Pandeminin neden olduğu kapanmanın e-ticarete ilgiyi katlaması, bu yılbaşı siber saldırganların insanları dolandırmak için daha fazla alan bulmasına neden oluyor. Pandemi süreci zaten, siber saldırıların pandemiyi aratmayacak performansını gözler önüne sermişti. Yılbaşı geçtikten sonra ise, uzaktan çalışmanın güvenlik boyutu yeniden daha önemli hale gelecek. Gölge bilgi teknolojisini (BT) çalışanların yararına kullanma, siber güvenliğin 2021 gündeminde üzerinde dikkatle durulması gereken bir konu olarak yer alıyor.
KEREM ÖZDEMİR
Pandemi ile birlikte e-ticaretin gelişmesi, artan rekabetin aracı haline gelen kampanyaları yükselişe geçirdi. Bunun sonucunda internette kampanya yakalamak için hızlı tıklama siber saldırganlar için ideal ortamı yaratıyor. Pandemi, yılbaşı ve alışveriş kampanyaları üçlüsünün 2020’yi kapatırkenki performansını ocak ayından itibaren rakamlarla öğrenmeye başlayacağız. Şimdiden dikkat çekici göstergeler karşımızda duruyor.
Bütün dünyayı etkisi altında tutmaya devam eden pandemi ve yılbaşı, siber saldırılar ve özellikle siber dolnadırıcılık için ideal bir ortam yaratıyor. Pandeminin başlangıcından bu yana dijital işlemlerin yüzde 250 artarak çevrimiçi dolandırıcılığın Mart 2020 başından itibaren yüzde 11 oranında artmasına neden olduğu belirtiliyor. Kapanmanın neden olduğu dijitalleşmenin, yılbaşında siber saldırıların yaratacağı mali hasarda artışı ciddi bir biçimde tırmandıracağı beklentisi, ortak bir kaygıya dönüşmüş durumda. Siber saldırganların, bu fırsatı kullanarak alışveriş yapan kullanıcıları; sahte web siteleri, kimlik avı e-postaları, sosyal medya reklamları ve mesajlar aracılığıyla finansal ve kişisel bilgilere erişmek için kullanmayı hedeflediğine dikkat çekiliyor.
Burada insan psikolojisi, önemli bir açık olarak her zaman olduğu gibi karşımızda durmayı sürdürüyor. Bitdefender’ın refere ettiği bir istatistiğe göre, kullanıcıların yüzde 78’i, istenmeyen e-postalarla ilişkili risklerin farkında olduklarını iddia etse de yarısından fazlası meraklarına yenik düşerek yine de bağlantıları tıklamaya devam ediyor. Bu, “hem ağlarım hem giderim” şeklindeki türkü dizesine benzer bir durum yaratıyor.
Bir başka insani duygu olan yardım etme de, siber saldırganlar tarafından güçlü bir biçimde kullanılıyor. Bitdefender’ın yardım kuruluşlarının, dolandırıcılık veya siber suç nedeniyle 3,6 milyon euro zarar bildirdiğine ilişkin açıklaması, siber dolandırıcılar ve sahte hayır kurumlarının da kendilerinden şüphelenmeyen vatandaşlardan para toplamaya hazır olduğunu gösteriyor.
Tehditlerin genel görünümü, bu yeni normalden fazlasına odaklanmamız gerektiğine işaret ediyor. 2020’de Kaspersky tarafından her gün ortalama 360 bin yeni kötü amaçlı dosya tespit edilirken bu, bir önceki yıla göre
yüzde 5,2 oranında bir artışa karşılık geliyor. Tespit edilen dosyalarda en çok yüzde 40,5 ile Truva atları (verileri silme ve casusluk dahil olmak üzere çeşitli eylemleri gerçekleştirebilen kötü amaçlı dosyalar) ve yüzde 23 ile arka kapı dosyaları (saldırganların virüslü cihazı uzaktan kontrol etmesini
sağlayan bir Truva atı türü) artışı öne çıkıyor. Kötü amaçlı dosyaların yüzde 60,2’sini Truva atları oluşturuyor. Truva’nın kaybedilmesini engellemek için bu tehditlerle dikkatli mücadele etmek mutlak bir gereklilik. 2020’de reklam yazılımlarının 2019’a kıyasla yüzde 35 oranında düşüş yaşaması ise belki de tek iyi haber.
Ancak buradaki çarpıcı rakamlar, evden ya da uzaktan çalışmanın yeni normal haline gelmesi ile kurumsal taraftartaya çıkan yeni tehdidi gözden kaçırmaya neden olmamalı. Tıpkı COVID-19’da ölüm istatistiklerini takip etmenin hayatta kalmaya neden olmaması gibi, bu rakamları bilmek siber dünyada saldırılardan muaf olmayı sağlamıyor. Bununla bir birlikte bu tehdit ortamında hayatta kalmaya ve yaşamsal faaliyetlerine devam etmeyi sağlamaya odaklanmak için çalışmaya başlamak ya da bu konuda başlamış çalışmayı sürdürmek gerekiyor. Bu ise, doğru soruları sorup doğru yanıtlara ulaşmaya çalışmak demek oluyor.
Kaspersky Ticari Faaliyetlerden Sorumlu Başkanı (CBO) Alexander Moiseev, “Gölge bilgi teknolojisini (BT) şirket ve çalışanların yararına olacak şekilde nasıl yönetirsiniz?” sorusuna yanıt ararken bu önemli dinamiğin iyi
bir örneğini ortaya koyuyor. Gölge BT, pandemiden önce de şirketlerin yönetmesi gereken önemli bir konuydu. Pandemi sürecinde uzaktan çalışmanın gelişmesi, bu konunun önemini artırmış görünüyor. Sadece tanımlamadaki iş yerinde ifadesini yeniden tanımlamak gerekiyor. Kaspersky’nin araştırmasında, çalışanların yarısının kurumsal cihazlarından yetişkin içeriği izlediğini tespit etmesi, kurumsal altyapının dışındaki uygulamalara ya da kullanıcının bireysel olarak yüklediği uygulamalara atıfta bulunan Gölge BT’nin kapsamı ve siber saldırganlara açabileceği kapılar konusunda fikir veriyor. Bu önemli bir risk olmakla birlikte Gölge BT’nin çalışanların yararına kullanılmasının değerini de artıran bir unsur. Moiseev’in bu önemli konuda anlattıkları, 2021 siber güvenlik stratejilerini belirleyeceklere ışık tutacak nitelikte.
Uzaktan çalışmanın ardından ofis ya da çalışma alanı kavramı değişirken Gölge BT’nin nasıl ele alınması gerekiyor?
İş yerinde kurumsal ve kurumsal olmayan web hizmetlerinin birlikte kullanımı artık karşımızda duran bir gerçek. Farklı departmanlar çok sayıda özel bulut hizmetine erişirken, personel daha kendine daha uygun bulduğu için genellikle sosyal medyayı, dosya paylaşımını, mesajlaşma uygulamalarını ve farklı SaaS araçlarını kullanmayı tercih ediyor. Kaspersky’nin son küresel anketinde ortaya konduğu üzere, küçük ve orta ölçekli işletmelerin yüzde 92’sinde, büyük şirketlerin yüzde 89’unda bu durum geçerli.
Pandemi sırasında uzaktan çalışmanın gerekliliği bu, uygulamaları daha da yaygın hale getirdi. Evlerini ofis olarak kullanmaya başlayan çalışanlar, BT birimleri tüm kurumsal hizmetlere erişimlerini sağlamamış olsa bile işlerini halletmeye zorlandı. Aynı zamanda bu durum kurumsal ve kişisel yaşam arasındaki çizgiyi de bulanıklaştırdı. İnsanlar kurumsal dizüstü bilgisayarları iş dışında bir şeyler yapmak için kullanmaya başladı. Oyun oynamak, film izlemek, hatta porno seyretmek buna dahil.
Bu mevcut davranış yeni bir norm yaratıyor gibi görünse de ortada hala bir soru var: İşletmeler gölge BT konusunda ne yapmalı? Bu işin risklerini, ödülleri ve olası çözümleri ayrıntılı olarak incelemek gerekiyor.
Gölge BT ile veri güvenlliği arasındaki ilişki ne şekilde?
İletişim, iş birliği, dosya depolama ve paylaşım için yetkili kurumsal hizmetlerin şirket BT ekipleri tarafından uygun şekilde yapılandırılması ve erişimlerin denetimi, veri koruması ve olay yönetimi açısından son derece önemlidir. Bu, bir işletmenin yeterince şeffaf olduğu anlamına gelir ve şirket dışından hiç kimsenin kurumsal alana ve içeriğe, en azından gelişmiş kötü amaçlı araçlar olmadan erişememesini sağlar.
Mesajlaşma yazılımları, dosya paylaşımı, e-posta veya CRM gibi kurumsal olmayan hizmetler söz konusu olduğunda ise, çalışanların bunlar aracılığıyla paylaştıkları verilerin güvende olup olmadığı belirsizdir. Çalışanların güçlü parolalar kullanıp kullanmadıkları, hizmete nasıl ve hangi cihazlardan eriştikleri veya çalışan şirketten ayrılırsa erişimi kimin yöneteceği gibi sorular havada kalır.
Kontrolün çalışanlarda olmasının yaratabilceği riskler neler?
Çalışanların şifre oluşturmayı veya paylaşılan bir belge için görüntüleme ve düzenleme yetkilerini sınırlandırmayı unutması, doğal bir insan faktörüdür. Alternatif olarak, uygulamalar kötü niyetli eylemlere de maruz kalabilir. Dolandırıcılar, kötü niyetli kişilerin 2019’da popüler dosya paylaşım platformu WeTransfer’ı kötüye kullanması örneğinde olduğu gibi, kimlik avı veya sosyal mühendislik yoluyla kullanıcıların hesaplarını kötüye kullanabilir ve ele geçirebilir. Bahsi geçen olayda siber saldırganlar WeTransfer aracılığıyla çalışanlara kötü amaçlı dosyalar gönderdiler ve bu dosyaları indiren kurbanlar bilgilerini toplayan sahte bir Microsoft Office 365 giriş sayfasına yönlendirdi.
Şirketler Gölge BT’yi nasıl yönetebilir?
Gölge BT kaçınılmazsa onu gün ışığına çıkarın. Gölge BT’ye karşı en radikal yaklaşım, kurumsal olmayan tüm hizmetlere erişimi engellemektir. Ancak bu durum özellikle yeni çalışma koşullarında her şirkette ve her zaman gerçekçi olmayabilir. Bazen gölge BT gerçekten çalışanların işlerini daha iyi yapmalarına yardımcı olabilir, körü körüne koyulacak bir yasak iş verimliliğinin etkilenmesiyle sonuçlanır. Yaşanan bir örnekte şirketin başkan yardımcısı, BT ekibinin önerdiği sistemi atlayarak kendi cebinden bir CRM çözümü için ödeme yaptı. Şirket konudan haberdar olduğunda kullanılan yeni CRM sayesinde şirketin gelirini ayda 1 milyon dolar artırmış olmasına rağmen, yönetici disiplin cezasıyla karşı karşıya kaldı.
Bu nedenle denge kurmak çok önemli. BT’yi bir zulüm gibi dayatmamak, ama aynı zamanda şirketi risklere maruz bırakacak adımlardan kaçınmak da önemli. Bu sürece liderlik etmenin yolu Gölge BT’yi gün ışığına çıkarmaktır.
Bunu tam olarak nasıl yapabilirsiniz?
Öncelikle kurumsal e-postadan özel mühendislik yazılımlarına, hatta herkesin kullandığı WhatsApp’a kadar dijital hizmetlerin güvenli kullanımı konusunda personelin farkındalığını artırmak, şirket içinde siber güvenliği iyileştirmenin anahtarıdır. Çalışanların iş belgelerini yetkisiz uygulamalar aracılığıyla paylaşmalarına izin vermeyen bir kurumsal politika varsa
bunu iyi bildiklerinden emin olmanız gerekir. Herhangi bir aracı yönetirken, çalışanlar erişim ve şifre yönetimi gibi temel güvenlik süreçlerinin farkında olmalıdır. Ayrıca, bilinmeyen gönderenlerden gelen e-postalarda ekleri açmamak veya e-postalardaki bağlantılara tıklamamak, resmi olmayan kaynaklardan yazılım indirmemek, giriş bilgilerini talep eden web sayfalarının URL’sini ve her zaman kontrol etmek gibi temel güvenlik kurallarını da öğrenmeleri gerekir.
Siber güvenlik hakkında konuşurken doğru ses tonunu kullanmak da önemlidir. Cezalandırmak yerine eğitin, hatırlatın, test edin ve tekrar hatırlatın. Çalışanlarınıza bunun neden bu kadar önemli olduğunu, çalışmalarını nasıl desteklediğini açıklayın. Ekip söz konusu hizmetleri iş için kullanmaya devam edebilir, ancak kurallara uymaları ve veri koruma politikalarını ihlal etmemeleri çok önemlidir.
Bunun dışında yapılabilecek neler var?
İkinci olarak, gölge BT üzerinde görünürlük elde etmek ve bunu kurumsal kaynaklarla entegre etmek büyük önem taşır. Ekiplerin genel bulutlara erişimi yönetmesine olanak tanıyan özel araçlar vardır. Bunlar hangi hizmetlerin daha sık kullanıldığını, hangilerinin veri aktarımı ve depolama potansiyeline sahip olduğunu ve ne kadar riskli olduğunu vurgular ve gerekli önlemleri alır. Bu araç bağımsız bir çözüm olabildiği gibi, bir uç nokta güvenliğiyle de entegre olabilir. Örneğin böyle bir bulut keşfinin yardımıyla, çalışanların kurumsal cihazlarda en çok eriştiği uygulamanın YouTube olduğunu keşfettik. YouTube, dosya paylaşımı veya herhangi bir ticari veri işleme seçeneği sunmadığından riski azdır. Tabii personelin verimliliğini etkilemediği sürece, ancak bu başka bir hikaye.
Son olarak şeffaf ve anlaşılır süreçlere sahip olmak önemlidir, kurumsal kültürünüz çalışanları iyileştirme talebinde bulunmaya teşvik etmelidir. Biraz önce sözü geçen başkan yardımcısı ve ‘gölge’ CRM hikayesinin benzeri başka bir şirkette de olabilir. Örneğin BT ekibi gelen talepleri dikkate alma konusunda isteksiz davranabilir. Yeterli zamanları veya kaynakları olmayabilir, şirketin kendisi değişime elverişli bir kurumsal kültürden yoksun olabilir. Çalışanların destek ekipleriyle iletişime geçmesine ve yardım almasına yardımcı olan tanımlanmış uygulamalar oluşturmak bu durum için çözüm oluşturabilir. Yardım masası gerekli olanı sağlayamasa bile, geçici çözümlere başvurabilmelidir.
Güvenli bir şirket yapısı kurmak için Gölge BT’yi engellemek mümkün mü?
Gölge BT çok yaygın, çünkü bir şeyi yapmanın her zaman en kolay ve en uygun yolunu aramak insanın doğasında var.
Bu konuyu dikkatli bir şekilde ele alarak, yukarıdaki basit önerilerle kuruluşunuzda bunları yönetebilirsiniz. Bu, yalnızca veri koruma risklerine maruz kalmayı azaltmakla kalmaz, aynı zamanda BT departmanı ile diğer çalışanlar arasında daha iyi iletişimi teşvik eder. Aynı zamanda başka bir olumlu sonuca da yol açar; şirketin çalışanlarına ve çalışanların şirketlerine olan güvenini artırır.