“Türkiye’de çalışanların gözünden kurumsal hayatın siber güvenlik karnesi” araştırması DORinsight tarafından 18 yaş üstü 961 kişi ile görüşülerek gerçekleştirildi. Online anket yöntemi ile gerçekleştirilen araştırma katılımcılarının yüzde 36’sı kadın. Yüzde 65’i AB ve yüzde 35’i C1C2 SES grubundan olan katılımcıların yüzde 37’si İstanbul’da, yüzde 15’i Ankara’da, yüzde 9’u İzmir’de ve kalanı diğer illerde yaşıyor. Araştırmanın katılımcı profiline kısaca değindikten sonra gelelim araştırmanın detaylarına.
Siber tehditlerden korunma konusunda ilk akla gelen önlemlerin başında antivirüs programları geliyor. Araştırmaya göre her 10 katılımcıdan 7’si şu an kullandığı kişisel bilgisayarında, iş bilgisayarında ve akıllı telefonlarında antivirüs programı kullandığını belirtti. Bununla birlikte tüm katılımcıların hem kişisel hem de iş bilgisayarlarında kullandıkları ilk üç program değişmiyor ve şöyle sıralanıyor: Antivirüs, güvenlik duvarı ve VPN. Akıllı telefonlarda ise ikinci sırada parola saklama uygulamaları geliyor.
Uzaktan çalışma ve güvenlik
Birçok sektör ve işletmenin pandemi ile çalıştığı uzaktan çalışmanın bugün birtakım hibrit modeller ile iş dünyasında kalıcı olmaya başladığı aşikar. Uzaktan çalışma hayatı birçok açıdan kolaylaştırsa da güvenlik açısında getirdiği güvenlik açıkları hiç de hafife alınabilir cinsten değil. Uzaktan çalışmanın getirdiği en önemli risklerin başında oturum açmak için kullanılan cihazın uygun şekilde korunup korunmadığını bilememek var. Bu önemli bir detay, çünkü söz konusu cihazın bireysel kullanıcısına güveniyor ve kimliğini doğrulayabiliyor olsanız bile, cihazın kendisinin yeterince korunup korunmadığını bilemezsiniz
Çalışanların gözünden kurumsal hayatın siber güvenlik karnesi araştırmasına göre uzaktan çalışan katılımcıların yüzde 48’i kişisel bilgisayarlarını kullanıyorlar. İş amaçlı kişisel bilgisayarını kullanan kişilerin yüzde 48’i sıklıkla iş programlarını, yüzde 33’ü bazen iş programlarını kullandıklarını ifade etti. Evden çalışanların iş ağlarına kişisel bilgisayarları üzerinden erişmeleri ev temelli bağlantı ve güvenlik saldırılarının artmasına neden oluyor. Çünkü bir cihazı şirket ağından bir kez çıkarıp yeni sabit ve WiFi ağlarına bağladığınızda, riskler artıyor ve kapsamı genişliyor. Siber risklerin, evlerin oturma odasındaki dijital altyapıların odağında evirildiği gerçeği karşısında işletmelerin özellikle uzaktan çalışanlarının kişisel ya da iş bilgisayarlarından güvenlik önlemlerini artırmaları gerekiyor. Araştırmaya göre ise uzaktan çalışan katılımcıların yüzde 67’si çalıştıkları firmanın bilgisayarlarına ek güvenlik önlemi aldıklarını belirtti.
Siber güvenlik konusunda bireysel farkındalık
Günümüzde birçok kurum, siber güvenlik konusunda işin teknik yönüne odaklanırken, insan faktörünü gözden kaçırabiliyor. Pandemi sonrası hibrit çalışmanın yaygınlaşması ile iş için kişisel cihazların kullanımının artmasıyla, zararlı yazılımların kurumsal ağa bulaşmasını önleyebilmek için tüm bireysel cihazların da kurumsal güvenlik prosedürlerine uygun bir şekilde ayarlanmasında fayda var. Kullanıcı erişim haklarının ise yeniden gözden geçirilmesi gerekiyor. Tüm bunların doğru bir şekilde işleyebilmesi için bireysel farkındalığın sağlanması şart. Bu noktada çalışanlara temel siber güvenlik eğitimi vermek, fidye yazılımları, oltalama saldırıları gibi ciddi sonuçlar doğurabilecek siber tehlikelere karşı güvenliği artıracaktır. Peki çalışanların siber güvenlik konusunda bireysel farkındalığı ne durumda?
