Siber Saldırıların Merkezinde İnsan Hatası

Siber Saldırıların Merkezinde İnsan Hatası

Şirket çalışanlarından bilgi çalmanın en yaygın, ucuz ve kolay yolu olan spear-phishing (hedefli avlama) genellikle çalışanların bir URL’ye tıklamasını ve açılan sahte web sitede bir form doldurmalarını isteyen ya da kullanıcıların cihazlarına kötü amaçlı yazılım indiren linklere tıklamalarını sağlayan bir siber saldırı yöntemidir.

Siber güvenliğe medya tarafından verilen öneme rağmen birçok idari yönetim, devletler ve kurumlar hala sistemlerini siber saldırganlara karşı korumayı başaramıyorlar çünkü çalışanlarının kimliklerinin çalınması riski yerine ağ güvenliğine daha çok odaklanıyorlar.

Devlet kurumları ve şirketler ağ güvenlikleri için VPN, saldırı tespit sistemleri ve benzeri teknolojilerden yararlanırken, insan hatası faktörüne gerekilen önem verilmemektedir.

Phising (Oltalama)

Phishing yani oltalama saldırılarında insan hatası sadece kimlik avına ve erişimine sebep olmaz. Yanlış yapılan özgeçmiş incelemeleri sonucunda suçluların işe alımı, gerekenden fazla admin hesap açılımı, şifre paylaşımı gibi ve şirket çalışanlarının ve yönetimin sebep olduğu hatalar da göz önünde bulundurulmalıdır.

Veri ihlallerinin temelinin insan hatası olduğunun görmezden gelinmesinin sebeplerinden biri de ağ güvenliğinin siber saldırganları durduracağını düşünülmesidir. Kurumlar ağ güvenliklerini saldırı tespit sistemleri ile donattığından beri veri ihlallerinin arttığı göz önünde bulundurulduğunda bunun doğru bir değerlendirme olmadığı görülebilir.

Siber saldırıdan korunmada insanların etkisi

Şirketler siber güvenlik önlemleri almada yetersiz kalıyorlar çünkü bilgi güvenliği zincirinin en zayıf halkası olan insanları eğitmekten kaçınıyorlar.

Siber tehditlere karşı en iyi çözüm, ağ güvenliğinin güçlü yanları ve zayıf yanlarını tanımlayan, güvenlik önlemlerini olabildiğince otomatikleştiren ve insan hatasını azaltmak için kimlik ve erişim yönetimini geliştiren dengeli bir yaklaşıma sahip olmaktır.

Etkin bir siber güvenlik programının en önemli parçalarından biri de çalışanlara siber güvenlik risklerini ve güvenlik politikalarının uygulanmaması durumunda gerçekleşecek olan sonuçların hatırlatılması için zorunlu eğitimler düzenlenmektir. Şirket çalışanları aynı zamanda işyerinden gizli bilgilerin içeren cihazların çıkarılması sonucunda oluşabilecek risk ve tehditlerin de farkında olmalıdırlar. Artık kullanımda olmayacak cihazların içindeki bilgilerin nasıl temizlenmesi gerektiğinin farkında olmalı ve güvenli olmayan kanallar üzerinden önemli bilgiler içeren dosyalar ve mesajlar göndermekten kaçınmalıdırlar.

Siber saldırı Ukrayna’da elektriklerin kesilmesine sebep oldu

2015 yılında Ukrayna’daki elektrik santraline yapılan saldırıda insan hatasının nelere yol açabileceği görülebilir. Kontrol odasında yetkili bir çalışanın güvenilir olmayan bir e-postayı açması sonucunda kötü amaçlı yazılım aktifleşti. E-posta Microsoft Office tarafından gelmiş gibi görünüyordu ve bir program eki içeriyordu. ‘’Makroyu Etkinleştir’’ uyarısına tıklanması sonucunda siber saldırganlar elektrik santralinin sistemine sızdı ve bunun sonucunda Kiev’de yaklaşık olarak 200 bin kişi elektriksiz kaldı.

IBM Siber Güvenlik Endeksi, gerçekleştirilen ağ güvenliği saldırılarının yüzde 95’inde siber saldırganların kurbanlarını kurnaz bir şekilde hassas bilgi paylaşmaya ittiğini ortaya koydu. Çalışanların bu eylemi farkında olmadan yapabilecekleri düşünülse de, yapılan hatalar hem şirketin finansal sağlığına hem de itibarına zarar verebiliyor.

İnsan ilgisinin sömürülmesi faktörü bugün gerçekleştirilen ağ güvenlik ihlallerinin birçoğunun arkasında yatan sebep. Zararsız gibi görünen bir video ya da e-posta, bir iş arkadaşından ya da müşteriden gelmiş gibi gözüken bir mesaj ya da dosya ekleri siber saldırıların kapılarını açabiliyor. Buna ek olarak, en yaygın olarak karşılaşılan insan hatalarından biri de sistemlerin yanlış konfigüre edilmesi, zayıf yönetim yaklaşımları ve hesaplar için oluşturulan isim ve şifrelerin herkes için aynı olması.

İnsanoğlu hata yapabilir fakat bir ağ güvenlik uzmanının siber saldırı çeşitlerine karşı diğer şirket çalışanlarını eğitmesi ve de şirket ağ güvenliğini her zaman sağlaması çok önemlidir.

Bu yazıyı yazdığı için TechWarn‘dan Büşra‘ya teşekkür ederim.

Yararlanılan Kaynaklar:

https://www.trthaber.com/resimler/694000/695566.jpg

https://blog.malwarebytes.com/wp-content/uploads/2018/09/shutterstock_749866270-900×506.jpg