Erzincan İl Emniyet Müdürlüğü özellikle kurumsal yapıları hedef alan siber saldırıları önlemek ve güvenlik kapasitesini arttırmaya yönelik doğru bir planlama yapabilmek için sızma testine dikkat çekti.
Erzincan İl Emniyet Müdürlüğü özellikle kurumsal yapıları hedef alan siber saldırıları önlemek ve güvenlik kapasitesini arttırmaya yönelik doğru bir planlama yapabilmek için sızma testine dikkat çekti. Sızma Testine ilişkin şu bilgilendirmelerde bulunuldu; “Sızma Testi (Pen Test), genellikle kurumsal yapıların siber güvenlik açıklarını belirlemek için gerçekleştirilen bir çalışmadır. Başka bir deyişle yerel ağ, internet gibi olası saldırı yüzeylerinde bulunabilecek güvenlik açıklarını veya bir yazılım uygulamasındaki zayıflıkları ve riskleri ortaya çıkaran ve sonuçları raporlayan testtir.
Sızma testi ile amaçlanan hususlar şunlardır; Kurum veya kuruluşların güvenlik politikalarını ve kontrol verimliliğini test etmek ve denetlemek. Kurumun güvenlik kapasitesi hakkında detaylı bir analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek. Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak. Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek. Olası saldırı ve sızma girişimlerini önlemek için alınabilecek bir plan sunmak. Mevcut yazılım-donanım veya ağ altyapısının sürüm/versiyon yükseltmeye ihtiyacı olup olmadığını belirlemek. Kötü niyetli kişilerin sisteme zarar vermesinin önüne geçmek.
Sızma Testi Çeşitleri; e-posta sunucusu, sosyal mühendislik, web uygulama, Network, Mobil, Dos/DDos, Wireless, fiziksel.”
Konuyla ilgili SİBERAY tarafından yapılan detaylı bilgilendirmede ise şu detaylara dikkat çekiliyor; “Sosyal Mühendislik Mağduru Olmayın. Sosyal mühendislik kavramı her şeyin sanal dünyayla eşleştiği günümüzden çok daha önce bir siber tehditti. Dünyanın en ünlü bilgisayar korsanlarından Kevin Mitnick’in sıklıkla kullandığı ve yaygınlaştırdığı bu yöntemle kandırılan kullanıcılar sistem giriş bilgileri dâhil olmak üzere pek çok bilgiyi gönüllü bir şekilde karşı tarafa iletebilmekte. Bu durum, kurumsal siber güvenliğin yalnızca sistem yöneticilerinden ibaret olmadığını, tüm şirket çalışanlarını kapsadığını da kanıtlıyor. Bu kapsamda çalışanlara yönelik farkındalık ve bilinçlendirme eğitimlerinin yanında iki faktörlü kimlik doğrulama teknikleri, güvenli kimlik doğrulama çözümleri gibi uygulamalar kurumunuzun veri sağlığını koruma açısından hayati önem taşıyor.
Pishing, yani Türkçe ifadeyle “oltalama” saldırıları da sosyal mühendislik araçlarından biri olarak karşımıza çıkıyor. Bu yöntemde, kullanıcılar kendilerine gelen bir e-posta içindeki linke ya da dosyaya tıklayarak mağdur haline gelebiliyor. Tıklamayı garanti almak adına cazip önerilerle (yüklü bir sipariş teklifi, meraklandırıcı bir mesaj, bankanızdan gelmiş gibi görünen kredi kartı aidatı iadesi vb.) hazırlanan bu mesajlar kimi zaman bankanızın internet şubesi girişinin kopyası sayfalara yönlendirerek tüm kişisel bilgilerinizle birlikte hesabınıza erişimi de ele geçirebiliyor. Güvenlik yazılımı üreticileri bunu önlemek için çeşitli araçlar sunuyor. Bireysel kullanıcılar için bu antivirüs yazılımı içine gömülmüş bir alt çözüm olurken, kurumsal kullanıcılar sunucu üzerinde bu mesajın engellenmesiyle mağdur olmaktan kurtulabiliyor. Bununla birlikte kullanıcıların özellikle bu tip cazip içerikli mesajlarda herhangi bir tıklama öncesi iki kez düşünmesi gerekiyor. Aksi takdirde hem mali hem de bilgi kaybetme riskleri ortaya çıkabiliyor.
