Bireyleri, toplulukları ve işletmeleri siber hijyenin temelleri konusunda eğitmek için 2004 yılından bu yana her Ekim ayında Siber Güvenlik Farkındalık Ayı düzenleniyor. Antivirüsünüzü güncellemek gibi küçük ipuçlarına odaklanan geniş bir çaba olarak başlayan şey, hızla çığ gibi büyüyerek etki sahibi kişiler, kurumlar ve uluslar tarafından desteklenen küresel bir kampanyaya dönüştü.
Bu yıl, “çevrimiçi ortamda güvende kalın” teması, güçlü şifreler, düzenli güncellemeler vb. temel alışkanlıkların önemini daha da güçlendiriyor. Bu önlemler şüphesiz gerekli olsa da hikayenin tamamını anlatmıyorlar. Ve yalnızca onlara güvenmek, en önemli güvenlik açığınız olan 8. katman olan insanları düzeltmez.
Aslında CISO’ların dörtte üçü insan hatasını önde gelen siber güvenlik riski olarak tanımlıyor. O zaman soru şu oluyor: Böyle bir senaryoda sistemlerimizi nasıl koruyabiliriz? İnsanları güvenliği ikinci doğa haline getirmeye nasıl yönlendirebiliriz?
Farkındalığın Bir E-posta Patlamasından Daha Fazlasına İhtiyacı Var
Yıl 2025 ve her kuruluş siber güvenlik farkındalığının önemini anlıyor. Ancak çoğu, çalışanlarından şüpheli bağlantılara tıklamamalarını isteyen e-postalar, siber hijyen uygulamalarıyla ilgili PDF’ler ve hatta bir veya iki web semineri gönderiyor ve mesajın kalıcı olması için dua ediyor.
Ancak gerçek şu ki, bu “buna tıklamayın” hatırlatmaları aslında ibreyi hareket ettirmiyor. İnsanlar projelerle, son teslim tarihleriyle ve toplantılarla meşguller ve bu tür uygulamaları okuyup takip edeceklerini ummak sadece bir temenni. Burada oyunun kurallarını değiştiren şey, gerçek kimlik avı simülasyonlarının çalıştırılmasıdır. Herkes bu tür e-postalara kanmayacağını düşünür ama bazen hepimizin gerçeklik kontrolüne ihtiyacı olur.
Ancak böyle bir alıştırmanın özü kimin geçip kimin başarısız olduğu değil, sonrasında ne olacağıdır. Böyle bir uygulama, BT’nin hem tıklamayan kişileri ödüllendirmesine hem de tıklayanları eğitmesine olanak tanır. Onlara e-postanın neden ikna edici göründüğünü, tehlike işaretlerinin nerede saklandığını ve bir dahaki sefere hangi adımların atılması gerektiğini tam olarak gösterin. Hexnode’da bu tür simülasyonları çalıştırmaya başladığımızda güvenlik standartlarında önemli bir artış gördük. İnsanlar aldıkları e-postaları incelemeye başladı ve hatta “kimlik avı” gibi görünenleri bildirmeye başladı. Buradaki anahtar çıkarım basittir. Farkındalık talimat göndermekle ilgili değildir; insanların iyi güvenlik alışkanlıklarını içselleştirmesine yardımcı olacak deneyimler yaratmakla ilgilidir.
Eski Hileler, Yeni Kılıklar
Saldırganlar, “Nijeryalı prens” e-postaları veya birisinin patron gibi davranarak banka havalesi talep ettiği eski tip CEO dolandırıcılığı dolandırıcılığı gibi klasiklerin artık yeterli olmadığını fark etti. Böylece seviye atladılar.
Üretken yapay zeka araçları ellerinin altında olduğundan, dolandırıcılıklar artık hantal görünmüyor. Korkutucu derecede gerçek görünüyorlar. E-postalar gösterişlidir, dil bilgisi açısından kusursuzdur ve özel olarak hazırlanmıştır. Ses klonlama, bir yöneticinin telefon görüşmesinin simüle edilmesini mümkün kılar. Deepfakes, video konferansta birinin kimliğine bürünebilir.
