Uzaktan Çalışmanın Güvenlik Riskleri

COVID-19 salgınının neden olduğu en belirgin değişikliklerden biri şüphesiz ki uzaktan çalışmanın yükselişi...

Uzaktan çalışma esneklik ve rahatlık sunarken çalışma düzenindeki bu ani değişiklik, kötü niyetli aktörlerin kullanabileceği saldırı yüzeyini genişletiyor. Çalışma modları değiştikçe riskler de değişiyor. COVID-19 dünyadaki işletmelerin uzaktan çalışma altyapısını test ediyor ve yeni güvenlik açıkları yaratıyor. Uzaktan çalışma, çalışanlar için cazip bir avantaj olsa da en iyi koşullar altında bile kendi güvenlik risklerini ortaya çıkarabiliyor.

Şirketlerin merkezi olmayan bir yapıya ulaşması nedeniyle VPN kapasitelerini artırmak, güvenlik protokollerini güçlendirmek ve uzaktan çalışan personellerin en güvenli uygulamaları kullanmalarını sağlamak, BT departmanlarının öncelikli hedefi oluyor.

Birçok şirket, uzaktaki iş güçlerinin ihtiyaçlarına hizmet etmek için ağları ve sistemleri yeniden yapılandırırken, çoğu uzaktan bağlanmanın getirdiği risklerin bile farkında değil.

Güvenli Olmayan Ağlar

Güvenli olmayan ve başkaları tarafından erişilebilen ağlar üzerinde çalışan bireyler güvenlik ve gizlilik riskleri oluşturuyor. Wi-Fi ile ilgili güvenlik saldırılarının % 62'si kahve dükkanları ve kafeler gibi halka açık ağlarda gerçekleştiriliyor.

Bunun yanında ofis ortamının aksine, çalışanların ev ağları genelde daha zayıf protokollere sahip (örneğin WPA-2 yerine WEP). Bu, bilgisayar korsanlarının ağ trafiğine daha kolay erişmesini sağlıyor. Uzaktan çalışan, ev Wi-Fi ağını güçlü parola korumasıyla güvence altına alarak riski azaltmalıdır. Yönlendiricinin yazılımı da düzenli olarak güncellenmelidir.

Uzaktaki çalışanlar hassas veya gizli bilgilerle çalışırken her zaman VPN kullanmalı veya firma tarafından işletilen güvenli bir dijital çalışma alanı aracılığıyla müşteri konularında çalışmaları ve müşteri verilerini veya belgelerini bu tür sistemler dışına - örneğin kişisel e-posta ile- göndermemeleri gerektiği hatırlatılmalıdır.

Güvenli Olmayan Cihazlar

Ev Wi-Fi ağına bağlı tüm cihazlarda en güçlü şifre uygulanmalı ve anti-virüs araçları, en azından günlük otomatik olarak güncellenecek şekilde yapılandırılmalıdır.

Kimlik Avı Saldırıları

Tüm başarılı siber saldırıların % 90-95'i kimlik avı saldırılarıdır. Kimlik avı saldırıları, bilgisayar korsanlarının hassas bilgilere erişmek için kullandıkları en yaygın yöntemdir. Tüm sektörler ve bireyler hedef alınır.

Bilgisayar korsanları, kötü niyetli bağlantılar ve ekler içeren, görünüşte meşru ancak aslında aldatıcı e-postaları kolayca gönderebilirler. Bir çalışan bu kötü amaçlı bağlantıya tıkladığında, farkında olmadan bilgisayarına keylogging yazılımını indirerek kötü niyetli kişilere kimlik bilgilerini sağlar ve sonra bu korsanlar meşru bir çalışan gibi önemli ticari varlıklara ve verilere özgürce erişebilirler.

Kuruluşların % 57'si en az bir mobil kimlik avı olayı yaşıyor. COVID-19 salgınında ise kimlik avı e-postaları % 600 arttı. Alınacak en iyi tedbir, kullanıcıların uyanık ve bilinçli olmalarıdır.

