Günümüz ve gelecekte savaşların güdümlü silahlar ile değil siber mermiler ile yapılacağı düşünülmekte, internet ile etkileşimi olan her bir aygıt artık tehdit olarak görülmektedir. Peki bu tehdit karşısında hangi güvenlik tedbirlerine ihtiyaç vardır? Bu sorunun cevabını bulabilmek adına öncelikle Siber Hijyen konusunu inceleyelim ve siber hijyen deyince aklımıza ayrı ayrı siber ve hijyen kelimelerinin nasıl çağrışım yaptığına, birlikte kullanıldığında hangi anlama geldiğini bakalım.
Siber; internet ile alakalı her şey, hijyen; bir durumu korumak ve temizlemek adına yapılan eylemler ise siber hijyen nasıl sağlanır? Bir saldırı gerçekleşmeden önce bu duruma proaktif yaklaşılırsa siber hijyeni sağlamadaki ilk adım gerçekleştirilmiş olunur. Yaşam alanlarına gelebilecek dış tehditleri düşünelim. Genellikle evlerin iç kapıları ile dış kapısı arasındaki sağlamlık aynı olmaz. Dış kapı muhakkak daha ağır, dayanaklı ve sağlam olur çünkü yabancıların ve eve izinsiz girmeye çalışanların sağlam kapıları açması daha zordur. Bu sebeple siber güvenliği tehdit edecek her durum için alınan siber önlemler ve güvenliğin aşıldığı durumlarda izlenebilecek yol haritasının belirlenmesi ile siber hijyen sağlanmış olur. Bu süreç içinde yanlış / eksik malzemeler ile alınan temizlik ve koruma işlemleri de sonucu doğrudan etkiler. Korumak için yaptığınız eylemler ve kullandığınız uygulamalar hakkında doğru araçları bulmak adına araştırmalar yapmanız gerekir. Güvenilir, sektörde kabul görmüş virüs araçları ile VPN (Virtual Private Network / Sanal Özel Ağ) erişimi sağlayan sağlayıcıların, şirketlerin mevcut ağ topolojileri ile entegre çalışması bu noktada çok önemlidir. Konunun önemini ifade etmek adına ücretsiz anti-virüs yazılımı sunan Avast’ın kullanıcı bilgilerini, dünyanın en büyük firmalarına (Microsoft, Google, Pepsi) sattığı ortaya çıkalı fazla zaman olmadı.
Peki bu durumda biz neler yapabiliriz?
Öncelikle internete bağlanan cihazlarınız için kullanılan şifreleri sadece kullanıcının kendisinin bilmesi gerekir. Bu cihazlarda kullanılan şifrelerin ise aynı olmamasına ve çeşitli rakam, harf ve simgeleri kullanarak oluşturulmasına dikkat edilmelidir. İmgeleri kullanırken kişisel bilgilerin örneğin doğum tarihi, taraftarı olunan takımın kuruluş yılı ya da isim-soy ismin şifrede yer almaması bu konuda atılabilecek ilk adım olabilir.
Daha sonrasında şifrelerinizi düzenli olarak 90 günde bir değiştiriyor olmanız atılacak adımı sağlamlaştırır. Çünkü Rus veri tabanında 1 milyardan fazla şifrenin zaten saklanmış durumda olduğunu biliyoruz.
Bunun dışında Anti-virüs programınızdaki e-mail taramasının faal hale getirilmesi önemli bir tedbirdir. Gelen e-postalarınızdaki otomatik ön izlemeyi kapatmak ve eklere de her zaman güvenmemek doğru olacaktır. Hiçbir zaman e-posta isteklerini kabul etmeyin. Çünkü gelişmiş siber saldırıların büyük çoğunluğu e-posta üzerinden başlatılmaktadır.
Önemli bilgileri paylaşmayın. Postalarınızı göndermeden önce kime gönderdiğinizin (To, Cc ve Bcc’ye eklediğiniz adreslerin) doğruluğunu iki kere kontrol edin. Çünkü Solar Winds’in yaptığı bir araştırmaya göre ankete katılanların %78’i yanlışlıkla yanlış alıcıya e-posta gönderdiğini itiraf etmiştir.
Olası bir güvenlik riski tespit edildiğinde izlenmesi gereken yollar için bir plan hazırlayın ve bu risk analizini çalışma arkadaşlarınız ile paylaşın. Böyle yaparak saldırı ve düzenleme arasındaki süre kısalmış olur. Daha da önemlisi proaktif olarak sorunları planlayabilirsiniz. Microsoft Windows tabanlı cihazlarda ve Acrobat, Java, Flash gibi yaygın üçüncü taraf eklentilerde “otomatik güncelleme” yaparak yamaları güncel tutmalısınız çünkü genel kötü amaçlı yazılım bulaşma vektörlerinin ne zaman geleceğini kestirmek güçtür.
Hassas verilere olan erişimi düzenli olarak değerlendirin. Rollerin değiştiğini fark ettiğinizde, İnsan Kaynakları biriminize kimlik bilgisi incelemeleri ekleyerek yalnızca “bilmesi gereken” çalışanların erişebildiğinden emin olun.
Bu adımları süre gelen bir ritüel haline getirmek; şüphesiz siber hijyeni sağlamaya yönelik büyük bir adım atmanızdan daha fazlası olacaktır.
İkaros & Partners