Çalışanlar için bir dolandırıcılığı tespit etmek katlanarak zorlaştı. Ofis duvarında “Şüpheli bağlantılara tıklamayın” yazan posterlerin hiçbiri, kişiyi gerçek bir e-postadan ayırt edilemeyecek gibi görünen bir e-postaya veya CFO’suna tıpatıp benzeyen bir telefon görüşmesine hazırlamaz.
Böyle bir senaryoda farkındalık kampanyalarının temellerin ötesine geçmesi gerekir. Evet, çalışanlar güçlü şifrelerin nasıl oluşturulacağını bilmelidir. Evet, MFA ikinci doğa olmalıdır. Ancak saldırganların güveni, zamanlamayı ve bağlamı manipüle etmek için yapay zekayı nasıl kullandığını da anlamaları gerekiyor. Gerçek gibi görünse bile gördüklerini ve duyduklarını sorgulamak için pratik yapmaları gerekir.
2025’teki siber güvenlik eğitimi yalnızca bariz dolandırıcılıklardan kaçınmakla sınırlı olamaz. İnsanları içgüdülerini aşmak için tasarlanmış incelikli, karmaşık saldırılara hazırlamak zorundadır.
Yenileniyoruz Teknoloji Yığını
Pek çok kuruluşun unutmuş gibi göründüğü şey, bunun yalnızca çalışanlarının sorumluluğu olmadığıdır. Bu nedenle farkındalık, insanların çalışma şeklini etkilemeden onu destekleyen ve güçlendiren doğru araçlarla birleştirilmelidir.
Örneğin, uç nokta yönetim sistemi kullanarak şifre politikalarının yapılandırılması, yalnızca herkesin güçlü şifreler kullanmasını sağlamakla kalmaz, aynı zamanda şifreleri sık sık değiştirmesini de sağlar. Benzer şekilde, sıfır güven mimarisi oluşturmak, hassas verilere olağandışı bir konumdan erişilmesi durumunda sistemin bunu işaretlemesini veya ek kimlik doğrulama talebinde bulunmasını sağlar. Ve en kötüsü gerçekleşirse ve birisi kötü niyetli bir bağlantıya tıklarsa, bir tehdit algılama ve yanıt sistemine sahip olmak, hasar yayılmadan önce cihazı izole etmek için adım atacaktır. Güvenlik, insanları sessizce ve dikkat çekmeden destekleyecek şekilde oluşturulduğunda, BT’nin enselerinde nefes aldığını hissetmeden güvenli bir şekilde çalışmalarına olanak tanır.
Ve aynı derecede önemli olan, liderliğin örnek olarak liderlik etmesidir. Üst düzey yöneticiler MFA’yı uygunsuz olduğu için atlarsa veya şirket politikasına istisnalar konusunda ısrar ederse, tüm kültür zayıflar. Bununla birlikte, eğer liderler sürekli olarak güvenli davranışı örnek alırlarsa, çalışanların da aynı yolu izleme olasılıkları çok daha yüksek olur. Çünkü günün sonunda hiçbir şifre, yama veya politika güvenlik kültürünü düzeltemez. Bu bir liderlik sorumluluğudur. Ve bu görmezden gelmeyi göze alamayacağımız bir şey.
Yazar Hakkında
Apu Pavithran, ödüllü Birleşik Uç Nokta Yönetimi (UEM) platformu Hexnode’un Kurucusu ve CEO’sudur. Hexnode, işletmelerin mobil, masaüstü ve işyeri IoT cihazlarını tek bir yerden yönetmesine yardımcı olur. BT yönetimi camiasında danışman, konuşmacı ve düşünce lideri olarak tanınan Apu, BT yönetişimi ve Bilgi güvenliği yönetiminin güçlü bir savunucusu olmuştur. Girişimcilik konusunda tutkuludur ve yeni kurulan şirketlerle çalışmaya ve gelecek vaat eden girişimcileri teşvik etmeye önemli miktarda zaman ayırmaktadır. Ayrıca yoğun programından dolayı, güçlü hissettiği konularla ilgili makalelere ve görüşlere katkıda bulunmak için zaman buluyor. Apu’ya çevrimiçi olarak https://www.linkedin.com/in/apupavithran/ adresinden ve Hexnode’un şirket web sitesinden https://www.hexnode.com/ adresinden ulaşılabilir.