Kaspersky Çalışan Sıhhati 2021 raporu, kuruluşların nizamlı olarak çalışan data sızıntısı ile karşı karşıya olduğunu, fakat bunların neredeyse yarısının (45) bu olayları kamuya açıklamamayı tercih ettiğini ortaya koyuyor. Türkiye’de ise bu oran 19 ile nispeten epeyce düşük kalıyor. İşletmelerin sırf 44’ü BT güvenliği eğitimi sunduğundan, işçi kendilerini korumak için temel siber güvenlik bilgisinden mahrum kalabiliyor.

Başarılı bir kurumsal siber savunma, her seviyedeki çalışan güçlerini birleştirmeden mümkün olamayacak bir kavram. Teknoloji siber hücumları önlemek için kıymetli olsa da, olayların 85’inde insan faktörleri hala çok değerli bir rol oynuyor. Kaspersky’nin BT karar vericilere yönelik global anketi, kuruluşların ve çalışanların bu bahiste ne iş birliğine ne kadar hazır olduğuna ve kendilerini, müşterilerini ve birbirlerini ne kadar düzgün koruduğuna ait bilgiler sağlıyor.

Müşteri bilgilerinin çalınmasıyla alakalı yüksek profilli bilgi ihlali olaylarına karşın, çalışanların ferdî bilgileri siber hatalılar ortasında da epeyce tanınan. 2021’de kuruluşların üçte birinden fazlası (35) çalışanlarının bilgilerinin tam güvenliğini sağlayamadı ve bu çeşit bilgileri içeren olaylarla karşılaştı. Türkiye’de bu oran 42 oldu.

Etkilenen kuruluşların 45’inin şahsî çalışan datalarının ihlalini kamuya açıklamaması, sorunun göründüğünden daha büyük olduğunun bir işareti (Türkiye için bu oran 19 ile global ortalamanın oldukça ilerisinde). Geri kalanların 43’ü olayla ilgili bilgileri proaktif olarak paylaşırken (Türkiye’de 69), 12’si bunu medyaya sızdırıldıktan sonra yaptı (Türkiye’de oran aynı). Bu, kurumsal yahut müşteri data ihlallerine kıyasla bu tıp sızıntının en az ifşa edilen sızıntı çeşidi olduğunu gösteriyor.

Kaspersky Kurumsal İşlerden Sorumlu Genel Müdür Yardımcısı Evgeniya Naumova, sonuçları şöyle yorumluyor: “Bir kuruluş siber olayla karşı karşıya kaldığında hakikat kriz irtibatı, müdahale ve kurtarma hareketleri kadar kıymetlidir. Data ihlali riski her vakit vardır ve işletmeler bunu proaktif olarak açıklamanın basında ifşa etmekten daha yeterli olduğunu kabul etmelidir. Uygun, yanlışsız ve vaktinde irtibat sırf potansiyel prestij ziyanını en aza indirmekle kalmaz, birebir vakitte direkt finansal kayıpları da büyük ölçüde azaltabilir. Panik yahut karışıklığı önlemek için bir şirketin net bir kriz planı geliştirmeyi düşünmesi ve çalışanları evvelce eğitmesi gerekir. Kurumsal irtibat uzmanları ve BT güvenlik takımları, siber güvenlik içgörüleri hakkında bilgi alışverişinde bulunmak ve acil bir durumda hem iç hem de dış irtibatları yanlışsız bir formda ele almaya yardımcı olabilecek kılavuzları, araçları, kanalları ve lisanı belirlemek için iş birliği yapmalıdır.”

Potansiyel siber güvenlik olayları hakkında harici bilgi eksikliği ekseriyetle dahili uğraşlarla azaltılamaz. Araştırmaya nazaran, kuruluşların sırf 44’ü, çalışanlara değerli bilgiler verilmesini sağlamak için güvenlik eğitimi ve öğretimi uygulamış. Ayrıyeten bu şirketlerin yarısından fazlası (64) bu hizmetlerin kalitesiyle ilgili en az bir problemle karşılaştığını söz ediyor. Bu, kursların karmaşasından doğan memnuniyetsizliği ve eğitimleri sunanların dayanak yahut uzmanlık konusundaki eksikliğini içeriyor.

Koruyucu tedbirlerin değeri hakkında temel bilgiler verilmeyen çalışanların kurallara uyması doğal olarak beklenemez. 2021’de BT güvenliği kelam konusu olduğunda, işçinin uyumluluğu ve yetersiz son kullanıcı güvenlik kültürüyle uğraşmak işletmeler açısından en büyük üç kaygıdan biri oldu. Ankete katılanların 42’si bunu en tasa verici bahisler ortasında belirtti. Şirketler sistemli olarak bilgi güvenliği ihlalleri (41), uygunsuz BT kaynağı kullanımı (42) ve taşınabilir aygıtlar aracılığıyla bilgilerin uygunsuz paylaşımı (38) durumuyla karşı karşıya kaldıklarını tabir etti. Türkiye’de bu oranlar sırasıyla 49, 51 ve 46 oldu.

İhlallerin önlenmesi, kurumsal sistemlerle etkileşime giren saldırganlar için potansiyel bir maksat olabilecek herkesin birlikte hareket etmesini gerektiriyor. Çalışanların güvenliğini güçlendirmek için şirketler, emniyetli gözetici tedbirleri grupları ortasındaki güvenlik şuuruyla bir ortaya getirmelidir. Bunun için şu adımları uygulamak gerekir:

• Saldırganların sisteme sızmasını önlemek için yazılımın süratli bir halde yamalanmasını ve güncellenmesini sağlayın.
• Hassas datalar için yüksek dereceli şifreleme uygulayarak güçlü kimlik bilgileri eşliğinde çok faktörlü kimlik doğrulamayı mecburî kılın.
• Erişim teşebbüslerini engellemek için tehdit algılama ve cevap yetenekleriyle tesirli uç nokta korumasını ve verimli taarruz araştırması ve uzman cevabı için yönetilen müdafaa hizmetlerini kullanın.
• Önemli datalara erişimi olan kişi sayısını en aza indirin. İhlaller, çok sayıda çalışanın zımnî ve kıymetli bilgilerle çalıştığı kuruluşlarda meydana gelme mümkünlüğü daha yüksektir.
• Çalışanlarınızı gereksinim duydukları siber güvenlik marifetleriyle donatın. Gerekli ve şimdiki tüm bilgileri ilgi alımlı bir formatta sunan eğitimleri tercih edin. Vakitten tasarruf etmek ve kaliteli bir hizmet almak için şirketler, verimli bir öğrenme süreci sağlayabilecek, dünya çapında tanınmış hizmet ve eğitim sağlayıcılarla çalışmalıdır.

Kaynak: (BHA) – Beyaz Haber Ajansı