BlackCloak Kurucusu ve CEO’su Dr Chris Pierson tarafından
Bu yılın başlarında, Çinli bilgisayar korsanlarının ABD devlet kurumu çalışanlarının kişisel Gmail hesaplarına karmaşık kimlik avı e-postaları gönderirken yakalandıkları haberi geldi. Ulus devlet siber suçlularının kesin motivasyonları asla tam olarak anlaşılamayacak olsa da, birçoğu, kurumun güçlü siber güvenliğini aşmak ve dijital altyapıya yanal hareket yoluyla giriş elde etmek için kişisel e-posta hesaplarını hedeflediklerini düşünüyor.
Profesyonel ve kişisel arasındaki sınırlar neredeyse tamamen bulanıklaştığından, bu tür yanal siber saldırılar giderek daha yaygın hale geliyor; ve işletme için büyük bir tehdit oluşturuyor. Bugün, kurumsal güvenliğin yumuşak göbeği, yöneticilerin, Yönetim Kurulu Üyelerinin ve diğer yüksek profilli çalışanların finansmana, özel verilere ve kişisel bilgilere erişimi olan kişisel dijital yaşamları – çevrimiçi gizlilik, kişisel cihazlar ve ev ağları – haline geldi. siber suçlular taviz vermek ve kontrolleri altına almak isterler.
Güvenlik açıkları ve minimum güvenlik kontrolleri siber suçluları cezbeder
Siber suçluların, özellikle de suç gruplarının ve ulus devletlerin neden artık bir kuruluşun dijital altyapısına adım atmak için bireylere saldırmayı tercih ettiğini anlamak zor değil.
Birincisi, çoğu yüksek profilli çalışan, şirketin dört duvarının dışındayken işlerinin kendilerine sağladığı siber güvenlik ve gizlilik korumalarından neredeyse her zaman yoksundur. Aslında, tescilli BlackCloak verileri şunları buldu:
- Yöneticilerin %39’unun kişisel cihazlarında kötü amaçlı yazılım var
- Yöneticilerin %59’unun kişisel cihazlarında antivirüs var
- Yöneticilerin %40’ının IP adresleri çevrimiçi veri komisyoncularında kullanılabilir
- Yöneticilerin kişisel bilgisayarlarının %75’i ya tamamen korumasızdır ya da varsayılan güvenlik ayarlarını kullanarak çalışmaktadır.
İkincisi, en akıllı siber suçlular, CISO’ların kurumsal korumaları kişisel dijital yaşamlara genişletemeyeceğini biliyor. Diğer faktörlerin yanı sıra etik riskler, gizlilik yasaları, SEC gereksinimleri ve ekip bant genişliği eksikliği nedeniyle, güvenlik ekipleri kurumsal korumaları kişisel cihazlara ve ağlara kolayca uygulayamaz. Benzer şekilde, CISO’lar, bir eşe veya çocuğa, hatta bu konuda bir yöneticiye, ofiste değilken bir protokolü veya en iyi uygulamayı izlemesi için yetki verme konusunda sıfır yetkiye sahiptir. Bir gence bir yöneticiden bir kurala uymasını söylerken nasıl bir işten atılacaksınız bir düşünün?
Son olarak, tüketicilerin siber güvenliği ve mahremiyet korumaları caydırıcı olmadığı için yöneticiler kişisel dijital yaşamlarında savunmasızdır. Kimlik hırsızlığı koruması gibi görünen imza tabanlı antivirüs ve kredi kartı izleme gibi metalaştırılmış güvenlik önlemleri, günümüzün en karmaşık tehditlerine karşı, eğer varsa, minimum düzeyde direnç sağlar.
Bu nedenle, kuruluşa en az direnç göstermenin yolu, bir şirketin en önemli personelinin kişisel dijital yaşamlarına sosyal mühendislik, kimlik sahtekarlığı, kötü amaçlı yazılım enjeksiyonu, iletişim kaçırma veya diğer birçok saldırı tekniğinden biriyle saldırmaktır.
