KOBİ’lere Yönelik Siber Tehditlere Karşı Yapılması Gerekenler

Birçok küçük ve orta ölçekli işletme (KOBİ), siber suçluların kendilerini siber saldırılara karşı daha savunmasız hale getiren benzersiz özelliklerden yararlanmaya istekli olduklarını fark etmiyor. Hatta iş hacimlerinin onları bilgisayar korsanları için daha az çekici bir hedef haline getirdiğini varsayıyorlar. Ama durum hiç de öyle değil.

Dijital verileri korumak, kurum içi siber güvenlik personeli bulundurmayı ve tehdit izleme ve uç nokta tespit altyapısı kurmayı göze alabilen büyük şirketler için nispeten kolay olsa da, bu durum KOBİ’ler için çoğu zaman imkansız görünebilir. Özellikle bu işletmelerin operatörleri ve çalışanları, yaygın siber güvenlik tehditleri hakkında genellikle bilgisiz olduklarından, daha fazla tehlike ile karşı karşıyadır.

KOBİ’ler, karşılaştıkları tehditleri anlayarak ve nispeten az çaba gerektiren ancak oldukça etkili birkaç koruma önlemi uygulayarak, dijital varlıklarını güvence altına alabilirler.

KOBİ’lere yönelik “benzersiz” tehditler

Küçük şirketlere yönelik siber güvenlik tehditlerinin kapsamı, çok uluslu büyük şirketlerin karşılaştığı tehditlerden daha az çeşitli değildir, ancak KOBİ’lerin iş hacmi ve altyapı eksikliği, onları genellikle siber tehditlere karşı daha savunmasız bırakır. Bilgisayar korsanları genellikle daha az hazırlık ve risk gerektiren planları tercih eder ve KOBİ’ler daha kolay hedef haline gelirler.

Büyük güvenlik açıkları, KOBİ’lerin en büyük dezavantajlarıdır, çünkü genellikle tedarik zincirlerinin her yönünü kontrol etmezler. Bir siber suç aktörü, bir yazılım tedarik zinciri hack’leyebilir, küçük satıcıları ve tedarikçileri siber güvenlik koruması çok az olan veya hiç olmayan zayıf noktalar olarak izole ederek tüm bir işletme zincirini devre dışı bırakabilir. Lojistik ve operasyon sektörlerindeki KOBİ’ler, diğer birçok şirketle bağlantılı olmaları ve operasyonlarını %100 kapasitede hızla sürdürmek için fidye ödemeye daha istekli duruşları nedeniyle nispeten savunmasız hedeflerdir.

Bununla birlikte hibrit çalışma modeliyle birlikte tamamen yeni bir dizi siber tehdit ortaya çıktı. Salgının başlangıcında dijitalleşmek için acele eden birçok KOBİ, dosyalarını ve işlemlerini buluta taşımak da dahil olmak üzere sağlıklı olduğunu düşündükleri sistemlere güveniyordu. Bulutun merkezi olmayan doğasının siber saldırganlar tarafından hedeflenemeyeceğini umuyorlardı. Ancak, bir güvenlik açığı oluşturmak için gereken tek şey bir hata olduğundan bulut yazılımı sağlayıcılarına bile sızılması mümkün. Yine de araştırmalara göre çoğu KOBİ, uzaktan çalışmanın yarattığı yeni güvenlik açıklarını kabul etmekte nispeten başarısız görünüyor ve bazıları işlerini güvenli olmayan sistemler aracılığıyla yürüttükleri için çok daha fazla savunmasız durumdalar.

Tüm bu tehditler KOBİ’lerin başarısı için büyüyen bir tehlikeyi ortaya koyuyor. Bu noktada bazı KOBİ’lerin diğerlerinden daha savunmasız olduğunu söylemek zorundayız. Hiçbir zaman hedef alınacağını düşünmeyen bazı sektörler (örneğin tarım) bu bağlamda temel siber güvenlikten yıllardır kaçınarak bu konuda çok geride kalmış durumda.

Düzenlemeler başka sorunları da beraberinde getiriyor

Büyüyen tehditlere ek olarak, hükümetlerin kontrolünde hayata geçirilen ek siber güvenlik uyumluluk gereksinimleri ve yönetmelikler, siber güvenlik konusunda işi ciddiye almak isteyen KOBİ’ler için bile süreçleri karmaşık hale getiriyor. Örneğin ABD’de Kaliforniya Tüketici Gizliliği Yasası (CCPA) ve NY SHIELD Yasası da dahil olmak üzere yeni eyalet düzenlemeleri, özel bilgilerin tanımını ve veri gizliliği gereksinimlerini genişletiyor, bu da KOBİ’lerin özel güvenlik personelleri olmadığı için veri güvenliği uyumluluğu yakalamasını zorlaştırıyor.

Yine ABD’deki Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) gibi federal önlemler için sertifika almak, özellikle İki Taraflı Altyapı Yasası’nın yürürlüğe girmesini takiben yeni sözleşmeler ile tekliflerini çok daha çekici hale getirmek isteyen tüm KOBİ’ler için bir nimet. Yine de, sertifika, bu süreçte birden çok üçüncü taraf satıcıyla zaman yoğun etkileşimler gerektirir. Ayrıca, işletmeler nihai gereksinimlerle ilgili olarak ABD Savunma Bakanlığı’ndan rehberlik bekler. Bu konudaki gereksinimleri elde edebilmek ise KOBİ’yi bunaltabilir. Bu örnekleri dünyanın birçok ülkesi üzerinden artırmak mümkün.

Siber tehditlerle mücadele

KOBİ’lerin etrafında dönen tüm bu tehditler ve yasal gereklilikler ile operatörlerin, verilerinin korunmasını sağlamak için en uygun maliyetli ve güçlü siber güvenlik önlemlerini seçmesi gerekiyor.

Bir güvenlik sisteminin en zayıf yönü genellikle onu kullanan kişiler olduğundan, KOBİ’ler için tartışmasız en etkili koruma önlemi, çalışanlar için siber güvenlik eğitimidir.

Başlangıç olarak siber hijyen eğitimi uygulamak ve düzenli bir siber güvenlik ipuçları ve püf noktaları göndermek, çalışanların yaygın kimlik avı planlarını ve bunların nasıl hedef alınabileceklerini anlamalarına yardımcı olabilir. Katılımı artırmak için, eğitimleri oyunlaştırmayı veya kimlik avı planlarını bildiren çalışanlara küçük teşvikler de verilebilir.

Kurumların güvenlik açıklarının nerede olduğunu anlamalarına yardımcı olmak için rutin sızma testinin yürütülmesi ve yalnızca doğrulanmış çalışanların şirket bilgilerine erişmesini sağlamak için çok faktörlü kimlik doğrulama gibi çözümler de bu noktada önemlidir.

Bunların haricinde, koruma önlemleri başarısız olursa hızlı hareket etmek için bir veri ihlali müdahale planı formüle etmek için üçüncü taraf risk değerlendirme hizmetlerine yatırım yapmak gerekir. Sonuç olarak, bu çözümlerden herhangi birinin uygulanması, bir şirketi veri koruma açısından kesinlikle bulunduğu noktadan daha iyi bir yere götürecektir.