Kaspersky’nin yakın tarihli bir araştırmasına göre, çalışanların bir kuruluşun bilgi güvenliği politikalarını ihlal etmesi, harici bilgisayar korsanlarının saldırıları kadar tehlikelidir. Son iki yılda işletmelerde yaşanan siber olayların %26’sı çalışanların güvenlik protokolünü kasıtlı olarak ihlal etmesinden kaynaklandı. Bu rakam neredeyse %20’si hackleme nedeniyle meydana gelen siber güvenlik ihlallerinin yol açtığı hasara eşit.
İş dünyasındaki siber olayların ana nedenlerinden birinin insan hatası olduğuna dair köklü bir algı var. Ama işler bu kadar siyah ve beyaz değil. Bir kuruluşun siber güvenliğinin durumu bundan daha karmaşıktır ve denklemde daha fazla faktör devreye girer. Kaspersky bunu akılda tutarak bir çalışma yürüttü[1] Dünya çapında KOBİ’ler ve İşletmeler için çalışan BT Güvenliği profesyonellerinin, insanların bir şirketteki siber güvenlik üzerindeki etkisine ilişkin görüşlerini öğrenmek. Araştırmanın amacı, hem iç personel hem de dış aktörler dikkate alınarak siber güvenliği etkileyen farklı insan grupları hakkında bilgi toplamaktı.
Kaspersky araştırması, gerçek hataların yanı sıra çalışanların bilgi güvenliği politikası ihlallerinin de şirketler için en büyük sorunlardan biri olduğunu ortaya çıkardı. Dünyanın dört bir yanındaki kuruluşlardan katılımcılar, son iki yılda hem BT dışı çalışanlar hem de BT çalışanları tarafından siber güvenlik kurallarını ihlal etmeye yönelik kasıtlı eylemlerin yapıldığını iddia etti. BT güvenlik görevlilerinin bu tür politika ihlallerinin son iki yıldaki siber olayların %13’üne neden olduğunu söylediler. Diğer BT profesyonelleri ve onların BT dışı meslektaşları, güvenlik protokollerini ihlal ettiklerinde siber olayların sırasıyla %12 ve %4’üne neden oldu.
Bireysel çalışan davranışları açısından en sık karşılaşılan sorun, çalışanların kasıtlı olarak yasak olanı yapması, buna karşılık yapılması gerekeni ise yerine getirmemesidir. Dolayısıyla katılımcılar, son iki yıldaki siber olayların dörtte birinin (%22) zayıf şifre kullanımı veya şifrelerin zamanında değiştirilmemesi nedeniyle meydana geldiğini iddia ediyor. Siber güvenlik ihlallerinin neredeyse dörtte birinin (%18) diğer nedeni, personelin güvenli olmayan web sitelerini ziyaret etmesinden kaynaklandı. Diğer %25’lik kesim ise çalışanların sistem yazılımını veya uygulamalarını gerektiğinde güncellememesi nedeniyle siber olaylarla karşılaştıklarını bildirdi.
İstenmeyen hizmetlerin veya cihazların kullanılması, kasıtlı bilgi güvenliği politikası ihlallerine katkıda bulunan bir diğer önemli faktördür. Şirketlerin neredeyse dörtte biri (%14) çalışanlarının veri paylaşımı için yetkisiz sistemler kullanması nedeniyle siber olaylara maruz kaldı. Şirketlerin %12’sindeki çalışanlar, yetkisiz cihazlar aracılığıyla kasıtlı olarak verilere erişirken, diğer işletmelerdeki personelin %12’si verileri kişisel e-posta adreslerine gönderdi. Bildirilen bir diğer eylem ise gölge BT’nin iş cihazlarına konuşlandırılmasıydı; katılımcıların %11’i bunun siber olaylara yol açtığını belirtiyor.
