Siber Öldürme Zincirinde En Zayıf Halka: İnsan
Siber saldırılar günümüzde artan bir tehdit haline gelmiştir ve bu saldırıların en zayıf halkası insan faktörüdür. Karmaşık şifreler ve en gelişmiş güvenlik yazılımları kullanılsa bile, insan hatası veya zafiyeti siber saldırganlar için bir açık oluşturabilir.
Neden İnsanlar Zayıf Halka?
Yapay zekayla desteklenen siber güvenlik araçlarının kullanımı, güvenlik ekosisteminde kullanımı yaygınlaşsa da konunun bir tarafında insanın olması şirketleri dönem dönem telafisi zor süreçlerin içine çekebilmektedir. Dikkatsizce açılan bir mail eki, kaynağı belirsiz yerden gelen linke tıklama şirketlerin hem maddi hem de itibar yönünden kayıplar yaşatmaktadır.
Bu sorun bazen şirket güvenlik politika ve denetim süreçlerindeki eksikliklerden de kaynaklanabilir. Minimum yetki prensibinin benimsenmemesi, hızlı aksiyon almak için kontrolsüz erişim yetkilerinin verilmesi anlık olarak çözüm sağlasa da, orta-uzun vadede şirketler için majör sorunların kapısını aralamakta. Bu yönüyle bakacak olursak hem çalışan hem de kurumsal güvenlik politikalarının analiz edilmesi ve sürekli iyileştirmelerin yapılması elzemdir.
Yaşanan siber saldırı vaka örnekleri analiz edildiğinde insan kaynaklı olaylarda çoğunlukla şu nedenler karşımıza çıkmakta:
- Bilinç eksikliği: Birçok insan siber tehditlerin farkında değildir veya bu tehditlerin ne kadar ciddi olabileceğini anlamaz. Bu durum, siber saldırganların tuzaklarına düşmelerini kolaylaştırır. Zararlı bir eki açmak yada URL’e tıklamak şirketin iş süreçlerinin durmasına neden olabilir. Bu sürecin nasıl olduğunu çalışan bilmez ise istenmeyen durumlar yaşanabilir. Bu sebepten periyodik oltalama çalışmaları ve etkin eğitimlerle bilinç eksikliği kapatılmalıdır.
- Zayıf parola kullanımı: Karmaşık olmayan veya tekrarlanan parolalar kullanmak, siber saldırganların hesapları ele geçirmesini kolaylaştırır. İnsanlar daha rahat hatırlamak için daha basit parolalar kullanmakta. Bu parolalar hem kurumsal hem de bireysel hesaplarda kullanılmakta. İşbu sebepten bir noktada kullanıcının parolası ele geçtiğinde hem bireysel hem de kurumsal zararlar meydana gelmektedir. Kompleks ve dağıtık parola kullanımının kritiği yüksektir.
- Sosyal mühendislik: Siber saldırganlar, insanları kandırarak hassas bilgileri ele geçirmek veya zararlı yazılımlar yüklemek için sosyal mühendislik tekniklerini kullanabilirler. Bu her zaman phishing (oltalama saldırısı) şeklinde olmaz. Bazen voice phishing, bazen direkt iletişime geçme şeklinde de yaşanabilir. Beklenmeyen bir istek geldiğinde çalışan sosyal mühendislik saldırısına maruz kalma riskini düşünerek daha tedbirli olmalıdır.
Gerçek Dünya Örnekleri:
İnsan faktörünün istismar edilmesi yöntemiyle dünyada gerçekleşen binlerce vaka örneği saymak mümkün. Birkaç örnek ile devam edelim.
- 2017 yılında WannaCry fidye yazılımı, dünya çapında yüz binlerce bilgisayarı etkiledi ve milyarlarca dolarlık hasara yol açtı. Saldırı, e-postalara eklenmiş zararlı yazılımlar aracılığıyla yayıldı ve birçok kişi bu ekleri dikkatsizce açtı.
- 2018 yılında Marriott International, siber saldırı sonucu 450 milyon müşterisinin kişisel bilgilerinin çalındığını açıkladı. Saldırı, bir çalışanın kimlik bilgilerinin çalınmasıyla gerçekleşti.
- 2021 yılında Colonial Pipeline, siber saldırı sonucu faaliyetlerini durdurmak zorunda kaldı ve bu durum ABD’de büyük çaplı benzin sıkıntısına yol açtı. Saldırı, bir çalışanın kimlik bilgilerinin çalınmasıyla gerçekleşti.
Zayıf Halkanın Güçlendirilmesi:
Siber saldırılara karşı korunmak için insanların siber güvenlik bilincini artırmak ve daha iyi uygulamalar geliştirmek önemlidir. Sıfır güven mimarisinde inşaa edilmiş güvenlik ekosistemi güven telkin etse de insan beyninin hacklenmesi ihtimalini düşünerek hareket etmek gerekir. Bu konuda şu adımlar atılabilir:
- Siber güvenlik eğitimleri: Çalışanlara ve halka siber tehditler ve bu tehditlerden korunma yolları hakkında eğitim verilmelidir. Klasik bir sunum eğitimi yerine interaktif eğitimlerle bu süreç güçlü hale getirilmelidir. Senede bir eğitim oldukça yetersizdir, Yıl içinde asgari üç yada dört sefer yapılmalıdır.
- Güçlü parola kullanımı: Karmaşık ve benzersiz parolalar kullanılmalı ve parolalar düzenli olarak değiştirilmelidir. Parola dijital dünyada kullanıcıların anahtarı gibidir. Bu anahtar basit ise ve farklı hesaplarda aynı parolalar kullanılıyorsa ciddi sorunlar meydana gelebilir.
- Sosyal mühendisliğe karşı dikkatli olunmalı: Kimlik doğrulama bilgilerini verme konusunda dikkatli olunmalı ve bilinmeyen kişilerden gelen e-postalara veya eklerine tıklanmamalıdır.
- Güvenlik yazılımları: Bilgisayarlarda ve mobil cihazlarda güncel güvenlik yazılımları kullanılmalıdır. İnsan hata ihtimali göz önünde bulundurularak olası tüm teknik tedbirler kullanılmalıdır. Antivirüs, antispam, MFA, IPS/IDS, MDM gibi güvenlik yaklaşımları ve çözümleri yaygınlaştırılmalıdır.
Şirketlere Saldırının Bedeli:
Siber saldırılar şirketlere maddi ve manevi açıdan büyük zararlar verebilir. Bu hataların bir kısmı telafi edilebilir bazı zararları telafi etmek ise oldukça güçtür. İnsan kaynaklı olası siber saldırılar başarılı olduğunda şu zararlar yaşanabilir:
- Finansal kayıplar: Siber saldırılar, fidye ödemeleri, veri kaybı ve iş kesintileri gibi mali kayıplara yol açabilir.
- İtibar kaybı: Siber saldırılar, bir şirketin itibarına zarar verebilir ve müşteri güvenini zedeleyebilir.
- Yasal yaptırımlar: Bazı sektörlerde, siber saldırılara maruz kalan şirketler yasal yaptırımlarla karşı karşıya kalabilir.