Siber Güvenlik Farkındalık Ayı 2004’ten beri devam ediyor. Bu yıl Siber Güvenlik Farkındalık Ayı halkı, profesyonelleri ve endüstri ortaklarını aşağıdaki şekillerde “kendilerini siberde görmeye” çağırdı:
- Halk, çevrimiçi ortamda güvende kalmak için harekete geçerek.
- Profesyoneller, siber işgücüne katılarak.
- Siber güvenlik çözümünün bir parçası olarak siber endüstri ortakları.
CISA, yazılımlarını güncellemek, tıklamadan önce düşünmek, güçlü parolalar kullanmak ve hassas hesaplarda çok faktörlü kimlik doğrulamayı etkinleştirmek dahil olmak üzere, bireyler ve aileler için çevrimiçi ortamda güvende kalmak için yapabileceğiniz dört “şeyi” özetledi.
Endüstri, uzun süredir çalışanlara ve halka güvenlik ipuçları öğretiyor. Dikiz aynasında siber farkındalık konusunda çok fazla tekrar eden medya ve eğitimle, Ekim ayının geri dönüşü birçok kişiye ağırlık veriyor. Kampanyanın bir halkla ilişkiler açısından daha fazlası olup olmadığını bize söylemesi gereken, siber aya verilen tepkilerin ve bu yılın temalarının ve mesajlarının çekişinin bir özetini burada bulabilirsiniz.
Bu yıl Siber Güvenlik Farkındalık Ayı’ndan en iyi haberler
Siber Güvenlik Farkındalık Ayı 2022 ile ilgili görüşler, akıllıca tavsiyeler ve nükteli bilgilerle keskin, akıllı haberler ve ilgi çekici parçalarla bir araya getirilerek dikkatlilikten meme-bilinçliliğe kadar uzanır.
Yığının en üstünde, Washington Post’tan “Siber Güvenlik Farkındalık Ayının dehşeti, samimiyeti ve komedisi” hakkında bir inceleme yer alıyor.
Korku ve komedi, bu yılın temasını kabul etmeyen çoğunlukla alaycı tweetlerdi. Cybereason’dan Ken Westin, Hallmark tarafından daha fazla tebrik kartı satmak için farkındalık ayının yaratıldığını tweetledi.
Bir de gıybet vardı. Siber güvenlik muhabiri Sean Lyngass, Siber Güvenlik Farkındalık Ayının PR konuşmalarıyla dolu olduğunu tweetledi güvenlik ihlallerinden faydalanmak. Keeper Security’nin PR yöneticisi Anne Cutler yanıtladı“Yanılıyorsun. Aslında Siber Güvenlik PR ekipleri tutsak tutmayacak ve isteseniz de istemeseniz de farkındalık yaratacak. Artık kendinizi farkında zannedebilirsiniz.”
Kayıt, farkındalık ayına ve “18 yıl sonra Ulusal Siber Güvenlik Farkındalık programı: Buna tıklamayın”daki doğal zorluklarına ayık bir bakış attı.
Siber güvenlik bilincini yararlı olacak kadar teknik, ancak anlaşılacak kadar basit tutma konusundaki hayal kırıklığını yansıtıyordu. Sektör katılımcılarının, hedef kitlelerini ve halkın kimlik avını önlemek için halihazırda sarf ettiği her türlü çabayı kaybetmeden “tıklamadan önce düşünün”ün ötesine geçmeleri gerekiyor.
The Register, siber güvenlik bilgisi az olan çalışanları tam teşekküllü güvenlik uzmanları gibi yapma ihtiyacını dile getirdi. Bu yakında olmayacak. Bununla birlikte, hikaye Siber Güvenlikte Kendinizi Gör’ün itici gücünü kapsadığında – güvenlik karmaşık olsa da, çalışmasını sağlamak bireylere bağlıdır – bu mantıklı geldi.
Kayıt, insanların çözüm olduğuna işaret ediyor çünkü insanlar, kimlik avı saldırılarına düşen insanlar da dahil olmak üzere, insan unsurunu içeren ihlallerin %80’inden fazlası sorunda.
Register’a göre, Siber İş Gücünde Kendinizi Görmek, siber personel istihdam eden kuruluşlara eğitim fonlarının arttığını hatırlatıyor. Bunu yeni işe alınanlar ve geçen yılki eğitimden bu yana deneyim kazanmış profesyoneller için kullanmalıdırlar.
Forbes, “Siber Güvenlik Farkındalık Ayı (ve Cadılar Bayramı) İçin – Bazı Korkunç Siber Tehdit İstatistikleri”nde bir dizi talihsiz siber saldırı eğilimini ortaya çıkardı.
Siber Güvenlik Farkındalık Ayının ihlal eğilimleri üzerinde ölçülebilir bir etkisi olmadı. İhlaller giderek daha yaygın ve şiddetlidir. Kimlik avı, 1 milyondan fazla saldırıyla 2022’nin ikinci çeyreğinde en kötüsüydü.
