Birleşik Krallık merkezli bir telefonla pazarlama işletmesi olan Heritage Company, 2019 yılında bir siber saldırıya maruz kaldı ve bu saldırı, 61 yıllık şirketin faaliyetlerini kalıcı olarak kapatmasına neden oldu. Fidye yazılımı saldırısı nedeniyle yaşanan kapatma, Noel’den hemen önce 300 çalışanını işsiz bıraktı. Şirketin CEO’su Sandra Franecke, şirketin iki ay boyunca fidye yazılımı saldırısıyla başa çıkmakta zorlanmasının ardından kapandığını duyurdu.
Bu, bir şirketi kapanmaya zorlayan siber saldırılardan yalnızca bir tanesi. Bir rapor, siber saldırılar nedeniyle kapanan işletmelerin %75’inin bir daha asla açılmadığını iddia ediyor. Ancak siber saldırıları önlemek mümkün. Bu yazımızda küçük ölçekli işletmelere yönelik önemli siber tehditlerin yanı sıra, küçük işletmeler için siber güvenliğin nasıl sağlanacağını ve KOBİ siber güvenliğinin maliyetinin ne kadar olduğunu tartışacağız.
Önleme her zaman tedaviye tercih edilir. Benzer şekilde, özellikle potansiyel siber saldırılar karşısında güçlü siber güvenliğin önemi göz ardı edilemez.
Küçük ölçekli işletmelerin hedef alınmaya karşı bağışıklı olduğunu varsaymak akıllıca olmaz. Otomasyon daha yaygın hale geldikçe, saldırganlar birden fazla küçük işletmeyi istismar edebilir ve bu da küçük işletmeler için siber güvenliği bir zorunluluk haline getirir. Küçük işletmeler genellikle siber farkındalık açısından geride kalıyor ve bu da onları siber suçlulara karşı hassas hedefler haline getiriyor.
Veracode’un CISO’su Sohail Iqbal, bir haberinde şuna dikkat çekiyor: “Finansal motivasyona sahip rakipler, yetersiz güvenlik kontrolleri ve ellerindeki vasıflı kaynakların azlığı nedeniyle KOBİ’leri yumuşak hedefler olarak görüyor.” Şöyle ekliyor: “Küçük işletme ihlalleri bir bakıma gözden kaçan ve eksik rapor edilen bir alandır.”
Yakın zamanda yayınlanan bir rapora göre, 500’den az çalışanı olan işletmeler tek bir siber saldırıda ortalama 2,5 milyon dolar kaybedebilir. Bu miktar, küçük ölçekli işletmeler için oldukça yüksek olup, KOBİ siber güvenliğinin önemini vurgulamaktadır.
2022 yılı sonunda yayınlanan bir başka raporda ise büyük şirketlere yönelik siber saldırıların azaldığı, küçük işletmelere yönelik siber saldırıların ise arttığı iddia ediliyor.
Küçük İşletmeler için Sağlam Bir Siber Güvenlik Planı Hazırlamak
Siber saldırılardan sonra kapanan işletmelerin en az %75’i bir daha asla açılmıyor. Bu, siber saldırıların küçük işletmeleri ne kadar ciddi şekilde etkilediğini gösteriyor. Bu durum KOBİ siber güvenliğine yönelik etkili bir plan oluşturulmasını önemli kılmaktadır. İşte dikkate alınması gereken noktalar.
- Korumanız gereken varlıkları belirleyin. Varlığınızı hangi tehditlere karşı korumak istiyorsunuz ve bu riskin ne gibi etkileri olabilir?
- Tanımlamanın ardından varlıklarınızı, risklerinizi ve tehditlerinizi önceliklendirin. Kuruluşunuzun siber güvenlik kaygılarını ve olası risklerin neler olabileceğini değerlendirin.
- Gerçekçi ve ulaşılabilir hedefler belirleyin ve tüm siber güvenlik hedeflerinizi gerçekleştirmek için riskler üzerinde azalan öncelik sırasına göre çalışın.
- Siber güvenlik politikalarınızı listeleyin ve çalışanları tüm prosedürle ilgili olarak eğitin. Ayrıca hedeflerinizi iş hedeflerine uyacak şekilde bağlamayı unutmayın.
- Şimdi bir test çalıştırması yardımıyla güvenlik açıklarını test edin. Siber güvenlik planınızın işe yarayıp yaramadığını görün. Bir siber saldırının gerçekleşmesini beklemeyin, ondan önce harekete geçin.
