Veri ihlali olayları, 2024’ün ilk yarısında veri ihlali mağdurlarının sayısının 1 milyarı geçmesiyle sürekli olarak artış gösteriyor. Verizon tarafından yakın zamanda yayınlanan 2023 Veri İhlali Raporu, veri ihlallerinin %74’ünün insan hatalarından kaynaklandığını doğruluyor. Siber güvenlik farkındalığı kuruluşlarda her zamankinden daha yüksek olsa da, insan hatası, kötü niyetli niyet ve ayrıcalık kötüye kullanımı çoğu veri ihlali olayının nedeni gibi görünüyor.
Veri ihlallerine karşı bir savunma oluşturmak için, kuruluşlar geleneksel siber hijyen yöntemlerinin ötesine geçmeli ve etki alanlarını, BT varlıklarının oluşturulmasından elden çıkarılmasına kadar veri korumasını yöneten politikaları içerecek şekilde genişletmeli ve hassas, gizli verileri her aşamada korumalıdır. International Data Corporation (IDC), 2026 yılında siber güvenlik araçları ve hizmetlerine yapılan yatırımların yaklaşık 300 milyar dolara ulaşacağını öngörmüştür. Bu, siber güvenliğin küresel olarak kuruluşlarda gerçekten bir öncelik olarak kabul edildiğini göstermektedir. Peki, neden hala boşluk var ve veri ihlalleri yaşanıyor?
Siber hijyen neden önemlidir?
Siber hijyen önemlidir çünkü güçlü bir kurumsal siber güvenlik duruşunun sürdürülmesine katkıda bulunur. Bu uygulamalara sürekli olarak uyulması, verilerin, ağların ve sistemlerin kötü niyetli siber saldırılar nedeniyle tehlikeye atılmasını önler. Uygun siber hijyen eksikliği, veri ihlali olaylarına, fidye yazılımı saldırılarına ve uyumluluk sorunlarına yol açarak iş kaybına ve itibar kaybına neden olur.
Aslında, kuruluşlar için iş açısından kritik bilgilerin tehlikeye atılması daha da büyük bir risk taşır çünkü bu gelir ve itibar kaybı anlamına gelir. Müşteri bilgileri ve şirket verileri, suçluların hedef alabileceği şirket için en önemli varlıklardan bazılarıdır. Bir güvenlik açığı noktası, bir işletmenin ortaklıklarını riske atabilir ve şirketleri yasal sonuçlara açık hale getirebilir, bu nedenle herhangi bir siber güvenlik stratejisi siber hijyene güçlü bir şekilde odaklanmalıdır.
En iyi siber hijyen uygulamaları nelerdir?
Bir organizasyonda güvenli siber güvenliğin temellerini oluşturan birkaç siber hijyen uygulaması şunlardır:
- Çok faktörlü kimlik doğrulama: Bir kullanıcının kimliğini e-posta ve telefona gönderilen bir OTP (tek seferlik şifre) gibi bir şeyle doğrulamak, hesaplara yalnızca hak sahiplerinin erişebilmesi için başka bir güvenlik katmanı ekler. Benzer şekilde cihazlara parmak izi doğrulaması veya yüz taramaları eklemek korumaya katkıda bulunur.
- Yetkili erişim kontrolü:Belirli verilere erişmesi gereken kullanıcılara ayrıcalıklı haklar sağlamak hassas bilgilerin güvenliğinin sağlanmasına yardımcı olur.
- Güçlü şifreler:Sayı, harf ve özel karakterlerin bir arada bulunduğu uzun ve nadir kullanılan şifreler kullanmak profillerin güvenliğini artırır.
- Yazılım güncellemeleri: Yazılımların düzenli aralıklarla güncellenmesi, sisteme yüklenen yazılımların en son güvenlik yamaları ve hata düzeltmeleriyle güvence altına alınmasını sağlar.
- Güvenli veri imhası: Verilerin güvenli bir şekilde imha edilmesine yönelik yönergelerin uygulanması, verilerin cihazlardan güvenli bir şekilde nasıl silinebileceğine dair kuralları, uyulması gereken uluslararası standartları (NIST 800-88) ve çalışanlara veri silme çözümleri konusunda eğitim verilmesini gerektirir. Bu protokoller yöneticiler, müdürler, çalışanlar, BT uzmanları ve şirkette çalışan diğer kişiler tarafından sıkı bir şekilde takip edilmeli ve BT uzmanları diğer çalışanları bu protokoller hakkında bilgilendiren kilit kişiler olmalıdır.
Veri imhası siber hijyene nasıl fayda sağlar?
