Yazan: Sithembile (Nkosi) Songo, Bilgi Güvenliği Baş Sorumlusu, ESKOM
Nihai Siber Güvenlik İstatistikleri Listesi’ne göre siber saldırıların %98’i sosyal mühendisliğe dayanıyor. Sosyal mühendislik ve kimlik avı saldırıları taktikleri gelişmeye devam ediyor ve yöneticilerden normal çalışanlara kadar çok çeşitli bir hedef kitleyi hedefliyor. GEN AI kullanılarak başlatılabilen gelişmiş kimlik avı saldırıları. Bu saldırıların arkasında maddi kazanç, merak veya veri hırsızlığı gibi motivasyon değişiklikleri de var.
Son saldırılar, siber suçluların, insanın zayıflıklarından yararlanarak çeşitli sosyal mühendislik hilelerini kullanmaya devam ettiğini gösterdi. Saldırganlar, dolandırıcılık işlemleri başlatmak, verileri çalmak, kötü amaçlı yazılım yüklemek ve diğer kötü amaçlı faaliyetlerde bulunmak için otomatikleştirilmiş açıklardan yararlanma gibi yalnızca teknoloji açıklarından yararlanmaya doğru evriliyorlar.
Ayrıca insanların siber güvenlik zincirinin en zayıf halkası olarak kabul edildiği de belgelenmiş bir gerçektir. Geleneksel güvenlik kontrolleri, insan kaynaklı güvenlik açıklarının aksine teknik güvenlik açıklarına daha fazla odaklanır. Tehdit aktörleri geleneksel sistem ve/veya teknoloji bağlantılı siber saldırılardan insan kaynaklı saldırılara geçiş yapıyor. Siber suçlular, insanlarla ilgili güvenlik açıklarından yararlanarak bilgisiz veya eğitimsiz işgücünü tespit etmiş ve şimdi de bunlardan yararlanmaktadır.
Çalışanlar genellikle günlük durumları, aktiviteleri, hobileri, seyahat programları ve aile ve arkadaş ağları dahil olmak üzere kendileri hakkında çok miktarda bilgi yayınlayarak işi çok kolaylaştırıyorlar. Küçük bilgi parçacıkları bile bir araya getirilebilir. Kötü adamlar hedefleri üzerine tam bir rekor kırabilirler. Çalışanlar, özellikle de hedef alınanlar, paylaşımlarını sınırlamalıdır. Kötü adamlar, çöp bidonuna dalma ve şifrelenmemiş veriler yoluyla bilgilerin uygunsuz şekilde yok edilmesi gibi diğer zayıflıklardan yararlanır. En yaygın üç dağıtım yöntemi e-posta ekleri, web siteleri ve USB çıkarılabilir ortamdır.
Düzgün bir şekilde uygulanan USB politikaları ve eğitimli kullanıcılar, kimlik avı saldırılarını tanımlayabilir, durdurabilir ve raporlayabilir. Sosyal mühendislik saldırılarının tüm farklı yöntemleri konusunda iyi eğitimli iş gücünün, bu saldırıları belirleme ve durdurma olasılığı daha yüksektir.
Kötü niyetli ihlaller en yaygın olanı olsa da, insan hatasından kaynaklanan kasıtsız ihlaller ve sistem aksaklıkları hâlâ raporda incelenen veri ihlallerinin çoğunun temel nedenidir. İhlalin temel nedeni olarak insan hatası, kimlik avı saldırıları tarafından tehlikeye atılabilecek veya cihazlarına virüs bulaşmış veya kaybolmuş/çalınmış olabilecek “kasıtsız içerideki kişiler”i içerir.
Bu nedenle, güvenlik bilincine sahip bir kültürün yerleştirilmesi günümüzün dijital çağında son derece önemlidir. Günümüzün dijital çağında siber farkındalık son derece önemlidir.
“Güvenlik Kültürü” nedir?
Güvenlik kültürü, bir organizasyondaki tüm çalışanlar tarafından paylaşılan ve insanların güvenliği nasıl algılaması ve yaklaşması beklendiğini belirleyen değerler bütünüdür. Bir kuruluşun güvenliğini etkileyen şeyler, fikirleri, gelenekleri ve sosyal davranışlarıdır. Güvenlik kültürü, bir kuruluşun güvenlik stratejisindeki en önemli unsurdur çünkü bilgileri, verileri ve çalışan ve müşteri gizliliğini koruma yeteneği açısından temeldir.
