Patronunuz iş-yaşam sınırlarına saygı duyabilir ama siber suçlular saygı duymaz. Kötü aktörler, nihai hedefi işyerinden ödün vermek olan, kişisel ağlarından kaynaklanan sosyal mühendislik dolandırıcılıklarında giderek artan bir şekilde çalışanları hedef alıyor. Bu yıl, baş bilgi güvenliği görevlileri (CISO’lar), çalışanları kurumsal sistemlerin duvarlarının ötesinde nasıl savunabileceklerine ve koruyabileceklerine odaklanmalıdır.
Büyük yüksek profilli teknoloji şirketleri, uzun bir organizasyon zincirinin kurbanı olan en yeni şirketlerdir. sosyal mühendislik saldırıları. 2023’te daha fazlası olmak zorunda. Sosyal mühendislik, öngörülebilir bir gelecekte büyük siber saldırıların başlıca temel nedeni olacak, iki nedenden dolayı: Uygulanması ucuz ve gerçekten işe yarıyor. Kurumsal e-posta gibi bir yol zorlaştığında, saldırganlar çalışanların kısa mesaj, sosyal medya veya LinkedIn profilleri gibi kişisel platformları dahil olmak üzere diğer iletişim yöntemlerine geçer. Aslında, son verilere göre Tessian verileriçalışanların %56’sı geçen yıl bir kısa mesaj dolandırıcılığı aldıklarını söyledi.
Güvenliğin kurumsal duvarların dışına taşması gerektiği açıktır, ancak güvenlik liderlerinin çalışanların kişisel hesapları ve cihazlarındaki sınırlara saygı duymak için kurması gereken önemli bir denge vardır. İşte güvenlik ekibinin ulaşamayacağı riskleri kapsayacak bir strateji oluştururken akılda tutulması gerekenler.
Sosyal Mühendislik Saldırıları Kişisel Kanallara Taşındı
Kurumsal e-posta, tarihsel olarak sosyal mühendislik dolandırıcılıklarının ana kanalı olsa da, siber güvenlik araçları, stratejileri ve farkındalık eğitiminin bir kombinasyonu, saldırganların sızmasını zorlaştırdı. Sonuç olarak, saldırganlar iyi korunmayan kişisel kanallara taşınıyor.
Geçen yaz yaşanan büyük Twilio ihlalinde, saldırganlar kişisel telefon numaraları üzerinden çalışanları hedef aldılar ve geleneksel bir kurumsal e-posta adresine mesaj gönderme yöntemi yerine Twilio’nun BT departmanı gibi görünen kısa mesajlar gönderdiler. Metin mesajları, çalışanlara sahte bir Twilio web sitesinde oturum açma talimatı verdi ve saldırganlar daha sonra bunu çalışanların kimlik bilgilerini toplamak ve şirketin dahili sistemlerini ihlal etmek için kullandı. Kişisel cihazları hedeflemek özellikle etkili olabilir, çünkü insanlar telefon numaralarını e-posta adreslerinden daha az verirler, bu nedenle bir işvereni taklit eden bir kısa mesaj alırken daha yüksek bir güven düzeyi vardır.
Çalışanları İşyeri Dışında Nasıl Koruruz?
Güvenlik hatalarını utandırmamak ve olay raporlamadaki suçu ve cezayı ortadan kaldırmak, hem iş yeri içinde hem de iş yeri dışında güvenlik çabalarını güçlendirebilir. Liderler, bir şirket bilgisayarında kişisel bir hesap ihlal edilmiş olsa bile çalışanların hataları ve şüpheli faaliyetleri işaretlemeye teşvik edildiği bir güvenlik kültürü oluşturmalıdır.
Birçok çalışanın kişisel bilgi güvenliğini iyileştirmek için basit, eyleme geçirilebilir adımlar bulması ve bunlara erişmesi zordur. Güvenlik ekiplerinin, çalışanlara yardımcı olmak için özenle seçilmiş kaynaklar sağlama, onları arkadaşlarına ve ailelerine de yardımcı olacak kaynaklarla donatma gibi güçlü bir fırsatı var.
Örneğin, birkaç parola yöneticisi de dahil olmak üzere bazı kurumsal güvenlik sağlayıcıları, B2B işlerinin bir parçası olarak çalışanlarına araçlarının ücretsiz kişisel sürümlerini sağlar. Başka bir taktik de, çalışanların kişisel yaşamlarında korunmalarına yardımcı olmak için mevcut kaynakların dahili bir listesini geliştirmektir. Bu, işgücünün genel güvenliğini artırmak için oldukça verimli olabilir.
Çalışanların Kişisel Sınırlarına Nasıl Saygı Duyulur?
Güven, güvenliğin çok önemli bir parçasıdır. BT ve güvenlik ekipleri, çalışanların kişisel cihazları ve hesapları söz konusu olduğunda sınırlara saygı göstermelidir.
Öngörülebilir ve şeffaf olmak, çalışanlarla güven oluşturmanın ve bağlılığı artırmanın anahtarıdır. Örnekler de dahil olmak üzere iyi tanımlanmış güvenlik destek süreçlerine sahip olmak, çalışanların iş yerinde veya iş yeri dışında destek almak istediklerinde tam olarak ne olacağını bilmelerine yardımcı olabilir. Örneğin, bir çalışanın kişisel e-postasında hedeflenen kimlik avı e-postaları konusunda yardıma ihtiyacı varsa, güvenlik ekibinin kişisel cihazlarına uzaktan erişim istemeyeceğini önceden bilmesi, yardım istediğinde güvenini artırabilir.
Ekiplerim için oldukça iyi çalışan bir strateji, dizüstü bilgisayarlarda ve diğer kurumsal sistemlerde günlük kaydı ve izleme gibi iç güvenlik uygulamaları hakkında üst düzey bilgiler sağlayan bir “şeffaflık sayfası” bulundurmaktır. Bu şekilde, çalışanlar şaşırmaz ve kişisel veriler ve kullanım hakkında (elbette kabul edilebilir kullanım politikası dahilinde) bilinçli, güvenli seçimler yapabilir.
Saldırganlar, sosyal mühendislik stratejilerini geliştirmeye devam edecek ve bir ihlali başarılı bir şekilde gerçekleştirmek için gereken sınırları aşacaktır. Kurumsal sistemler ve cihazlar bir saldırının ilk kaynağı olmadığında bile bu taktikler şirket sistemlerini, kimlik bilgilerini ve verilerini tehlikeye atabilir. Güvenlik ekipleri, çalışanların kişisel mahremiyetine saygı duyarak ve çok önemli olan güveni sürdürürken, stratejilerini geliştirmeye ve erişim alanlarını genişletmeye devam etmelidir.