Siber güvenlik politikalarının sadece saldırganlara odaklı
hazırlanması, kuralların çalışanlar üzerinde etki yaratmamasına sebep
olabiliyor. Ağ güvenliği çözümlerinde lider olan watchguard’ın Türkiye ve
Yunanistan Ülke Müdürü Yusuf Evmez, çalışanların hangi sebeplerle kuralları
aştığının anlaşılması gerektiğini vurgulayarak bu duruma yol açan 5 nedeni
paylaşıyor.
Yeni bir güvenlik araştırması, başlangıç pozisyonundaki
çalışanların yarısına yakınının ve tüm pozisyonlardaki çalışanların ise
neredeyse üçte birinin şirketlerinde bir siber güvenlik politikasının
varlığından habersiz olduğunu ortaya çıkarıyor. Ayrıca, siber güvenlik
kurallarının bulunduğunu ancak neler olduğunu veya nasıl uygulanabileceğini
bilmeyen çalışanlar olduğu gibi, bu konuda bilgi sahibi çalışanların bile belli
durumlarda kuralları aşmakta bir sakınca görmemesi, şirketlerdeki güvenlik
risklerini artırıyor. Ağ güvenliği çözümlerinde lider olan WatchGuard'ın
Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, sadece saldırı risklerine ve
siber saldırganların eğilimlerine göre hazırlanan kuralların çalışanlar
üzerinde işe yaramayacağını belirterek güvenlik kurallarının ihlal edilmesinin
arka planında yatan 5 temel sebebi dile getiriyor.
1. Bilgisizlik
Günümüzde siber saldırıların %91’inin bir oltalama
tekniğiyle başladığı gerçeği, çalışanların bilgisizliğinin riskleri artıran ilk
faktör olduğunu gösteriyor. Saldırı taktiklerine kanmak dışında, ofis dışında
sürdürülen çalışmalarda güvenliğe dikkat etmeden hareket etmek, şirket
tarafından izin verilmeyen uygulamaları kurumsal cihazlarda kullanmak, halka
açık bulut tabanlı servislerde hassas verileri depolamak gibi hatalar da
bilgisizlik veya bilinçsizlik nedeniyle güvenliği sekteye uğratan durumlardan
birkaçını oluşturuyor.
2. Rahatlık
Çalışanlar, dayatılan kuralların iş akışlarını bozduğu
gerekçesiyle kurallara uymayarak kendileri için daha rahat ama daha riskli
şekillerde işlerini yapmayı tercih edebiliyor. Verilere erişim izni verme
aşamasının zahmetli olduğu bir proje sürecinde, bir çalışan diğer kişilerle
direkt olarak şifresini paylaşarak zamandan kazanma yoluna gidiyor. Benzer
şekilde, çalışanlar hassas verilerle dolu dosyaları korunmasız bir yazılım
depolama servisine kaydedebiliyor.
2017’de yapılan bir araştırma, hassas şirket verilerini
diğer çalışanlarla paylaşmaya gönüllü kesimin ortalama %72 olduğunu gösteriyor.
Paylaşımda bulunanların %35’i, kişilerin çalışmasını daha etkin hale
getireceğini düşündüğü için bu davranışta bulunduğunu belirtiyor. Güvenlik
ekiplerinin yeni hesap ve erişim sağlama süreçlerini iş bütünlüğünü gözeterek
düzenlemesi ve çalışanların işlerini kolaylaştırması yoluyla kuralların
aşılması azaltabiliyor.
3. Heves
2017’de yapılan bir araştırmaya göre şirketlerin yaklaşık
%40’ında güvenliği sağlayacak teknolojik araçların satın alımında şirket
liderleri IT ekibinden daha fazla rol oynuyor. Sadece güvenlik araçlarında
değil, güvenliği ilgilendiren tüm işlemlerde üst düzey yöneticiler IT ekibinden
daha fazla karar sahibi olmak isteyebiliyor. Yöneticilerin ve ileri kademe
yetkililerin şirketlerinin başarısı için inisiyatif almaya yönelik hevesleri,
zamanla çok fazla kararın IT ekibine danışılmadan gerçekleştirilmesine ve
riskli kullanımların artmasına sebep oluyor.
Bilgi güvenliği başkanları başta olmak üzere IT üyelerinin
bu hevesli yöneticilerin hareketlerini gözetimde tutmaya çalışması oldukça zor
oluyor. Bu nedenle iki ekibin düzenli toplantılar ile operasyonel modelleri ver
güvenlik için sakıncalı davranışları beraber belirlenmesi gerekiyor. Ayrıca
kontrol adına otomatik sistemlerin ve bulut tabanlı servislerin tercih edilmesi
de yarar sağlıyor.
4. Merak
Pek çok çalışan zaman zaman merakına yenik düşerek işleri
için gerekli olmayan hassas bilgilere ulaşmak istiyor. Birinin maaşını öğrenmek
için insan kaynakları dosyasına bakmak istemekten ünlü müşterilerle ilgili en
gizli bilgilere erişmeye çalışmaya kadar birçok neden çalışanların merakları
nedeniyle fazla rahat davranmalarına sebep oluyor. 2017 sonunda oluşturulan bir
rapor, çalışanların %92’sinin işleri için gerekli olmayan bilgilere erişmeyi
denediğini ve şirketlerin %23’ünde bu durumun sık yaşandığını gösteriyor.
Erişim haklarının çalışanın görevlerine dayalı şekilde yapıldığından emin
olunması ve kullanıcı davranışlarının takibi, merak duygusunun siber güvenliğin
önüne geçmesine engel oluyor.
5. Yardımseverlik
Kurumsal mailleri taklit eden saldırganların beş yıl içinde
toplam 12,5 milyar zarara yol açtığını ortaya çıkartan bir FBI raporuna göre
hedefli oltalama saldırıları geçtiğimiz iki yıl içerisinde %136 artış
gösteriyor. Rapora göre hackerler, özellikle finans departmanlarında çalışan
iyi niyetli kişileri, ödeme detaylarının hemen değiştirilmesi ve bir an önce
ödeme yapılması gerektiği gibi taleplerle kandırarak kendilerine para akışı
sağlıyor. Bu saldırılar, çalışanların yardım etme isteğini sömürürken oltalama
tekniğine karşı eğitimsizliğin altını çizmiş oluyor.