Araştırmaya göre her 10 katılımcıdan 5’i kişisel olarak siber güvenlik bilgi düzeylerini orta seviyede bulduklarını, çalıştıkları kurumların siber güvenlik yaklaşımlarını ise yüksek bulduklarını belirtti. Katılımcıların yarısı çalıştıkları kurumun siber güvenlik farkındalığı eğitimi aldığını, yüzde 24’ü eğitim almadıklarını fakat şirketlerinin bu eğitimi vermeyi planladıklarını, yüzde 26’sı ise şirketlerinin böyle bir eğitim vermeyi planlamadıklarını dile getirdi.
Araştırmaya göre katılımcıların yüzde 42’sinin çalıştıkları şirketin daha önce bir siber saldırı ya da tehditle karşı karşıya kalmadığı, yüzde 31’i kaldığı, yüzde 27’si ise bilmediğini görüyoruz. Katılımcıların yüzde 66’sı siber güvenlik konusundaki gelişmeleri takip ettiğini, yüzde 95’i ise siber güvenlik konusunda daha fazla önlem almaları gerektiğini düşünüyor.
Siber güvenlik konusunda gelişmeleri takip eden her 10 katılımcıdan 6’sı siber güvenlik önlemleri almanın cihaz kullanımını zorlaştığını düşünüyor. Katılımcıların yüzde 55’i siber güvenlik yazılımlarını yeterli bulduğunu, yüzde 80’i ise siber güvenlik yazılımlarının sistem performansını etkilediğini belirtti.
Online bankacılık uygulamaları güvensiz hissettiriyor
Katılımcıların yaklaşık yarısı siber güvenlik yazılımlarının verdiği uyarılardan memnun olduklarını, yüzde 27’si daha fazla uyarı olabileceğini, yüzde 23’ü daha az uyarı olabileceğini düşünüyor. Katılımcıların yüzde 47’s, siber güvenlik yazılımlarının koruma özelliklerinin, yüzde 31’i sistem performansının, yüzde19’u kullanıcı ara yüzünün, yüzde 3’ü uyarı miktarının gelişmesini istiyor. Katılımcıların yüzde 40’ı online bankacılığı kullanırken kendilerini güvensiz hissediyor.
Çalışanlar parola seçimlerde bilinçli davranıyor
Katılımcıların yüzde 35’i şifresiz kablosuz ağlara bağlandıklarını belirtirken, bağlanmadıklarını belirtti. Yüzde 29’u ise önlem alarak bağlandıklarını söyledi. Katılımcıların yarısı bazı uygulamalarda güçlü parola kullanıyor, yaklaşık yarısı ise tüm uygulamalarda güçlü parolaları tercih ediyor. Katılımcıların yarısından fazlası (yüzde 63) birden fazla uygulama/site için aynı parolayı kullanıyor. Katılımcıların yarısından fazlası (yüzde 66) parolalarında kendisiyle ilgili bilgi kullanıyor.
Siber güvenlik ulusal bir önem taşıyor
Kullanıcıların bireysel olarak siber güvenlik konusunda aldıkları önlemler konusunda parola seçimi konuya olan bakış açıları da önemli. Buna göre katılımcıların yüzde 91’ine göre siber güvenlik ulusal bir önem taşıyor. Güvenlik açısından bir diğer önemli konu cihaz güncellemeleri. Katılımcıların çoğu (yüzde 98) cihazlarında düzenli güncelleme yaptığını belirtti.
Popüler saldırı türleri konusunda çalışanlar ne kadar bilgi sahibi?
Çalışanların en popüler siber güvenlik riskleri konusunda bilgi ve donanımı işletmelerin karşı güvenlik krizlerinde alacağı aksiyonlarda son derece belirleyici bir diğer konu. Araştırmaya göre katılımcıların yüzde 70’i gönderen kişiden emin olmadıkları bir e-posta aldıklarında e-postayı açmadığını belirtirken, yüzde 57’si daha önce kişisel verilerinin çalınmadığını düşündüğünü ifade etti. Katılımcıların yüzde 66’sı ise daha önce cihazlarına virüs, trojan vb. zararlı yazılım girdiğini belirtti.
