Editör’ün notu: Bu metni, işletmenizi siber güvenlik tehditlerinden nasıl koruyacağını bilmeyen çalışanlarınıza iletebilirsiniz.
Eğer ben sokağın karşısındaki simitçiye varıncaya kadar elimdeki telefon internete bağlanıp banka hesap dökümümü bana gösteremiyorsa, çıldırıyorum. Siz de öylesiniz değil mi? Mali durumumuza, seyahat bilgilerimize, dilediğimiz haberlere, tuttuğumuz takımın skorlarına, işletmelerimize, yani genel olarak hayatımıza erişebilmemizi sağlayan hizmetlere, her an her yerden ulaşabilmeyi istiyoruz. Bu kolaylığın da bir bedeli var elbet, bu bedelin ismi de risk. Ne kadar çok hizmet alırsanız ve ne kadar çok bilgi depolarsanız, bilgilerinizi korumak da o kadar zorlaşır. Bunun yanı sıra, güvenlik açığınızın olup olmadığını veya bir tehdit altında olup olmadığınızı anlamak da bir hayli zordur.
Tüm bunlara rağmen, internetin bize sunmuş olduğu yararların yanında, riskler devede kulak kalır. Peki öyleyse, ben neden yangına körükle gidip, bilgisayar kullanıcılarının kafayı güvenlik ile bozmalarına ve sonuç olarak düşünmeden hareket edip, kendilerini çaresiz hissetmelerine sebep olan, ABD’de Ulusal Standartlar ve Teknoloji Enstitüsü’nün “güvenlik yorgunluğu” olarak tanımladığı hastalığı tetikleyerek, siber güvenlik üzerine bir yazı yazıyorum?
İki sebebim var:
- Siber güvenlik riskini görmezden gelen küçük işletmelerin sayısını azaltmak.
- Siber güvenliğe önem veren ve buna yönelik yatırım yapan küçük işletmelerin sayısını arttırmak.
Lafı uzatmadan, sözü bu iş ile içli dışlı olan insanlara bırakacağım. Daha sonra hayatınıza ve işinize kaldığınız yerden devam edersiniz.
Tavsiye: Güvenlik uzmanı Troy Hunt, e-postanızı güvenlik açığı bulunan hesaplardan arındırmak için inanılmaz bir araç geliştirmiş. Kesinlikle tavsiye ederim: have i been pwned?
SentinelOne’da çalışan Jeremiah Grossman’dan siber güvenlik tavsiyeleri
“Sağlam bir yedekleme sistemine sahip olmak, olmazsa olmazlardan ve şahsen benim başımı bir çok kez dertten kurtardı” - Jeremiah Grossman, SentinelOne
Jeremiah Grossman, profesyonel bir hacker ve aynı zamanda WhiteHat Security’nin de kurucusu. Şu anda SentinelOne’da Güvenlik Stratejisi Şefi olarak çalışıyor. Küçük işletme sahiplerine vereceği en etkili siber güvenlik tavsiyelerine gelince:
“Çok faktörlü kimlik doğrulama (MFA veya 2FA). Çoğu sosyal ağ, web tabanlı e-posta sistemleri, ve finansal kurumlar müşterilerine çok faktörlü kimlik doğrulama seçeneği sunuyor. Yani, hesabınıza her giriş yaptığınızda, telefonunuza bir kod geliyor ve kimliğinizi doğrulayabilmek için tarayıcınıza bu kodu girmeniz gerekiyor. Bu sayede hacklenebilmeniz için karşı tarafın hem kullanıcı adınıza, hem şifrenize, HEM DE telefonunuza gelen mesajlara erişebilmesi gerekiyor. Bu sistem, bugün bir çok kişinin sık sık başına gelen şifre kaybetme durumlarında, sizin için fazladan bir koruma sağlıyor.
Dosyalarınızı yedekleyin.
Ne önlem alırsak alalım, gün gelir herkes hacklenir. Önemli olan bu başımıza geldiğinde, zararı en aza indirebilmek ve olabilecek en kısa zamanda ve en masrafsız şekilde yeniden ayağa kalkabilmek. Bu yüzden sağlam bir yedekleme sistemine sahip olmak olmazsa olmazlardan ve şahsen benim başımı dertten bir çok kez kurtardı.
Kurumsal e-posta sistemlerinin çoğunda, e-posta adresiniz kullanıcı adınız yerine geçer. Böylelikle, hesabınızı hacklemeye çalışanlara gün doğar, çünkü sizi hackleyebilmek için ihtiyaç duydukları bilgilerin yarısını almış olurlar. Benim bu konuyla başa çıkma yöntemime gelince; normalde seçeceğim kullanıcı adından çok parolayı andıran bir kullanıcı adı seçiyorum. Daha sonra insanların bana mesaj yollayabileceği ve gelen tüm e-postaların bana iletileceği başka bir e-posta adresi alıyorum ve gerçek kullanıcı adımı kimseyle paylaşmıyorum. Böylelikle, hesabımdaki ‘e-posta’ adresimi kullanarak şifremi tahmin etmeye çalışmak hiç bir işe yaramıyor, çünkü girmiş oldukları e-posta adresi aslında benim kullanıcı adım olmuyor.”
