COVID-19 salgını ile karşımıza çıkan uzaktan çalışma yöntemleri beraberinde birçok riski karşımıza çıkartıyor. Salgın risklerini ve etkilerini azaltmak için alınan önlemler, herkesi ilgilendiren uzaktan çalışma konusunda benzeri görülmemiş bir artışa yol açtı. Beraberinde kullanılan birçok uzaktan çalışma ve toplantı (meeting) uygulamasının da birçok siber saldırı ile karşı karşıya kaldığını da görüyoruz.
Uzmanlarımız, uzaktan çalışırken güvende kalmanın temel zorluklarını ve ipuçlarını özetlerken birçok siber saldırıya karşı önlemleri de sizler için derledi.
Bu makalenin amacı, kurumların uzaktan çalışma düzenlemelerindeki ani artışla alakalı olarak bazı temel siber güvenlik sorunlarına ışık tutmak ve salgın sürecinde kurum ağlarını mümkün olduğunca güvenli tutmak için olası önlemlerden bahsedilmektedir.
Günümüzde, evden çalışma fikri yeni bir fikir olmamasına rağmen salgın sürecinde tek alternatif olarak görülüyor. Diğer bir yandan bu süreçte, bulut altyapısının gelişmesi ve olgunlaşması ile klasik ofis anlayışından uzakta çalışmaya dönüş için iyi bir altyapıya sahip olduğumuz teknolojileri kullanabiliyoruz.
Altyapısal Sorunlar ve Çözümler
Ortaya çıkan anlık risklerden biri ve dikkat edilmesi gereken en önemli nokta, telekomünikasyon altyapısının talep artışını destekleyecek kapasiteye sahip olmamasıdır. Uzmanlar, özellikle ülkenin fiberle çalışmayan bölgelerinde darboğazların ortaya çıkabileceği konusunda uyarılarda bulundular. Ülkemizde gerek Türk Telekom gerekse de özel sektördeki operatörlerimizin önemli adımlar attığını da görüyoruz.
Halen daha ortalama hız olarak, Almanya ve Fransa gibi ülkelerin gerisinden gelsek de, sağlayıcılardan ülkenin gerekli kapasiteye sahip olduğuna dair bilgiler verildiğini ve son bir aylık süreçte kritik kesintiler yaşanmadığını görmekteyiz.
Diğer risk ise şirketlerin ve kurumların bireysel altyapısıdır. Binlerce çalışanı olan şirketlerin uzaktan çalışma sistemlerinin, tüm çalışanların aynı anda aktif olmaması sebebi ile kesinti yaşanmadan devam ettiğini öngörebiliriz.
Altyapı açısından bakıldığında, birkaç yıl öncesine kadar çok daha karmaşık ve sıkıntılı süreçler yaşayabileceğimizi söyleyebilirdik. Ancak birçok orta ve büyük ölçekli firmanın bu gibi bir durumu öngörmese dahi uzaktan çalışanlar için mevcut kapasitelerini artırdıklarını görmekteyiz. Elbette ki bu kapasitelerindeki mevcut eksikliklerin ülke genelindeki etkisi de sıkıntılı bir sürece girilmesine neden olabilir. Kurumlar birçok çalışanını bu noktada ücretli/ücretsiz izinlere çıkararak kapasite sorunlarının önüne geçmiş gibi görülse de salgın sürecinin uzaması gibi bir durumda altyapı sorunlarının ortaya çıkabileceğinin altını çizmek istiyoruz.
Siber Güvenlik Kaygıları Ön Planda
Uzaktan çalışmak, herhangi bir dahili ağ sisteminde siber güvenlik ekipleri için problemlere neden olabilecek bir dizi güvenlik endişesini de beraberinde getirmektedir.
Ağların daha karmaşık hale gelmesi, çok daha büyük yapılara sahip olmamız ve çalışanların kendi cihazlarını kullanmaları gibi girişimler sebebi ile kontrol edilecek binlerce erişim noktasının olması, siber güvenlik uzmanlarına zor bir dönem yaşatabilir.
Elbette ki son yıllarda karşımıza çıkan KVKK düzenlemesinin veri korumasını herhangi bir stratejinin önemli bir parçası haline getirdiği gerçeği ve personelin çoğunluğunun evden çalışması zaten uzun olan endişeler listesine yeni bir madde olarak eklenmektedir. Mevcut kanunların süreçlere entegre edilmesinde zaten büyük sorunlar yaşayan siber güvenlik uzmanları, kendi cihazını kullanan çalışanlar için riskleri minimize etmekte zorlanabilir.
Siber Güvenlik Uzmanlarının Yaşadığı Başlıca Sorunlar
- Çalışanın Wi-Fi bağlantısı güvenli mi?
- Çalışanlar açık bir Wi-Fi ağı kullanıyor mu?
- Çalışanlar doğru bir şekilde Anti-virüs kullanıyor mu?
- Çalışanlar işletim sistemlerinde güvenlik duvarı kullanıyor mu?
- Çalışanlar yeterli düzeyde bilgi güvenliği farkındalık eğitime sahipler mi?
- Çalışanlar şirketinizin güvenlik protokollerine bağlı kalacaklar mı?
Wi-Fi hack / korsanlığı, tüm dünyada etik Hackerlar ve sızma testi uzmanları için temel bir beceridir. Bu becerilerini elbette ki kurumların güvenlik zafiyetlerini tespit etmek ve ortadan kaldırmak için kullanırlar. Ancak evdeki Wi-Fi şifresini hiçbir zaman değiştirmeyen büyük bir çoğunluk olduğunu rahatlıkla söyleyebiliriz. Diğer bir yandan evden çalışırken kullandığımız bu Wifi parolaları maalesef zayıf ve kolay tahmin edilebilir şekilde kullanılır. Elbette bu durum kurumların siber güvenlik personelleri için büyük bir risk taşımaktadır. Çünkü ev ağından bağlanarak uzaktan çalışan personel VPN kullansa dahi, bir şekilde ele geçirilme riski ortaya çıkmaktadır.
