Yazan: Mike Caralis, Başkan Yardımcısı, Verizon İş Piyasaları
Küçük işletmeler yalnızca Ana Caddenin gelişmesi ve hareketli kalması için gerekli değildir (yerel suşi mekanımı seviyorum), aynı zamanda ekonomimiz için de gereklidirler. Aslında ABD Küçük İşletme İdaresi’ne göre ABD ekonomik faaliyetinin yüzde 44’ünü oluşturuyorlar. Ayrıca siber saldırılara ve veri ihlallerine karşı da yüksek risk altındalar; bu da hassas bilgileri, müşteri verileri ve fikri mülkiyet hakları da dahil olmak üzere işlerini büyük bir risk altına sokuyor. Verilere izinsiz erişim, telafisi zor veya imkansız olabilecek önemli mali kayıp potansiyeline sahiptir.
Bu arada siber suçlar gelişen bir iş kolu haline geldi; veri ihlallerinin yüzde 95’i, hem büyük hem de küçük şirketleri tehdit etmek için giderek daha karmaşık taktikler ve gelişmiş teknikler kullanan, mali güdümlü tehdit aktörlerinin çalışmalarından kaynaklanıyor. 2023 Verizon Veri İhlali Araştırma Raporu’na (DBIR) göre, uç noktaların çoğalması ve yeterli güvenlik kontrolleri olmadan dijital teknolojilerin benimsenmesi de dahil olmak üzere genişletilmiş saldırı yüzeyi, siber suçlardaki artışı körüklüyor.
Siber suçlular, küçük ve orta ölçekli işletmeleri (KOBİ’ler), alınabilecek değerli verilere sahip kolay hedefler olarak görüyor. Verizon raporu, binin altında çalışanı olan bu işletmelerin siber güvenlik saldırılarına karşı büyük işletmeler kadar hatta daha fazla savunmasız olduğunu ortaya koydu. Bunun nedeni, küçük şirketlerin siber saldırıları yeterince önlemek, tespit etmek ve bunlara yanıt vermek için güçlü güvenlik kontrollerini uygulayacak kaynaklara ve uzmanlığa sahip olmayabilmesidir.
Boyutları ne olursa olsun, kuruluşlar sosyal mühendislik, sisteme izinsiz giriş ve temel web uygulaması saldırıları gibi benzer türde saldırılarla karşı karşıyadır. Verizon raporuna göre özellikle KOBİ’leri etkileyen en önemli siber güvenlik saldırıları şunlar:
- İnsan unsuru. Herhangi bir KOBİ için bir numaralı risk kendi çalışanlarıdır. Aslında ihlallerin yüzde 74’ü, saldırganların veri çalmak veya işletmeden fidye almak için sosyal mühendislik ve yanlış beyan taktiklerini kullandığı insan eylemlerinden kaynaklanıyordu. Birini kandırarak bilgi vermesini sağlayan icat edilmiş bir senaryo olan bahane, 2022’deki tüm sosyal mühendislik olaylarının yarısını oluşturdu. Kimlik avı taktikleri yüzde 44 ile ikinci sırada yer aldı.
- Bir bilgi işlem sistemine erişimi engellemek için kötü amaçlı yazılım kullanan fidye yazılımları, tüm olayların yüzde 62’sinden fazlasında mevcuttu.
- Hizmet Reddi (DDoS). Bu saldırılar, ağları ve sistemleri büyük miktarda veriyle doldurarak kullanılabilirliğini tehlikeye atar. DDoS saldırıları vakaların yüzde 42’sini temsil ediyordu.
- Sisteme izinsiz giriş. Kötü aktörlerin bilgisayar korsanlığı ve kötü amaçlı yazılım konusundaki uzmanlıklarını kullanarak kuruluşları ihlal etmesini veya kuruluşları etkilemesini içeren bu teknik, ihlallerin yüzde 37’sini oluşturdu. Bu, daha karmaşık, hesaplanmış ve hedefe yönelik bir saldırı türü olduğundan fidye yazılımından ve insan unsurundan farklı bir kategoridir.
Daha Az Kaynakla Siber Güvenlik Duruşunuzu Güçlendirmenin Yedi Yolu
Bir işletme teknolojiden yararlanıyorsa siber güvenlik sorunu yaşar. Halihazırda çetin bir mücadele içinde olan KOBİ’ler için riskleri azaltmak amacıyla doğru siber güvenlik protokollerine sahip olmaları hayati önem taşıyor. İşte en küçük işletmenin bile uygulayabileceği yedi teknik:
- Verilerinize kimlerin erişebileceğini yönetin. Erişim kontrolü yönetimi, varlık ve yazılım kullanıcıları için erişim kimlik bilgilerini ve ayrıcalıklarını oluşturmak, atamak, yönetmek ve iptal etmek için süreçleri ve araçları kullanır.
- Çalışanlarınızı güvenlik konusunda bilgili olmaları konusunda eğitin. İş gücünüzün (beş kişilik bir ekip olsa bile) güvenlik konusunda bilinçli olması ve siber güvenlik risklerini azaltması için bir güvenlik farkındalığı programı oluşturun ve sürdürün.
