Yazan: Zac Amos, Özellik Düzenleyicisi, ReHack
Siber saldırıların maliyetinin artması ve etkilerinin daha şiddetli hale gelmesiyle birlikte birçok karar verici, siber güvenlik farkındalığı eğitiminin çalışan eğitiminin sürekli bir parçası olması gerektiğinin farkına varıyor. En başarılı ve yaygın olarak kullanılan saldırıların çoğu kimlik avı ile ilgilidir. Bunlar, bir siber suçlunun kurbandan bilgi almak için başka bir kişiyi veya kuruluşu taklit etmesiyle ortaya çıkar.
Ancak bu saldırılar, çalışanlar saatlerce süren eğitimlere ve gerçekçi kimlik avı simülasyonlarına tabi tutulduklarında bile gerçekleşmeye devam ediyor. Durum neden böyle?
- Siber Güvenlik Eğitim Programları Yeterince Etkili Değil
Çalışanların programlarına siber güvenlik eğitimlerini eklemek yeterli değildir. Aldıkları eğitim içeriğinin aynı zamanda evde veya işte günlük hayatlarına uygulayabilecekleri kadar eyleme geçirilebilir olması gerekir. Ancak 2023 Fortinet araştırması bunun gerçekleşmediğini öne sürüyor.
Ankete katılan liderlerin yaklaşık %90’ı çalışanlara yönelik ek siber güvenlik eğitiminin siber saldırıları azaltacağına inanıyordu. Ankete katılanların %85’i de çalışanlara siber güvenlikle ilgili en iyi uygulamaları öğrettiklerini söyledi. Ancak %50’den fazlası çalışanların bu alanda hâlâ bilgi eksikliği olduğunu söyledi. Bu, eğitimin bazı yönlerinin onu maksimum düzeyde etkili kılmadığını gösteriyor.
Eğitimden sorumlu şirket temsilcileri, eksikliklerin nerede olduğunu belirlemek için dahili verileri inceleyerek eğitimi geliştirebilir. Alternatif olarak hızlı, resmi olmayan sınavlar yoluyla bilgi toplayabilirler. Kimlik avı saldırısının özelliklerini kaç çalışan doğru şekilde tanımlayabiliyor? Parola oluşturma ve kullanma konusundaki en iyi uygulamaları yüzde kaçı biliyor? Bu soruları yanıtlamak eğitmenlere gelecek oturumlarda hangi alanlara odaklanmaları gerektiğini gösterebilir.
- Birçok İşçi Çok Sayıda Sorumlulukla Üst Üste Kalıyor
Sürekli baskı altındaki kişilerin çok fazla zamanı yoktur ve kimlik avı dolandırıcılığına karşı meşru iletişimin ne olduğunu doğru bir şekilde yargılamak için kendilerini yeterince açık fikirli hissetmeyebilirler. Bu, veri bütünlüğünü kimlik avı saldırılarından daha fazla şekilde tehlikeye atabilir.
2022 Tessian araştırması, yanıt verenlerin beşte ikisinden fazlasının kimlik avı saldırılarına düşme nedenleri olarak dikkat dağınıklığı ve yorgunluktan bahsettiğini ortaya çıkardı. Diğer %52’lik kesim ise bir şirket yöneticisinin kimliğine bürünen kimlik avı saldırılarıyla kandırıldıklarını söyledi. Yorgun ve dikkatlerini her yöne çeken görevlerle uğraşan kişilerin, uygun eğitimi aldıktan sonra bile kimlik avı saldırılarını tespit etme olasılıkları daha düşük olabilir.
Ancak çalışma aynı zamanda başka şeylerin de veri güvenliğini tehlikeye atabileceğini gösterdi. Örneğin, yanıt verenlerin %40’ı yanlış kişiye e-posta gönderdi ve %29’u şirketlerinin bu hata nedeniyle müşteri veya müşteri kaybettiğini söyledi.
Çalışanları veri işleme prosedürleri konusunda eğitmek, kimlik avı girişimlerini tanımayı öğretmek kadar önemlidir. Sıklıkla yapılan önerilerden biri, erişim ayrıcalıklarına sahip kişi sayısını en aza indirmektir. Birçok şirket bunu, kullanıcıların yalnızca doğrudan görev veya rolleriyle ilgili bilgileri görebilmesi için güvenlik parametrelerini ayarlayarak yapar.
- Daha Fazla Çalışan İş Amaçlı Kişisel Cihaz Kullanıyor
Birçok işveren kendi cihazını getir (BYOD) politikalarını uygulamaya başladı. Bazı işyeri teknoloji ihtiyaçlarını karşılamak için bunu yapmanın çok sayıda avantajı vardır. Çalışanlar zaten iyi bildikleri öğeleri kullanabilirler; bu da daha yüksek üretkenlik ve daha fazla memnuniyetle sonuçlanabilir. Ayrıca şirketler donanım ve yazılım harcamalarını da azaltabilirler.
