Çalışanlar siber güvenlik kazalarını gizliyor

Kaspersky Lab ve B2B International’ın yayınladığı “BT Güvenliğinde İnsan Faktörü: Çalışanlar Şirketleri Nasıl Savunmasız Kılıyor” adlı yeni bir rapora göre dünya çapındaki şirketlerin %40’ında, çalışanlar BT güvenliği kazalarını saklıyor. Türkiye’de ise bu oran %45; yani dünya ortalamasının üzerinde seyrediyor. Ayrıca her yıl BT güvenliği kazalarının %46’sına çalışanlar sebep oluyor ve dolayısıyla şirketlerin bu zayıf noktasının sadece BT güvenliği departmanlarınca değil, birçok seviyede ele alınması önem taşıyor.

Siber suçlulara davetiye çıkarıyorlar

Zararlı yazılımlardan sonra, bir siber güvenlik olayının en muhtemel ikinci sebebi bilgisiz veya dikkatsiz çalışanlar oluyor. Zararlı yazılımlar her geçen gün daha da karmaşık hale geliyor olsa da, her zaman var olan insan faktörü aslında daha büyük tehlikeler içerebiliyor.

Hedefli saldırılar söz konusu olduğunda, kurumların siber güvenlik kalkanındaki en zayıf noktayı çalışan dikkatsizliği oluşturuyor. Saldırganlar özel yapım zararlı yazılımlar ve yüksek teknoloji içeren teknikler kullansa da, başlangıç noktaları, faydalanması en kolay giriş noktası oluyor; yani insan tabiatı.

Yapılan araştırmaya göre, geçtiğimiz yıl içerisinde gerçekleşen her 3 hedefli saldırıdan birinin (%28) başlangıç noktası oltalama/sosyal mühendislik oldu. Örneğin dikkatsiz bir muhasebeci, iş ortaklarından birinden gelen bir fatura görünümünde gizlenen zararlı yazılımı tereddüt etmeden açabiliyor. Böyle bir durumda bütün bir şirketin altyapısı çalışmaz hale geliyor ve muhasebeci de ister istemez saldırganların suç ortağı durumuna düşüyor.

Kaspersky Lab Güvenlik Araştırmacısı David Jacoby, konuyla ilgili olarak şöyle diyor: “Siber suçlular bir şirketin altyapısına erişmek için sıklıkla çalışanlardan faydalanıyor. Oltalama e-postaları, zayıf şifreler, teknik destek ekibini taklit eden sahte aramalar gibi birçok yöntemle karşılaşılıyor. Şirketin otoparkında veya bir sekreterin masasının yakınlarında yere düşürülen bir flaş bellek bile tüm ağı tehlikeye atabilir. Suçluların tek ihtiyacı olan şey, şirket içinden, güvenlik konusunda bir şey bilmeyen veya bu konuyu önemsemeyen biridir. Bu kişi söz konusu flaş kartı alıp ve ağa bağlı bir cihaza taktığı anda iş bitmiş demektir.”

Hedefli saldırılar şirketlerin her gün başına gelen şeyler olmasa da, zararlı yazılımlar genelde geniş kitleleri hedefliyor. Araştırmaya göre, ne yazık ki zararlı yazılımlar söz konusu olduğunda da bilinçsiz ve dikkatsiz çalışanların etkisi büyük oluyor. Karşılaşılan olayların %59’unda zararlı yazılımların bulaşmasının sebebi çalışanlar.

Çalışanların müdahil oldukları olayları saklaması daha da kötü sonuçlar doğurarak, toplam zararı artırabiliyor. Tek bir bildirilmemiş olay bile çok daha büyük bir saldırının işareti olabilirken, doğru müdahale yöntemlerini seçmesi gereken güvenlik ekiplerinin ise karşı karşıya oldukları tehditleri hızlıca tespit etmesi gerekiyor.