Siber güvenliğe ilişkin algının güvenlik kültürüne doğrudan etkisi bulunmaktadır. Olumlu ya da olumsuz olabilir. Bilgi güvenliğinin, CISO’nun tek sorumluluğu yerine iş kolaylaştırıcı olarak görülmesi ve ortak bir sorumluluk olarak görülmesi olumlu kabul edilir. Öte yandan, güvenliğin iş veya üretim açısından bir engel veya dikkat çekici bir durum olarak görülmesi olumsuz olarak algılanır.
Sürdürülebilir bir güvenlik kültürü bakım ve beslenmeyi gerektirir. Doğal olarak gelişen bir şey değil, beslenmeyi, ilgili yatırımları gerektiriyor. Bu, anlık olaylardan daha büyük bir olaydır. Bir güvenlik kültürü sürdürülebilir olduğunda, güvenliği geçici olaylardan sonsuza kadar güvenlik getirisi sağlayan bir yaşam döngüsüne dönüştürür. Güvenlik kültürü, insanlar kendi başlarınayken güvenlik konusunda ne olacağını belirler. Bir bağlantıya tıklayıp tıklamama konusunda kararsız kaldıklarında doğru seçimleri yapıyorlar mı? Yeni bir ürünün veya teklifin geliştirme yaşam döngüsü boyunca güvenli olmasını sağlamak için gerçekleştirilmesi gereken adımları biliyorlar mı?
Güvenlik kültürü ilgi çekici olmalı ve değer sunmalıdır çünkü insanlar her zaman birlikte yaratılan ve keyifli bir güvenlik kültürüne katılmaya isteklidir. Dahası, insanların zamanlarını ve çabalarını harcayabilmeleri için karşılığında ne alacaklarını anlamaları gerekir. Başka bir deyişle, bir iş çözümünün iyileştirilmesi, siber ihlallerle ilişkili risklerin azaltılması gibi yatırım getirisi sağlamalıdır.
Kültür değişimi, organizasyonun bileşimine ve kültürüne bağlı olarak ya yukarıdan yönlendirilebilir ya da aşağıdan yukarıya bir yaklaşımla gerçekleştirilebilir. Aşağıdan yukarıya yaklaşımın hayata geçirilmesi, ilgili tarafların büyük, kuralcı bir kurumsal programa katılmak yerine ileriye giden yolu belirlediklerini hissetmelerine olanak tanırken, üstten gelen destek, nasıl sağlanırsa sağlansın, değişikliğin doğrulanmasına yardımcı olur.
Özellikle yukarıdan aşağıya bir yetki, çeşitli iş fonksiyonları, bilgi güvenliği, bilgi teknolojisi, geliştirme ekibi ve operasyonlar arasındaki engellerin ortadan kaldırılmasına yardımcı olmanın yanı sıra teknik ekiplerin ötesine ulaşmanın ve tüm işletmeyi genişletmenin birkaç yolundan biridir.
Güçlü Siber Güvenlik kültürüne sahip kuruluşlar aşağıdaki özelliklere sahiptir:
- Board ve Exco’dan organizasyon içinde siber güvenliğin önemini vurgulayan üst düzey liderlik desteği.
- Temel Performans Göstergelerini (KPI’ler) içeren bir güvenlik farkındalığı stratejisi ve programı tanımladı.
- Personeli riske göre bölümlere ayıran hedefli farkındalık kampanyaları. Kullanıcıları riske göre gruplandırmak, mesajların ve mesajların sıklığının kullanıcı grubuna göre uyarlanmasına olanak tanır.
- Kuruluşa yerleşik bir grup kullanıcının güvenlik mesajını yönlendirmesine olanak tanıyan bir siber güvenlik şampiyonu programı.
- Farklı şekilde öğrenen farklı türden insanlara uyum sağlamak için çeşitli ortamların kullanılması.
- Çalışanlar her zaman siber güvenlik olaylarını bildirmeye teşvik edilir ve olayları nerede, nasıl bildireceklerini bilirler.
- İnsanların hataları bildirmeye teşvik edildiği bir organizasyon kültürü oluşturmak, bir siber olayı kontrol altına almakla almamak arasındaki fark olabilir.
- Etkinliği test etmeye yönelik ölçümler: Bu genellikle kimlik avı simülasyonlarıyla yapılır.