Yukarıda belirtilen siber hijyen uygulamaları, güçlü bir siber güvenlik duruşunun temelini oluşturan kuralların bir özetidir. Ancak, veri imhası ile siber hijyen arasındaki bağlantı genellikle ihmal edilir. Güvenli veri imhası yalnızca uygun siber hijyenle bağlantılı değildir, aynı zamanda bir organizasyonun siber güvenliğini güçlendirmede de faydalıdır. Siber hijyen bağlamında veri imhasının faydaları şunlardır:
- İş verilerini güvence altına alır: Bir kuruluşa yapılan siber saldırıda bireylerin sosyal güvenlik numaralarının sızdırıldığı bir veri sızıntısı durumunu düşünün. Şirketler, AB-GDPR, CCPA, GLBA vb. gibi veri koruma yasalarına ve yönetmeliklerine uymama nedeniyle davalarla, cezalarla karşı karşıya kalabilir. Verileri amacına hizmet ettikten sonra imha etmek önemlidir. Bir kullanıcının kişisel olarak tanımlanabilir bilgilerinin (PII) bir veri ihlali durumunda bile tehlikeye atılmamasını garantilemek için daha fazla yanlış, tutarsız, eksik ve alakasız bilgi silinmelidir.
- Veri biriktirmeyi önler: Kuruluşlar gelecekte değer elde etmek için verileri depolar. Uzun bir süre boyunca bu veri birikimi, veri istiflenmesine neden olur. Uygun siber hijyen, bir kuruluşun veri en aza indirmeye öncelik vermesini gerektirir. Bu gereksiz, eski ve önemsiz (ROT) verilerin elden çıkarılması, hem içeriden gelen tehditlerin hem de dışarıdan gelen saldırıların kolay hedefi olabilecek verilerin kalıcı olarak kaldırılmasını sağlar.
- Riskleri azaltmak: Güvenli veri silme, yetkisiz taraflar veya kötü niyetli kişiler tarafından veri kurtarma riskini ortadan kaldırır. Eski BT varlıklarını emekliye ayırırken, tam işlevli olanları yeniden kullanırken veya bağışlarken, güvenli medya temizleme uygulamalarını takip etmek hassas bilgilerin sızdırılmasını önlemeye ve eyalet, federal ve küresel veri koruma yasaları ve yönetmeliklerine uyumlu hale gelmeye yardımcı olur. Kuruluşlar, AB-GDPR, CCPA, UK-DPA, HIPAA vb. gibi veri koruma yasalarının uyumluluk gerekliliklerini karşılamaya yardımcı olan BitRaser Data Eraser gibi güvenli ve sertifikalı bir veri silme aracıyla verileri zamanında imha edebilir.
Kurumunuzda güvenlik kültürü nasıl oluşturulur?
Güvenlik odaklı bir kültür oluşturmaya istekli herhangi bir organizasyonun ilk adımı, şirket politikalarına basit, açık ve şeffaf siber hijyen uygulamalarını dahil etmek olacaktır. Diğer adımlar şu şekilde olabilir:
- Liderin katılımı: Kültürde bir değişim gibi uzun vadeli bir değişiklik yapmak liderlerin sorumluluğundadır. Kuruluşta güvenlik odaklı bir kültür oluşturmanın en iyi yolu, en üstten en alta doğru ilerlemektir. Liderler siber hijyen uygulamalarını kendileri benimseyebilir ve örnek olarak liderlik edebilirler. İster bir çalışanla birebir yüz yüze görüşme olsun, ister grup ortamında sanal bir toplantı olsun, liderler yemin ettikleri siber güvenlik ilkelerini paylaşabilirler.
- Çalışan eğitimi: Bu araçlarla ilk etkileşime girecek çalışanlar bunları çalıştırmak için yeterli donanıma sahip değilse sistem yazılımlarını düzenli olarak güncellemek yeterli değildir. Çalışanlara bu güvenlik uygulamalarını benimsemenin önemi ve bunlara uymanın doğru yolu konusunda eğitim vermek esastır. Teknik jargon içermeyen etkileşimli oturumlar aracılığıyla güçlü bir siber güvenlik duruşunun gerekliliği iletilebilir.
- Düzenli denetimler: Güvenlik politikalarının dahil edilmesinin ve çalışanlara bilgi verilmesinin yanı sıra, bu politikaların ve uygulamaların verimliliğinin değerlendirilmesi gelecekteki güvenlik kararlarına rehberlik edebilir. Düzenli denetimler, oluşturulan politikaların sahada uygun şekilde uygulanıp uygulanmadığını ve istenen sonuçları ortaya çıkarmada yardımcı olup olmadıklarını anlamanın yollarından biri olabilir.
Microsoft Dijital Savunma Raporu 2022’ye göre, temel siber hijyen uygulamaları bile siber saldırıların %98’ini önlemeye yardımcı olabilir. Ancak, veri ihlallerinin çoğu bu temel güvenlik uygulamalarının ihmal edilmesinden kaynaklanır. Siber güvenliği kültürün bir parçası olarak benimsemek, yalnızca depolanmayan verileri korumakla kalmayıp aynı zamanda hiçbir amaca hizmet etmeyen verileri silerek kuruluşun güvenliğe bakış açısını değiştirebilir.