Çalışanlar saldırılardan korunmak için ne gibi önlemler alıyor?
Katılımcıların yüzde 95’i cihazlarına giren bir yazılım nedeniyle cihazlarının zara gördüğünü dile getirdi. Yüzde 49’u ise uygulamaların kamera, konum erişimlerini uygulama sorduğunda kontrol ettiklerini, yüzde 38’i düzenli olarak bunu yaptıklarını, yüzde 13’ü ise kontrol etmediğini belirtti. Katılımcıların yarısı uygulama ve yazılımların gizlilik sözleşmelerini okuduklarını, yüzde 33’ü, dikkatli okumadığını, yüzde 12’si ise okumadan onayladığını söyledi.
Siber güvenlik şirketler için ne ifade ediyor?
Kurumsal dünyada pandemi sonra güvenlik teknolojilerine ilgi artsa da ayrılan bütçeler küçük ve orta ölçekli işletmelerde nispeten sınırlı oluyor. Hatta bazı şirketler güvenlik konusunda hala gündeme bile almış değil. Araştırma göre katılımcıların yüzde 40’ı geçtiğimiz 1,5 yıl içinde herhangi bir şirket toplantısında siber güvenlik konusunun gündeme gelmediğini söyledi.
Bununla birlikte katılımcıların yüzde 64’ü siber riskler ve bu risklere yönelik alınan siber güvenlik önlemlerinin genel olarak şirketlerinde önemsendiğini söyledi. Yüzde 58’inin siber güvenliklerle bilgi teknolojileri birimlerinin ilgilendiğini belirtti. Şirketlerde ayrı bir siber güvenlik ekibinin olmaması (yüzde 41), çalışanların siber güvenlik konusuna odaklanmaya zaman ayıramaması (yüzde 40) ve çalışanlara bilgi güvenliği konusunda eğitim verilmemesi (yüzde 34) siber risk yönetimi açısından yaşanılan başlıca en büyük zorluklar olarak araştırmada karşımıza geliyor.
Çalışanlar şirketlerine ne kadar güveniyor?
En kritik sorulardan biri bu. Çünkü çalışan ile işveren arasında güven ortamı inşa edilmeden diğer tüm konularda olduğu gibi güvenlik konusunda aşama kaydetmek çok zor. Araştırmaya göre siber tehditleri değerlendirme ve ölçme açısından katılımcıların yüzde 67’si şirketlerini güvenilir buluyor. Sibel saldırıları önleme açısından katılımcıların yüzde 66’sı güvenilir bulurken, siber saldırılara müdahale açısından da güvenilir buluyor.
Finansta veri yedekleme ve kurtarma çözümlerine ilgi artacak
Siber güvenlik, veri koruma ve bütünsel güvenlik hizmetleri alanında teknolojik çözümler sunan Platin Bilişim’in 20. yılında, şirketin CEO’su Ayhan Bamyacı ile sektördeki değişimi konuştuk.
Platin Bilişim CEO’su Ayhan Bamyacı
Pandemide artan siber vakalar karşısında kurumlar, kendi yapılarını 7/24 izleme ve siber saldırılara anında müdahale ihtiyacı duyuyor. Bu bağlamda yetkin teknik kadrosu ve güçlü altyapısı ile bütünsel veya destekleyici kurumlara özel iş modelleri ile çözüm sunan Fusion SOC – Güvenlik Operasyon Merkezimiz son iki yılda yoğun talep aldı. Öte yandan yapay zeka alanındaki gelişmeler ile siber saldırılar son dönemde hiç olmadığı kadar arttı. Özellikle finans kuruluşlarının daha temkinli olması gerekiyor. BDDK’nın yönetmeliğine göre; bankalar herhangi bir sorun nedeniyle birincil sistemlerin tamamen devre dışı kaldığı felaket senaryolarında dahi en geç 24 saat içinde faaliyetlerini yeniden sürdürebilmeli.
