2019 itibarıyla dijital cihaz yahut yazılım kullanılmadan yapılan iş kalmadı. Tıpkı devranda dijital yerküredeki zararlı yazılım sayısı 850 milyon adeti geçti ve bunların pek birden fazla şirketleri amaç alıyor. Pekala kurumları, siber akından uzak tutmak artık mümkün mü? ESET Türkiye Satış Yöneticisi Asım Akbal’a nazaran, bu kadar çok tehditle her şirketin dijital taarruza uğrayacağı kesin. Lakin tedbir alarak bunları püskürtmek mümkün. Akbal, siber sızıntı ve akınları önlemek için kurumların dikkat etmesi gereken 10 mevzuyu sıraladı.
Şirketleri 2019 yılında siber taarruzlardan uzak tutmanın yolları!
Tam yapılmış güncellemeler. Yazılım şirketleri nizamlı güncellemelerle hem yeniliklerini kullanıcılarına yansıtır hem de yazılımlarındaki güvenlik seviyesini yükseltir. Hackerlar ise siber atak yapmak için sistem açıklarını kollarlar. Bu nedenle birinci kural, maliyeti de olsa, yazılımları şimdiki tutmak, program yamalarını sistemli olarak yapmaktır.
Kurtarma değil müdafaa. Evet, sistemli olarak lisanslı ve şimdiki yazılım kullanmanın maliyeti var. Lakin sisteminize sızıntı olduktan, haberleriniz çalındıktan yahut datalarınız şifrelendikten sonra yaşadığınız iş kaybı ve yapacağınız pişmanlık dolu harcamanın maliyeti ne yazık ki daha yüksek olacaktır.
Güçlü şifreler. Sistemlerde zayıf şifreler kullanılmamalı, alfa numerik, karmaşık şifreler belirlenmeli, sık aralıklarla değiştirilmeli ve benzeri şifrelerin tekrar kullanılması engellenmelidir.
Yedekleme. Hangi kesimde olursa olsun, fidye saldırısı sonucu şirket olgularının ulaşılmaz hale gelmesi; itimat, itibar, malumat, iş ve para kaybı mealine gelir. Olabilecek her tıp siber sadırı yahut meydana gelebilecek her tıp fizikî felaket için şirket doneleri kesinlikle yedeklenmeli. Üstelik mümkünse farklı bir lokasyona kopyalanmalıdır.
Kurumlara yönelik uç nokta (Endpoint) güvenlik yazılımı. Bu yazılımlar, çok kullanıcılı sistemlere yönelik birden ziyade müdafaa katmanı sağlar. Başkaca merkezi bir idare konsolu üzerinden teftiş ve raporlama imkânı sunar. Örneğin ESET Endpoint Security yazılımları, ağ saldırısı muhafazası, davranışsal algılama (HIPS) yahut fidye yazılımı kalkanı üzere katmanlarla şirketleri hedefleyen karmaşık taarruzları köstekler.
Çift faktörlü müdafaa (2FA). Kurumun yapısı gereği şirket donelerine uzaktan erişim gerekiyorsa, kesinlikle çift kimlikli doğrulama sistemi kullanılmalıdır (Two-factor authentication). Tıpkı online banka girişlerinde olduğu üzere, sistem girişi için ilgili bireye telefon üzerinden 2. bir giriş şifresi iletilir. Sisteme lakin bu türlü giriş sağlanabilir. Kurumlara yönelik ESET Secure Authentication, done himayesi için tek dokunuşla mobil tabanlı kimlik müdafaa sunar.
Olgu Sızıntısı Tedbire Tahlili (DLP). Tehdit çok uzaktan değil, çok yakından da gelebilir. DLP yani Data Loss Prevention yazılımları, kurum içinden oluşabilecek olgu sızıntılarını engellemeye yöneliktir. Çalışanlar, kıymetli olguları şirket dışında bir oluşuma taşıyamaz. ESET’in DLP tahlili Safetica, data sızıntısı sonucu oluşacak maddi zararlardan ve itibar kaybından korur. Ayrıyeten şirket datalarını çalışanlara ilişkin cihazlara karşı da teftiş altında meblağ.
Mail Security ve Antispam tahlilleri. Kurumlara ulaşan virüslerin birçok, özelikle de fidye yazılımları, çalışanlara gelen e-posta ve spam bildiriler yoluyla ulaşır. Şirket sunucularına odaklanan Mail Security yazılımları, ek güvenlik katmanı sağlar. Gelişmiş antispam filtreleriyle zararlı bildiri ve eklentilerini kullanıcıya ulaşmadan durdurur. ESET Mail Security, potansiyel tehditleri bile ekstra bir güvenlik katmanı olan sandbox tahlilinde inceler.
Kurum içi güvenlik siyaseti. Herkes her belgeye ulaşamamalı. Şirket içinde bir güvenlik ve saklılık siyaseti oluşturulmalı. Erişim kuralları belirlenmeli, duyurulmalı. Güvenlikle ilgili çalışana yüklenecek rol ve sorumluluklar tanımlanmalı. Bunların anlaşılması sağlanmalı.
Eğitim kaide. Güvenlik konusunda belirlenen rol ve sorumluluklara ait çalışanlara kesinlikle haber ve eğitim verilmeli. Böylelikle kurum, günahlı tasarruf ve kurulumlara maruz kalmayacaktır.