Güvenlik Farkındalığı Programları ve Bilgisayar Tabanlı Eğitim, Eğitim ve Güvenlik Liderliği
2024’te Güvende Kalmak için Bu Dört Basit Adımı İzleyin
Kawin Boonyapredee •
21 Ekim 2024
Ekim ayı, şu anda yirmi birinci yılına giren ABD İç Güvenlik Bakanlığı tarafından yürütülen çok önemli bir kampanya olan Ulusal Siber Güvenlik Farkındalık Ayı’dır. Bu ay süren çaba, siber güvenlik alanında en iyi uygulama önlemlerini sağlıyor ve kuruluşların ve kişilerin günümüzün siber tehditleriyle mücadele etmesine yardımcı olmayı amaçlıyor.
Ayrıca bakınız: Canlı Web Semineri | Finansal Hizmetlerde Sertifika Yaşam Döngüsü Yönetimi, PKI ve Yazılım Tedarik Zinciri Güvenliğinin Durumu
Bu yılın teması “Dünyamızın Güvenliğini Sağlayın”, dört basit ve etkili adımı izleyerek kendinizi ve işletmenizi çevrimiçi tehlikelerden korumaya yönelik bir eylem çağrısıdır. Bu adımları takip etmek ve çevrimiçi ortamda güvende kalmak, bireylerin yanı sıra kamu ve özel kurumların ortak bir çabasıdır.
1. Adım: Kimlik Avını Tanıma ve Bildirme
Dolandırıcılık dünya çapında en yaygın siber tehditlerdir. Asya’da Singapur gibi ülkeler, yalnızca 2024’ün ilk yarısında dolandırıcılık nedeniyle 400 milyon dolara yakın kayıp bildirdi. Geçtiğimiz yıl Tayland’da her dört kişiden biri dolandırıcılığın hedefi oldu. Yakın tarihli bir başka rapor, Güneydoğu Asya dolandırıcılık örgütlerinin yılda 64 milyar dolar çaldığını ortaya çıkardı. Dolandırıcılığa karşı korunmanın birinci adımı, kimlik avı saldırılarını tanımak ve rapor etmektir; bu, diğer bireylerin ve işletmelerin bu dolandırıcılıkların kurbanı olmasını engellemeye yardımcı olabilir. Neye bakılacağını öğrenmek ve dolandırıcılığı bildirmek, siber güvenlik olaylarını önlemeye ve riskleri azaltmaya yardımcı olmanın anahtarıdır.
2. Adım: Güçlü Şifreler Kullanın
Şifreler her şekil ve boyutta olabilir. İkinci adımda güçlü şifrelerin kullanımını anlamak, veri veya para kaybına yol açacak hesabın ele geçirilmesinden kendimizi korumak için çok önemlidir. İstatistikler, aşağıdaki tabloda gösterildiği gibi zayıf şifre kullanmanın doğal riskini göstermektedir.
İkinci adım, kötü niyetli kişilerin hesap bilgilerine ve hassas verilere erişmesini engellemek için güçlü şifreler kullanmanın önemini vurgulamaktadır. Çalışanlar asla aynı şifreleri iş ve kişisel hesaplarında tekrar kullanmamalıdır. Artan sayıda veri ihlali göz önüne alındığında, favori şifrenizin zaten başka bir sitede ele geçirilmiş olma ihtimali yüksektir.
Muhtemelen bu on yılın sonunda kuantum bilgisayarlar, internetteki günümüzün bilgilerini güvence altına alan mevcut şifreleme algoritmalarını kırabilecek. Bunun güçlü şifrelere ilişkin en iyi uygulamalar üzerinde derin bir etkisi olacaktır; bu nedenle şimdilik şirketlerin ve bireylerin en azından en iyi uygulamaları takip etmesi gerekiyor.
MFA’yı açın
Üçüncü adım, güçlü şifrelerin eklenmesiyle hesapları güçlendirmek için çok faktörlü kimlik doğrulamayı kullanmaktır. Aşağıda yer alan mevzuata uygunluk talimatları, MFA ihtiyacını belirtmektedir:
- Avrupa Birliği’ndeki Genel Veri Koruma Yönetmeliği, kuruluşların genellikle MFA’yı da içeren kişisel verileri korumak için yeterli önlemleri almasını gerektirir.
- Amerika Birleşik Devletleri’nde Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, hasta bilgilerinin korunması için MFA’nın kullanılmasını önermektedir.
- Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, ödeme kartı verilerini işleyen sistemler için MFA’yı zorunlu kılar.