Fidye Yazılımlarını Kapının Dışında Tutun. Bir dönem tüm dünyada kurumların en büyük siber saldırı problemi olarak karşımıza çıkan fidye yazılımları, en basit anlatımla sisteminizi kilitleyerek para ve fidye talep etme olarak ifade edilebilir. Farklı araştırmalara göre değişmekle birlikte 2021’de fidye yazılımları nedeniyle işletmelerin karşılaşacağı zararın 20 milyar USD’yi geçeceği öngörülüyor.
Fidye yazılımını bir e-posta üzerinden bilgisayarınıza yükleyen saldırganlar, yaptıkları değişiklikleri geri almak için bir ödeme talep eder. Bu değişiklikler verileri şifreleme, bilgilere erişimi engelleme gibi yöntemler olduğu için saldırıya uğrayan kullanıcılara ödeme dışında pek alternatif kalmayabiliyor. Saldırgan tarafından ulaşılmaz hale getirilen bilgilerin kritiklik seviyesi ne kadar yüksekse fidye miktarı da yükseliyor. Bununla birlikte ödemenin yapılmaması durumunda istenilen fidye miktarı da artıyor. Zararlı fidye yazılımları e-posta haricinde sistemlerdeki çeşitli açıklardan da faydalanıyor. Bunu önlemenin yolu ise bilinçli kullanımın yanında güncel yazılım kullanımı ve zafiyet yönetimi ile gelen tarama ve açık tespitinden geçiyor.
Mobil Cihaz Erişimini Kontrol Altına Alın. Mobil cihazlar uzun süredir kurumsal sistemlere entegre. Hem akıllı telefonlar hem de tabletler iş süreçlerinin ayrılmaz bir parçası haline geldi. Bununla birlikte bu cihazların sisteme erişimlerini belirli yetkilendirmelerle kısıtlamak bir mecburiyet haline geldi. Cihazların kaybolma ve çalınma risklerine karşı getirilecek erişim sınırlandırmaları bu cihazların veri hırsızlığı başta olmak üzere getirdiği çeşitli siber risklerin önüne geçebiliyor.
Fikri Mülkiyet Hırsızlarını Yaklaştırmayın. Fikri mülkiyet ve patent bir şirketin gelişimi ve büyümesi için son derece önemli. Başta Ar-Ge çalışması yapanlar olmak üzere hemen her şirketin kurum dışına açılmaması gereken verileri bulunuyor. Bu verilerin rakip şirketlerce ya da veri hırsızlarınca ele geçirilmesi kimi zaman yıllarca süren çalışmaların boşa gitmesine neden olabiliyor. Ağ üzerinde kritik verilerin korunmasına yönelik önlemlerle bu riskin önüne geçilebilirken daha sonra karşılaşılabilecek farklı tipteki saldırılara karşı da bir kalkan yerleştirilebiliyor.
KVKK Cezalarıyla Karşılaşmayın. KVKK, yani Kişisel Verilerin Korunması Kanunu işletmelere pek çok yasal zorunluluk getirdi. Kullanım için müşterilerin onayını almak başta olmak üzere çeşitli zorunlulukları içeren bu kanun, verilerin izin verilen konular dışında kullanılması durumunda ciddi mali yaptırımları da içeriyor. KVKK bu kapsamda verilerin korunmasına dair işlemler için bir veri sorumlusu talep ediyor. “Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.” İfadeleriyle tanımlanan veri sorumlusu, veri hırsızlığı sonrasında yalnızca cezai yaptırımlarla karşılaşmıyor aynı zamanda kurumsal itibar da zedeleniyor.
Tüm bu sebeplerden dolayı kurumların sistemlerini bilgi hırsızlığına karşı yüksek güvenlik önlemleriyle koruması gerekiyor. KVKK uyumluluğu olarak da tanımlanan bu işlemlerde yasanın getirdiği kriterler doğrultusunda bir siber güvenlik politikası uygulanması gerekiyor.
Parolalarınızı Koruyun. Kurum içi bilgi güvenliği farkındalığı ile karşılanabilecek olan parola güvenliği yalnızca bilgi işlem bölümünü değil tüm çalışanları ilgilendiren bir durum. Geçmişte de pek çok kez karşılaşılan bu yöntem veri hırsızlarının öncelikli yöntemleri arasında yer alıyor. E-posta hesabının parolasını çaldırmaktan, bir taşınabilir belleği kaybetmeye kadar çok sayıda riskle tanımlanabilecek bu durum, kurumların bilgi güvenliğine ciddi zararlar verebiliyor.
Yazılımlarınızın Güncel Sürümlere Sahip Olduğundan Emin Olun. Kurum içi kullanılan yazılımların güncel sürümlere sahip olması bir diğer dikkat edilmesi gereken konu. Güncelleme gelse dahi uygulanmaması durumunda o güncelleme ile gelen güvenlik açıkları kapatılamamış oluyor.
