Küçük ve orta ölçekli işletmeler saldırılara karşı daha savunmasızdır çünkü yazılım şirketleri, bulut hizmeti sağlayıcıları ve teknoloji üreticileri her hizmet katmanında sunulması gereken güvenlik özellikleri için ücret talep eder veya bu özellikleri hiç sunmaz.
Bu senenin başlarında, en az 165 veri hizmetleri sağlayıcısı Snowflake müşterisi tehlikeye atılmıştı — ve bunun bir nedeni de şirketin tüm kullanıcıların çok faktörlü kimlik doğrulamasını etkinleştirmesini kolayca zorunlu kılacak bir yol sunmamasıydı, siber güvenlik uzmanları böyle söylüyor. Ve geçen yıl, kar amacı gütmeyen bir kuruluş bir saldırıyı tespit edemedi çünkü —diğer nedenlerin yanı sıra— Microsoft 365 lisans seviyesi ‘E3’, daha pahalı ‘E5’ planındaki kuruluşlara sunulan günlük kaydı özellikleriyle birlikte gelmiyordu, Olay müdahale ekipleri o sırada şunları belirtti:.
Küçük işletmelere yönelik kısmi güvenlik uzmanlığı sağlayan Zatik’in CEO’su ve kurucu ortağı Kymberlee Price, yazılım üreticilerinin ve servis sağlayıcılarının, hizmetin her kademesine bir güvenlik önlemi olarak etkili güvenlik özellikleri sunmaları ve “siber yoksullar” ile ekstra güvenlik sağlayabilen işletmeler arasında siber güvenlik açığı yaratmamaları gerektiğini söylüyor.
Price, “Satıcılar güvenlik fiyatlandırma yöntemlerini değiştirmezlerse, temel modele emniyet kemeri koymazlarsa, yazılım sorumluluğu kaçınılmaz olur” diyor.
Siber yoksulları (özel siber güvenlik uzmanları veya yüksek fiyatlı güvenlik sistemleri karşılayamayan şirketler ve kuruluşlar) güvence altına almanın yollarını bulmak dünya çapında kritik bir çaba haline geldi. 2023’te, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) en küçük organizasyonlara yardım etmenin yollarını bulma sözü verildigenellikle bilgi güvenliğinden bahsetmeye bile gerek yok, bilgi teknolojisi için bütçeleri olmayan şirketler. Güvenlik ihlalleri, iş başarısızlıklarına ve Küçük işletme sahipleri için önemli stres kaynaklı sorunlar.
Qualys’te zafiyet araştırmaları ürün müdürü Saeed Abbasi, iş ekosistemi genelinde güvenliği teşvik etmek için güvenliği en küçük firmalara kadar indirmenin kritik öneme sahip olduğunu, çünkü daha büyük şirketlerin tedarikçileri, yüklenicileri ve ortakları arasında KOBİ’leri saydığını söylüyor.
“KOBİ’lerde siber güvenliği güçlendirmek, varlıklarını korumak ve daha büyük işletme ekosistemlerini güvence altına almak için elzemdir, çünkü bu küçük işletmeler genellikle daha geniş tedarik zincirlerinde bağlantı görevi görür,” diyor. “Ayrıca, proaktif siber güvenlik maliyetleri genellikle veri ihlallerinden kaynaklanan potansiyel kayıplardan daha düşüktür.”
Varsayılan Olarak Daha Fazla Güvenlik Sağlamak
Price, kendi başına bir güvenlik ürünü olması gereken şey ile bir güvenlik özelliği olması gereken şey arasındaki farkı tanımlamanın kolay olmadığını kabul ediyor. Price, Okta gibi tek oturum açma yeteneklerinin açıkça bir güvenlik hizmeti olarak kabul edileceğini, ancak Okta’nın SSO’suna bağlanmak için başka bir üründeki bir özelliğin daha yüksek bir katman satın almayı gerektirmemesi gerektiğini söylüyor.
“Güvenliğin çalışma şeklini kökten değiştirecek tamamen yeni bir yenilik varsa, … bu geliştirme ve diğer maliyetleri içerecektir,” bu yüzden bunun için ekstra ücret almak adil görünüyor, diyor. “Ancak bu noktada, bu özelliklerin çoğu [are the equivalent of] “İlk çıktığında LX modellerinde bir seçenek olan geri görüş kameraları artık temel modellerde standart.”