Cihazların güvenliği ihlal edilmişse veya istemeden kötü amaçlı bir indirme yapıldıysa, dahili ağ için bir tehdit oluşturabilir. Benzer şekilde, açık Wi-Fi ağlarında, çeşitli kimlik bilgilerinin çalınması ve hesapların ele geçirilmesi olasılığı her zaman bulunmaktadır.
Şirketler genellikle sağlam bir koruyucu katmanın parçası olan güvenlik duvarları, virüsten korunma yazılımı, VPN‘ler ve sızma testlerinden oluşan çeşitli güvenlik araçlarına sahiptir. Tabii ki bu güvenlik, her kuruluşun kullandığı araç türlerine bağlıdır, ancak şirketlerin emrindeki güvenlik araçları genellikle bireylerinkinden çok daha üstündür. Ancak ofisten uzaktayken, böyle bir gücün etkisi zayıflayabilir.
Eğitim genellikle sadece sağlam, güncel bilgi sağlamakla olmaz. Yalnızca eğitim videolarını izlemek de yeterli olmayacaktır. Eğitim, bir güvenlik kültürünün oluşturulmasında büyük rol oynamaktadır ve siber farkındalık, kuruluşların çalışanlarını eğitmek için çabalarken son birkaç yıldır benzeri görülmemiş bir büyüme göstermiştir. Bu süreçte de kurum çalışanlarınız için Sosyal Mühendislik ve Farkındalık Testlerini daha sık kullanmak zorundasınız.
OhPhish, PhishMe gibi güvenlik araçları yalnızca düzenli phishing kampanyalarına karşı test etmekle kalmaz, aynı zamanda son kullanıcıyı eğitmeyi de destekler. Diğer bir yandan profesyonellere de kullanıcılar için özel testler ve senaryolar uygulanmalıdır.
Protokoller, PCIDSS, ISO ve benzeri süreçler ağ güvenliğinin önemli bir yapı taşıdır. İnsanların hata yapmaya eğilimli olduğu aşikar bir durumdur. Çalışanların bilgi güvenliği farkındalık eksikliği sebebi ile siber saldırılara açık olabildiklerini ve güvenlikte en zayıf halkanın kurum çalışanları olduğunu da unutmamalıyız.
İş Yüklerini Hafifletme ve Desteklemek
Kurumlar, ihtiyaç duyulan iş gücünün evden çalışmasını sağlayarak ortaya çıkan çeşitli riskleri nasıl azaltır? Hem birey hem de kurum politikaları noktasında uygulanabilecek bir dizi uygulama vardır. Bu uygulamalar kurumların ihtiyaç duydukları iş gücünün uzaktan çalışırken de etkin bir şekilde kullanılmasını sağlamaktadır.
Şirketler, temel önlemleri içeren bir kontrol listesi muhakkak oluşturmalı ve olası sorunları en aza indirgemek için bunları iş gücü içinde açık bir biçimde dağıtmalıdır. Diğer bir yandan çalışanlar, olağan çalışma ortamı dışındaki tehditlere karşı uyanık ve bilinçli kalmalıdır.
Şirketlerin Güvenlik Önlemleri
- Çalışanlarınızın evden çalışırken izlemeleri için açık politikalar ve kolay uygulanabilir prosedürler kullanın.
- Ofise geri dönen çalışanlar için bir eylem planı ve ilkeler koyarak uygulayın.
- Uzaktan çalışanların ortaya çıkartabileceği riskler için 7/24 kurum ağını izleyin.
- Tüm çalışanlarınız için VPN kullanın ve VPN dışındaki erişimi tamamen kapatın.
- Sürekli ve güncel olarak bilgi güvenliği farkındalık testleri yapın.
- Uzaktan çalışanlarınızın destek alabilmesi için sürekli ve kesintisiz bir iletişim altyapısı kurun.
- Çalışanlarınızı ortaya çıkabilecek risklere karşı sürekli olarak uyarın.
Çalışan İçin Güvenlik Önlemleri
- Şirket güvenlik politikalarına ve protokollerine uygun çalışın. Asla dışına çıkmayın.
- Asla ve asla güvenlik duvarınızı veya antivirüs uygulamanızı kapatmayın.
- Size özel olarak sağlanan VPN’i daima kullanın.
- Herkese açık wi-fi bağlantıları kullanmayın.
- İllegal yazılımlardan uzak durun ve Crack asla kullanmayın!
- Kurum ağına uzaktan bağlanırken Wifi yerine kablolu bağlantı kullanın.
- Kişisel hesaplar ve iş hesapları için her zaman iki faktörlü kimlik doğrulaması kullanın.
- Genel ağlarda çalışmaktan kaçının ve asla kullanmayın.
- Evdeki Wifi ağınızı komşunuz veyahut başkaları ile asla paylaşmayın.
- Evdeki iş bilgisayarınıza erişimi koruyun. Kullanmadığınız zamanlarda kapalı tutun.
- Müşteri verilerini işlerken, her zaman ilgili veri koruma politikalarına uyup uymadığınızı kontrol edin.
Uzaktan çalışmak riskli olmak zorunda değildir. Uzaktan çalışmak doğru kullanıldığı zaman verimli olacaktır. Ancak bu kurallara uyulmadığı takdirde kontrol edilmesi çok daha zor olacaktır.
Sakin olalım, sağlık bakanlığımızın kurallarına uyalım, sosyal mesafeyi koruyalım ve kurum politikalarına uyarak bilgisayar virüslerinden de uzak duralım!