Securitas Technology Blog
Ana Sayfa » Makale » KOBİ’ler İçin Kapsamlı Siber Güvenlik Rehberi

KOBİ’ler İçin Kapsamlı Siber Güvenlik Rehberi

Siber güvenlik önlemleri, KOBİ’lerin karşılaşabileceği olası maddi zararların, iş gücü ve itibar kayıplarının, yasal problemlerin önüne geçerek önleyici ve koruyucu çözümler sunmaktadır. Siber güvenlik süreçlerini yönetmek için öncelikle siber güvenliğin ne olduğunu ve siber saldırıların sebep olacağı kayıpların boyutları bilinmeli ve KOBİ’ler için halihazırda bulunan tehditler ortaya koyularak çözümler ona göre irdelenmelidir. 

Siber Güvenlik Nedir?

Siber kelimesi İngilizce karşılığı olan “Cyber”dan gelmekte olup bilgisayar ağlarını, interneti ve sanal gerçekliği belirtmek için kullanılan bir kelimedir. Yaygın anlamıyla siber güvenlik ise, en yalın haliyle internet ortamındaki güvenlik olarak tanımlanabilir.

Siber güvenlik veya internet ortamında güvenlik konu olduğunda, akıllara en başta bilgisayar güvenliği, virüsler ve internet üzerinden yapılan korsan saldırıları gelir. Burada yanılgı şudur ki, siber güvenlik sadece internete bağlı olan bilgisayarın güvenliği ile sınırlı değildir. Siber güvenlik, bilgisayarların, cep telefonları ve tabletler gibi mobil cihazların güvenliği kadar, bu cihazları kullanan kişilerin, işletmenin veya kurumların maddi, manevi ve yasal haklarını da korumakla ilgilenir.

Herhangi bir siber güvenlik açığı maddi kayıplar, iş gücü kaybı, itibar kaybı, yasal yükümlülükler gibi birçok sonucu da beraberinde getirebilmektedir.

Siber tehditler nelerdir?

Siber tehditleri günümüzde klasik “virüs bulaşması” anlayışının oldukça dışına çıkmıştır. Hem amaç artık sadece bilgisayarı bozmak değildir hem de etkilenen sadece bilgisayarlar değildir. Siber güvenlik denildiğinde akıllara mutlaka cep telefonu ve tablet gibi mobil cihazlar da gelmelidir.

Virüs

Cihazlara donanımsal ve yazılımsal olarak zarar vermek için yazılmış küçük ve sinsi yazılımlardır. Bir işletmenin herhangi bir bilgisayarına yerleşen virüs, işletmedeki tüm bilgisayarlara hızlı bir şekilde ve kolaylıkla yerleşebilir.

Malware/Trojan/Spyware

Cihazları ele geçirmek için yazılmış programlardır. Ele geçirilen cihazlara uzaktan yeni programlar da kurabilen bilgisayar korsanları, zombileştirdikleri cihazlarla başka bilgisayar ağlarına saldırabilir; kamu kuruluşları veya bankaların sistemlerine izinsiz giriş yapabilir; hatta internet siteleri üzerinde yasa dışı örgütlerin propagandasını yapabilir. Bu noktada yasal sorumlu tamamen zombileştirilmiş bilgisayarın sahibi olan kişi veya işletmedir. Ele geçirilmiş cihazda bulunan kredi kartı bilgilerini, internet sitesi üyelik bilgilerini ve banka bilgilerini de kullanan internet korsanları maddi çıkar elde etmeyi amaçlamaktadır.

Ransomware

Virüs benzeri bu yazılımın amacı cihaza zarar vermek yerine, önemli dosyaları (örneğin; borç ve alacakların tutulduğu Excel dosyaları) şifreleyip kullanılmaz hale getirmek ve şifreyi açmak için yüklü bir miktar para istemektir. İki sene önce PTT Kargo tarafından gönderilmiş gibi gösterilen bir mail aracılığıyla Türkiye’de oldukça fazla sayıda kişi bu durumdan etkilenmiştir.

Kimlik Hırsızlığı

Çalınan sosyal medya hesapları ve mail hesapları kullanılarak cihazı ele geçirilmiş kişilerin tanıdıkları, müşterileri ve hatta iş ortakları mağdur edilebilir.