Ağ Güvenliği Standartlarınızı Yükseltin. Bulut ortamında işleyen yeni düzende buna uygun çözümler gerekiyor. Örneğin Yeni nesil Ağ Erişim Kontrolü (NAC) gibi çözümler, ağ genelinde gerçekleşen tüm erişimleri denetliyor ve kayıt altına alıyor. Bulutta tutulan içeriğe erişim kontrol altına alınırken, uygulamaları güncel olmayan, güvenlik sertifikaları eksik ya da bulunmayan cihazlar ve yetkisiz kişiler Ethernet kablosu ya da Wi-Fi parolası ile ağa erişim sağlayamıyor.
Zaafiyet Yönetimi ile Riskleri Azaltın. Sisteminizin güvenlik risklerini ortaya çıkaran Zafiyet Yönetimi uygulamaları, karşılaşılabilecek risklerin daha başında önüne geçilmesini sağlıyor. Mevcut sistem mimarisinin analizi, sızma testleri, risk modellemesi, önceliklerin belirlenmesi ve eylem planının oluşturulması gibi aşamaları içeren Zafiyet Yönetimi uygulamaları, mevcut tabloyu göstermesinin yanında ileriye yönelik ne gibi siber güvenlik önlemleri alınması gerektiğini de ortaya koyuyor.
Verilerinizi Yedeklemeyi İhmal Etmeyin. Veri yedekleme elbette yalnızca doğal afetlerle ilgili bir konu değil. Sistem genelinde yaşanabilecek bir arıza, verilerin çalınması, verilerin yeniden yüklenmesini gerektiren tüm konularda veri yedekleme kritik bir değere sahip. Daha kapsamlı bir çözüm için elbette bu yedeklemenin fiziksel harici disklerden ziyade profesyonel yedekleme yazılımlarıyla yapılması gerekiyor. Bu tip çözümler, acil durumlarda hızlı geri dönüşe olanak tanırken, fiziki harici disklerin kaybolması ya da çalınması gibi riskleri de ortadan kaldırıyor.
Yedekleme yaparken belirli noktalara dikkat edilmesi ulaşılacak faydayı yükseltebiliyor. Örneğin yedeklemenin mevcut sistemden izole bir yere yapılması, fidye yazılımı gibi saldırılarda, bu saldırıların etkisinin en aza indirilmesi, fidye ödemeye gerek kalmadan normal sürece dönebilmeye yardımcı oluyor. Böylece ilgili kurum hem mali açıdan bir zarara uğramıyor hem de iş süreçlerinin kesintisiz bir şekilde sürmesinin yolunu açıyor.
7/24 İzleme ve Korunma Çözümlerinden Faydalanın. Siber güvenlikle ilgili olaylar günün herhangi bir saati gerçekleşebiliyor. Bu nedenle sistemlerin 7/24 izlenmesini sağlayan çözümlerin tercih edilmesi gerekiyor. Bu tip çözümler, mesai saatleri dışında da siber güvenlik ihlallerine otomatik olarak müdahale ederek üst düzey bilgi ve veri güvenliği sağlıyor.
Doğal Afetlere Hazırlıklı Olun. Deprem vb. doğal afetler işletmelerin iş akışını doğrudan etkileyen, kimi zaman tamamen durduran konular. Böyle bir durumda verilerin otomatik olarak yedeklenmesi iş akışının devamı ve bilgilerin kaybolmaması için hayati önem taşıyor. Veri yedekleme çözümlerinin ön planda olduğu bu çözüm, hızlı ve kesintisiz yedeklemeyle işletmenizin her an faaliyetini sürdürebilmesine olanak tanıyor.
Uzaktan Çalışırken Gerekli Güvenlik Önlemlerini Aldığınızdan Emin Olun. COVID-19 sonrası pek çok işletme çalışanlarına uzaktan çalışma olanağı tanıdı. Bu yöntem sağlık açısından riskleri ortadan kaldırmakla birlikte sistemlerinize erişen sayısını artırdığı için çeşitli siber riskleri de doğuruyor. Bu riskleri ortadan kaldırmak için uzaktan erişim bağlantısını bir VPN üzerinden gerçekleştirmek ilk akla gelen ve uygulanması gereken bir yöntem.
Diğer yandan uzaktan erişim ile sisteminize bağlanacak kullanıcılara sadece görevlerine uygun olarak sınırlandırılmış erişim izinleri vermeli, özellikle CRM ve ERP gibi kritik verilere yetkili isimler dışında erişimi engellemelisiniz.”