Forbes, ulus devlet saldırılarının yalnızca kritik ulusal altyapı için olmadığını ve işletmelerin %64’ünün ulus devletlerin onları hacklediğini söylediğini belirtiyor. Yine de endüstriyel kontrol sistemleri ve OT, normal BT varlıklarından daha fazla tehlikede.
2022 Siber Güvenlik Farkındalık Ayı’ndan tavsiye uygulaması
Yazılım güncelleme, kimlik avını önlemek için tıklamadan önce düşünme, güçlü parolalar kullanma ve çok faktörlü kimlik doğrulamayı etkinleştirmeyi içeren 2022 Siber Güvenlik Farkındalık Ayı için CISA “yapabileceğiniz dört şey” girişimi, daha iyi güvenlik uygulamalarına yönelik son kullanıcı davranışını etkilemek amacıyla yayınlandı. . Ancak bunun gibi direktif tavsiyesi gerçekten işe yarıyor mu?
Kayıt, Siber Güvenlik Farkındalık Ayının başarısının veya başarısızlığının onu nasıl ölçtüğünüze bağlı olduğunu açıklığa kavuşturuyor. Siber güvenliğin çözülmesini bekliyorsanız, siber ay işe yaramadı. İnsanların ve kuruluşların siberi daha ciddiye alacağını umduysanız, farkındalık ayı bir başarıdır.
Siber Güvenlik Farkındalık Ayı ve “yapabileceğiniz şeyler” yeterince işe yaradı. Yapılacak en anlamlı şey, “tıklamadan önce düşünün”ün ötesinde, kimlik avına karşı daha etkili, insan tabanlı bir çözüm bulmaktı.
Posta makalesinin yüzeyinin altında, Twitter’da sesler parmakla gösterme dersleri ve sürpriz kimlik avı testleri gibi kimlik avı eğitiminin hoş karşılanmadığını açıkladı.
CISA, endüstri ortaklarının güvenli ve esnek bir teknoloji ekosistemi oluşturmak için birlikte çalışarak kendilerini çözümün bir parçası olarak görmelerini istiyor. Ürünleri tasarım gereği güvenli olacak şekilde tasarlayarak, toplu olarak riski azaltabilir ve Amerikalıların güvendiği kritik altyapıyı koruyabilirler.
Chuck Brooks, Forbes makalesinde, farkındalık ayına rağmen, enerji sektörünün ve elektrik şebekesinin önemli bir saldırı riski altında olduğuna dikkat çekiyor. Colonial Pipeline’a saldıranlar gibi ulus devlet bilgisayar korsanlarına karşı kritik ulusal altyapıyı güvence altına almak zordur. CISA’nın da onayladığı gibi, bu bir kamu ve özel sektör önceliği olmalıdır.
2023’te Siber Güvenliği bir PR çabasının ötesinde nasıl iyileştirebiliriz?
Siber Güvenlik Farkındalık Ayının ötesine geçmek, kuruluşların son kullanıcıların siber güvenlik eğitiminden sorumlu olduğu anlamına gelir, ancak kötü son kullanıcı davranışlarını çözebilecek ve yine de kuruluşunuzun BT güvenliğini koruyabilecek teknik çözümler de vardır. En kısa zamanda yapılacak birkaç hızlı kazanç:
1 — Yazılımınızı yamalayın
Kuruluşlar, yazılım güncellemelerini maliyetli olarak görebilir ve çoğu, yazılım üzerinde çalışan uygulamaları bozmamak için güncellemelerden kaçınır. Ancak 2023’te siber güvenlik hedeflerine ulaşmak için kuruluşlar, güncellemeler hazır olur olmaz yazılımlarına yama yapmalıdır.
2 — Bilinen ihlal edilmiş şifrelerin kullanımını engelleyin
Kuruluşlar, Specops Password Auditor ile parolayla ilgili güvenlik açıkları için Active Directory’yi tarayarak, Active Directory’lerinde 900 milyondan fazla zayıf ve ihlal edilmiş kullanıcının kullanımını belirleyebilir. Bilgisayar korsanları, kritik ulusal altyapıya yönelik saldırılarda çalınan kimlik bilgilerini kullanır. Parola denetimleri, ihlal edilen parolaların kuruluşunuzda kullanılmamasını sağlar.
3 — Kullanmakta olduğunuz 3. taraf uygulamaların güvenlik düzeyini denetleyin
Yakın tarihli bir rapor, işle ilgili popüler uygulamaların şifreler ve MFA söz konusu olduğunda bazı önemli güvenlik açıklarına sahip olduğunu buldu. Kuruluşunuzun güvendiği web uygulamalarının envanterini çıkarın ve son kullanıcılarınız için MFA’nın veya en az 2FA’nın etkinleştirildiğinden emin olun.