Yazan: Matt Lindley, NINJIO’nun COO’su ve CISO’su
Şirketler, 2022’yi benzersiz bir şekilde çalkantılı ve öngörülemez bir yıl haline getiren artan maliyetler, son derece sıkı bir işgücü piyasası, yaklaşan bir durgunluk ve diğer birçok sorunla başa çıkmakta zorlanıyor. Benzer şekilde, siber tehdit ortamı, devlet destekli siber saldırıların artan sıklığı, tedarik zincirlerine sızma ve genişleyen bir dizi saldırı vektörünün kullanılması gibi çeşitli tektonik kaymalardan geçiyor.
Önümüzdeki yıl kesinlikle sürprizlerle dolu olsa da, şirketlerin kendilerini siber saldırılara karşı korumak için alabilecekleri çeşitli önlemler var ve siber farkındalığı daha yüksek bir iş gücü oluşturmak listenin başında yer almalı. Biz bu zorluğun üstesinden gelirken, işte dört ana trend önümüzdeki yıl bu işi şekillendirecek.
1 – Uzaktan çalışma çağı yeni siber tehditler sunacak. Birçok çalışan ofise dönmüş olsa da, uzaktan ve hibrit çalışmanın iş yerinin kalıcı bir özelliği olacağı açık. Yakın tarihli bir McKinsey, uzaktan çalışma şansına sahip çalışanların yüzde 87’sinin bunu kabul ettiğini ve haftada ortalama üç günü ofis dışında çalışarak geçirdiklerini buldu.
Çalışanlar ofiste olmadıklarında, VPN olmadan güvenli olmayan WiFi kullanmak, halka açık yerlerde iş cihazlarını açık bırakmak ve kötü amaçlı e-postalara tıklamak gibi riskli davranışlarda bulunabilirler. Bu risklerden kaçınmak için şirketlerin, çalışanları ofiste olsun ya da olmasın sürdürülebilir davranış değişikliğine yol açacak bir siber güvenlik kültürü geliştirmesi gerekiyor. Şirketler ayrıca şüpheli olayları bildirmek için net kanallar sağlamalıdır. Son olarak, çalışanlar VPN abonelikleri, şifre yöneticileri ve çok faktörlü kimlik doğrulaması ile donatılmış cihazlar gibi güvenli uzaktan çalışma için gerekli tüm araçlara sahip olmalıdır.
2 – Saldırı vektörlerinin çoğalması şirketleri riske atacak. Ortalama bir Amerikan evinde . Bir çalışanın dizüstü bilgisayarı veya akıllı telefonunun aksine, bu cihazların çoğunda yerleşik güvenlik güncellemeleri yoktur, bu da onlarla bir ağ paylaşmanın riskli olduğu anlamına gelir. IoT cihazlarının sayısı arttıkça ve çalışanlar ofis dışında çalışmaya devam ettikçe, siber suçlular çok sayıda yeni giriş noktasına sahip olacak.
Rockstar Games kısa bir süre önce , siber suçlular şirketin Slack kanalından son derece hassas geliştirme aşamasındaki oyun görüntülerini indirip YouTube’da yayınladı. Siber suçlular aynı zamanda Uber’e sızmak için Slack’i de kullandı. Bunlar, Slack gibi (özellikle uzaktan çalışma çağında daha yaygın hale gelen) bulut tabanlı üretkenlik araçlarının, bu platformlarda her gün ne kadar ayrıcalıklı bilginin paylaşıldığını bilen bilgisayar korsanları için ana giriş noktaları olduğunu hatırlatıyor. Ancak daha geniş bir noktayı da gösteriyor: Şirketler, çalışanlarının hangi kaynakları kullandığını bilmek zorunda, bu da onların net veri paylaşım yönergeleri, güvenlik protokolleri ve olay raporlama mekanizmaları oluşturmasına olanak tanıyacak.
3 – Tedarik zincirleri ana hedefler olmaya devam edecek. Tedarik zinciri yöneticilerinin tedarik zincirlerini daha esnek hale getirmeyi planladıklarını söylediği bir dönemde, siber güvenlik bu çabanın en kritik unsurlarından biri olmalıdır. NCC Group tarafından hazırlanan bir araştırma, tedarik zinciri siber saldırılarının geçen yılın ikinci yarısında yüzde 51 arttığını ve yakın gelecekte daha fazla saldırı görmeyi beklememiz gerektiğini ortaya koydu.
Siber suçlular, sızabilecek ve bozulabilecek birçok karmaşık ve birbirine bağlı dijital sisteme güvendikleri için özellikle tedarik zincirlerine odaklanırlar. Tedarik zincirleri, üçüncü taraf risklerine karşı benzersiz bir şekilde hassastır, çünkü iş ortakları arasındaki zayıf siber güvenlik, siber suçlulara daha güvenli hedeflere arka kapıdan erişim sağlayabilir. Tedarik zinciri sektörü, kapsamlı bir dijital dönüşümün ortasındadır; bu, şirketlerin görünürlüğü, işbirliğini vb. geliştirmek için dijital kaynakları devreye almanın ilk aşamalarında olduğu anlamına gelir. Birçok siber suçlu, bunu halen kurulmakta olan dijital sistemlerden yararlanmak için bir fırsat olarak görüyor.
4 – Siber saldırıların çoğu insanları hedef alacak. Siber tehdit ortamı sürekli değişirken, değişmeyen bir şey var: Siber suçlular, saldırılarının çoğunu başlatmak için insan hatasına güveniyor. 2022 Verizon Veri İhlali Soruşturmalarına göre, önceki yıldaki ihlallerin yüzde 82’si bir insan unsuru içeriyordu. Bu bulgu, yıllar boyunca dikkate değer ölçüde tutarlı olmuştur ve yakın zamanda değişmesi pek olası değildir.
VPN’ler ve çok faktörlü kimlik doğrulama gibi dijital araçlar şirketlerin güvenliğini sağlamada önemli bir rol oynasa da hiçbir kaynak siber farkındalığa sahip bir iş gücünden daha değerli olamaz. Bu nedenle siber güvenlik eğitimi hiç bu kadar önemli olmamıştı. Etkili bir eğitim platformunun birkaç önemli unsuru vardır: katılım, tutarlılık ve alaka düzeyi. Siber farkındalık içeriğinin çalışanların dikkatini çekmesi, öğrendiklerini düzenli olarak pekiştirmesi ve onları güvende tutacak şekilde uygulanması hayati önem taşır.
2023’e girerken pek çok bilinmeyen olsa da, şüphe götürmeyen bir şey var: siber güvenlik her zamankinden daha önemli olacak.
reklam