Küçük İşletmelerde Siber Güvenliğin Fiyatı
KOBİ siber güvenlik giderinin hesaplanmasında ortak bir kriter yoktur çünkü bu gider coğrafya, sektör, şirket büyüklüğü, düzenleme ve uyumluluk gereklilikleri ve daha fazlası gibi çeşitli faktörlere bağlıdır. Ancak yakın zamanda yayınlanan bir raporda şirketlerin yıllık BT bütçelerinin siber güvenliğe ortalama %10 oranında katkı sağladığını iddia ediyor. Bu yatırım, çalışan başına yıllık ortalama 2700 ABD Doları olabilir.
Örneğin işletmenizin değeri 3 milyon ABD Doları ise siber güvenlik harcamalarına yaklaşık 300.000 ABD Doları harcayabilirsiniz. Bu masraf sonuçta işletmenizin daha önce tartışılan birden fazla siber güvenlik tehdidine karşı daha da güçlendirilmesine katkıda bulunacaktır.
KOBİ Siber Güvenlik Hizmetleri ve Maliyetleri
- Uç Nokta Tespiti ve Yanıtı: EDR çözümleri anormal davranışların tespit edilmesine ve durdurulmasına yardımcı olur. Bunlar genellikle kullanıcı başına aylık 5-8 ABD Doları ve sunucu başına aylık 9-18 ABD Doları tutarındadır.
- Güvenlik Açığı Değerlendirmesi: Sistemlerdeki güvenlik açıklarının belirlenmesine ve ölçülmesine yardımcı olur. Bu, en fazla 3 sunucuya sahip bir ağ için 1500 ABD Doları – 6000 ABD Doları ve 5-8 sunucuya sahip bir ağ için 5000 ABD Doları ila 10.000 ABD Doları arasında bir maliyete neden olabilir.
- Güvenlik duvarı: Bu, kötü amaçlı trafiğin şirket sistemlerinize girmesini engellemeye yardımcı olur. Bu, şirketin işinin ölçeğine bağlı olarak 400 ABD Doları ile 6000 ABD Doları arasında bir maliyete sahip olabilir.
- Çok Faktörlü Kimlik Doğrulama: Bu, verileriniz için siber suçlulara karşı ekstra bir savunma katmanıdır. Bu, kullanıcı başına aylık 5 ila 10 ABD Doları arasında bir maliyete neden olabilir.
- Web Uygulaması Değerlendirmesi: Bu, suçluların web uygulamanızı güvenlik açıkları için nasıl kötüye kullanabileceğini anlamanıza yardımcı olur. Bu, kuruluşlar için 4000 ABD Doları ile 8000 ABD Doları civarında bir maliyete neden olabilir.
- E-posta Güvenliği: Siber saldırıların %90’ından fazlası e-posta yoluyla gerçekleşir. E-posta güvenliği, işletmeleri casus yazılımlardan, truva atlarından, kötü amaçlı yazılımlardan vb. korur. Bunun maliyeti kullanıcı başına aylık 3 ila 6 ABD Doları civarında olabilir.
İşletmelere Yönelik Temel Siber Tehditler Küçük Ölçekli
Kimlik Avı Saldırıları
En yaygın ve en zarar verici saldırı kategorisi olan kimlik avı, işletmelerdeki ihlallerin %90’ını oluşturur. Ve ne yazık ki bu sayı %65’in üzerinde arttı. Siber suçlular, kurbana bilinen bir kişiyi taklit ederek, onun kötü amaçlı bağlantılara tıklamasını veya kötü amaçlı yazılım yüklü dosyaları indirmesini sağlar. Son olarak, kurbanların hesap ayrıntıları veya kimlik bilgileri gibi hassas bilgilerine erişim sağladıktan sonra, bunları kişisel çıkarları için kullanmaya başlıyorlar.
Son zamanlarda kimlik avı saldırıları giderek daha karmaşık hale geldi. Dolandırıcılar meşru işmiş gibi davranarak masum kurbanları cezbederler. Kimlik avı saldırıları artık aynı kuruluştaki birden fazla çalışanı hedef almak için sosyal mühendislik taktiklerini kullanıyor.
Ancak bir umut ışığı var. Küçük işletmelerde siber güvenliği sağlamak için, bu tür e-postaların çalışanların gelen kutularına ulaşmasını önleyecek güçlü bir e-posta güvenlik ağ geçidine sahip olmanız önerilir. Çok faktörlü kimlik doğrulama (MFA), kimlik avı saldırılarına karşı savunmanın başka bir yöntemidir.
Kötü amaçlı yazılım saldırıları
Yakın zamanda yayınlanan bir rapora göre kötü amaçlı yazılımlar, küçük işletmeleri hedef alan siber saldırıların %18’ini oluşturuyor. Kimlik avından sonra ikinci en büyük tehdittir ve truva atları ve virüsler dağıtılarak uygulanır. Kötü amaçlı yazılım saldırıları, saldırganlar tarafından ağlara erişim sağlamak ve kurumsal sistemlerdeki verileri çıkarmak ve yok etmek için kullanılabilir.
