Kurumların Siber Güvenlik Yaklaşımlarını Olumsuz Yönde Etkileyen 10 Şey

Siber suçların, 2025 yılına kadar küresel ekonomide yıllık 10 trilyon dolara mal olması bekleniyor. Siber güvenlik esaslı harcamalar tüm zamanların en yüksek seviyesinde olsa da, güvenlik liderlerinin çoğu hala bu kapsamdaki yatırımlara güvenmiyor. Bunun nedeni, çoğu güvenlik ihlalinin yetersiz güvenlik kontrollerinin bir sonucu olmayıp, doğrudan insan odaklı hatalardan kaynaklanıyor olması.

Peki insanlar neden bu hataları yapıyor? Davranışlarımızı neler tetikliyor? Neden manipülasyona bu kadar duyarlıyız? Bu tetikleyicileri anlamak, kurumların bilgi güvenliğine yaklaşımlarını değiştirmelerine ciddi anlamda fayda getirebilir.

Sezgisel yöntemler ve önyargılar siber güvenlik zafiyetlerine yol açabiliyor

Güvenlik ile ilgili aldığımız kararlar genellikle bilinç altımızın içsel zayıflıkları tarafından gölgelenir. Bu da riskli davranışlara, kötü kararlara ve güvenlik duruşumuzda boşluklar oluşmasına neden olabilir.

Beynimiz genellikle bilgiyi mümkün olduğunca çabuk sindirmeye yardımcı olan bilişsel kısayollar (sezgisel yöntemler) arar. Normalde bu yaklaşım, güvenlik ekiplerinin büyük miktarda veriyi rasyonel olarak işlemesine yardımcı olur; ancak nadir de olsa tüm organizasyonu ciddi riske atabilecek kötü bir karar alınmasına da sebep olabilir.

Benzer şekilde, önyargılarımız da, güvenlikle ile ilgili doğru kararlar üretmek için yaptığımız muhakemelerde hataların ortaya çıkmasına neden olabilir. Örneğin, sivrisinekler bir günde köpekbalıklarının 100 yılda öldürdüğünden daha fazla insanı öldürür, ancak insan içgüdüsü köpekbalıklarından daha çok korkmaya programlıdır.

Siber güvenlikte en sık karşılaşılan bilişsel çarpıtmalar

Bilişsel çarpıtmalar ya da önyargılar, psikologların uzun yıllardır incelediği bir konu olmakla birlikte reklam, satış, pazarlama ve diğer sektörlere yönelik etkisi de sıkça gündeme geliyor. Ancak bilişsel önyargıların siber güvenlik üzerindeki etkisi genellikle ihmal edilir veya ayrıntılı olarak incelenmez. Bilgi güvenliği üzerindeki etkileriyle birlikte siber güvenlikte en sık karşılaşılan 10 bilişsel çarpıtmaya göz atalım.

