Samuag
New member
Araştırmalar, 2021’de tahlil edilen data ihlallerinin yüzde 82’sinde bir “insan faktörü” olduğunu gösteriyor. Taarruzların birinci maksadının çalışanlar olduğu, çağdaş siber tehditlerin yadsınamaz bir gerçeği. Siber güvenlik şirketi ESET, siber güvenlik eğitimlerinin niye değerli olduğunun altını çizdi. Neler yapılması gerektiğini paylaştı.
ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban işletmelerin en büyük siber güvenlik telaşlarını içeren bahisleri kapsamlı bir biçimde incelediklerini, bu bahisleri ele alan bir siber güvenlik eğitimini fiyatsız olarak sunduklarını paylaştı.
Siber güvenlikle ilgili bir özdeyiş güvenlik zincirindeki en zayıf halkanın beşerler olduğunu söyler. Tehdit aktörlerinin çalışanları istismar etmeye yönelik rekabeti arttıkça bu kelamın doğruluğu daha da artıyor. Fakat bu zayıf halkayı, aşılması sıkıntı bir birinci savunma sınırına dönüştürmek de mümkün. Burada kilit nokta tesirli bir güvenlik farkındalığı eğitim programı sunmaktır.
Ciddi bir güvenlik ihlali, sebebi ne olursa olsun, finansal ve prestiji açıdan değerli ziyanlara yol açabilir. Yakın vakitte yapılan bir araştırma, bu biçimde bir ihlale maruz kalan işletmelerin yüzde 20’sinin sonuç olarak neredeyse iflas ettiğini gösteriyor. Bir öteki araştırma ise bir bilgi ihlalinin günümüzdeki ortalama maliyetinin 4,2 milyon ABD dolarının da üstünde çıkarak en yüksek düzeylere ulaştığını öne sürüyor.
Güvenlik farkındalığı eğitimi, yanlışsız kararlar alabilmeleri için çalışanların elini güçlendirmeye yönelik bir dizi mevzu ve tekniğin ele alınmasını gerektiren biçimlendirilmiş bir müddetçtir. Bu kapsamda kelam konusu eğitim, bir güvenlik dizaynına sahip kurum kültürü oluşturmak isteyen kurumlar için temel bir yapıtaşı olarak görülebilir.
Herhangi bir eğitim programında olduğu üzere güvenlik farkındalığı eğitimlerinde de bireylerin daha güzel birer çalışana dönüşmeleri için maharetlerinin geliştirilmesi fikri güdülür. Çalışanların güvenlik farkındalıklarını geliştirmek, potansiyel güvenlik ihlali riskini de azaltacaktır. Kurumsal kullanıcılar, çalıştıkları rastgele bir kurumun tam merkezinde yer alırlar. ötürüsıyla onların ayrıntıları ele geçirilirse kurumların ayrıntıları de ele geçirilebilir. Benzeri biçimde, bu bireylerin hassas datalar ile BT sistemlerine erişebiliyor olması, şirketi de olumsuz etkileyebilecek kazaların riskini arttırmaktadır.
Çeşitli eğilimler, güvenlik farkındalığı eğitimine duyulan acil gereksinimin kıymetini ortaya koymaktadır:
Parolalar: Değişmeyen kimlik ayrıntıları, bilgisayar sistemleri kadar uzun bir geçmişe sahip. Güvenlik uzmanlarının yıllardır uyarmasına karşın kimlik ayrıntıları, kullanıcı kimlik doğrulaması için kullanılan en tanınan prosedür olmaya devam ediyor. sebebi sıradan; beşerler bu ayrıntıları nasıl kullanacağını içgüdüsel olarak biliyor. Bu ise, bu ayrıntıların bilgisayar korsanları için büyük birer maksat haline gelmesi meselesini ortaya çıkarıyor. Bir çalışanın şahsi ayrıntılarını paylaşması için kandırılması ya da bu ayrıntıların varsayım edilmesi tam ağ erişimi için genelde öbür bir şeye gerek bırakmıyor. Yapılan bir varsayıma göre Amerika’da çalışanların yarısından fazlası, parolalarını bir kağıda yazıyor. Zayıf parola uygulamaları, bilgisayar korsanları için açık birer kapıdır. Çalışanların hatırlaması gereken kimlik ayrıntılarının sayısı arttıkça makûs kullanım ihtimalleri de artmaktadır.
