Koronavirüs’ün yayılması ve sokağa çıkma yasaklarıyla birlikte iş süreçlerimiz, dijital platformlar üzerinde yoğunlaşmaya başladı. Uzaktan çalışmanın arttığı ve yaygınlaşmaya devam ettiği salgın günlerinde siber saldırganların da sistemlerimize ve değerli olan verilere ulaşmak için çok daha etkin bir şekilde saldırılar yaptığını görmekteyiz. Uzaktan çalışma için birçok model bulunuyor ancak bu modelleri hayatımıza geçirirken güvenlik önlemlerini almak ve iş süreçlerimizin siber saldırganlar tarafından ihlal edilmemesi için özel olarak çaba sarf etmek durumundayız.
Evet, tüm dünyada etkisini gösteren koronavirüs salgınına karşı tedbirler alınırken, kurum çalışanlarının güvenliğini ve kurum bilgilerinin gizliliğini de düşünmek ve özel tedbirler almak durumundayız.
Uzaktan çalışma ve webinar gibi birçok alanda karşımıza gelen uygulamaların geniş bir kitleye ulaşmaya başladığı andan itibaren, siber saldırganların popüler olan bu uygulamaları hedefleyerek birçok kurumun bilgilerini çaldıklarını ve Zoom gibi bu popüler olan bu uygulamalar üzerindeki zafiyetlerin internetin karanlık dünyasında satılmaya başlamasını bu duruma örnek olarak gösterebiliriz.
Birçoğumuzun alışkın olmadığı ancak yıllardan beri kullanılan bu yeni çalışma düzeninde siber saldırılarla çok daha fazla yüzleşmeye başladık. Benzeri bir durumu da phishing saldırılarında görüldüğünün altını çizmek istiyoruz. Gönderilen e-posta ve online toplantı isteklerinin sayısının artmasıyla phishing ve zararlı yazılım bulaştırmaya yönelik gönderilen isteklerin sayısı da artış göstermektedir.
Kurum çalışanlarının uzaktan çalışırken kendi cihazlarını kullanması ve bu cihazların şirket güvenlik politikalarından muaf olması ise yapılan saldırının etkisini katbekat artırmaktadır.
Çalışanların koronavirüsü tedavi ettiği iddia edilen bir ilaç reklamına (oltalama saldırısı) tıklaması veya hastalıkla ilgili güncel bilgilerin sunulduğu sahte bir yazılımı bilgisayarlarına yüklemesi, bu bilgisayarın şirket işleri için de kullanıldığı düşünüldüğünde şirketler için büyük güvenlik riskleri ortaya çıkarmaktadır.
Güvenli Uzaktan Çalışma Yöntemleri
Kurumların ağ yapısında ortaya çıkan hatalar, VPN konfigürasyonlarında yapılan değişiklikler veya uzaktan çalışılırken ortaya çıkan hatalar siber saldırının daha efektif olmasına sebep olabiliyor. Bu noktada aşağıdaki gibi sizler için derlediğimiz güvenlik önlemleri, yaşanacak bir güvenlik krizinin önüne geçebilmek ve savunmanızı güçlendirmek için güvenliğinizi üst düzeyde tutacak olan unsurlardır.
Uzaktan Çalışma İçin IT Altyapısının Değerlendirilmesi
- Uzaktan çalışılan bilgisayarlarda şirket güvenlik politikalarının uygulanması ve kullanıcıların çalışmalarını şahsi cihazlar yerine şirket bilgisayarlarından gerçekleştirildiğinden emin olunmalı.
- Kullanılan yazılımların bilgisi şirket dışı kimselerle paylaşılmamalı ve şirket politikalarının ön gördüğü şekilde kullanılmalıdır.
- Şirket içi servislerin kullanılması gerekliliği durumunda uzaktan çalışan kullanıcının şirket ağına bağlantısı iki faktörlü doğrulama (2FA) ile VPN üzerinden gerçekleştirilmelidir.
- Çalışanlarının kurum ağına bağlantısı ve tüm uygulamalar mutlaka kayıt altına alınmalıdır.