1. Sezgisel etki: Bu çarpıtma, insanların karar vermelerine ve sorunları hızlı ve verimli bir şekilde çözmelerine izin veren, mevcut duyguların (korku, zevk, sürpriz gibi) kararları etkilediği zihinsel bir kısayoldur. Örneğin, güvenlik personeli belirli bir durum hakkında iyi hislere sahipse, bunu düşük riskli olarak algılayabilir ve daha detaylı kontrolleri gereksiz görebilir.
2. Sabitleme etkisi: Sabitleme etkisi, bir bireyin kararlarının belirli referans noktasından etkilendiği bilişsel bir önyargıdır. Örneğin, bir bilgi güvenliği şefi (CISO) veya üst düzey yönetici, belirli bir siber tehdidi öncelikler arasında üst sıraya koyarsa diğer çalışanlar, tüm tehdit ortamını değerlendirmek yerine bu spesifik tehdide odaklanırlar.
3. Kullanılabilirlik etkisi: Kişi bir durum ya da olayla ne kadar sık karşılaşırsa, o durum ya da olay hafızasında o kadar kolay “erişilebilir” olur. Güvenlik ekipleri, bir tehdidi değerlendirirken, olası tüm riskleri değerlendiren metodik bir yaklaşımı benimsemek yerine genellikle hafızalarına, deneyimlerine veya sektör eğilimlerine güvenirler.
4. Sınırlı rasyonellik: Bu önyargı, bilginin tam olmaması veya asimetrik bilgi formunda olması durumunda gözlemlenen, insanların sınırlı rasyonel bir biçimde hareket ettikleri ve süreci optimize etmek yerine tahmin etmeye çalıştıkları durumdur. Bir siber saldırı sırasında tansiyon yükseldiğinde güvenlik ekipleri, bilgi mevcudiyetine ve ellerinde bulunan güvenlik araçlarının türlerine dayalı olarak “yeterince iyi” kararlar alabilirler.
5. Seçim paradoksu: Güvenlik ekipleri karar verme ve seçim yapma konusunda kimi zaman sorun yaşarlar. Piyasada, siber tehditler için binlerce güvenlik çözümü mevcuttur. Pazarlama mesajları ve satıcı tarafının yaklaşımları, güvenlik ekiplerinin yanlış sorun için yanlış çözüm seçmesine neden olabilir.
6. Karar yorgunluğu: Tekrarlayan karar verme süreçleri, zihinsel kaynakları tüketebilir ve bu da karar yorgunluğuna yol açabilir. Güvenlik araçları günde ortalama 1000’den fazla uyarı üretir ve bazı güvenlik personelleri yoğun oldukları durumlarda bu güvenlik uyarılarını görmezden gelebilir.
7. Sürü psikolojisi: İnsanlar bilinçaltlarında daha geniş bir grubun eylemlerini taklit eder. Dolayısıyla, post-it notlarına parola yazan bir grubunuz varsa, bu davranış hızla yayılabilir ve tüm kurumun alışkanlığı haline gelebilir.
8. Lisans etkisi: Bu, insanların eylem için duygusal bir ödül elde etmelerine bağlı olarak kendi kendilerine olumsuz/olumlu şekilde harekete geçmelerine izin verdikleri olgudur.

Güvenlik ekipleri ve çalışanları da bu bağlamda kayıtsız olmaya meyillidir. Örneğin bir çalışan, hassas belgeleri parçalara ayırırsa ve o gün için iyi bir şey yaptığını hissederse, bu ona bir kimlik avı e-postasını tıklatabilir.

9. İyimserlik önyargısı: İnsanların %80’inin iyimserlik yanlılığı sergilediği biliniyor ve bu aynı zamanda siber güvenlik süreçleri için de geçerli.

Yönetim, güvenlik ekipleri ve çalışanlar, yapılandırılmış güvenlik süreçleri ve araçlarına sahip oldukları için siber saldırılara karşı bağışık olduklarına dair genellikle yanlış, iyimser bir kanıya sahiptir. “Bu benim başıma gelmez” şeklindeki yanlış inanış siber güvenlikte kötü senaryoların ortaya çıkmasına neden olur.

10. Benlik kaynakları tükenmesi: İnsanlar, zamanla azalan sınırlı bir irade gücüne sahiptir. Örneğin, çalışanlar bir eğitim sonrasında güvenlik konusunda daha hassas davranırlar. Ancak söz konusu hatırlatıcılar yoksa ve süreç rutine dönüşürse bu davranış daha sonra azalmaya başlayacaktır.

Önyargıların üstesinden gelmek için neler yapılabilir?

İnsanlar, siber güvenlik süreçlerindeki en zayıf halkadır ve fırsatçı siber suçlular, mevcut önyargılardan kolayca yararlanıp bunları kendi avantajlarına göre manipüle edebilir. Bu önyargıların üstesinden gelmek için şunlar önerilir:

Teknoloji yerine psikolojiye odaklanın: İnsan davranışı her zaman temel odak noktası olmalıdır ve siber güvenlik kontrolleri bunlar etrafında tasarlanmalıdır.

Derinlemesine güvenlik çözümleri kullanın: Teknolojik kontroller, eğitim ve prosedürlerin birleşiminden oluşan katmanlı bir güvenlik yaklaşımına odaklanın.

Düzenli iletişim ve eğitim yoluyla güvenlik kültürünü güçlendirin: Simüle edilmiş kimlik avı alıştırmalarıyla tamamlanan güvenlik bilinci eğitim programları aracılığıyla sürekli eğitim, güvenlik kültürünün güçlendirilmesine büyük ölçüde yardımcı olabilir.

Siber güvenlik, özünde öncelikle bir insan temelli bir sorundur. Güvenlik ekiplerinin bunu fark etmesi ve yaklaşımlarını buna göre değiştirmesi önemlidir.