Bilgisayar Paylaşımı ve Kişisel Kullanım

Kişisel cihazların kullanımı, özellikle paylaşılan cihazlar ise kendi başına riskler oluşturur. Bu, kullanımları ile ilgili temel kurallara dikkat edilmesinin önemli olduğu anlamına gelir. Kişisel cihazlar paylaşılıyorsa, farklı kişilerin erişimi için ayrı şifreler uygulanmalıdır. Riskleri sınırlandırmak için bu tür cihazların güncel anti-virüs yazılımı korumasına ve yeterli güvenlik duvarlarına sahip olması gerekir. İşletim sistemleri tipik olarak yerleşik güvenlik duvarlarına sahip olacaktır, ancak bunların etkinleştirilmesi gerekebilir. Yazılım güncellemelerinin de düzenli olarak yüklenmesi gerekir. Bu tür adımlar olmadan, kötü amaçlı yazılımları ofis ağına taşıma veya müşteri verilerinin dışarı sızmasına izin verme riski vardır.

Video Konferans

Toplantıların yerini video konferanslar aldı. Bazı video konferans biçimlerinin yeterli güvenlik ve / veya şifrelemeden yoksun olabileceği, yani kaydedilebileceği ve ele geçirilebileceği konusunda endişeler söz konusu.

Bu tür platformların kullanılması risk oluşturur ancak aşağıdaki adımlar bunları sınırlayabilir:

Video konferansa bir şifre uygulanması;

Varsa video konferansın "kilitlenmesi";

Herhangi bir "kayıt" işlevini devre dışı bırakmak;

Belgeleri veya verileri diğer katılımcılarla paylaşmak için herhangi bir "yükleme" işlevi kullanmamak;

Bir ekran paylaşılacaksa, gizli bilgilerin yanlışlıkla başkalarına gösterilmemesini sağlamak için e-posta bildirim açılır pencerelerini devre dışı bırakmak;

Müşterilere, konulara, üçüncü taraflara ve diğer gizli veya hassas bilgilere atıfta bulunurken önceden kararlaştırılmış kod adlarını kullanmak;

Yeni bir bağlantı girerse, katılımcının kimliğini doğrulamak,

Dinleme konusunda, "akıllı" hoparlörler” gibi cihazların gizli görüşmeleri kaydedebileceğini ve bir kişi çalışırken kapatılması gerektiğini akılda tutmak da önemlidir.

"Düşük Teknoloji" Riskleri

Bireyler mümkün olduğunca dijital olarak çalışmaya teşvik edilmelidir. Ancak belgelerin yazdırılmasından kaynaklanan riskler söz konusudur. Belgeler yazdırılırsa, güvenli parçalama yoluyla imha edilmeleri gerekir.

Güvensiz Şifreler

Bilgisayar korsanlarının basit parolaları kırması inanılmaz derecede kolaydır ve dahası, birkaç platformda aynı güvenli olmayan bir parola kullanılırsa, bilgisayar korsanlarının çok kısa bir süre içinde birden çok hesaba yetkisiz erişim elde etmesine olanak tanır. Güçlü bir şifreleme kodu kullanılmalı ve farklı platformlarda aynı şifreler değil, farklı şifreler kullanılmalıdır.

Covid-19 Sonrası Yeni Normale Uyum

COVID-19 salgını muazzam ve hızlı değişiklikler yaratsa da şirketler büyük ölçüde veya tamamen uzak bir iş gücüyle ilişkili siber zorlukları görmezden gelemez. Risk ve yönetişim, BT altyapısı, operasyonlar ve çalışan eğitimi ile ilgili yukarıdaki risk değerlendirmeleri, şirketlerin bu zorlu zamanlarda daha güvenli ve verimli çalışmasına yardımcı olabilir.

Uzaktan çalışan firmaların tamamı yeni ve farklı riskler yaratırken, dikkatli bir şekilde devam eden yönetim, iletişim ve eğitimlerle önemli ölçüde riskler azaltılabilir. Tüm şirketlerin farklı olduğunu ve şirketin büyüklüğüne ve karmaşıklığına ve ayrıca şirket tarafından tutulan bilgilerin hassasiyetine bağlı olarak değişen kontrol ve prosedürlerin uygun olabileceğini unutmamak önemlidir.

Uzaktan çalışmanın bu sorunlarını doğru bir şekilde hesaba katan işletmeler, hem COVID-19 krizi sırasında hem de salgın sonrası bir dünyada siber direnci en iyi şekilde destekleyebilecek. Kısa vadede pandemiye yanıt olarak yapılan değişiklikler, nihayetinde uzun vadede daha esnek ve güvenli bir siber gelecek inşa edecek.

TOP
error: İçerik korunuyor !!