Geçtiğimiz yirmi yılda siber güvenlik tehditlerinin ölçeği ve yoğunluğu artarken, farkındalık çalışmaları da ülke ve küresel vatandaşlar olarak karşılaştığımız mevcut güvenlik zorluklarını yansıtacak şekilde gelişti. Siber güvenlik artık yalnızca antivirüs yazılımını güncellemek veya çevrimiçi ortamda dikkatli olmaktan ibaret değil. Artık siber güvenliğimize yönelik, fiziksel güvenliğe kadar uzanan, giderek daha karmaşık ve sinsi tehditlerden oluşan yeni bir dalgada gezinmeyi içeriyor. Bu zorlukların üstesinden gelmek birkaç kişinin görevi değildir; hükümetin, sanayinin ve halkın koordineli ve kolektif eylemini gerektirir. Bu kolektif savunmada her birimizin oynayacağı bir rol var.
Dünyamızın Güvenliğini Sağlayın
2004 yılında, İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Siber Güvenlik İttifakı, Ekim ayını kamu ve özel sektör arasındaki işbirliğine ayırarak Siber Güvenlik Farkındalık Ayı’nı başlattı. Bu girişim, işletmelerin, hükümetin ve tüketicilerin siber savunmada hayati rol oynadığını vurguluyor ve siber dayanıklılığın birlikte uygulanması konusunda farkındalığı artırıyor.
CISA’nın devam eden “Dünyamızın Güvenliğini Sağlayın” temalı farkındalık programı, çeşitli hedef kitlelere eğitim ve kaynaklar sağlıyor. Farkındalık bu kampanyanın temelini oluştursa da, bağlantılı dünyamızda ağa bağlı cihazlar, uygulamalar ve dijital varlıklarla ilgili süregelen riskleri azaltmak için günlük eylemler gerçekleştirmeye giderek daha fazla vurgu yapılıyor.
CISA’nın “Dünyamızın Güvenliğini Sağlayın” mesajları, siber tehditlere ilişkin ulusal ve küresel tartışmalara başarıyla yol açtı. Teknoloji ilerledikçe daha kolektif eylemler gerekli olacaktır. Eğitim, öğretim ve farkındalık programları vatandaşları çevrimiçi ortamda güvende kalmaları için ihtiyaç duydukları kaynaklarla donatır ve harekete geçmek bir sonraki kritik adımdır.
Siber Güvenlik Evde Başlar
Devlet sektöründe siber dayanıklılık hayati önem taşıyor ancak evlerimiz ve ailelerimiz, siber koruma tartışmalarında sıklıkla göz ardı ediliyor ve siber ekosistemin en zayıf halkası olabiliyor. Farkındalık önemli olmakla birlikte, herkesin bu farkındalığı pratiğe dönüştürmesini sağlayacak uygulanabilir adımlara da ihtiyacımız var.
Siber Güvenlik Farkındalık Ayı 2024, işletmelerin ve tüketicilerin çevrimiçi güvenliği artırmak için atabileceği dört adıma odaklanıyor:
- Güçlü şifreler ve şifre yöneticisi kullanın
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştir
- Kimlik avı girişimlerini tanıyın ve bildirin
- Yazılımı güncel tutun
Bu adımlar basit gibi görünse de zorluklarla birlikte gelir.
Gelişen Tehdit Ortamı: Dağıtılmış Çalışma Ortamları ve Gelişmiş Saldırılar
Siber suçlular giderek daha karmaşık hale geliyor, tarihsel olarak güvenli çözümleri bozuyor ve çeşitli sektörlerdeki savunmasız kuruluşlara zarar veriyor. BT liderleri, teknoloji geliştikçe ortaya çıkan tehdit vektörlerine karşı etkili savunmalar sağlamakta zorlanıyor.
Dağıtılmış uzaktan çalışma ortamlarının yükselişi, kimlik doğrulama, erişim kontrolleri ve tam uçtan uca şifreleme gerektiren uç noktaların ve uzak konumların (ev ofisleri, web siteleri, uygulamalar ve sistemler gibi) sayısını katlanarak artırdı. Bulut hizmetleri ve uzak kullanıcılarla birlikte geleneksel ağ çevresi buharlaştı ve kuruluşlar içinde daha fazla saldırı yüzeyi açığa çıktı.
