İşletmeler çevrimiçi büyümeye devam ettikçe ve dijital yeteneklere daha fazla güvendikçe, kuruluşunuzu ‘varsayılan olarak güvenli’ olacak şekilde tasarlamak her zamankinden daha önemli hale geliyor.
Neredeyse her güvenilir kaynak size bu yıl siber saldırıların hacminin arttığını söyleyecektir. Ancak bu yeni bir başlık değil ve teknoloji ve bilgi güvenliği uzmanları olarak biz zaten buna hazırız. Çok daha ilginç olan, siber suçun nasıl değiştiği ve bu değişikliklere nasıl tepki verebileceğimizdir.
Peki 2023’te ne öğrendik?
İhlaller ve saldırılar
Bu yılın en yüksek profilli saldırılarının çoğu, nispeten basit saldırı vektörlerine dayandırılabilir. Yakın tarihin en büyük ihlallerinden biri olan Optus ihlali, 10 milyon kaydı tehlikeye attı ve bize söylenene göre, açığa çıkan bir API’den başka bir şey değildi. Bu bize temel güvenlik kontrollerinin işe yaramadığını ve mevcut olan tasarlanmış kontrollerin geçerliliğini ve etkinliğini sorgulamamız gerektiğini söylüyor. Aslında testin yerini tutacak hiçbir şey yok.
Kuzey İrlanda Polis Teşkilatı’nın bu yılın başlarında 10.000 polis memuru ve sivilin bilgilerinin kazara internette yayınlandığı ihlali, meşru erişime sahip kişilerin hem ilk savunma hattı hem de en zayıf halka olmaya devam ettiğini bize hatırlattı. Bu gibi durumlardan kaçınmak için pratik korkuluklar ve temel konularda iyi bir eğitim şarttır.
Yapay zeka tarafından oluşturulan mesajları kullanan kimlik avı saldırıları artıyor ve bu da daha güvenilir mesajların gönderilmesine yol açıyor. Aslında Darktrace, ChatGPT’nin yaygın olarak benimsendiği ay boyunca ‘yeni sosyal mühendislik saldırılarında’ %135’lik bir artış bildirdi. Bu, bariz kimlik avı mesajlarında orantılı bir azalma anlamına gelir ve bu da kullanıcılardan daha yüksek tıklama oranlarına yol açar.
Verileri koruma
Verilerinizin nerede olduğunu bilmek gerçek bir sorun haline geldi. Bulut ve genişletilmiş tedarik zincirlerinin birleşimi güvenlik ekiplerini zor durumda bıraktı. Örneğin, şirket içi bir CRM platformundan, pazarlamadaki bir proje yöneticisi tarafından teslim edilen Salesforce’a geçme projesini ele alalım. Bu senaryolarda bilgi güvenliği ekiplerinin neler olup bittiğini bilmesi zor olabilir.
Güvenliğin dijital mühendislik süreçlerinde temsil edilmesini sağlamak her zaman önemli olmuştur, ancak artık bunu başarıyla yapmayı başaran kuruluşlar ile başaramayan kuruluşlar arasında her zamankinden daha fazla bir bölünme görüyoruz. İyi bir güvenliğin atlanmasını önlemek istiyorsak, güvenliğin geliştirme ekipleri tarafından uygulanması kolay olmalı ve ilişki her iki yönde de işbirliğine dayalı olmalıdır.
Farkındalık
Yönetim kurulunun siber risk konusundaki farkındalığı artıyor ve bu da yönetim kurullarının anlayabilecekleri bir biçimde sunulan kaliteli risk verilerine ihtiyaç duyduğu anlamına geliyor. Bu genellikle risklerin tamamen teknik terimlerle veya iş etkisinden ziyade kontrol olgunluğuna dayalı olarak raporlandığı bir zorluktur. Bazı sektörlerde operasyonel dayanıklılık gündemi, üst düzey liderler için temel konulara ve erişilebilir bilgilere odaklanma konusunda gerçekten yardımcı oldu.
2024’te nelere dikkat etmeliyiz?
Güvenlik ürünleri ve cihazları
Parolasız kimlik doğrulama, Apple ve Google da dahil olmak üzere, bunu bir süredir kişisel cihazlarda kullanan birçok önemli isim tarafından yönlendiriliyor. FIDO2 güvenlik modelinin benimsenmesi, parola hırsızlığı, kimlik avı girişimleri ve tekrar saldırıları riskini önemli ölçüde azaltma yeteneği nedeniyle hız kazanıyor.
Buna paralel olarak, güvenlik ürünlerinin ticari bulut BT hizmetleriyle paketlenmesinde de bir artış görüyoruz. Bu, normalde yeterince güvenli olmayan platformlar için güvenlik eklentileri sağlayan üçüncü tarafların onlarca yıllık modeline meydan okuyor. Burada özellikle uygulama kolaylığı açısından avantajlar var, ancak benzersiz ihtiyaçların karşılanamaması riski de var.
Tehdit
Jeopolitik gerilimlerin ulus devletlerin ve hacktivistlerin saldırılarında artışa yol açması muhtemeldir, dolayısıyla bunları kendi organizasyonunuz bağlamında düşünmek önemlidir. Merkezinizin nerede olduğu, kim tarafından finanse edildiğiniz ve kimi desteklediğinizin görülebileceği gibi faktörlerin tümü dikkate alınması gereken faktörlerdir.
Ayrıca tedarik zincirinde daha fazla saldırı görmeyi bekliyoruz, bu da daha sonra müşteri ortamlarına dönmek için kullanılabilecek tedarikçilere yönelik tavizlerle sonuçlanacaktır. Tedarikçilerin iyi bir siber güvenlik hijyeni ve denetimini uygun şekilde taahhüt etmelerini sağlamak önemli bir temel ilk adımdır ancak bilgi sınırlarına ve sağlanan erişim düzeyine de dikkat edilmelidir.
Uzun vadede
2024 yılının, özellikle bu tür saldırıların daha belirgin hale gelmesiyle, yapay zeka tabanlı saldırılara karşı savunma konusunda fikir birliğinin oluşmaya başlayacağı yıl olacağına inanıyoruz. ‘Varsayılan olarak güvenli’ bir zorunluluk haline geldiğinden, bunun yapay zeka ve siber güvenlik alanları arasında geçiş yapabilen uzmanlara olan talebin artmasına yol açtığını görüyoruz.
Kuantum hazır düşünme konusunda farkındalığın artması kesindir. Henüz kuantum hesaplamanın acil bir tehdit oluşturduğu noktada değiliz, ancak hazırlığa giden yol haritasının nasıl görünebileceğine dair daha fazla sorunun sorulduğunu görmeye başlıyoruz. Şimdi mülkünüzde kullandığınız şifreleme algoritmalarını kataloglamak için iyi bir zaman olabilir.
Bu nedenle, 2024’e yönelik planlama yaparken güvenliği organizasyonun sistemlerine, süreçlerine ve zihniyetine nasıl yerleştirebileceğinize bakmaya değer. Bu, yeni teknolojilerin (AI ve kuantum gibi) fırsatlarını ve etkilerini anlamanıza ve kuruluşunuzun dijital dünyada büyümesine yardımcı olmak için bunları nasıl kullanacağınızı tasarlamanıza olanak tanıyacaktır.
Rasika Somasiri, PA Consulting’de siber güvenlik uzmanıdır.