Kuantum bilişimin nihai gelişmesiyle birlikte, günümüzün dijital çağında kullanılan şifreleme algoritmalarının kırılması tehdidi tüm endüstrilerde ve sektörlerde büyük hasara yol açacaktır; dolayısıyla kuantum dirençli algoritmalara geçmek, kuruluşları ve bireyleri ortaya çıkan tehdide karşı korumak için gerekli bir adımdır. Applied Quantum da dahil olmak üzere birçok kuantum bilişim danışmanlık firması, savunmasız kriptografik cihazları tespit ederek, kuruluşların kuantum dirençli ve kuantum çevik hale gelmesi için stratejik yol haritaları oluşturarak ve yönetim kurulundan eğitim ve farkındalık sağlayarak kuantum tehditlerine hazırlanmak için hem kamu hem de özel kuruluşlarla birlikte çalışır. Kuantum tehdidine hazırlanmak için geliştiricilere seviyeyi düşürün.
Yazılımı güncelle
Dördüncü adım, yazılımınızın sürekli güncellenmesini sağlamaktır. Yazılım sürümlerindeki güvenlik açıkları nedeniyle, kötü aktörlerin dosyalara veya hesaplara erişmesine olanak tanıyan bu kusurlara karşı koruma sağlamak için kuruluşların ve bireylerin yama ve güncelleme yapması zorunludur.
Bu siber güvenlik açığı istatistikleri, güvenli olmayan yazılımlar hakkında önemli bilgiler sağlar:
- Açıklardan yararlanmaların %80’i CVE’ler yayınlanmadan önce yayınlanmaktadır;
- Uygulamaların %70’i, beş yıllık üretim sonrasında en az bir güvenlik açığı içeriyor;
- 2020’den bu yana kamu sektöründe bulut güvenliği sorunlarında %205’lik bir artış yaşandı;
- DevSecOps profesyonellerinin %47’si, güvenlik açıklarını önceliklendirmedeki başarısızlığın, güvenlik açığı birikimlerine büyük ölçüde katkıda bulunduğunu düşünüyor.
Bu güvenlik açıklarına ek olarak, bilgisayar korsanlarının ve dolandırıcıların asla uyumadığını da unutmamalıyız. Her zaman savunmanızı aşmanın yollarını ararlar. 2024 yılına ait aşağıdaki istatistikleri göz önünde bulundurun:
- Bir veri ihlalinin tespit edilmesi için geçen ortalama süre 118 gündür;
- Hedeflenen siber saldırıların %75’inden fazlası 2024 yılında bir e-postayla başladı ve bu da kimlik avını siber suçlar için birincil vektör haline getirdi;
- Web uygulamalarının %98’i, kötü amaçlı yazılımlara, kötü amaçlı web sitelerine yönlendirmeye ve daha fazlasına yol açabilecek saldırılara karşı savunmasızdır;
- Şirketlerin yalnızca %38’i bir ihlalin ardından kayda değer iyileştirmeler yaptıklarını söylüyor;
- Şirketlerin yalnızca %29’u MFA kullandığını bildirdi.
Yapay Zekadaki gelişmelerle birlikte, yapay zeka iki ucu keskin bir kılıç olduğundan siber güvenlik bir toplantı odası sorunu haline geldi: Siber güvenlik için yapay zeka, güvenlik operasyonlarının koruma, tespit ve yanıt işlevlerini geliştirmek için teknolojiyi kullanırken kuruluşların görevleri otomatikleştirmesine yardımcı oluyor. Aynı zamanda siber suçlular, birincil saldırı vektörü olan kusursuz kimlik avı e-postaları oluşturmak ve tespit ve savunma sistemlerini alt etmek için giderek daha karmaşık hale gelen kötü amaçlı yazılımlar geliştirmek için yapay zekadan yararlanıyor. Kuantum hesaplama ticarileştirilebilecek kadar olgunlaştığında, kötü aktörler kaçınılmaz olarak bu sistemlerden yalnızca karmaşık sistemleri yenmek için değil, aynı zamanda hassas bilgilerin şifresini çözmek için de yararlanacaktır.
Ulusal Siber Güvenlik Farkındalık Ayı, dünyanın her yerindeki kuruluşların verilerini güvence altına almasına ve günümüzün tehditlerine karşı korunmasına yardımcı olan küresel bir girişim haline geldi. Siber tehditler daha gelişmiş ve hedefe yönelik hale geldikçe, farkındalık oluşturmak ve tüm paydaşları siber tehditlere karşı koruma konusunda eğitmek kritik önem taşıyor.
Şimdiden temel adımlar atmak ve büyük ve küçük kuruluşlar için bir siber güvenlik kültürünün oluşturulmasını sağlamak, kendi kuruluşlarımızı ve yaşamlarımızı siber tehditlere karşı olgunlaştırmamıza yardımcı olacaktır.