800’den fazla BT ve güvenlik liderinin katıldığı küresel bir anket, siber saldırıların daha karmaşık hale geldiğini ortaya koyuyor; katılımcıların %95’i siber saldırıların her zamankinden daha karmaşık olduğunu belirtiyor. Ayrıca BT liderlerinin %92’si siber saldırıların bir yıl öncesine göre artık daha sık gerçekleştiğini belirtiyor. 2024’te güvenliğin her zamankinden daha yüksek risklerle giderek karmaşıklaştığı ortaya çıkıyor.
Uzaktan çalışmadaki artış ve Yapay Zekadaki (AI) ilerlemeler, sosyal mühendislik saldırılarının ve diğer siber taktiklerin inandırıcılığını ve sıklığını daha da artırdı. Örneğin, yapay zeka tarafından oluşturulan ses klonlama son derece hassas hale geldi ve gerçek zamanlı olarak oluşturulabiliyor; bu da siber suçluların kurbanlarını aldatmasını her zamankinden daha kolay hale getiriyor.
Siber Güvenlik Farkındalığını Eyleme Dönüştürmek
İnsan unsuru genellikle saldırı zincirinin hataya en yatkın unsurudur. Verizon’un 2024 Veri İhlali Araştırma Raporu, ihlallerin %68’inin, bir kişinin sosyal mühendislik saldırısına kurban gitmesi veya hata yapması gibi kötü niyetli olmayan insan unsurunu içerdiğini ortaya koyuyor. İşletmelerin farkındalığı eyleme dönüştürmesi için çok yönlü bir yaklaşım gereklidir:
- Sıkı erişim kontrolleri uygulayın: Bir kuruluşun hassas verilerine ve hesaplarına erişimi azaltmak ve bir saldırganın yanal hareket etme fırsatını en aza indirmek için çalışanların yalnızca görevlerini yerine getirmek için gerekli erişime sahip olmasını sağlayın.
- İzinleri düzenli olarak inceleyin ve güncelleyin: Erişim haklarını mevcut iş işlevleri ve organizasyonel değişikliklerle uyumlu hale getirin. İzinlerin düzenli olarak gözden geçirilmesi ve transferler veya ayrılmalar nedeniyle artık ihtiyaç duyulmayan erişimin derhal iptal edilmesi, risklerin azaltılmasına yardımcı olur.
- Ayrıcalıklı Erişim Yönetimi (PAM) çözümünden yararlanın: Siber saldırı riskini azaltmak ve hem iç hem de dış tehdit vektörlerine karşı savunma yapmak için hassas sistemlere ve verilere erişimi güvence altına alın ve izleyin.
- Sıfır güven güvenlik modelini benimseyin: Konumlarına veya cihazlarına bakılmaksızın her kullanıcının kimliğini ve yetkilerini sürekli olarak doğrulayın. Bu model, içeriden gelen tehditleri ve diğer siber riskleri ele almak için her kullanıcının, cihazın ve bağlantının sürekli olarak doğrulanmasını gerektiren ‘asla güvenme, her zaman doğrula’ ilkesini önceliklendirir.
Birlikte Çalışmak – Daha Güvenli Bir Geleceğe Doğru
Tehdit ortamı gelişen teknoloji ve siber savaşla birlikte arttıkça, eylem hayati odak noktası haline geliyor. FedRAMP ve StateRAMP gibi düzenlemeler, sıfır güven ve yapay zeka ile ilgili idari emirler ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kontrolleri, hükümetin siber savunmaları güçlendirmeye yönelik girişimlerini göstermektedir. İşletmeler ve kamu kuruluşları yıllardır temel siber hijyen, mahremiyet ve veri güvenliği önlemlerini vurgulasa da, siber güvenliği Amerikan bilincinde ön sıralara çıkarmak için sanayi ve hükümetten gelen desteğin devam etmesi çok önemli.
Gelin bu Ekim Siber Güvenlik Farkındalık Eylem Ayı’nı hep birlikte gerçekleştirelim.
Reklam