Endişe verici bir şekilde katılımcılar, daha önce bahsedilen sorumsuz davranışların yanı sıra, kötü niyetli eylemlerin %20’sinin çalışanlar tarafından kişisel kazanç amacıyla gerçekleştirildiğini itiraf ediyor. Bir başka ilginç bulgu da, bu sektördeki katılımcıların %34’ünün bildirdiği gibi, çalışanların kasıtlı olarak kötü niyetli bilgi güvenliği politikası ihlallerinin finansal hizmetlerde nispeten büyük bir sorun olmasıydı.
“Dış siber güvenlik tehditlerinin yanı sıra, herhangi bir kuruluşta olaylara yol açabilecek birçok iç faktör var. İstatistiklerin gösterdiği gibi, ister BT uzmanı olmayanlar ister BT Güvenliği uzmanları olsun, herhangi bir departmandaki çalışanlar siber güvenliği hem kasıtlı hem de kasıtsız olarak olumsuz yönde etkileyebilir. Bu nedenle güvenliği sağlarken bilgi güvenliği politikası ihlallerini önlemeye yönelik yöntemlerin dikkate alınması, yani siber güvenliğe entegre bir yaklaşımın uygulanması önemlidir. Araştırmamıza göre siber olayların %26’sı şunlardan kaynaklanıyor: bilgi Güvenliği politika ihlali, ihlallerin %38’i insan hatalarından kaynaklanıyor. Rakamlar endişe verici olduğundan, güvenlik politikaları geliştirip uygulayarak ve çalışanlar arasında siber güvenlik farkındalığını artırarak bir kuruluşta en başından itibaren bir siber güvenlik kültürü oluşturmak gerekiyor. Böylece personel kurallara daha sorumlu bir şekilde yaklaşacak ve ihlallerinin olası sonuçlarını daha net anlayacak.” yorum Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk.
Kaspersky, şirketinizin altyapısını çalışanların bilgi güvenliği politikaları ihlallerinin sonuçlarına karşı güvende tutmak için şunları öneriyor:
- Kaspersky Endpoint Security for Business ve Kaspersky Endpoint Security Cloud gibi Uygulama, Web ve Cihaz kontrolü özelliklerine sahip siber güvenlik ürünlerini kullanın. Bu işlevsellik, istenmeyen uygulamaların, web sitelerinin ve çevre birimlerinin kullanımını sınırlayarak enfeksiyon riskini azaltabilir.
- Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business ve Kaspersky Endpoint Detection and Response Optimum içindeki Gelişmiş Anomali Kontrolü özelliği, hem kullanıcı tarafından gerçekleştirilen hem de saldırgan tarafından başlatılan, “norm dışı” potansiyel olarak tehlikeli etkinliklerin önlenmesine yardımcı olur. zaten sistemin kontrolünü ele geçirdi.
- Veri aktarımlarını sisteme giriş ve çıkış olmak üzere her iki yönde de kontrol edin, çünkü bu aynı zamanda riskleri de beraberinde getirir. Kaspersky Endpoint Security Cloud, Kaspersky Security for Mail Server ve Kaspersky Security for Microsoft Office 365 ile bu gibi sorunlar, veri keşfi ve içerik filtreleme işleviyle çözülebilir.
- Kaspersky Security for Internet Gateway ayrıca türüne, platform koruma durumuna veya ağ içindeki uç noktalardaki kullanıcı davranışına bakılmaksızın istenmeyen veri aktarımını önlemek için içerik filtrelemeye de sahiptir.
Raporun tamamına ve iş dünyasında siber güvenlik üzerinde insanın etkisine ilişkin daha fazla bilgiye şu adresten ulaşabilirsiniz: bağlantı.
[1] Anket 19 ülkede gerçekleştirildi: Brezilya, Şili, Çin, Kolombiya, Fransa, Almanya, Hindistan, Endonezya, Japonya, Kazakistan, Meksika, Rusya, Suudi Arabistan, Güney Afrika, İspanya, Türkiye, BAE, İngiltere ve ABD.