- Verilerinizin nerede bulunduğunu bilin. Kuruluşunuzun verileri bir ağda, sabit disklerde, sunucularda veya bulutta mı saklanıyor? Üçüncü şahıslara güveniyor musunuz? Verilerinizin nerede bulunduğunu bilmek, onları daha iyi koruyabilmeniz ve verilerin güvenliği ihlal edildiğinde hangi adımları atmanız gerektiğini bilmeniz açısından faydalıdır.
- Bir olay müdahale yönetim planı oluşturun. Bahane uydurma gibi birçok siber saldırı hızla artma eğilimindedir ve önemli bir etkiye sahip olabilir. Plan, bir kuruluşun bir saldırıya daha iyi hazırlanmasına, tespit edilmesine ve yanıt verilmesine yardımcı olur.
- Sorular sor. Başlangıç için birkaç güzel soru:
- Personelimizde atanmış bir bilgi güvenliği uzmanı veya üçüncü taraf güvenilir bir risk danışmanımız var mı?
- Web sitemiz uygun şekilde korunuyor mu?
- Verilerimizi ve dosyalarımızı düzenli olarak yedekliyor muyuz?
- Şirketimizin cihazları antimalware ve antivirüs yazılımlarıyla korunuyor mu?
- Donanım ve yazılımımıza düzenli olarak yama yapıyor muyuz?
- Hangi verileri yönettiğimizi ve bunların nerede bulunduğunu biliyor muyuz?
- Bilgi güvenliğiyle ilgili araç ve kontrollere ne kadar harcama yapmalıyız?
- Güvenlik teknik kontrollerini göz önünde bulundurun. Şirketler antivirüs yazılımı, güvenlik duvarları ve çok faktörlü kimlik doğrulama gibi temel güvenlik kontrollerini incelemek isteyecektir.
- En iyi uygulamalardan yararlanın. KOBİ’lerin mevcut siber güvenlik duruşlarını önceliklendirmelerine, özelleştirmelerine, güçlendirmelerine ve zaman içinde çabalarını artırmalarına yardımcı olacak en iyi uygulamalara yardımcı olacak çeşitli kaynaklar bulunmaktadır:
Her türden ve büyüklükteki işletmenin büyüdüğünü görmek istiyoruz. Güvenlik kontrolleri ve koruyucu önlemlerle (her seferinde bir katman olsa bile) bir siber güvenlik savunması katmanı oluşturmak, KOBİ’leri ve onların mevcut siber güvenlik duruşlarını güçlendirmede uzun bir yol kat edecektir. Bu, bir şirketin işleriyle birlikte siber güvenlik çabalarını da zaman içinde büyütmek için iyi bir formül.
yazar hakkında
Mike Caralis, Başkan Yardımcısı, Verizon İş Piyasaları. Verizon Business Markets Başkan Yardımcısı olarak, küçük ve orta ölçekli işletme müşterileri için üç kritik iş birimine liderlik ediyorum: hizmet olarak ağ (NaaS), Fios for Business ve kanal programımız. 1.200’den fazla profesyonelden oluşan ekibim, dijital dönüşüm yolculuklarında müşterilerle ortaklık kurarak toplam iletişim, bağlantı, işbirliği ve güvenlik için yenilikçi yönetilen çözümler sunuyor.
Müşteri odaklı kuruluşumuz 5G teknolojileri, fiber, ethernet, güvenlik çözümleri ve One Talk (seslendirme IP çözümü) ve Microsoft Teams gibi tümleşik iletişim çözümleri sunmaktadır. Tüm segmentlerdeki ve sektörlerdeki işletmeler pandemi sonrası bir geri dönüş beklerken, 5G’yi ve onun yeni fırsatlar yaratma, yeni verimlilikler oluşturma ve işlerini ölçeklendirme potansiyelini benimsemek istiyorlar. Ekibimiz aynı zamanda İşletmeler için Fios, iş dijital sesi ve dağıtımı ve kullanımı kolay güvenlik ve işbirliği ürünleri seti de sağlar.
Bundan önce Çözüm Mimarı ve Mühendislik İcra Direktörü olarak görev yaptım. Bu görevde ekibim, geniş bant, güvenlik ve işbirliği platformları da dahil olmak üzere en iyi entegre çözüm tasarımlarını ve yönetilen hizmetleri sağlayarak teknik ekiplerimizin dönüşümüne odaklandı. Kariyerimin başlarında Verizon’da dört yıl boyunca kamu sektörü müşterilerine hizmet verdim. Geçen yıl ekibimiz pandemiye müdahaleye yardımcı olmak ve öğrenciler için uzaktan öğrenimi mümkün kılmak için kritik hizmetler ve teknoloji sağladı.
Daha önce Verizon Wireless’ta Pazarlama ve Operasyon Direktörü olarak görev yaptım ve yeni teknoloji ve uygulamaların dağıtımında sorunsuz bir müşteri deneyimi sağlamak için Apple, Google ve Samsung ile ortaklık kurdum. Sonuç olarak Verizon, dünyada ikonik bir çözüm olan Apple Business Manager’ı başlatan ilk operatör oldu. Daha sonra Android sıfır dokunuşlu ve Samsung Knox Mobil Kayıt özelliğini başlatan bir ekibe liderlik ettim. Verizon’dan önce Nextel ve Sprint’te çeşitli satış rollerinde çalıştım.
Mike’a çevrimiçi olarak LinkedIn’den ve şirket web sitemiz http://www.verizon.com/ adresinden ulaşılabilir.