İnternet, uzun süredir, tıpkı bir dijital vahşi batı gibi, kanunsuz bir yer olmuştur ve kullanıcıları ve siber uzayı “polis” korumaya yardımcı olacak ajanslar olmasına rağmen, hala suç için en hızlı büyüyen ortam olmaya devam etmektedir.
Ulusal İstatistik Ofisi ilk kez 2015 yılında İngiltere ve Galler için yıllık suç araştırmasına siber suçları dahil etti. 2,11 milyon siber suç mağduru ile 2,46 milyon siber olayın gerçekleştiğini tahmin ettiler. Bu, Birleşik Krallık’taki toplam suç rakamının %36’sıydı. Gördüğünüz gibi, siber suç büyük bir iştir. Peki sizin ve işiniz için ne anlama geliyor? Daha da önemlisi siber suçlarla mücadele etmek için neler yapabilirsiniz?
TEHDİTLER
Şimdi daha yaygın olan bazı tehditlere bakalım; örneğin kim size saldırmaya çalışıyor olabilir?
İlk olarak, değerli bilgileri satarak sahtekarlıkla para kazanmaya çalışan siber suçlular – bireyler veya gruplar vardır. Ülkeleri veya şirketleri için ekonomik bir avantaj elde etmeyi amaçlayan yabancı istihbarat servisleri ve endüstriyel rakiplerden bir tehdit var. Bir hobi veya eğlenceli bir eğlence olarak sistemlere sızmayı seven, tamamen siyasi motivasyon veya ideolojiler için saldıran bilgisayar korsanlarına oldukça benzeyen bilgisayar korsanlarından bir tehdit gelebilir. Son olarak, çalışanlar da kazara veya kötü niyetli amaçlarla tehdit oluştururlar.
YÖNTEMLER
Artık bilgi varlıklarımızı kimin çalmaya veya sabote etmeye çalışabileceğini biliyoruz, ancak bunu nasıl yapabilirler? Aşağıda kullanılabilecek yöntemlerin kısa bir listesi bulunmaktadır; ancak her gün yeni ve gerçek tehditler geliştirildiği için lütfen bu listenin ayrıntılı olduğunu düşünmeyin.
Teknoloji ne kadar hızlı büyür ve genişlerse, bu ilerlemeleri kötü amaçlarla kullanma ve kullanma yöntemleri de o kadar hızlı gelişir;
- Kimlik avı – çok sayıda alıcıya hassas bilgiler isteyen veya onlardan sahte bir web sitesini ziyaret etmelerini isteyen rastgele e-postalar göndermek. Genellikle yöntem banka bilgilerini vb. sormaktır.
- Fidye yazılımı – bir bilgisayar sistemine gizlice yüklenen ve şirketin bilgilerini etkin bir şekilde rehin tutan veya bir ödül ödenmediği sürece güvenli bilgileri yayınlamakla tehdit eden bilgisayar kötü amaçlı yazılımı.
- Botnet’ler – toplu olarak virüs eklenmiş istenmeyen e-postalar gönderen ve hizmet reddi saldırısının bir parçası olarak da kullanılabilen çok sayıda virüslü bilgisayar oluşturur – bir ağı işe yaramaz trafikle doldurarak çökertme saldırısı.
- Virüs – Bilgisayar virüsleri, çevrimiçi saldırganlar tarafından bilgisayarınızı istila etmek, çalışmasına müdahale etmek ve verilerinizi kopyalamak, bozmak veya silmek için kasıtlı olarak tasarlanmış yazılım programlarıdır. Bu kötü amaçlı yazılım programlarına virüs adı verilir, çünkü bunlar yalnızca bir bilgisayara bulaşmak ve zarar vermek için değil, İnternet’teki diğer bilgisayarlara da yayılmak üzere tasarlanmıştır.
- Sosyal Mühendislik – Sosyal mühendislik, insanları eylemler gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönlendirir. Güven hilesine veya basit dolandırıcılığa benzer şekilde, terim bilgi elde etmek, dolandırıcılık yapmak veya bilgisayar sistemlerine erişmek için aldatma kullanımı için geçerlidir.