Siber saldırı ile müdahale ve tespit dışında bankaların veri yedekleme çözümlerine ciddi anlamda yatırım yapması gerekiyor. Hem artan fidye saldırılara, hem de teknik olarak yaşanabilecek sorunlara karşı hemen hemen her sektörden şirket, yedekleme çözümleri alanında yatırım yapıyor. 2021 yılının ilk dokuz ayında veri yedekleme alanında iş ortağımız olan Veritas’ın Netbackup, e-posta arşivleme için ise Enterprise Vault’un çözümleri ile birçok dijital dönüşüm projesini hayata geçirdik. Son trendlere baktığımızda siber güvenlikte de yapay zeka destekli güvenlik çözümlerine ve otonom sistemlere ilginin arttığını görüyoruz. Bu kapsamda Platin Bilişim olarak biz de yapay zeka destekli QRadar çözümümüz ile bilinen ve bilinmeyen tehditleri kolaylıkla saptayabiliyoruz.
İtibar siber güvenlikle test ediliyor
“Kötülük, zarar verme, şantaj” insanlık tarihi boyunca hep var olmuştur. Çalmak, zarar vermek, tehdit etmek veya sırf “eğlence” olsun diye bu işleri yapmak birilerinin yaşam tarzı olmaya devam edecek. İtibar da tüketiciler ile ürün ve hizmet sunanlar arasında “yakan top” oyununa dönüşecek!
Teknoloji bir yandan hayat kalitemizi artırıyor ama bir yandan da zindana çevirmesi an meselesi. Eski yıllarda okyanuslarda ticari anlamda gemi çalıştırdığımızda tek derdimiz “Somali korsanları” idi. Ama teknolojinin Somali korsanlarını evirdiği yerde karşımıza siber güvenlik çıkıyor. Teknoloji bilgimiz ne kadar yoğun ve derin olursa olsun siber güvenlik bir zamanlar “kalkanlarla” bizi koruma altına aldığını iddia ederken şimdi bunun bir “eleğe” dönüştüğünü görmekteyiz! Yani “güvencede değiliz”!
Şirketlerin bu alanda hiç hesaba katmadıkları paraları harcamalarının çok basit bir nedeni var: bir atımlık barut dediğimiz itibarları gelmemek üzere gidiyor. Yapılan uluslararası araştırmalar da tüketicilerin/kullanıcıların bu konuda “sıfır toleransı” olduğunu ortaya koyuyor.
Security Link tarafından yapılan güncel bir ankete katılan tüketicilerin %69’unun ürün ve hizmetlerini kullandıkları şirketlerin siber suçlular tarafından hacklenme ve saldırıya uğramaya karşı savunmasız olduğuna inandığını söylüyor.
Kötü haber ise ankete katılan tüketicilerin % 87’sinin bir veri ihlali meydana geldiğinde veya ne zaman olursa, çekip gitmek için tereddüt göstermeyeceklerini ortaya koyuyor.
Kişisel bilgilerin güvenliği “itibarın gelmesi ve gitmesindeki” en hassas konu
“Kötülük, zarar verme, şantaj” insanlık tarihi boyunca hep var olmuştur. İnsanın DNA’sındaki bu özelliklerin teknolojinin kılcal damarlarına bulaşmaması zaten beklemezdi. Şirketler tüketicilerini bu kötücül olaylardan korumak için ellerinden geleni yapıyorlar. Ama yaşam bu kötücül hastalıkla birlikte devam ediyor. Bu süreç içinde bin bir emekle inşa ettiklerini itibarlarını nasıl koruyacaklar? Çünkü o gitti mi yaşam sonlanabiliyor. Yoğun bakımdaki hastanın fişinin çekilmesi gibi bir durum yani.
Salim Kadıbeşegil RepMan İtibar Araştırmaları Merkezi Kurucu Başkanı
Kişisel bilgilerin güvenliği “itibarın gelmesi ve gitmesindeki” en hassas konu olarak birinci sıraya oturuyor. Bu noktada şirketlerin kişisel bilgileri nasıl koruduğu ve güvence altına aldığı ile ilgili düzenli bilgilendirmeleri oluyor ki kullanıcılar akşamları rahat uyusunlar. Ancak, geneli itibariyle gözlemlendiğinde bu bilgilerin dilinin çok karmaşık olduğu, sıradan bir tüketicinin kolay algılayamadığını ortaya koyuyor. Demek ki bu bilgilendirmelerde tarz ve üslup değişikliğine gitmek gerekiyor.