Price’ın görmek istediği güvenlik özellikleri arasında şunlar yer alıyor: Şirketlere işletme genelinde iki faktörlü kimlik doğrulamayı zorunlu kılma ve izleme yeteneği verilmeli, tek oturum açma entegrasyonu temel bir katman özelliği olmalı ve yönetim ile normal kullanıcı işlevlerini ayıran rol tabanlı erişim kontrolleri standart olmalı, diyor. Ayrıca şirketler her uygulamada varsayılan olarak denetim izleri sunmaya başlamalı ve bir yöneticinin kullanıcılara erişimi iptal etme yeteneği sağlamalı.
Snowflake için, çok faktörlü kimlik doğrulama için ekstra ücret almak değil, siber güvenlik uzmanlarının uzun zamandır savunduğu bir özelliği etkinleştirmemek meselesiydi. Platformda, bireyler MFA’yı seçebilirdi ancak şirket yöneticisinin kuruluşlarındaki her kullanıcı için güvenliği zorunlu kılma yetkisi yoktu, tehdit yanıt firması Mitiga’nın kurucu ortağı ve CTO’su Ofer Maor geçen ay verdiği bir röportajda böyle söyledi.
“Snowflake yalnızca MFA gerektirmiyor, aynı zamanda yöneticilerin bunu uygulamasını da çok zorlaştırıyor,” dedi. “Bir kiracının yöneticisinin kiracıdaki tüm kullanıcılar için MFA gerektirebildiği diğer SaaS platformlarının aksine, Snowflake’te bu seçenek mevcut değil. Yöneticinin bunu uygulamaya koymasının tek yolu, sistemdeki her kullanıcıyı manuel olarak inceleyerek MFA’yı gönüllü olarak etkinleştirip etkinleştirmediklerini görmek ve etkinleştirmedilerse bunu yapmalarını istemektir.”
Hem Snowflake hem de Microsoft artık platformlarında talep edilen güvenlik özelliklerini sunuyor: Yöneticiler, Snowflake için varsayılan olarak MFA 9 Temmuz itibariyle ve Microsoft günlük kaydı maliyetine ilişkin politikasını değiştirdi Geçtiğimiz yıl lisanslarına yönelik eleştirilerin ardından.
Siber Güvenliği Kolaylaştırın, En Düşük Kademelerde Mevcut
Küçük ve orta ölçekli kuruluşların genellikle kendi BT uzmanları ve yetenekli bir siber güvenlik uzmanı olmadığından, kullanımı kolay temel güvenlik sunmak çok önemlidir. Veri güvenliği ve uyumluluk firması Zendata’nın CEO’su Narayana Pappu, güvenliği her kullanıcıya ulaştıracak bir yol olması gerektiğini söylüyor.
“KOBİ’ler genellikle şirket içi güvenlik uzmanlığından yoksundur, bir çözümü uygulamak veya sürdürmek için kaynakları yoktur ve genellikle bir güvenlik olayı meydana geldiğinde veya meydana geldiğinde onları işsiz bırakabilecek güvenlik riskleri taşırlar,” diyor. “Bunlar iyi güvenliği KOBİ düzeyine indirmek için harika nedenlerdir; bağlı bir … dünyada yalnızca en zayıf halkanız kadar güçlüsünüz.”
En son jeneratif yapay zeka ve büyük dil modelleri (LLM’ler) bazı şirketlere daha fazla güvenlik sağlasa da, maliyeti hâlâ engelleyici olabilir ve bu tür özellikler temel düzeyde nadiren sunulur.
Bunun yerine, siber güvenlik ve yazılım firmalarının her üründe temel hizmet katmanında temel, etkili güvenlik sağlaması gerektiğini söyleyen Zatik’in Price, özelliği kullanılabilir hale getirmek için herkesten biraz daha fazla ücret alınmasına karşı olmadığını vurguluyor. Ancak, en etkili güvenlik önlemlerinin sunulmadığı hiçbir katman olmaması gerektiğini söylüyor.
“Bugün piyasada emniyet kemeri içermeyen bir araba versiyonu yok,” diyor. “Emniyet kemerleri ücretsiz mi? Hayır, o arabanın maliyetine dahil. [Similarly,] “Tüm güvenliğin ücretsiz ve sıfır maliyetli olması gerektiğini söylemiyoruz.”