DDOS saldırıları

Bu saldırıların amacı kimi zaman bir internet sitesinin, kimi zaman bir sunucunun, kimi zaman da tek bir bilgisayarın çalışamaz hale getirilmesidir. Bir internet sitesine aşırı trafik gönderilmesi, mail şifrelerinin çokça denenip kilitlenmesinin sağlanması DDOS saldırılarına örnek olarak verilebilir. Bir güvenlik duvarına aşırı yük bindirildiğinde sistem durma noktasına gelecek ve sistem yöneticisi belki de güvenlik duvarını geçici olarak devre dışı bırakacaktır. Bilgisayar korsanlarının istediği de tam olarak budur.

Phishing

Kısaca “-mış gibi” yapmaktır. Banka kaynaklı gibi gönderilen mailler, sosyal medya hesabının şifresinin değiştirilmesi gerektiği uyarısının yazdığı mailer bunlara örnektir. Amaç şifreleri ele geçirmektir.

Siber korsanlar bizden aslında ne istiyor?

Siber korsanlar sadece para istemiyor. İtibara zarar vermek için yapılan saldırılar da, devlet büyüklerine hakaret etmek için bilgisayar ele geçirenler de var. Banka hesabında para olmayan birinin bile banka bilgileri çalınabiliyor. Bunun sebebi bu bilgileri yasa dışı kumar siteleri için para transferinde kullanıyor olmaları. İnsanlara ve yakınlarına bu yolla zarar verilebilir. Son yıllarda bilgisayar korsanlarının verdiği zararlar milyar dolarlarla ölçülmeye başlandı.

KOBİ’ler açısından önemli riskler neler?

Kısa kısa bazı riskleri ele almak gerekirse:

  • Banka bilgilerinin çalınması,
  • Zarar gören cihazların yenileme maliyeti,
  • Üretim faaliyetlerinin aksaması, üretim bantlarının işlevsiz hale getirilmesi,
  • Müşteri bilgilerinin çalınması veya kaybedilmesi ile doğacak maddi ve yasal sonuçlar,
  • Borç ve alacak gibi mali verilerin çalınması veya kaybedilmesi,
  • Şifrelenen dosyaları açabilmek için ödenmesi gereken tutarlar,
  • Büyük emek ve uzun süre birikim gerektiren işlere ait dosyaların kaybedilmesi,
  • Sistemi eski haline getirmek için harcanacak iş gücü,
  • Kimlik hırsızlığı durumunda itibar kaybı,
  • Bilgisayar korsanlarının ele geçirdiği cihazlar üzerinden yaptıkları işlemler sonucunda yasal sorunlar,
  • Şirket ağına yetkisiz giriş sağlayan bilgisayar korsanların sebep olacağı zararlar

örnek olarak verilebilir.

Siber güvenliği sağlamak isteyen işletmeler nelere dikkat etmelidir?

İşletmelerde siber güvenliği sağlamak için hem işletme bilgisayar ve sunucularını hem de bu cihazlarla dosya alışverişi yapan mobil cihazları (akıllı telefon, tablet vb.) kapsayacak şekilde; buna ek olarak tüm çalışanların da siber güvenlik konusunda bilinçlendirildiği bir güvenlik kültürü oluşturulmalıdır.

Öncelikle siber tehditlere karşı gelişmiş, güncel ve akıllı bir yazılıma ve bu yazılımı çalıştıracak güçlü ve hızlı bir Firewall cihazına ihtiyaç vardır. Siber saldırıları insan metabolizmasını zayıf düşürmeye çalışan mikroplar olarak düşünürsek, firewall cihazlarını metabolizmayı güçlendiren vitaminlere ve besin takviyelerine benzetmek yanlış olmaz. Firewall cihazları ve çalıştırdıkları yazılımlar sistem güvenliğini koruyucu ve saldırıları önleyici yapıya sahiptirler. Bu cihazlara sahip olmak güvenlik olgusunun temel taşı olmakla birlikte,  bu olguyu tamamlayıcı güvenlik kültürü de işletme çalışanlarına verilmelidir.

İşletme çalışanları sosyal mühendislik saldırılarına karşı bilinçlendirilmelidir

Her saldırı bilgisayar üzerinden yapılır diye bir kaide yok. Monitörün kenarına iliştirilmiş bir not kâğıdı üzerinde yazılı kredi kartı bilgisi, mail şifresi girilirken arkadan klavyeyi dikizleyen bir çift meraklı göz, iki kişi konuşurken onları dinleyen bir yabancı pekâlâ işletme sistemlerine ve kaynaklarına izinsiz erişim sağlayabilir. İşletme çalışanları sadece bilgisayarlarını değil, bildiklerini de yetkisiz kişilerden saklamak ve sakınmak zorundadırlar. Sosyal yöntemler kullanarak, kısacası insanın insani zaaflarından faydalanarak bilgi edinilmesi, sosyal mühendisliğin alanıdır ve en tehlikeli ve etkili saldırı yöntemlerindendir.

