Çalışanların siber güvenlik zafiyeti: Not alınan parolalar risk mi?

Türkiye'de iş hayatındaki siber risklerin yüzde 24'ü çalışanların bilgi güvenliği politikalarını kasıtlı olarak ihlal etmelerinden kaynaklanıyor. Bu iç tehditler, dış saldırılar kadar ciddi bir güvenlik riski.

Siber güvenlik şirketi Kaspersky'nin yaptığı son araştırmaya göre, Türkiye'deki işletmelerde meydana gelen siber olayların yüzde 24'ü çalışanların bilgi güvenliği politikalarını kasıtlı olarak ihlal etmesiyle ortaya çıkıyor.

Bu durum, dışarıdan gelen bilgisayar korsanlığı saldırıları kadar ciddi bir sorun olarak kabul ediliyor. İç tehditler, iş dünyasındaki siber olayların ana nedenlerinden biri olarak öne çıkıyor.

Bilgi güvenliği politikası dikkate alınmıyor

Kaspersky araştırmayı, dünya genelindeki KOBİ'ler ve işletmeler için çalışan Bilgi Teknolojileri (BT) profesyonellerinin görüşlerini değerlendirmek üzere gerçekleştirdi. Şirket içi personelin ve dış aktörlerin siber güvenlik üzerindeki etkisini inceledi. Araştırma, gerçek hataların yanı sıra çalışanlar tarafından bilgi güvenliği politikası ihlallerinin de şirketler için en büyük sorunlardan biri olduğunu ortaya koydu. 

Araştırmanın gözler önüne serdiği diğer tespitlere de bakalım. Son iki yılda Türkiye'deki siber güvenlik olaylarının yüzde 12'si siber güvenlik yöneticileri tarafından yapılan politika ihlallerinden kaynaklandı. BT uzmanları ve BT dışı çalışanların güvenlik protokollerini ihlal etmelerinden kaynaklanan siber olaylar ise sırasıyla yüzde 6 ve yüzde 12 olarak gerçekleşti.

Zayıf parolalar, yapılmayan güncellemeler…

Bireysel çalışan davranışları açısından en yaygın sorun, çalışanların kasıtlı olarak yasak olan davranışları yapmaları veya gerekli olan sorumlulukları yerine getirmemelerinden kaynaklanıyor.

Son iki yıldaki siber olayların yüzde 14'ü zayıf parolaların kullanılması veya zamanında değiştirilmemesi nedeniyle meydana geldi. Siber güvenlik ihlallerinin yüzde 36'sının nedeni, personelin güvenli olmayan web sitelerini ziyaret etmesi...

Yüzde 21'lik kesim ise sistem yazılımlarını veya uygulamalarını gerektiği zaman güncellemeyen çalışanların siber olaylarla karşılaşmalarıyla oluşuyor.

Kötü niyetli eylemler büyük tehdit

Araştırmada, sorumsuz davranışların yanı sıra kötü niyetli eylemlerin yüzde 29'unun çalışanlar tarafından kişisel kazanç için gerçekleştirildiği ortaya çıktı.

Finans sektöründeki katılımcılara göre, kötü niyetli bilgi güvenliği politikası ihlalleri bu sektörde nispeten büyük bir sorun oluşturuyor ve bu durumun yüzde 34'lük bir kesim tarafından belirtildiği görülüyor.

“Personelde zafiyet söz konusuysa siber saldırılar yaşanır”

Siber Güvenlik Uzmanı Ersin Çahmutoğlu ile araştırmanın detaylarını konuştuk. Çahmutoğlu'na göre kurumlar ne kadar önlem alsa da iç tehditler siber güvenlikte büyük bir sorun. 

“Bu tarz güvenlik tehditleri siber güvenlik alanında 'insider threat' yani iç tehdit olarak bilinir. Kurumlar büyük yatırımlarla istediği kadar önlem alsınlar, eğer personelde zafiyet söz konusuysa siber saldırılara maruz kalınabilir. Örneğin bir personel, yetkisi olmadığı halde bazı sistemlere erişim sağladığında veya kişisel bilgisayarıyla kritik bir sisteme erişimi oluyorsa burada güvenlik ihlalleri yaşanır.”

“Parolar kağıtlara not alınıyor”

Parolaların bir kenara not alınmasının siber saldırı olaylarında sıklıkla görülen bir açık olduğunu belirtiyor Çahmutoğlu ve bu durumu şöyle açıklıyor:

“Bazen personelin sıklıkla güncellemesi gereken parolalar vardır. Kimi kurumlarda personelin bu güncellemeleri bir yerlere not aldığı ortaya çıkabiliyor. Bilgi güvenliğine dair en sorunlu konulardan biri de bu. Böyle bir zafiyetten dolayı çok sayıda kurumun hacklendiğini gördük. Bu tür sorunların çözümü için personel farkındalığı şart.”

“Tehditlerin tamamen sona ermesi çok zor”

Eğitim ve denetimin siber güvenlikte çok önemli iki husus olduğuna değiniyor Çahmutoğlu. Ancak yine de bu sorunların yıllardır yaşandığını dile getiriyor. Günümüzde hala yaşanan bu sorunun gelecekte ortadan kalkıp kalmayacağı sorusuna ise şöyle yanıt veriyor:

“Günümüzde halen bunların yaşandığını hatta büyük şirketlerde bile olduğunu görüyoruz. Dolayısıyla bu tehdidin tamamen sona ereceğini söylemek çok zor.”