Fakat cezalandırılmaktan korkan veya yanlış bir şey yapmış olmaktan utanan çalışanlar, bir sorun bildirmektense şirketlerini riske atmayı tercih edebiliyor. Bazı şirketler ise çalışanlarını uyanık ve işbirlikçi olmaya teşvik etmektense, çok katı kurallar koyup çalışanların üzerine ek sorumluluklar yüklüyor. Bu, siber korunmanın sadece bir teknoloji meselesi değil; aynı zamanda bir şirketin kültürüyle ve eğitimle ilgilisi olan bir konu olduğu anlamına geliyor. Bu noktada da üst yönetime ve insan kaynakları departmanına önemli bir rol düşüyor.

Kaspersky Lab Güvenlik Eğitimi Programı Müdürü Slava Borilin, şöyle diyor: “Siber güvenlikle ilgili kazaları saklama problemi konusunda çalışanların yanı sıra üst yönetim ve İK departmanları ile de konuşulmalıdır. Çalışanlar bu durumları saklıyorsa bunun bir sebebi vardır. Bazı durumlarda, şirketler katı fakat çok net olmayan politikalar güderler ve çalışanların üzerinde fazlaca baskı oluştururlar. Örneğin belirli bazı şeyleri yapmamalarını ve bir şeyler yanlış giderse sorumlu tutulacaklarını söylerler. Böyle politikalar korkuyu teşvik eder ve çalışanlara tek bir seçenek bırakır; o da her ne pahasına olursa olsun cezalandırılmaktan kaçınmaktır. Eğer siber güvenlik kültürünüz pozitifse ve tepeden inme engelleyici bir yaklaşımdan ziyade eğitime dayalı olursa, sonuçlar çok farklı olacaktır.”

Borilin ayrıca işinin merkezine raporlama ve ‘hatalardan öğrenme’ temelli bir yaklaşımı koyan bir endüstriyel güvenlik modelinden bahsediyor. Örneğin Elon Musk, Tesla özelinde yakın geçmişte yaptığı resmi açıklamasında, çalışan güvenliğini etkileyebilecek her olayın doğrudan kendisine rapor edilmesini talep ederek, bu konuda gerekli olan değişimde merkezi bir rol oynamak istediğinin altını çizmişti.

Türkiye çapında birçok şirket, çalışanlarının şirketleri için bir zayıf nokta oluşturduğunun farkına varmaya başlamış durumda: araştırmaya katılan şirketlerin %52’si, BT güvenliği konusunda en zayıf noktanın çalışanları olduğunu kabul ediyor. Birçoğu için çalışan odaklı önemler almanın gerekliliği de aşikar: şirketlerin %39’u çalışanlarını eğiterek güvenliklerini iyileştirmenin yollarını arıyor. Bu, şirketlerin %50’si için daha sofistike yazılımlar kullanmaktan hemen sonra gelerek, Türkiye’deki ikinci en popüler siber korunma yöntemi olarak karşımıza çıkıyor.

Şirketleri insan sebepli siber tehditlerden korumanın en iyi yolu, doğru araçlarla doğru pratikleri birleştirmekten geçiyor. Buna İK ve üst yönetimin, çalışanları dikkatli olmak ve bir olay halinde yardım istemek konusunda teşvik etmeleri de dahil. Şirketlerin bu konuda atması gereken ilk adımlar arasında, çalışanlara güvenlik farkındalığı eğitimleri vermek, birçok sayfa içeren dokümanlar yerine kısa ve net ilkeler sunmak, çalışanların yeteneklerini ve motivasyonlarını artırmak ve uygun bir çalışma ortamı sağlamak sayılabilir.

Güvenlik teknolojileri özelinde bakıldığında, bilinçsiz veya dikkatsiz çalışanları hedef alan tehditlerin bir çoğunu (oltalama da dahil) uç nokta güvenlik çözümleriyle ortadan kaldırmak mümkündür. Bunlar fonksiyonellikleri, ön ayarlı koruma ya da gelişmiş güvenlik ayarları doğrultusunda KOBİ’lerin ve büyük ölçekli şirketlerin ihtiyaçlarını karşılayarak riskleri en aza indirgemek konusunda yeterlidir.