Proofpoint’e göre çalışanların %68’den fazlası bilerek kuruluşlarını riske atıyor ve bu da potansiyel olarak fidye yazılımı veya kötü amaçlı yazılım bulaşmasına, veri ihlallerine veya mali kayba yol açıyor.
Güvenlik sorumluluğu algısı
Başarılı kimlik avı saldırılarının görülme sıklığı biraz azalırken (ankete katılan kuruluşların %71’i, önceki yıl %84’e karşılık 2023’te en az bir başarılı saldırı yaşadı), olumsuz sonuçlar arttı: mali ceza raporlarında %144’lük bir artış, düzenleyici para cezaları ve itibar kaybı raporlarında %50 artış.
Bu yılın raporundan elde edilen bulgular, insanların siber güvenlik bilgisi eksikliği nedeniyle riskli eylemlerde bulunduğuna ve güvenlik farkındalığı eğitiminin tek başına güvenli olmayan davranışları tamamen önleyebileceğine dair geleneksel inanışı açıkça sorguluyor. Bu açmaz, güvenlik profesyonellerinin çoğu çalışanın kurumu korumaktan sorumlu olduklarını bildiğine olan inancına kadar uzanıyor ve bireysel güvenlik teknolojisinin sınırlamaları ile kullanıcı eğitimi arasındaki boşluğa işaret ediyor.
Proofpoint baş strateji sorumlusu Ryan Kalember, “Siber suçlular, insanların ihmal, tehlikeye atılmış kimlik veya bazı durumlarda kötü niyetli niyet yoluyla kolayca sömürülebileceğini biliyor” dedi. “Bireyler bir kuruluşun güvenlik duruşunda merkezi bir rol oynuyor; ihlallerin %74’ü hâlâ insan unsuruna odaklanıyor. Güvenlik kültürünü teşvik etmek önemli olsa da eğitim tek başına sihirli bir değnek değildir. Ne yapacağını bilmek ve onu yapmak iki farklı şeydir. Artık zorluk sadece farkındalık değil, aynı zamanda davranış değişikliğidir.”
Çalışanların basitleştirilmiş güvenlik kontrollerine ihtiyacı var
Ankete katılan çalışan yetişkinlerin %71’i, bir şifreyi yeniden kullanmak veya paylaşmak, bilinmeyen gönderenlerden gelen bağlantılara tıklamak veya kimlik bilgilerini güvenilmez bir kaynağa teslim etmek gibi riskli eylemlerde bulunduğunu itiraf etti. %96’sı bunu içerdiği riskleri bilerek yaptı; bu da çalışanların %68’inin kuruluşlarının güvenliğini isteyerek zayıflattığı anlamına geliyor.
Riskli eylemlerin ardındaki motivasyonlar çeşitlidir; çalışanların çoğu kolaylık (%44), zamandan tasarruf etme isteği (%39) ve aciliyet duygusunu ana nedenler olarak (%24) belirtmektedir.
Ankete katılan güvenlik uzmanlarının %85’i çoğu çalışanın güvenlikten sorumlu olduklarını bildiğini söylerken, %59’u emin olmadığını veya sorumlu olmadıklarını iddia etti. Riskli bir eylemde bulunan neredeyse tüm çalışanlar, doğasında olan riskleri bilse de (güvenlik eğitiminin çalışanların farkındalığını artırmaya çalıştığının açık bir göstergesi), güvenlik profesyonelleri ve çalışanların gerçek davranış değişikliğini teşvik etmede etkili olduğunu düşündükleri arasında açık farklılıklar vardır.
Güvenlik uzmanları, çözümün daha fazla eğitim (%83) ve daha sıkı kontroller (%81) olduğuna inanıyor. Yine de ankete katılan çalışanların neredeyse tamamı (%94) kontrollerin basitleştirilmesi ve daha kullanıcı dostu olması durumunda güvenliğe öncelik vereceklerini söyledi.
BEC saldırıları yapay zekadan yararlanıyor
Her ay MFA atlama çerçevesi EvilProxy ile bir milyondan fazla saldırı gerçekleştiriliyor, ancak endişe verici bir şekilde güvenlik profesyonellerinin %89’u hala MFA’nın hesap ele geçirmeye karşı tam koruma sağladığına inanıyor.
Dünya çapında daha az sayıda kuruluş e-posta dolandırıcılığı girişiminde bulunduğunu bildirdi ancak saldırı hacmi Japonya (yıldan yıla %35 artış), Güney Kore (+%31) ve BAE (+%29) gibi ülkelerde arttı. Bu ülkeler daha önce kültürel veya dil engelleri nedeniyle daha az BEC saldırısı görmüş olabilir. Yine de üretken yapay zeka, saldırganların birden fazla dilde daha ikna edici ve kişiselleştirilmiş e-postalar oluşturmasına olanak tanıyor. Proofpoint her ay ortalama 66 milyon hedefli BEC saldırısı tespit ediyor.
Kuruluşların %69’u geçtiğimiz yıl başarılı bir fidye yazılımı enfeksiyonu yaşadı (bir önceki yıla göre yüzde 5 puanlık bir artış); BT uzmanlarının %60’ı endişe verici bir şekilde kuruluşlarının birden fazla, ayrı fidye yazılımı enfeksiyonuyla karşılaştığını söyledi. Fidye yazılımından etkilenen kuruluşların %54’ü saldırganlara ödeme yapmayı kabul etti (%64’ten düştü), yalnızca %41’i tek bir ödemeden sonra verilerine yeniden erişebildi (bir önceki yıl %52 idi).
Telefon odaklı saldırı dağıtım saldırıları
Başlangıçta bir telefon numarası ve bazı hatalı bilgilerden başka bir şey içermeyen zararsız bir mesaj gibi görünse de, saldırı zinciri, şüphelenmeyen bir çalışanın sahte bir çağrı merkezini arayıp kimlik bilgilerini sağlaması veya kötü niyetli aktörlere uzaktan erişim izni vermesiyle etkinleştirilir. Proofpoint, ayda ortalama 10 milyon telefon odaklı saldırı dağıtım (TOAD) saldırısı tespit ediyor; Ağustos 2023’te son dönemde zirveye ulaşarak 13 milyon olaya neden oldu.
Fidye yazılımı, TOAD ve MFA bypass gibi tehditlerin artan önemine ve karmaşıklığına rağmen, birçok kuruluş bunlarla başa çıkmak için yeterince hazırlıklı veya eğitimli değil. Kuruluşların yalnızca %23’ü kullanıcılarını TOAD saldırılarını nasıl tanıyacakları ve önleyecekleri konusunda eğitiyor ve yalnızca %23’ü kullanıcılarını üretken yapay zeka güvenliği konusunda eğitiyor.