Günümüzün gelişen teknolojisinde internet, teknik bir gereklilik olmaktan çıkıp sosyal hayatımızın vazgeçilmezi, yaşamın ayrılmaz bir parçası haline geldi. İnsanlar günlerinin ortalama yarısını internette bir şeyi araştırarak/okuyarak/yazarak/fotoğraf veya video paylaşarak geçirmekte. Bununla beraber, hemen hemen bütün teknolojik cihazlar bir şekilde internete bağlanarak veri alışverişinde bulunurlar, bu durum da “Nesnelerin İnterneti” kavramının temelini oluşturmaktadır. Bu kavram hayatlarımızı kolaylaştırırken, bizi de kötü niyetli insanlara karşı çok daha savunmasız bırakmaktadır.
Siber güvenlik, kuruluşları ve bireyleri siber saldırılardan korumak için ağ mimarisi, yazılımı ve diğer teknolojilerin kullanılması anlamına gelir. Siber güvenlik, bir kuruluşun ağına ait olan veya ona bağlanan bilgi işlem varlıklarının verilerini ve bütünlüğünü korur. Amacı, bilgisayar ağlarına, uygulamalara, cihazlara ve verilere verilen zararı veya bunların kötü amaçlı şekilde kullanılmasını önlemek veya azaltmaktır. Siber güvenlik, günümüzde büyük şirketler tarafından çok talep görmektedir.
Siber Güvenlik Tehdidi Türleri
- Kötü amaçlı yazılım (malware); solucanlar, bilgisayar virüsleri, Truva atları ve casus yazılımlar gibi herhangi bir dosya veya programın bir bilgisayar kullanıcısına zarar vermek için kullanılacak her türlü yazılıma verilen isimdir.
- Fidye yazılımı saldırıları (ransomware); bir saldırganın, kurbanın bilgisayar sistem dosyalarını (genellikle şifreleme yoluyla) kilitlemesini ve şifresini çözmek ve kilidini açmak için bir ödeme talep etmesini içeren kötü amaçlı yazılım türüdür.
- Sosyal mühendislik; kurbandan elde edilen kişisel bilgilerini kullanarak eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik olarak kurbanın psikolojik manipülasyonudur.
- Kimlik avı, yemleme (phishing); resmi kaynaklardan gelen e-postalara benzeyen sahte e-postaların gönderildiği bir dolandırıcılık türüdür; bu e-postaların amacı, kredi kartı veya giriş bilgileri gibi hassas verileri çalmaktır.
Siber Güvenlik Tehditlerinden Korunmak için Öneriler
Şirketler, Kurumlar
2001 yılında kurulan, kar amacı gütmeyen Ulusal Siber Güvenlik İttifakı SafeOnline.org aracılığıyla, tüm iş uygulamalarında siber güvenlik yönetimine öncelik verme sorumluluğunun kurumsal yönetim tarafından yönetildiği, yukarıdan aşağıya (top-down approach) bir siber güvenlik yaklaşımı önermektedir. İttifak, şirketlerin “kaçınılmaz siber olaylara müdahale etmeye, normal operasyonları geri yüklemeye ve şirket varlıklarının ve şirketin itibarının korunmasını sağlamaya” hazırlıklı olmaları gerekmelerini tavsiye ediyor. İttifakın siber risk değerlendirmelerinin yürütülmesine ilişkin yönergeleri üç temel alana odaklanır: kuruluşunuzun koruma gerektiren en değerli bilgilerinizi tanımlama; bu bilginin karşılaştığı tehdit ve risklerin belirlenmesi ve bu verilerin kaybolması veya yanlış bir şekilde açığa çıkması durumunda kuruluşunuzun uğrayacağı zararı ana hatlarıyla belirtmek. Siber risk değerlendirmeleri, şirketinizin verileri toplama, saklama ve koruma şeklini etkileyen PCI-DSS, HIPAA, SOX, FISMA ve diğerleri gibi tüm düzenlemeleri de dikkate almalıdır.
Bir siber risk değerlendirmesinin ardından, siber riski azaltmak için bir plan geliştirin ve uygulayın, değerlendirmenizde ana hatları verilen “en önemli unsurları” koruyun ve güvenlik olaylarını etkili bir şekilde tespit edin ve bunlara müdahale edin. Bu plan, olgun bir siber güvenlik programı oluşturmak için gereken hem süreçleri hem de teknolojileri kapsamalıdır. Sürekli gelişen bir alan olan siber güvenlik en iyi uygulamaları, saldırganlar tarafından gerçekleştirilen ve giderek daha karmaşık hale gelen saldırılara uyum sağlayacak şekilde gelişmelidir. Sağlam siber güvenlik önlemlerini eğitimli ve güvenliğe önem veren bir çalışan tabanıyla birleştirmek, şirketinizin hassas verilerine erişmeye çalışan siber suçlulara karşı en iyi savunmayı sağlar. Göz korkutucu bir görev gibi görünse de, küçük başlayın ve en hassas verilerinize odaklanın, siber programınız olgunlaştıkça çabalarınızı ölçeklendirin.
Bireyler
- Bir e-postada kişisel veya finansal bilgileri açıklamayın ve bu bilgiler için e-posta taleplerine yanıt vermeyin.
- Hassas bilgileri çevrimiçi göndermeden önce, web sitesinin güvenliğini kontrol edin.
- Web sitesinin URL’sine dikkat edin. Kötü amaçlı web siteleri meşru bir siteyle aynı görünebilir, URL yazımın bir varyasyonunu veya farklı bir alan adını kullanabilir (ör. .com yerine .net).
- Bir e-posta talebinin yasal olup olmadığından emin değilseniz, doğrudan şirketle iletişime geçerek bunu doğrulamaya çalışın. Karşıdan gelen bir e-postada verilen bilgileri değil, hesap ekstresi verilen bilgileri kullanarak şirketle iletişime geçin.
- Temiz bir makine tutun. Kötü amaçlı yazılımların bulaşma riskini azaltmak için, bilgisayarlar, akıllı telefonlar ve tabletler dahil olmak üzere internete bağlı cihazlardaki tüm yazılımları güncel tutun.
