2020 yılı, tüm dünyanın köklü değişimlere uğradığı bir sene olarak kayıtlara geçti: Hayatımız evlere kapanarak geçerken, yaşam daha da dijitalleşti. Evlerden çalışmanın yaygınlaşmasıyla beraber, birçok risk faktöründe artış kaydedildi. Araştırmalara göre, 2020 yılı Covid-19 salgını öncesi Türkiye’de evden çalışan kişi sayısı 600 bin civarındaydı. 2020 yılı sonunda ise bu sayı 6.5 milyona ulaştı. Bir başka deyişle, evden çalışma yüzde 1.000 oranında rekor bir artış gösterdi. Evden çalışma faaliyetinde bulunan sektörler arasında telekomünikasyon, sağlık teknolojileri, e-ticaret, savunma ve enerji gibi birçok kritik iş kolu da bulunuyor.
Büyük Artışlar Var
Türkiye genelinde evden çalışma oranının yükselmesiyle beraber, şirketlerin uğradıkları siber saldırılarda da yüzde 300’lere varan artışlar kaydedildi. Evden çalışanların hem iş hem de özel hayatlarına ilişkin işlemleri aynı bilgisayar ve tablet üzerinden yapması nedeniyle, şirketlerin özel verilerinin çeşitli siber korsanlık yöntemleriyle saldırıya açık hale gelmesi söz konusu oldu. 2020 yılında başlayan ve 2021 yılında da şirketleri en çok tehdit eden veri güvenliği riskleri şöyle sıralanıyor:
Fidye Yazılımları: Şirket çalışanlarının ve şirketin resmi e-postasının hackerlar tarafından ele geçirilmesi, ciddi bir veri güvenliği sorunu olarak ön plana çıkıyor. Siber korsanlar, zor duruma düşürmek istedikleri şirketlere yönelik en çok fidye yazılımı sistemini kullanarak, ele geçirdikleri e-posta bilgileri üzerinden şirketlere ve şirket çalışanlarına mağduriyet yaratıyor. Bu saldırı türü, 2021’de de etkisini artırarak sürdürmeye devam ediyor.
Blockchain: Daha çok kripto para ile anılan Blockchain, veri güvenliğini korumak açısından kullanılan en önemli unsurların başında bulunuyor. Özellikle ihracata dönük işlem yapan şirketler blockchain’i kullanarak para transferlerini gerçekleştiriyor ve birçok finans kuruluş da bu teknolojiyi kullanarak işlemlerini hayata geçiriyor. Bu sisteme hacker saldırısı yapmak oldukça zor olsa da, şirketlerin blockchain’e yönelik ön yargılı yaklaşımları ya da eksik bilgilerle hareket etmeleri, siber saldırıların önünü açıyor.
Deepfake: 2021’in gözde veri güvenliği saldırı araçlarından birinin Deepfake teknolojisi olması bekleniyor. Şimdilik sosyal medya üzerinde yayınlanan eğlence videolarının içeriklerini oluşturmak için kullanılan bu teknoloji, her geçen gün daha da gelişiyor. Uzmanlara göre, deepfake ile şirket yöneticilerinin de yer aldığı sahte videolar üretilerek, itibar kaybına yol açacak içerikler üretilmesi gündemde. Aynı zamanda zararlı pazarlama yöntemlerinin kullanılması; yani şirketin ürününün ve hizmetinin eksik, yanlış aynı zamanda da amaç dışı kullanıma açık olduğunun ilan edilmesiyle, şirketlerin zarara uğratılması da söz konusu.
Oltalama ve DNS Zehirlenmesi: Hackerler eski yöntemleri güncelleyerek devreye almaya devam ediyorlar. Güvenli interneti güvensiz hale getirme yöntemi de online alışveriş yapmak isteyenlere dönük, oltalama saldırısı ve DNS zehirlenlenmesi yöntemi yine en çok kullanılan yöntemler arasında bulunuyor. Tüketicilerin özellikle internet sitelerine üye olurken farklı ve güçlü parola oluşturmaları daha önemli hale geliyor.
DDoS ve DoS (Distributed Denial of Services ve Denial of Services): DDoS ve DoS, son yıllarda gelişen güvenlik önlemleri nedeniyle etki açısından azalmış olsa da hala en popüler siber saldırı yöntemleri arasında yer alıyor. Artan teknolojik imkanlar, saldırılara daha geniş alanlar sunuyor. Araştırmacılara ve uzmanlara göre, 5G’nin yaygınlaşmasıyla beraber saldırılarda daha da artış kaydedilecek. Buna göre çevrimiçi servislere, internet sitelerine çoklu talep göndererek çevrimiçi servislerin veya internet sitelerinin çökmesine yol açan DDoS ve DoS, 5G ile birlikte tekrar yükselişe geçecek. Şirketler de bu konuda önlem almak zorunda kalacak.
Oltalama (Phishing): Şirketlerin veri güvenliği konusunda müşterilerinin bilgileri söz konusu olduğunda, bu yöntem çok etkili oluyor. Kişileri doğrudan hedef alan oltalama, kimlik veya kredi kartı bilgileri gibi önemli bilgilerin çalınması amacıyla kullanılıyor. Bu da kullanıcının değil, kötü niyetli kişilerin alışveriş yapmasını sağlıyor. Böylece hem kullanıcı hem de şirket bu durumdan zarar görüyor. Bu yöntem özellikle de haber siteleri üzerinden telefonlara ve bilgisayara indirilen linkler ile gerçekleşiyor.