1Password çalışanı Jeffrey Goldberg’den siber güvenlik tavsiyeleri
“Sıradan insanların çevrimiçi güvenliklerini arttırabilmek için yapabilecekleri mantıklı ve kullanışlı şeyleri göz ardı etmemek gerekir. Eğer güvenliği ‘ya hep ya hiç’ olarak düşünürseniz, işin içinden çıkamazsınız ve “hiç” seçeneğini seçersiniz”- Jeffret Goldberg, 1Password
Jeffrey Goldberg, şifrelenmiş kullanıcı kimlik verilerini güvenli bir şekilde depolayan, geniş itibara sahip 1Password’da çalışıyor.
Kendisi, herkesin siber güvenlik risklerini azaltabilmek için önemler alabileceği görüşünde.
Jeffrey’e göre, “Bu üç şeye dikkat ederseniz, riskleri azaltabilirsiniz:
- Sistem ve yazılımlarınızı sürekli olarak güncelleyin.
- Yazılımlarınızı indirmek için daha güvenli online uygulama mağazaları (AppStore veya PlayStore gibi) tercih edin.
- Farklı sitelerde aynı şifreleri kullanmaktan kaçının. Etkili bir şifre yöneticisi, size bu konuda yardımcı olabilir.
Tabi alabileceğiniz önlemler bunlarla sınırlı değil. Belirtmiş olduklarım sadece kendi becerilerinize göre belirleyip, arttırabileceğiniz ve sonuç olarak size daha iyi bir güvenlik sağlayacak olan öneriler.”
SiteLock çalışanı Logan Kipp’ten siber güvenlik tavsiyeleri
“Küçük işletmelerinizde kullanacağınız hizmet ve uygulamalara gelince, kendinizi Jetgiller teknolojisi hayallerine çok da kaptırmayın…” Logan Kipp, Sitelock
İnternet sitesi güvenlik çözümlerinde dünyanın en önde gelen ve aynı zamanda GoDaddy iş ortağı olan Sitelock’un eski siber güvenlik analisti olan ve şimdi ürün pazarlamasından sorumlu Logan Kipp, küçük işletmeler için kolay kullanım ve güvenlik arasında sağlıklı bir denge kurmayı sağlıyor:
“Bulut teknolojisi, kolay erişilebilirliği ve rahat kullanımı sayesinde oldukça popüler, ancak günümüzde internet sitelerinin sık sık karşılaştığı güvenlik tehditleri ile dengelenmesi gerekiyor. Küçük işletmelerinizde kullanacağınız hizmet ve uygulamalara gelince, kendinizi Jetgiller teknolojisi hayallerine çok da kaptırmayın… Benim ‘Faraday Filtresi’ adını vermiş olduğum yöntem ile hayatınızı kolaylaştırmak adına açtığınız güvenlik zaaflarını bir değerlendirin.”
Küçük işletmelerin yanı sıra herkes için uygulama geliştirenlere tavsiyemiz ise, uygulamanız hemen piyasaya çıksın diye acele edip güvenliğinizden taviz vermemeniz olur. Logan’ın da dediği gibi:
“Fikirlerinizin hayata geçmesi ve sunacağınız hizmetin bir an önce pazara çıkması için çok heyecanlısınız biliyorum, fakat bugün üretim sırasında aceleci davranmanız, yarın müşterileriniz ile ilgili bir güvenlik açığına sebep olabilir. Uygulamanız test aşamasındayken yalnızca işlevsellik ve kullanılabilirlik değil, aynı zamanda güvenlik açıklarını engellemek için statik ve dinamik uygulama güvenlik testlerinini de uygulamalısınız.”
GoDaddy çalışanlarından Todd Redfoot'tan siber güvenlik tavsiyeleri
“Verilerinizi sürekli olarak yedekleyin; tavsiyem bu yedeklemeyi, şifremeleye izin veren güvenilir bir bulut-tabanlı hizmeti ile yapmanız olur.” - Todd Redfoot, GoDaddy
GoDaddy’nin Bilgi Güvenliği Başkanı Todd Redfoot; şirketimizin, müşterilerimizin ve müşterilerimizin müşterilerinin bilgilerini güvende tutmaktan sorumlu. Çoğu şeyi görmüş geçirmiş biri ve onun için önemli olan bilgilerinize sızılmış olması değil, sizin bu durumun farkında olup olmadığınız ve riski en aza indirebilmek için neler yaptığınız.
"Küçük işletmenizin yıllar boyu saklamış olduğu tüm muhasebe kayıtlarının birden erişilemez hale geldiğini ve size ait olan bu bilgilere geri erişim sağlayabilmeniz için, ücret ödemeniz gerektiğini belirten bir mesaj aldığınızı düşünün. Bilgisayarınıza, kötü amaçlı virüslerden “Fidye yazılımı” adını verdiğimiz virüs girince başınıza gelecek olan şey tam olarak bu. Bu saldırıda, hackerlar dosyalarınızı şifreliyor ve siz ücreti ödeyene kadar erişime kapatıyor. Bu yöntem günümüzde oldukça popüler çünkü ucuz, kolay ve şirket sahiplerinin, bilgilerine geri erişebilmek için onlara para ödemekten başka çareleri kalmadığından dolayı oldukça kazançlı.”
Tavsiyesi ne mi dersiniz?
“Verilerinizi sürekli olarak yedekleyin, tavsiyem bu yedeklemeyi, şifrelemeye izin veren güvenilir bir bulut-tabanlı hizmeti ile yapmanız olur. Genel bir kural olarak zaten bilgisayarınızı düzenli olarak yedeklemeniz gerekiyor. Son zamanlarda bilgilerini yedeklemiş olan bir kişi, verilerin geri yüklemesini yaparak bu gibi durumlarda para ödemek zorunda kalmadan, saldırıdan kazasız belasız kurtulabilir.”