Şirketinizin saldırıya uğramak için çok küçük olduğunu mu düşünüyorsunuz? Tekrar düşün

   Temmuz 16, 2022  Posted in CyberNews



Dünya çapında büyük kuruluşlara yönelik büyük çaplı siber saldırıların haberleri günlük olarak manşetlere çıkarken, binlerce küçük ve orta ölçekli kuruluş siber suçlular tarafından daha sık hedefleniyor.

Büyük şirketlerin aksine, küçük ve orta ölçekli işletmeler (KOBİ’ler), siber savunmaya yatırım eksikliği ve siber risk farkındalığı eksikliği dahil olmak üzere birçok nedenden dolayı siber saldırılara daha fazla maruz kalmaktadır.

Küçük İşletmeler Siber Güvenlik Rehberi’ne göre, siber saldırıların %76’sı 100’den az çalışanı olan işletmeleri vuruyor. Siber suçlular küçük işletmeleri kolay hedefler olarak görür ve çoğu durumda büyük kuruluşların tedarik zincirine dahil oldukları için hedeflenirler.

Bir siber saldırının küçük kuruluşlar üzerinde çarpıcı bir etkisi olabilir – çoğu, bir güvenlik ihlalinden sonraki birkaç ay içinde işsiz kalır.

Rapor ayrıca, ortalama siber saldırının küçük işletmelere çalışan başına 3.533 dolara mal olduğunu ve bir riski tanımlamanın ortalama 206 gün ve onu kontrol altına almanın 73 gün daha sürdüğünü ortaya koyuyor.

Artan çevrimiçi varlık, saldırıların yüzeyini genişletiyor ve küçük ve orta ölçekli işletmeleri daha büyük risklere maruz bırakabilir. Küçük kuruluşlar için en önemli tehditler şunlardır: kötü amaçlı yazılım saldırılar (özellikle fidye yazılımı), veri ihlalleri, kimlik avı saldırıları ve kimlik Hırsızı.

Fidye yazılımı saldırılarının kurbanı olan birçok küçük kuruluş, fidyeyi ödemeyi tercih ediyor. Çoğu durumda, fidye 10.000 dolardan azdır, ancak şifrelenmiş verilerin kurtarılacağının garantisi yoktur.

KOBİ’lere yönelik çoğu saldırı rapor edilmiyor

Verizon Business Data Breach Investigation Report’a (DBIR) göre, küçük ve orta ölçekli işletmeler, devam eden pandemi sırasında özellikle yüksek veri ihlali ve siber saldırı riski altındaydı.

Bildirilen saldırı sayısına baktığınızda, büyük şirketlerin daha fazla siber saldırının kurbanı olduğunu düşünebilirsiniz. Bu veriler doğru değil.

Birçok küçük işletme, bir güvenlik ihlalini bildirmez veya bir siber saldırının kurbanı olduklarını bilmezler, çünkü bir güvenlik çözümüne sahip değillerdir.

Çoğu küçük kuruluşun altyapılarını izlemek ve varlıklarını siber saldırılardan korumak için çözümlere erişimi yoktur. Bu durum, saldırıların gelişmişlik düzeyi ve saldırıların hızla yayılması nedeniyle daha da kötüleşiyor. hizmet olarak suç yazılımı modeli Bu, daha az yetenekli saldırganların kötü niyetli kampanyalarını kolayca düzenlemelerine olanak tanır.

Bununla birlikte, küçük işletmeler için en büyük siber güvenlik riski, insan faktörü tarafından temsil edilmektedir. Tehdit aktörleri, çalışanların siber tehditler hakkındaki bilgi eksikliklerini onları hedef almak için kullanabilir. Diğer siber güvenlik riskleri verilerle temsil edilir: kuruluşun verilerinin ifşa edilmesi, faaliyetleri ve kuruluşun ve üyelerinin itibarı üzerinde ciddi bir etkiye sahip olabilir. Altyapı riski başka bir tehdittir, çünkü korumasız her cihaz, kuruluş ağlarına erişebilen ve kötü niyetli faaliyetler gerçekleştirebilen saldırganlar için bir giriş noktası olabilir.

Küçük işletmeleri siber saldırılardan nasıl korursunuz?

Avustralya Siber Güvenlik Merkezi (ACSC) bir dizi yayınladı. öneriler özellikle COVID-19 salgını sırasında küçük işletmelerin kendilerini siber saldırılardan ve aksaklıklardan nasıl daha iyi koruyabileceklerine dair.

ACSC tarafından birçok kötü niyetli aktörün başarılı olmasını önlemek için sağlanan temel eylemler şunları içerir:

  • Dolandırıcılık e-postalarına (kimlik avı) karşı dikkatli olun ve ekleri açmayın veya istenmeyen iletilerdeki bağlantılara tıklamayın.

  • Yazılımınızı ve işletim sistemlerinizi güncelleyin

  • Güçlü parolalar kullanın ve bunları her yerde paylaşmayın.

  • Çok faktörlü kimlik doğrulamayı etkinleştirin.

  • Verilerinizi yedekleyin ve bilgisayardan ayrı olarak saklayın.

Ancak, risk temelli bir yaklaşımın uygulanmasının sonucu olarak ortaya çıkan kişisel verilerin korunmasına yönelik güvenlik önlemlerini almadıkları takdirde, yukarıdaki öneriler küçük işletmeleri korumak için yeterli değildir. Küçük kuruluşların kişisel veri işleme operasyonlarının bağlamını anlaması ve ardından ilgili güvenlik risklerini değerlendirmesi esastır.

Ne yazık ki, sınırlı kaynaklar ve fonlar, belirli becerilere sahip personelin bulunmaması, belirli sektörel düzenleyici hükümler ve siber risk konusunda sınırlı farkındalık gibi belirli özellikleri nedeniyle küçük işletmeler için risk analizi yapmak kolay değildir.

KOBİ’ler için kişisel veri işlemenin güvenliğine ilişkin yönergelerENISA tarafından yayınlanan ”, aşağıdaki dört adıma dayalı olarak risk yönetimine bir yaklaşım önermektedir:

  • İşleme işleminin tanımı ve bağlamı. Bu aşamada kuruluş, işlenen verileri, ilgili sistemleri ve bunların ilgili bağlamını değerlendirir.
  • Etkiyi anlama ve değerlendirme. Bu aşamada işletme, her bir riskin kuruluşun operasyonları, kişilerin hak ve özgürlükleri ve veri işleme sistemi üzerindeki potansiyel etkisini değerlendirir.
  • Olası tehditlerin tanımı ve tehdit oluşma olasılığının değerlendirilmesi. Bu aşamada kuruluş, kişisel veri işlemenin genel ortamıyla (dış veya dahili) ilgili tehditleri analiz eder ve olasılıklarını (tehdit oluşma olasılığı) değerlendirir.
  • Riskin değerlendirilmesi (tehdit oluşma olasılığı ve etkisinin birleştirilmesi). Bu aşamada işletme, kişisel veri işleme operasyonunun etkisini ve ilgili tehdit oluşma olasılığını analiz ederek riski değerlendirir.

Ancak risk seviyesi değerlendirildikten sonra kuruluş, organizasyonel ve teknik olabilecek uygun güvenlik önlemlerini seçip uygulayabilir.

Ancak günün sonunda, küçük organizasyonları korumak için kültürel bir değişikliğe ihtiyacımız var. Siber tehditler konusunda bilgi paylaşımı ve farkındalık, doğru yaklaşımın temel direkleridir ve bu değişikliğin hükümetler tarafından teşvik edilmesi ve sürdürülmesi gerekmektedir.

CyberNews’den daha fazlası



Source link