı sıra olayı kapsamak ve düzeltmek için uzman üçüncü taraflardan destek planı da içermelidir.
Tüm bu öneriler bir arada değerlendirildiğinde, KOBİ’lerin yaşanılan salgın dönemde, siber güvenlik/veri güvenliği konularında hassasiyetlerini kaybetmemeleri gerektiği açıktır. Zira, maalesef ki yaşanılacak bir siber saldırı/veri güvenliği açığı, işletme içerisinde geri dönüşü bulunmayan sorunlara yol açabilecek; işletmelerde itibar kaybı ve/veya maddi zarara sebebiyet verebilecektir. Alınacak hızlı ve pratik önlemlerle, siber saldırılara karşı korunmasızlık halinin önüne geçilebilecektir.
Dipnot: ¹ https://www.cyberreadinessinstitute.org/ Av. Hatice Zümbül
Kaynak: Av. Hatice ZÜMBÜL – İçerik, Zümbül Hukuk ve Danışmanlık firmasının özel izni ile yayınlanmıştır. Yazının tüm hakları ve sorumluluğu yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zararlardan sorumlu değildir.