Virüs vb. zararlı yazılımlar hakkında farkındalık

Bilgisayara korsanları önce virüsleri yazar; bu virüsler yayılır, zararları ortaya çıkar. Bu virüsü engelleyecek ve/veya temizleyecek antivirüs güncellemesi ise virüs bir süre yayıldıktan sonra ancak geliştirilebilir. Zararlı yazılımları işletme sistemlerinden uzak tutmak için sadece güvenlik cihazlarına ve yazılımlarına güvenmek yetmeyebilir. İşletme bilgisayarlarına ve özellikle sunuculara kaynağı belirsiz USB flash bellek takılmamalı, mail yoluyla gelen çalıştırılabilir dosyalara kaynağına yüzde yüz güvenilmedikçe tıklanmamalı, internet üzerinden indirilen dosyalara son derece şüpheyle yaklaşılmalıdır.

Ağ güvenliği

İşletmeye ait taşınabilir bilgisayarların ortak ağlara (cafe, havalimanı, otel v.b. herkese açık ağlar) veya güvensiz kablosuz ağlara bağlanmaması konusunda çalışanlar bilinçlendirilmelidir.

Şirket ağına VPN bağlantı

İşletme dışında bir yerden (evden veya dışarıdan) şirkete VPN ile bağlanıldığında siber ortamda güvenli bir bağlantı kurulmuş olur. Ancak oturum açıkken bilgisayar başından ayrılınması durumunda, o bilgisayarın başına geçebilecek kötü niyetli kişiler, işletmenin dosya ve kaynaklarına erişebilir ve çeşitli zararlara sebep olabilirler. İşletme çalışanları bilgisayarlarının başından ayrıldıklarında ekranlarını kilitlediklerinden emin olmaları gerekmektedir.

Bir KOBİ siber güvenlik süreçlerini nasıl yönetir?

Siber güvenliği sağlamak için sürekli ve takipçi bir yaklaşım benimsenmeli; siber güvenlik süreçleri döngüsel olarak belirli aralıklarla kendisini tekrar etmelidir.

  • İşletme için olası siber tehditler ve bunların olası zararları ortaya koyulur.
  • Siber güvenliği sağlayacak cihaz ve yazılımlar tespit edilir.
  • Seçilen cihazların ve ilgili yazılımların kurulumları yapılır.
  • Güncel siber saldırılar, bu saldırılara karşı güvenlik önlemleri ve sosyal mühendislik konularında çalışanlar bilgilendirilir.
  • Düzenli olarak raporlar alınıp gerekli güncellemeler yapılır.
  • Yeni ihtiyaçlar tespit edilmeli, ihtiyaca göre yeni güvenlik yatırımları değerlendirilir.

KOBİ’ler için en doğru çözüm nedir?

Öncelikle ortada bir risk var. Bu riskin maddi, manevi ve yasal birçok karşılığı var. Risk azaltılabilir ve dönüştürülebilir bir olgudur. Örneğin; yangın alarmı takmak riski azaltır, yangına karşı sigorta yaptırmak ise riski dönüştürerek maddi güvence sağlar.

KOBİ’ler öncelikle riski azaltma yoluna gitmelidir. Bahsi geçen siber saldırıların tamamı ve gelecekte geliştirilecek yeni yöntemler için güncel ve bütünleşik bir çözüm olmazsa olmazdır.

Kullanılması gereken siber güvenlik sistemi

  • 5651 no’lu yasaya (internet yayınları yoluyla işlenen suçlar ile ilgili kanun) ve 6698 no’lu yasaya (kişisel verilerin korunması kanunu) uygun bir şekilde yasal kayıtlar tutmalıdır.
  • Kolay anlaşılabilir ve yönetilebilir olmalıdır.
  • Zararlı yazılımlara karşı koruması olmalıdır.
  • İstenilen detayda rapor ve görüntüleme sağlamalıdır.
  • İnternet üzerinden gelen saldırıları engelleme sistemi olmalıdır.
  • Güncel ve geliştirilmekte olmalıdır.
  • Sistem güvenliği merkezi bir firewall vasıtasıyla tüm bilgisayarlar için sağlanıyor olmalıdır.
  • Siber güvenlik sistemi hem donanım hem de yazılımsal olarak bir bütün olmalıdır.