Teminat zararı olarak işletme
Tüm siber suçluların, yöneticilerin kişisel yaşamlarına yalnızca kuruluşlarına yatay olarak geçmek için saldırmadıklarını belirtmek önemlidir. Çoğu zaman, yöneticilerin kendileri, varlıkları veya statüleri nedeniyle hedeftir. Bununla birlikte, bir birey olarak bir yöneticiye yönelik bir saldırı, neredeyse her zaman organizasyon üzerinde bazı sonuçlar doğurur.
Örneğin, büyük bir otonom otomobil şirketinin CEO’su, amaç olarak finansal dolandırıcılık ile saldırıya uğradı. Saldırı, ana akım görüşlerin aksine, ailenin siyasi eğilimleri hakkındaki özel bilgileri istemeden ifşa ediyor. Yönetici mağdur olurken, haberler bilgi sızıntısına odaklanıyor ve halkın siyasete tepkisi hızlı ve sert.
Şirket daha sonra halk arasında büyük bir itibar kazanır ve birçok çalışan dehşete düşer ve işlerinin geleceğinden emin değildir. İş sürekliliği bozulur ve kriz iyileştirme stratejileri harekete geçmeye zorlanır.
Bu örnekte, şirket birincil hedef değildi (CEO’nun servetiydi), ancak ikincil hasar çok etkiliydi.
Dijital yönetici koruması ile riski azaltma
Teknolojinin kişinin iş ve özel yaşamının iç içe geçmesini önlediği hit Apple TV programı “Severance” harika bir dramadır, ancak günümüzün iş gerçekliğinden o kadar uzaktır ki, en iyi bilim kurgu olarak sınıflandırılabilir.
Pandemiden önce bile kişisel ve profesyonel çizgiler arasındaki çizgiler inceliyordu. Şimdi, pek çok kişi için kalıcı olan uzaktan ve hibrit çalışma ve IoT’nin hızla yaygınlaşmasıyla birlikte, çoğu güvenlik ekibinin, çevrelerinin nerede başlayıp nerede bittiği konusunda emin olması zor.
Bu nedenle, şirketi korumak için yöneticileri kişisel dijital yaşamlarında korumak, çözülmesi gereken karmaşık bir sorun olmuştur. Neyse ki, yeni bir dijital yönetici koruma çözümleri dalgası, siber güvenlik ekibinin yükünü kaldırmayı ve onu, gizlilik, yasal ve bant genişliği endişeleri
Yöneticilerin kişisel dijital yaşamlarına saldırmak, güvenlik ekiplerinin günlük olarak uğraştığı diğer zorluklarla karşılaştırıldığında, emekleme döneminde bir tehdit olabilir. Ancak tamamen kontrolden çıkmadan önce ele alınması gereken bir tehdittir.
yazar hakkında
Dr. Chris Pierson, şirket yöneticileri, yüksek profilli ve yüksek net değerli bireyler ve aileleri için dijital yönetici korumasında lider olan BlackCloak’ın Kurucusu ve CEO’sudur. Chris, 20 yılı aşkın süredir hem kamu hem de özel sektörde siber güvenlik ve mahremiyetin ön saflarında yer almaktadır. Daha önce İç Güvenlik Bakanlığı’nda Chris, Siber Güvenlik ve Gizlilik Komitelerinde özel bir devlet çalışanı olarak görev yaptı. Ayrıca Royal Bank of Scotland’ın (RBS) Gizlilik Baş Sorumlusu, iki önde gelen FinTech’in Baş Bilgi Güvenliği Sorumlusu ve aynı zamanda Ponemon Enstitüsü’nün Seçkin Üyesi olarak zaman geçirdi.
Chris’e [email protected], Twitter @DrChrisPierson ve şirketimizin web sitesi www.blackcloak.io’dan ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.