KENDİNİ NASIL KORUYABİLİRSİN
Saldırganların bilgilerinize erişmeye çalışacağı çok, çok daha fazla tehdit ve yol var, bu yüzden varlıklarınızı nasıl koruyabileceğinize bakalım:
E-postalar – kimden geliyor? O eklenti ne? Bu ekteki bağlantı beni nereye gönderiyor? Göndereni tanımıyorsanız şüphelenin. Bildiğiniz bir şirkette mi çalışıyorlar, yani gönderenin e-posta adresi, çalıştıklarını söyledikleri web sitesinin adresiyle eşleşiyor mu?
Şifreler – basit bir şifre için asla iyi bir fikir değildir. Doğum tarihi, soyadı vb. gibi kolayca tahmin edilebilecek herhangi bir şeyden kaçınılmalıdır.
Fiziksel güvenlik – Arazideki en güvenli sisteme sahip olabilirsiniz ancak bulunduğu ortam kadar iyidir. Mesai saatleri dışında erişim kontrolleri, kilitler, alarmlar veya güvenlik gibi ağınıza yalnızca yetkili kullanıcıların erişebildiğinden emin olun.
Ağ güvenliği – umarım BT veya danışmanınız aracılığıyla yeterli ağ korumasına sahip olursunuz ancak hiçbir güvenlik önlemi %100 değildir. Düşünün – hangi bilgiler sizin için önemli? Yedeklemeleriniz yeni mi? Bir kopya deposu site dışında mı ve güvenli mi? Süreç belgelendi ve test edildi mi? Şifreleme var mı? Bunların hepsi BT uzmanınıza sormanız gereken sorulardır.
GÜVENLİK ‘SOĞAN’
Aşağıda bulunan farklı katmanlara göre Güvenlik Soğanı olarak adlandırılmış sistemlerdir:
Bilgi/Veri
Müşteri detayları, tasarım özellikleri, çalışan kayıtları gibi şirketin sahip olduğu bilgilerdir. Belirli dosya türleri parola korumalı olmalı veya yalnızca belirli kişiler tarafından erişilebilir olmalıdır.
Dahili Ağ
Bu, aşağıdakiler gibi herhangi bir sistem güvenlik önlemini detaylandırmalıdır; güvenlik duvarları, antivirüs koruması veya güvenlik yamaları vb.
Çevre/Fiziksel
Soğandaki bir sonraki katman Çevre veya fiziksel katmandır ve bunun belirttiği gibi, bilgilerinize yetkisiz erişimi engelleyen fiziksel engellerdir. Bina erişim kontrolleri, güvenlik görevlileri ve çevre çitleri ve güvenlik kameralarına kadar güvenli veri merkezleri gibi şeyler.
Politikalar, Prosedürler ve Farkındalık
Yukarıdaki sistemler ancak onları uygulamaya çalışan insanlar kadar iyidir. Tüm çalışanlar güvenlik politikaları ve prosedürlerinden haberdar olmalıdır, örneğin izinsiz giren varsa ne yapmalı? Şüpheli bir e-posta ile ne yapmalıyım? Kimlerin belirli verilere erişmesine izin verilir? Bütün bu sorular ele alınmalıdır.
Yukarıdakiler, bilgi güvenliğine yönelik katmanlı bir yaklaşımın farklı yönlerine yalnızca bir örnektir. Bunu kendi kuruluşunuza uyguladıysanız, daha fazla katman eklemek için daha birçok girdi bulabildiğinizden eminim.
Halihazırda etkin bir Kalite Yönetim Sisteminiz olabilir, ancak yapabileceğiniz başka bir şey var mı? Elbette var ve ISO 27001 – Bilgi Güvenliği Yönetim Sistemi burada devreye giriyor.
ISO 27001, kuruluşların finansal bilgiler, fikri mülkiyet, çalışan ayrıntıları veya ilgili taraflardan kendilerine emanet edilen bilgiler gibi bilgi varlıklarını güvence altına almasına ve güvende tutmasına yardımcı olur.