Sosyal mühendislik: İnsanlar toplumsal yaratıklardır. Toplumsal olmamız da bizleri kolay ikna edilebilen kolay maksatlar haline getirmektedir. Bize anlatılan kıssalara ve o öyküleri bize anlatanlara inanmak isteriz. Toplumsal mühendisliğin işe yarama niçini işe şudur; tehdit aktörleri kurbanlarının isteklerini yerine getirmelerini sağlamak için vakit baskısı ve birini taklit etme üzere sahtekarlık tekniklerini kullanmaktadır. Bir oltalama e-postası, SMS ile kimlik avı olarak da bilinen oltalama kısa iletileri ya da sesli kimlik avı olarak da bilinen telefon aramaları, sahtekarlık tekniklerinin en bilinen örnekleri olsa da iş e-postalarının ele geçirilmesine (BEC) yönelik ataklar ve öbür sahtekarlıklar da yaygındır.
Siber hata iktisadı: Bu tehdit aktörleri günümüzde karmaşık ve sofistike ağlarda yer alan karanlık web sitelerini kullanmaktadır. Bu karanlık ağ sitelerinde ise, epey korunaklı barındırma hizmetlerinden fidye yazılımına kadar her türlü data ve hizmetin alım satımını yapmaktadırlar. Bu ağın pahası trilyonlarla söz edilmektedir. Siber cürüm dalının bu türlü “meslekleşmesi” de doğal olarak tehdit aktörlerinin, yatırım getirisinin en yüksek olduğu yerlere odaklanmasına niye olmuştur. Birden fazla durumda bu, hem kurumsal çalışan birebir vakitte tüketici olarak kullanıcıların gaye alınması manasına gelmektedir.
Hibrit çalışma: Evden çalışan bireylerin, oltalama irtibatlarına tıklama ve iş aygıtlarını şahsi emeller için kullanma üzere riskli davranışlar sergileme ihtimallerinin daha yüksek olduğu düşünülmektedir. Bu açıdan hibrit çalışmanın yeni bir periyot olarak ortaya çıkması, saldırganların kurumsal kullanıcıları en zayıf oldukları anda hedeflemelerine yol açmıştır. Dahası meskendeki ilişkiler ve bilgisayarlar da ofistekilere kıyasla daha az muhafazaya sahip olabilmektedir.
ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban işletmelere dayanak olabilmek için fiyatsız bir siber güvenlik eğitimi hazırladıklarını söylemiş oldu. Türkçe olarak hazırlanan eğitime https://www.eset.com/tr/business/cybersecurity-training/ adresinden formu dolduran herkes çarçabuk erişebiliyor. Eğitim kapsamında altı başlıkta, işletmeler için en büyük tasa hususları sıradan fakat kapsamlı bir biçimde ele alınıyor.
ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban işletmelerin en büyük siber güvenlik telaşlarını içeren bahisleri kapsamlı bir biçimde incelediklerini, bu bahisleri ele alan bir siber güvenlik eğitimini fiyatsız olarak sunduklarını paylaştı.
Siber güvenlikle ilgili bir özdeyiş güvenlik zincirindeki en zayıf halkanın beşerler olduğunu söyler. Tehdit aktörlerinin çalışanları istismar etmeye yönelik rekabeti arttıkça bu kelamın doğruluğu daha da artıyor. Fakat bu zayıf halkayı, aşılması sıkıntı bir birinci savunma sınırına dönüştürmek de mümkün. Burada kilit nokta tesirli bir güvenlik farkındalığı eğitim programı sunmaktır.
Ciddi bir güvenlik ihlali, sebebi ne olursa olsun, finansal ve prestiji açıdan değerli ziyanlara yol açabilir. Yakın vakitte yapılan bir araştırma, bu biçimde bir ihlale maruz kalan işletmelerin yüzde 20’sinin sonuç olarak neredeyse iflas ettiğini gösteriyor. Bir öteki araştırma ise bir bilgi ihlalinin günümüzdeki ortalama maliyetinin 4,2 milyon ABD dolarının da üstünde çıkarak en yüksek düzeylere ulaştığını öne sürüyor.
Güvenlik farkındalığı eğitimi, yanlışsız kararlar alabilmeleri için çalışanların elini güçlendirmeye yönelik bir dizi mevzu ve tekniğin ele alınmasını gerektiren biçimlendirilmiş bir müddetçtir. Bu kapsamda kelam konusu eğitim, bir güvenlik dizaynına sahip kurum kültürü oluşturmak isteyen kurumlar için temel bir yapıtaşı olarak görülebilir.