Tedarik Zinciri Saldırısı (Supply Chain Attack): Tedarik zinciri saldırıları, tedarik zincirinde bulunan yeterince güvenli olmayan uygulamalara yapılan saldırılar sonucu bu uygulamaların ele geçirilmesi ve bu uygulamalar üzerinden kurum ve kişilere zarar vermeyi hedefleyen bir saldırı tipi. Bu saldırıda özellikle hedef alınan sektörler mevcut. Bunlar, çok büyük veri yönetiminin gerçekleştiği sektörler: Telekom, finans, enerji, sağlık ve kamu kuruluşları. Saldırı ile beraber maddi ve manevi kayıplar yaşanırken, veriler de çalınıyor. İsminden de anlaşılacağı üzere özellikle tedarik zincirinin bozulmasına yönelik kötü amaçlı faaliyetler yürütülüyor.
Şifre Saldırısı (Passwords Attack): Şifreleri çözerek kişisel veya kurumsal hesaplara zarar verebilen bu saldırı çeşidi, birbirinden farklı yöntemler ile gerçekleştirilebiliyor. Bunlardan en bilineni, zararlı yazılımlar tarafından arka arkaya farklı şifre kombinasyonları girerek mevcut/kolay şifrenin bulunması. Bu, şirketleri en çok zorlayan aynı zamanda da veri kaybına neden olan yöntemlerin başında geliyor.
Gizli Dinleme: Birçok ihaleye hazırlanan ve milyonlarca TL’lik mağaza yatırımları yapan şirketlerin sırları, kurum telefonlarında konuşuluyor. Dinleme saldırısıyla birçok bilginin ele geçirilmesi mümkün. Yine şirket kasalarının bilgileri ve başka kritik öneme sahip veriler de dinleme saldırısında ele geçirilebiliyor. Telefonlar dinlenebildiği gibi, hoparlörü olan ve internete bağlı cihazlar da özel yazılımlarla birer dinleme cihazına dönüştürülebiliyor.
Sahte Site Kurulumu: Şirketlerin ticari itibarlarını en çok etkileyen siber saldırılardan biri de, sahte internet siteleri kurmaktan geçiyor. Sitenin birebir kopyalanması ve arama motorlarında şirketin adı aratıldığında en üstte yer almasıyla sahte siteye yönlendirme, çok popüler bir yöntem. Bu yöntem ile kullanıcının bilgileri çalınıyor. Özellikle e-ticaret sitelerinin güvencesiyle satılması gereken ürünler yerine tüketicinin eline kopyalanmış siteler tarafından sahte ürünler yollanıyor. Böylece hem tüketicinin o e-ticaret sitesi ve ürün/hizmet satan şirkete karşı güveni sarsılıyor, hem de şirket maddi ve manevi zarara uğratılıyor.
Siber Güvenlik Hizmeti Alınmalı
2021 yılında ön plana çıkan veri saldırıları yöntemlerine de bakınca, şirketlerin siber güvenliğinin her zamankinden daha önemli olduğu ortada. Uzmanlara göre 2021 yılında siber saldırılarda da artış kaydedilecek. Ocak ve Şubat ayında yaşanan siber saldırı atakları da bunu ortaya koyuyor. Yine uzmanlara göre; teknolojik gelişmeler arttıkça ve hayat kolaylaştıkça, siber saldırılar için daha çok imkân doğuyor ve saldırılara karşı savunulması gereken alan daha da büyüyor. Bu nedenle siber güvenlik alanında faaliyet gösteren şirketlerden hizmet alınması gerekiyor. Siber saldırılara uğramamak ya da bertaraf etmek için, konusunda uzmanlaşmış siber güvenlik çalışanlarının şirketlerin faydası için çalışması gerekiyor. Bu noktada ise öne çıkan zorluk; bir şirket kuruluşunda ya da teknolojik olarak yenilenme aşamasında, siber güvenlik alanına ilişkin ekonomik planlamanın yapılmaması. Bir şirketin faaliyete geçmesinden önce, mutlaka yatırım kalemleri arasında siber güvenlik konusunun da hesaplanması gerekiyor. Ancak bu sayede, uzmanlar tarafından şirketlerin sağlıklı şekilde faaliyetlerine devam etmesi yani siber saldırılara uğramaması veya bunun bertaraf edilmesi mümkün oluyor.
Siber saldırılar konusunda gelişen teknolojiyle beraber artan riskler gösteriyor ki; şirketler ve şirket çalışanları pek çok veri kaybı tehlikesiyle karşı karşıya. Aynı zamanda o şirketlerden ürün ve hizmet alan müşteriler de, kişisel verilerini kaybetme noktasında tehlike altında bulunuyor. Şirketlerin sadece iş gücü ve para kaybının yanında, müşterilerinin güvenini yitirme noktasındaki tehlikeleri de göz önüne alıp, siber saldırılara ilişkin tetikte olacak ve bertaraf edecek sistemleri kurması gerekiyor.