İkinci önemli husus, siber saldırılara karşı hangi iş birlikleri ile hareket edildiği konusunda referanslar ortaya koymak. Burada da tüketiciler verilerin referansların hizmet aldıkları kurumun itibarına güvence verebilmesi için bu referansları anlayabilmeleri gerekiyor. Yine iletişimle ilgili bir mesele burada da karşımıza çıkıyor.
Üçüncü bir husus da olası bir hasarın nasıl tazmin edilebileceği konusunda tüketicilere güvence vermek. Yani kurumlar tüketicilerle “güzel günlerde mi ortaklık” yapma niyetindeler yoksa “zor zamanlarda zararın/hasarın” tazmin edilmesi konusunda üzerlerine düşen sorumlulukları yerine getirmek konusunda baştan bir taahhütte bulunuyorlar mı?
Pandora belgeleri, Panama belgeleri derken dünyada ipliği pazara çıkmamış şirket kalmadı galiba. Söz konusu belgelerde adı geçen şirketlerin siber güvenlik konusuna hatırı sayılır bütçelerle yatırım yaptığı gerçeğinden hareket edecek olursak bunun herkesin başına gelebileceğini de varsaymak lazım. İtibarla bağlantısına gelince, vergi cenneti olarak anılan adacıklara vergi ödememek için sanal hesaplar açan şirketlerin zaten itibar gibi bir dertlerinin de olmadığını hesaba katmak lazım. Ama buradan itibarla ilgili bir ders çıkartmak gerekirse, siber suç arayışı radarına girecek ortamlardan da uzak durmaya çalışmak bir başka önlem olabilir.
Siber güvenlik dünyasının uzay boşluğu kadar derin bir konu olduğunun farkındayız. İnternetin ilk yaygınlaşmaya başladığı günlerde hepimizin ortak derdi “spam” e-postalar iken şimdi boşaltılan banka hesaplarına dönüştü. Kim bilir on yıl sonra hangi siber suçlarla mücadele etmek için kanunların yapıldığını göreceğiz.
Kişisel alana da değinelim. Eğer enformasyon teknolojileri yaşamımızın ortak derdi ise “annemizin evlenmeden önceki soyadının bir ve ikinci harfleri” ile bir güvenlik duvarı öremeyeceğimizin bilincinde olmalıyız. Bizim hatırlamakta güçlük çektiğimiz harfleri siber suçlular tamamını zaten biliyorlardır. Bu nedenle kişisel olarak alabileceğimiz bazı önlemlerin de şirketlerin siber saldırılara karşı alacağı önlemlere katkısı olabilir. Örneğin; hiçbir şekilde gerçek kimlik bilgilerimizi paylaşmamak! “Bedava” üyeliklerden uzak durmak. Bunun mümkün olamayacağı -banka hesapları vb- durumlar için bilgilerin olabildiğince kendi kontrolümüz altında tutabileceğimiz bir çerçeve ile sınırlandırmak. Örneğin kredi kartlarında harcama limitlerini düşürmek… Sık aralıklarla yüksek güvenlikli şifre oluşturmak. Üç isimli isek zaman içinde bunların kullanım şeklini değiştirmek…
İpek yolu döneminde kervanlar soyulurdu. Silahlı korumalar bu soygunların üstesinden gelemedi. Somalili korsanların yarattığı iş modeli dünyada “şantaj” meraklılarının omurgası oldu. Sosyal medyada başta Facebook olmak üzere birçok platformun kişiye özel bilgilerinin çalınması ve karaborsa piyasada görücüye çıkarılması belki sayıca daha çok kişiyi bu işlerden etkilenir hal getirdi ama “niyetlerin” özünü değiştirmedi. Çalmak, zarar vermek, tehdit etmek veya sırf “eğlence” olsun diye bu işleri yapmak birilerinin yaşam tarzı olmaya devam edecek. İtibar da tüketiciler ile ürün ve hizmet sunanlar arasında “yakan top” oyununa dönüşecek!
Bu yazı Digital Report Dergisi 11. sayısında yayınlanmıştır.