Herhangi bir eğitim programında olduğu üzere güvenlik farkındalığı eğitimlerinde de bireylerin daha güzel birer çalışana dönüşmeleri için maharetlerinin geliştirilmesi fikri güdülür. Çalışanların güvenlik farkındalıklarını geliştirmek, potansiyel güvenlik ihlali riskini de azaltacaktır. Kurumsal kullanıcılar, çalıştıkları rastgele bir kurumun tam merkezinde yer alırlar. ötürüsıyla onların ayrıntıları ele geçirilirse kurumların ayrıntıları de ele geçirilebilir. Benzeri biçimde, bu bireylerin hassas datalar ile BT sistemlerine erişebiliyor olması, şirketi de olumsuz etkileyebilecek kazaların riskini arttırmaktadır.
Çeşitli eğilimler, güvenlik farkındalığı eğitimine duyulan acil gereksinimin kıymetini ortaya koymaktadır:
Parolalar: Değişmeyen kimlik ayrıntıları, bilgisayar sistemleri kadar uzun bir geçmişe sahip. Güvenlik uzmanlarının yıllardır uyarmasına karşın kimlik ayrıntıları, kullanıcı kimlik doğrulaması için kullanılan en tanınan prosedür olmaya devam ediyor. sebebi sıradan; beşerler bu ayrıntıları nasıl kullanacağını içgüdüsel olarak biliyor. Bu ise, bu ayrıntıların bilgisayar korsanları için büyük birer maksat haline gelmesi meselesini ortaya çıkarıyor. Bir çalışanın şahsi ayrıntılarını paylaşması için kandırılması ya da bu ayrıntıların varsayım edilmesi tam ağ erişimi için genelde öbür bir şeye gerek bırakmıyor. Yapılan bir varsayıma göre Amerika’da çalışanların yarısından fazlası, parolalarını bir kağıda yazıyor. Zayıf parola uygulamaları, bilgisayar korsanları için açık birer kapıdır. Çalışanların hatırlaması gereken kimlik ayrıntılarının sayısı arttıkça makûs kullanım ihtimalleri de artmaktadır.
Sosyal mühendislik: İnsanlar toplumsal yaratıklardır. Toplumsal olmamız da bizleri kolay ikna edilebilen kolay maksatlar haline getirmektedir. Bize anlatılan kıssalara ve o öyküleri bize anlatanlara inanmak isteriz. Toplumsal mühendisliğin işe yarama niçini işe şudur; tehdit aktörleri kurbanlarının isteklerini yerine getirmelerini sağlamak için vakit baskısı ve birini taklit etme üzere sahtekarlık tekniklerini kullanmaktadır. Bir oltalama e-postası, SMS ile kimlik avı olarak da bilinen oltalama kısa iletileri ya da sesli kimlik avı olarak da bilinen telefon aramaları, sahtekarlık tekniklerinin en bilinen örnekleri olsa da iş e-postalarının ele geçirilmesine (BEC) yönelik ataklar ve öbür sahtekarlıklar da yaygındır.
Siber hata iktisadı: Bu tehdit aktörleri günümüzde karmaşık ve sofistike ağlarda yer alan karanlık web sitelerini kullanmaktadır. Bu karanlık ağ sitelerinde ise, epey korunaklı barındırma hizmetlerinden fidye yazılımına kadar her türlü data ve hizmetin alım satımını yapmaktadırlar. Bu ağın pahası trilyonlarla söz edilmektedir. Siber cürüm dalının bu türlü “meslekleşmesi” de doğal olarak tehdit aktörlerinin, yatırım getirisinin en yüksek olduğu yerlere odaklanmasına niye olmuştur. Birden fazla durumda bu, hem kurumsal çalışan birebir vakitte tüketici olarak kullanıcıların gaye alınması manasına gelmektedir.
Hibrit çalışma: Evden çalışan bireylerin, oltalama irtibatlarına tıklama ve iş aygıtlarını şahsi emeller için kullanma üzere riskli davranışlar sergileme ihtimallerinin daha yüksek olduğu düşünülmektedir. Bu açıdan hibrit çalışmanın yeni bir periyot olarak ortaya çıkması, saldırganların kurumsal kullanıcıları en zayıf oldukları anda hedeflemelerine yol açmıştır. Dahası meskendeki ilişkiler ve bilgisayarlar da ofistekilere kıyasla daha az muhafazaya sahip olabilmektedir.
ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban işletmelere dayanak olabilmek için fiyatsız bir siber güvenlik eğitimi hazırladıklarını söylemiş oldu. Türkçe olarak hazırlanan eğitime https://www.eset.com/tr/business/cybersecurity-training/ adresinden formu dolduran herkes çarçabuk erişebiliyor. Eğitim kapsamında altı başlıkta, işletmeler için en büyük tasa hususları sıradan fakat kapsamlı bir biçimde ele alınıyor.