- Şirket içinde kullanılacak bir sunucuyu veya servisi sadece o işle ilgili yetkili kullanıcılar kullanabilmeli ve segmentasyon sağlanarak başka kullanıcıların bu sunuculara ve servislere erişimi engellenmelidir.
- Çalışan sayısının çok olduğu yapılarda uzaktan bağlantı kapasiteleri sürekli olarak kontrol edilmelidir. Yüzlerce çalışanın aynı anda bağlanması ağ üzerindeki yükü artırır ve servis kesintisine sebep olabilir.
- Çalışanların mümkünse ip adresleri beyaz listelere alınmalı farklı ip adreslerinden erişimlerin yasaklanması gereklidir.
Güvenli Uygulamaların ve Cihazların Kullanılması
- Uzaktan çalışacak tüm kullanıcılar için işletim sisteminin ve kullanılan yazılımların istisnasız olarak güncellenmesi yapılarak her cihazda Endpoint Security yazılımının bulunduğundan emin olunmalıdır.
- Kullanıcı bilgisayarındaki yazılımların lisanslı olduğundan emin olunmalı ve illegal (crack’li) yazılımların kullanılmaması noktasında kullanıcılar bilgilendirilmelidir.
- Kullanıcı bilgisayarlarının fiziksel güvenliğini sağlayabilmek için bilgisayar disklerinin ve USB sürücülerinin şifrelenmiş olduğundan emin olunmalıdır.
- Verilerin dışarı sızmasını önlemek için DLP yazılımları kullanılmalıdır.
- Kullanıcılara uzaktan destek olunması gerektiği durumlarda, destek sadece güvenli protokoller üzerinden işlemler gerçekleştirilmelidir.
- Halka açık Wifi ağlarından uzak durulması ve güvensiz olarak nitelendirilen paylaşımlı bilgisayarlardan kurum ağına erişim yasaklanmalıdır.
- Kurum güvenlik cihazlarındaki kurallar sıkılaştırılmalı ve yetkisiz erişimlere karşı özel alarmlarla desteklenmelidir.
Çalışanlara Güvenlik Farkındalığının Verilmesi
- Uzaktan çalışmalarda kullanılan yazılımların özellikleri ve güvenli kullanımı ile ilgili çalışanlar eğitilmeli ve uzaktan destek verilmelidir.
- Şifresiz Wifi cihazlarındaki güvenlik riskleri anlatılmalı ve sıkılaştırmalar yapılarak kurum iletişiminde kullanılan internet ağının başkaları ile paylaşılmaması gerektiği hatırlatılmalıdır.
- Phishing amaçlı gönderilen e-postalara ve zararlı yazılım indirtmek için gönderilen sahte linklere karşı çalışanların nasıl korunmaları gerektiği anlatılmalıdır.
- Bilgi güvenliği farkındalığı konusunda düzenli olarak bilgilendirmeler yapılmalı ve sosyal mühendislik testleri ile hazırlanan senaryolarla çalışanlar test edilmelidir.
- Düzenli olarak kurum içi haberler iletilmeli ve çalışanlar için ortaya çıkan güvenlik açıklıkları ile ilgili bilgilendirmeler yapılmalıdır.
- Basit parola kullanımına karşı kurum güvenlik politikalarına uyulması gerektiği hatırlatılmalıdır.
Bu ve benzeri birçok önlem kurum ağının temiz tutulmasını sağlayarak siber saldırganlara karşı savunmanızı güçlü kılacaktır. Kurum güvenlik politikalarına uyulmadığı takdirde evden çalışan kullanıcıların siber saldırganlar için büyük bir risk altında olacağını unutmamalıyız.
Kurum çalışanlarının bilgi güvenliği farkındalıklarının ölçümlenmesi, kurum ağına siber saldırgan gözüyle testler yaparak güvenliğinizin denetlenmesi için Sosyal Mühendislik (APT) Testleri ve Bilgi Güvenliği Farkındalık hizmetlerimizden faydalanabilirsiniz.