Bu saldırılar aynı zamanda donanımda onarılamaz hasarlara neden olabilir ve bu da pahalı onarım ve değiştirme gerektirir. Kötü amaçlı yazılım yalnızca verilere erişim sağlamakla kalmaz, aynı zamanda müşterileri ve çalışanları daha fazla dolandırıcılık ve mali kayıp riskiyle karşı karşıya bırakır. Küçük işletmeler genellikle çalışanlarından işe kendi cihazlarını getirmelerini isteyebilecekleri bir BYOD politikası izler. Bu dışarıdan bakıldığında uygun maliyetli gibi görünse de dahili olarak kötü amaçlı yazılımlara maruz kalma riskini artırıyor.
Küçük işletmelerde kötü amaçlı yazılımlara karşı siber güvenliği sağlamak için sağlam teknolojik savunmaların devreye alınması çok önemlidir. Uç nokta koruması, cihazların kötü amaçlı yazılım saldırılarına karşı korunmasına yardımcı olabilir. Kötü amaçlı web sayfalarına erişimin durdurulması da kötü amaçlı yazılımların indirilmesini engellemeye yardımcı olabilir.
Fidye Yazılımı Saldırıları
Küçük işletmeler fidye yazılımı saldırılarının %71’inin hedefi oluyor. Yakın tarihli bir rapora göre ortalama fidye talebi 116.000 ABD Doları tutarında. Siber suçlular, küçük işletmelerin genellikle veri yedeğine sahip olmadığının farkındadır, bu nedenle onları fidye ödemeye ikna etmek daha kolay hale gelir.
Fidye yazılımı saldırıları, şirket verilerinin çalınmasını ve artık erişemeyecek şekilde şifrelenmesini içerir. Daha sonra verilerin şifresini çözmek için yüklü bir fidye talep edilir. Bu, işletmelere yalnızca iki seçenek bırakıyor; ya fidyeyi ödeyip büyük bir para kaybına katlanmak ya da fidyeyi ödememek ve iş operasyonlarınızı sekteye uğratmak.
Küçük işletmeler için siber güvenlik, talihsiz bir fidye yazılımı saldırısı durumunda kurtarma amacıyla veri yedeklemesi yapılarak sağlanabilir. BT ekibi daha sonra verileri kurtarabilir ve herhangi bir fidye tutarının ödenmesini veya üretkenlik kaybını önleyebilir.
Şifre Güvenliğinin İhlali
Kurumsal profesyonellerin %19’u kolayca tahmin edilebilecek şifreler kullanıyor. Zayıf veya kolayca tahmin edilebilen parolalar, birden fazla bulut tabanlı hizmet kullanan küçük işletmeler için büyük risk oluşturur. Bulut hizmetleri genellikle finansal kayıtlar veya müşterinin kişisel bilgileri gibi hassas iş verilerini içerir. Birden fazla hesap için aynı şifreyi kullanmak veya tahmin edilmesi kolay şifreler, verileri daha fazla riske açık hale getirebilir.
Güçlü işletme parola yönetimi teknolojileri ve MFA, küçük işletmelerin parola güvenliğinin ihlal edilmesine karşı siber güvenliğinin sağlanmasına yardımcı olabilir. Güçlü ve tahmin edilmesi zor bir şifre kullanmak her zaman dikkate alınması gereken bir seçenektir.
İçeriden Tehdit
Son araştırmalara göre kuruluşlarda çalışanların %62’si hiç ihtiyaç duymadıkları hesaplara erişebiliyor. Çalışanlara ihtiyaç duymadıkları birden fazla hesaba erişim izni vermek akıllıca bir karar değildir. Bu tür parolaların açığa çıkması, isteyerek veya istemeyerek işletmelere büyük mali ve itibarsal zararlar verebilir.
Küçük işletmelerde siber güvenliği sağlamak için kuruluşlar, çalışanlar arasında güçlü bir siber farkındalık kültürünü teşvik etmelidir. Bilgisizliğin azaltılması, güvenlik açıklarının erken tespit edilmesi ve dikkatli olunması, KOBİ’lerin siber güvenliğinin sağlanmasına yardımcı olabilir.
Küçük işletmelerde siber güvenliği sağlamaya yönelik diğer hususlar arasında siber güvenlik için eğitimli profesyonellerin işe alınması, çalışanların eğitimi, iş önceliklerinin belirlenmesi, siber sigorta satın alınması, mevcut araç setinin optimize edilmesi ve şirketin WiFi ve ağlarının güvenliğinin sağlanması yer alır. Siber güvenliğin ortak bir sorumluluk olduğunu unutmayın; çeşitli sektörlerde siber güvenliği sağlamak için hepimizin bir ekip olarak ayağa kalkması gerekiyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.