Ancak BYOD’nin bir dezavantajı, çalışanların cihazlarını olması gerektiği sıklıkta güncelleyememesidir. Siber suçlular, saldırıları sırasında sıklıkla bilinen güvenlik açıklarından yararlanır. Bu, iş için kullanılan kişisel cihazların failler için özellikle yararlı hedefler haline gelmesine neden olabilir.
2023’te yapılan bir SlashNext araştırması, çalışanların %43’ünün kişisel cihazlarında işle ilgili kimlik avı saldırılarına maruz kaldığını ortaya çıkardı. Güvenlik liderlerinin %90’ının çalışanların ekipmanlarını korumayı birinci öncelik olarak belirlemesi, ancak yalnızca %63’ünün bunu yeterince yapabilecek araçlara sahip olduğunu söylemesi de sorunlu.
Bir diğer sonuç ise kimlik avı saldırılarının %50’sinin e-posta dışında gerçekleşmesiydi. Ayrıca, araştırmaya katılan güvenlik liderlerinin %95’i, özel mesajlaşma uygulamaları yoluyla yapılan kimlik avının giderek artan bir sorun olarak tanımladı.
BT ekiplerinin, çalışanların iş için kullandığı kişisel cihazların güvenliğini sağlaması daha da zorlaşıyor. Ekipmanın en güncel yazılım ve işletim sistemi sürümlerine sahip olmasını sağlamak daha zordur.
- Siber Güvenlik Farkındalığı İhtiyaç Duyulanların Sadece Bir Parçasıdır
Zscaler ThreatLabz tarafından 2023 yılında yayınlanan bir araştırma, 2022 yılında kimlik avı saldırılarının bir önceki yıla göre %47,2 oranında arttığını ortaya koydu. Araştırmacılar ayrıca siber suçluların giderek daha karmaşık saldırılar uyguladığını da buldu. Bu, katılımcıların alacağı siber güvenlik farkındalığı eğitiminin, onları çoğu potansiyel saldırı yöntemine hazırlamak için daha derinlemesine olması gerektiği anlamına gelebilir.
Başka yerlerde, Ulusal Siber Güvenlik İttifakı ve CybSafe tarafından 2022’de yapılan bir araştırma, siber güvenlik eğitimi alanların %58’inin kimlik avı ve ilgili saldırıları tanıma konusunda daha hazırlıklı olduklarına inandığını gösterdi. Buna rağmen bu grubun %34’ü hâlâ en az bir tür siber suçla karşı karşıya kaldı.
Ulusal Siber Güvenlik İttifakı’nın genel müdürü Lisa Plaggemier, bu bulguların siber güvenlik eğitiminin insanların verilerini korumalarına yardımcı olmak için ne kadar önemli olduğunu vurguladığını açıkladı. Yine de bu, internet kullanıcılarının kendilerini ve cihazlarını güvende tutmak için yapması gerekenlerin yalnızca bir bileşenidir. Siber suçlular sıradan kullanıcıları hedef alırken daha agresif ve başarılı hale geldiğinden, insanların siber güvenlik uygulamalarını hayatlarına yerleştirmelerine yardımcı olmak için yapılanların tamamen elden geçirilmesi gerektiğini söyledi.
Kimlik Avı Eğitimi Siber Suçluların Taktiklerine Göre Gelişmelidir
İnsanlara kimlik avı girişimlerini tespit etmeyi ve bunlardan kaçınmayı öğretmek hâlâ güncel ve gerekli. Ancak eğitmenler, BT ekipleri ve bu tür süreçlerde yer alan diğer kişiler, eğitimi, kişinin belirli bir işyerinde bir kez gerçekleşen statik bir çaba olarak ele almamalıdır.
Siber suçlular, potansiyel kurbanlarını kandırmak için giderek daha yeni ve daha gelişmiş yaklaşımlar kullanıyor. Kimlik avı ve diğer önemli konulara ilişkin siber güvenlik eğitimlerinin de güncellenmesi gerekmektedir. İnsanlar, yalnızca işte değil, interneti her kullandıklarında çevrimiçi güvenlik için en iyi uygulamaları kullanmanın önemini anlamalıdır. Bunlar gerçekleştiğinde kimlik avı saldırılarının başarısı azalacaktır.
yazar hakkında
Zac Amos, ReHack’te Özellik Editörüdür ve burada siber güvenlik ve teknoloji endüstrisini ele almaktadır. İçeriğinin daha fazlası için onu takip edin heyecan veya LinkedIn.