Yakın zamanda yapılan bir araştırmada ortaya çıktığı üzere, İK ve BT ile ilgili iletişimler gibi görünen kimlik avı e-postaları, çalışanlar tarafından tıklanma olasılığı en yüksek olan e-postalar olup, çeşitli sektörlerdeki kuruluşlar için önemli bir siber güvenlik riski oluşturmaktadır.
KnowBe4 tarafından yürütülen 2024 Sektöre Göre Kimlik Avı Karşılaştırma Raporu, 54 milyondan fazla simüle edilmiş kimlik avı testinden elde edilen verileri analiz etti.
Bu testler 19 farklı sektördeki 55.675 kuruluştan 11,9 milyondan fazla kullanıcı üzerinde gerçekleştirilmektedir.
Bu rapor aracılığıyla KnowBe4’teki araştırmacılar, çalışanların özellikle iç iletişimi taklit eden sosyal mühendislik saldırılarına karşı devam eden savunmasızlığını vurguladı.
.webp)
Yüksek Başlangıç Güvenlik Açığı: Araştırma, uygun eğitim olmadan, tüm sektörlerdeki ve büyüklükteki kuruluşların ortalama %34,3’lük bir Kimlik Avı Riski Yüzdesi (PPP) ile karşı karşıya kaldığını ortaya çıkardı. Bu, kabaca her üç çalışandan birinin kötü amaçlı e-postalarla etkileşime girme ihtimalinin yüksek olduğu anlamına geliyor.
Sektöre Özel Riskler: Sağlık ve İlaç sektörü, büyük kuruluşlar için %51,4’lük PPP oranıyla en kırılgan sektörlerden biri olarak ortaya çıktı. Diğer yüksek riskli sektörler arasında Sigorta (%48,8) ve Enerji ve Kamu Hizmetleri (%47,8) yer aldı.
Boyut Önemlidir: Daha büyük kuruluşlar (1000’den fazla çalışan) genellikle daha yüksek güvenlik açığı gösterdi; bazı endüstriler %40’ı aşan PPP’ye sahipti.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Teknik Analiz
Rapor, kapsamlı güvenlik farkındalığı eğitiminin hayati rolünü vurguluyor:
- Yalnızca 90 günlük eğitimin ardından ortalama PPP %18,9’a düştü ve bu da güvenlik açığında neredeyse %50’lik bir azalmayı temsil ediyor.
- Bir yıl veya daha uzun süredir devam eden eğitime devam eden kuruluşların PPP’leri etkileyici bir şekilde %4,6’ya düştü.
.webp)
Siber güvenlik uzmanları sürekli eğitim ve testlerin önemini vurguluyor. Raporda, “Güvenlik farkındalığı programlarına yalnızca sözde bağlılık göstermek, bir kuruluşu insani güvenlik açıklarını hedef alan saldırılara karşı korumak için çok az şey yapar” ifadesine yer veriliyor.
.webp)
Riskleri azaltmak için kuruluşlara aşağıdakiler tavsiye edilir: –
- Düzenli, kapsamlı güvenlik farkındalığı eğitimleri uygulayın.
- Sık sık simüle edilmiş kimlik avı testleri gerçekleştirin.
- Kuruluş içinde güvenlik bilincine sahip bir kültürü teşvik edin.
- Hem çalışan eğitimine hem de ileri teknolojik savunmalara yatırım yapın.
Bununla birlikte, çalışan davranışını dönüştürmenin kararlılık gerektirdiğini, ancak güvenlik bilincine sahip bir iş gücünün faydalarının, giderek daha karmaşık hale gelen kimlik avı girişimleri karşısında paha biçilmez olduğunu unutmamak önemlidir.
Kuruluşlar, insan risk yönetimine öncelik vererek ve güçlü bir siber güvenlik kültürünü teşvik ederek, kimlik avı saldırılarına ve diğer sosyal mühendislik tehditlerine karşı savunmasızlıklarını önemli ölçüde azaltabilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın