Kısa Süre Önce Meydana Gelen Güvenlik Olayları ve Artan Tehditler
Son zamanlarda, genç bir havacının gizli belgeleri internete sızdırmasıyla ortaya çıkan olaylar, ABD hükümetinin güvenlik açıklarıyla tekrar yüzleşmesine neden oldu. Bu sızıntıların ardındaki en büyük sorunlardan biri, iç personelin kasıtsız veya dikkatsizlik sonucu yaptığı veri paylaşım ve sızdırma işlemleridir. Bu durum, hem devlet kurumlarını hem de özel sektör kuruluşlarını ciddi anlamda tehdit ediyor. Sadece bu olaylar değil, aynı zamanda düşük seviyedeki saldırganlıklar ve veri sızıntıları, kurumların bilgi güvenliği stratejilerinde yeni yaklaşımlar geliştirmesini zorunlu kılıyor. Bu tür sızıntıların, kötü niyetli olmayan ama sonuçları ağır olan olaylar olduğunu vurgulamak gerekir.
İnsan hatası, hem kamu hem de özel sektördeki veri ihlallerinin en büyük nedenlerinden biri olarak öne çıkıyor. Dünya Ekonomik Forumu’nun 2022 Küresel Riskler Raporu, siber tehditlerin %95’inin insan hatalarına dayandığını ortaya koyarken, 2022 Veri İhlali Araştırmaları Raporu (DBIR) ise bu oranı %82 olarak belirliyor. Bu veriler, kazara gerçekleşen veri sızıntılarının, hükümetlerin başına gelen en büyük sorunlardan biri olduğunu gösteriyor. Dünya genelinde yaşanan vakalara örnek olarak, İngiliz bir memurun El-Kaide dosyalarını trende unutması, Avustralya hükümetine ait gizli belgelerin satılan dolaplarda bulunması veya İngiltere hükümetinin terörle mücadele araçlarının yanlışlıkla Trello platformunda paylaşılıp sızdırılması gösterilebilir. ABD’de 2015 yılında 191 milyon seçmenin kişisel bilgilerinin internette yayınlanması ve askerlerin nükleer sırlarının yanlışlıkla bir uygulamaya sızdırılması gibi vakalar da bu sorunun boyutunu ortaya koyuyor.
Aslında, bu sorunun tamamen ortadan kalkmayacağını ve daha da kötüleşebileceğini öngörebiliriz. Veri taşınabilirliğinin artmasıyla birlikte, hükümetler ve kurumlar verilerini farklı lokasyonlarda barındırma ve hibrit çalışma ortamlarına geçiş yapma avantajı yakaladı. Ancak bu durum, çalışanların teknoloji uygulamaları üzerindeki denetim seviyesini azaltmakta ve buluttaki geniş veri hacmi, bilgisayar korsanlarının erişim noktalarını çoğaltmakta. Bu eğilimler, personelin siber hijyen ve operasyonel güvenlik (OPSEC) konusundaki bilgi eksiklikleriyle birleştiğinde, kamuya açık veri kaynaklarının kolayca hedef haline gelmesine neden oluyor.
Kuruluşlar ve Güvenlik Stratejileri: Çalışanlara Nasıl Destek Olmalı?
İlk adım olarak, kurumlar bulut ve konteyner ortamlarındaki verilerin güvenliğini sağlama yoluna gitmeli. Birçok kuruluş, bulut altyapısına yatırım yaparken, gerekli güvenlik standartlarını ve kontrolleri yeterince uygulamıyor. Uygun güvenlik modelleri ve kontroller olmadan, kurumlar büyük riskler altına giriyor. Bu, kötü niyetli bir aktörün ağı uzun süre kontrolü altında tutmasına imkan tanıyabilir. Ayrıca, kuruluşların erişim politikalarını gözden geçirmeleri ve güçlendirmeleri gerekiyor. Kritik bilginin güvenliği için, özellikle gizli bilgilerde, “en az ayrıcalık” ilkesi ve rol tabanlı erişim kontrolü (RBAC) gibi güvenlik modelleri temel alınmalı. Bu yaklaşımlar, kullanıcıların yalnızca ihtiyaç duyduğu bilgilere erişimini sağlar ve yetkisiz erişimleri engeller.
Kuruluşlar, çalışanların bilgi güvenliği farkındalığını artırmak ve kasıtsız veri sızıntılarını önlemek adına düzenli eğitimler düzenlemeli. Bu eğitimler, çalışanların siber tehditler ve veri koruma konusunda bilinçlenmesini sağlar. Ayrıca, siber güvenlik eğitimlerinin sürekli ve güncel tutulması önemlidir. Çalışanlara, sızıntı durumunda atılması gereken adımlar anlatılmalı ve bu konuda farkındalık sağlanmalıdır. Dijital varlıkların kritikliği belirlenerek, bunların korunması için etkili müdahale planları geliştirilmelidir.
En İyi Güvenlik Uygulamaları ve Tavsiyeler
- Çok faktörlü kimlik doğrulama (MFA) kullanın ve yapılandırın.
- Güçlü parolalar ve hesap kilitleme politikaları uygulayın.
- Kullanılmayan cihazlar ve uygulamalar ile çalışanların işten ayrılanların erişimlerini kaldırın.
- İhtiyaç duyulmayan bağlantı noktası ve internet erişimini kapatın.
- Yama yönetimi ile tüm yazılım ve donanımların güncel kalmasını sağlayın.
Saldırganlar, her geçen yıl daha gelişmiş ve yaratıcı yöntemler kullanarak kurumların kritik varlıklarına ulaşmaya çalışıyor. Bu nedenle, güvenlik önlemleri sadece tehditlere odaklanmakla kalmamalı, aynı zamanda kasıtsız veri sızıntılarını da önlemeye yönelik olmalı. Kurumlar, bu riskleri minimize etmek adına, sürekli güncellenen ve etkin güvenlik stratejileri geliştirmelidir.
Veeam Hakkında Bilgi
Veeam®, kuruluşlara hibrit bulut ortamlarında veri güvenliği, kurtarma ve veri özgürlüğü sağlayarak, operasyonel esneklik sunar. Veeam Veri Platformu, bulut, sanal, fiziksel, SaaS ve Kubernetes ortamlarını kapsayan kapsamlı çözümler sunarak, işletmelerin uygulamalarını ve verilerini koruma altına alır. Merkezi Columbus, Ohio’da bulunan ve dünya genelinde 30’dan fazla ülkede ofisleriyle faaliyet gösteren Veeam, Fortune 500 şirketlerinin %82’si ve Global 2000 listesine giren şirketlerin %72’sine hizmet vermektedir. Ayrıca, küresel ekosisteminde 35.000’den fazla teknoloji ortağı, satıcı ve hizmet sağlayıcıyla iş birliği yapmaktadır. Daha fazla bilgi almak ve güncel gelişmeleri takip etmek için veeam.com adresini ziyaret edebilir veya sosyal medya hesaplarını takip edebilirsiniz: LinkedIn: @veeam-software ve Twitter: @veeam.