- Çalışanlar neyin kabul edilebilir, neyin kabul edilemez olduğu konusunda net bir anlayışa sahiptir.
- Bilgi güvenliği CISO’nun tek sorumluluğu olmaktan çıkıp ortak bir sorumluluk haline gelir.
Aşağıdaki resimde benimsenen farkındalık yeteneklerinin yüzdesi gösterilmektedir
Derinlemesine Savunma gibi güvenlik mimarisi ilkeleri, güvenlik mimarisinin tek bir bileşeninin arızalanması, tüm sistemin güvenliğini tehlikeye atmamalıdır. Kimlik avına bağlı riskleri azaltmak için derinlemesine bir savunma mekanizması uygulanmalıdır.
Bu yaklaşım, güvenliği farklı koruma katmanlarına uygular; bu, bir kontrolün başarısız olması durumunda sonraki kontrol katmanlarının kimlik avı saldırısını engelleyebileceği veya durdurabileceği anlamına gelir. Kontroller insanların, süreçlerin ve teknolojilerin bir kombinasyonunu içerir.
Kullanıcı davranışı analitiği (UBA), içeriden gelen tehditleri, hedefli saldırıları ve mali dolandırıcılığı tespit ederek ve kullanıcıların faaliyetlerini takip ederek farkındalık programını güçlendirmek için kullanılmalıdır. Gelişmiş kimlik avı saldırılarıyla mücadele etmek için GEN AI tabanlı simülasyonlar kullanılarak gelişmiş kimlik avı saldırısı simülasyonlarımız da gerçekleştirilmelidir.
Olası Ölçümler
Güvenlik bilincine sahip bir kültürün düzeyini ölçmek için uygulanabilecek çeşitli önlemler vardır:
- Çalışanların güvenlik protokolleri ve sorunlarına yönelik tutumları.
- Çalışanların doğrudan ve dolaylı güvenlik etkileri olan davranışları ve eylemleri.
- Çalışanların güvenlik sorunları ve faaliyetlerine ilişkin anlayışı, bilgisi ve farkındalığı.
- İletişim kanalları aidiyet duygusunu nasıl teşvik eder ve güvenlik sorunları ve olay raporlamayla ilgili nasıl destek sunar?
- Çalışanların bilgisi, desteği ve güvenlik politikaları, standartları ve prosedürlerine uyumu.
- Güvenlikle ilgili yazılı olmayan davranış kurallarına bilgi ve bağlılık.
- Çalışanların sorumluluklarını siber risklerin azaltılmasında kritik bir başarı faktörü olarak nasıl algıladıkları.
Çözüm
Gartner’a göre 2025 yılına kadar siber güvenlik programlarının %40’ı, kuruluş genelinde güvenlik kültürünü etkilemek için sosyo-davranışsal ilkeleri (dürtme teknikleri gibi) kullanacak.
Son zamanlardaki insan tabanlı siber saldırılar, yapay zeka destekli kimlik avı saldırılarıyla birlikte, insan tabanlı kontrollerin sıkılaştırılmasını zorunlu hale getiriyor. Güvenlik bilincine sahip bir kültürün teşvik edilmesi, insanların siber güvenlik zincirinin en zayıf halkası olmaktan çıkıp en güçlü halkasına dönüştürülmesinde temel bir rol oynayacaktır.
Bir siber güvenlik kültürü oluşturmak çok önemlidir çünkü herkesin siber güvenliğin önemini anlamasını, ilgili bilgi güvenliği politika ve prosedürlerine uymasını, dikkat düzeyini artırmasını ve veri ihlalleriyle ilişkili riskleri azaltmasını sağlar. Ayrıca güçlü bir siber güvenlik kültürü, daha iyi işbirliğini, hesap verebilirliği ve gelişmiş güvenlik olgunluğunu teşvik eder.
Yasal Uyarı: Bu konuk yazısında ifade edilen görüş ve görüşler yalnızca yazar(lar)a aittir ve The Cyber Express’in resmi politikasını veya konumunu yansıtmayabilir. Yazar tarafından sağlanan her türlü içerik kendi görüşüne aittir ve herhangi bir dini, etnik grubu, kulübü, kuruluşu, şirketi, kişiyi veya herhangi bir kişiyi veya herhangi bir şeyi kötüleme amacı taşımaz.