ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, küçük işletmelere yönelik bir dizi siber güvenlik tavsiyesi yayınladı.
Önceki yıllarda, siber saldırıların daha çok büyük şirketleri ilgilendiriyor gibi göründüğü algısı bir nebze kabul edilebilir bir gerçek olarak nitelendirilebilir. Bununla birlikte, sektör fark etmeksizin hemen her şirketin başta bulut olmak üzere bilişim altyapılarından olabildiğince fazla faydalanması hem küçük hem de orta ölçekli şirketlerin de bu konuya ağırlık vermesi ihtiyacını ortaya koydu.
Bu gerçeklerden hareket eden ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu tip kurumlara yönelik bir dizi önlem önerisi yayınladı. İlgili metni, Türkiye’deki KOBİ’leri de ilgilendirdiği için Türkçe olarak özetledik.
CEO ve BT ekibi, kim ne yapmalı?
CISA, tavsiyeleri şirket yöneticileri ve BT ekibi olarak iki şekilde sınıflamış. Buna gerekçe olarak ise etkili bir güvenlik programı oluşturmaya zemin oluşturmak gösterilmiş. Peki CEO ya da şirket yöneticisi siber güvenlik anlamında neler yapmalı?
- Bir güvenlik kültürü oluşturun. Tüm işletmenin siber güvenlik konusunda bilgi sahibi olmasını sağlayın. Personelle düzenli e-posta iletişiminiz varsa buna güvenlik programıyla ilgili güncellemeleri de dahil edin. Yönetim ekibinizle 3 aylık hedefler belirlediğinizde, buna güvenlik hedeflerini de dahil edin. Ara sıra değil, her gün bir farkındalık oluşturmaya çalışın. Örneğin çok faktörlü kimlik doğrulamanın, yani MFA’in benimsenmesi, yama uygulanan sistemlerin sayısı ve yedeklenen sistemler üzerinden verilerin ve hesapların güvenliğini yükseltmek için hedefler belirleyin.
- Bir “Güvenlik Program Yöneticisi” seçin ve destekleyin. Bu kişinin bir güvenlik uzmanı ya da bir BT uzmanı olması gerekmez. Güvenlik Program Yöneticisi, işletmenizin güçlü bir siber güvenlik programının tüm temel unsurlarının uygulanmasını sağlar. Bunu yaparken size ve diğer üst düzey yöneticilere minimum ayda bir olmak üzere rapor vermelidir.
- Olaylara Müdahale Planı’nı (IRP) gözden geçirin ve onaylayın. Güvenlik Programı Yöneticisi, yönetim ekibinin incelemesi için yazılı bir IRP oluşturacaktır. IRP, bir siber güvenlik olayı öncesinde, olay sırasında ve sonrasındaki eylem planınızı temsil eder. “Barış zamanında” buna ilgi gösterin ve yalnızca güvenlik ve BT ekiplerini değil, işletme genelindeki yöneticileri de dahil edin. Bir olay yaşandığında bunları yapmak için yeterli zamanınız olmayacak.
- Risklerle ilgili tatbikatlara (TTX) katılın. Güvenlik Program Yöneticisi, düzenli saldırı simülasyonlarını yönetecektir. Bu ön hazırlık, sizin ve ekibinizin bir olay sırasında ihtiyaç duyacağı refleksleri oluşturmanıza yardımcı da olur. Kıdemli yönetim ekibinizin de buna katıldığından emin olun.
- BT yönetimini destekleyin. CEO’nun desteğinin kritik olduğu, özellikle güvenlik programının her personelin yardımına ihtiyaç duyacağı konular vardır. BT ekibinden bunu yapmalarını istemekle yetinmeyin, sahip çıkın. Örneğin MFA kullanımıyla ilgili duyuruyu CEO olarak doğrudan siz yapın. Çok faktörlü kimlik doğrulamasını etkinleştirmeyen personelleri kişisel olarak takip edin. Bu, kurum genelinde tepeden başlayan bir güvenlik kültürü oluşturur. MFA kullanan personelin saldırıya uğrama ihtimali çok daha düşüktür. Çünkü saldırganlar parolaları ele geçirse bile ikinci kimlik doğrulama aşaması geçilemez ve hesaplara ulaşamaz.
Güvenlik Programı Yöneticisi neler yapmalı?
- Eğitim. Tüm personel, işletmenin güvenlik taahhütleri, MFA etkinleştirme, yazılım güncelleme ve kimlik avı saldırıları gibi konular ve tehditler için eğitilmelidir.
- Olay Müdahale Planı (IRP) hazırlayın. Bu doküman, işletmenin gerçek veya olası bir saldırı öncesinde, sırasında ve sonrasında neler yapılması gerektiğini netleştirecektir. Bununla birlikte, tüm önemli faaliyetler için rolleri ve sorumlulukları belirler. Buna, bir olay sırasında ağın kapalı olması durumunda kullanılacak bir adres defteri de dahildir. Bu belgenin, CEO ve diğer yöneticiler tarafından resmen onaylanmasını sağlayın. Her üç ayda bir gözden geçirin. Bir güvenlik olayı yaşanması durumunda ya da olayın gerçekleşmesine ramak kala önlenmesi durumlarında da bu kontrolleri yineleyin.
- Siber saldırılarla ilgili risklere karşılık tatbikatlar (TTX) oluşturun. Bu, bir olay sırasında kimin nasıl tepki vereceğini görebilmenizi sağlar. En sık kullanılan senaryolardan biri, bir çalışanın dizüstü bilgisayarının fidye yazılımı tarafından engellendiğinin keşfedildiği senaryodur.
- MFA uyumluluğu sağlayın. Tüm personelin bu önlemi kullanmaya başladığından emin olun.
BT yöneticileri ne yapmalı?
- Teknik kontrollerle MFA kullanımının etkinleştirildiğinden emin olun. Bazı kurumlar bu talimatı verse de kullanıcılar bunu yapmayabilir ya da erteleyebilir. Özellikle yeni işe alınan personellerin ve yeni bir telefona geçiş yapan personellerde bu durumla karşılanmakta. Düzenli olarak uyumlu olmayan hesapları arayın ve düzeltin. MFA ile ilgili istatistikleri sürekli doğrulayın.
- Tüm sistem yöneticisi hesaplar için MFA’yi etkinleştirin. Sistem yöneticileri siber saldırganlar için öncelikli ve değerli hedeflerdir. Konuya hakim kişilerin bunu bir alışkanlık olarak yapacağını varsayabilirsiniz. Ancak araştırmalar bunun aksini gösteriyor. Bu nedenle uygulandığından emin olmak için düzenli kontroller gerçekleştirin.
- Yamalar! Saldırıların başarılı olmasının ardındaki başlıca sebeplerden biri güvenlik açıklarıyla ilgili çıkan yamaların zamanında uygulanmamasıdır. Saldırganlar, gerçek saldırılarında açıklanan yama listelerini sıklıkla kullanır. Bu nedenle bir yamayı vakit kaybetmeden uygulayın. CISA’nın KEV Kataloğu’ndaki açıklara öncelik verin. Eğer mümkünse otomatik güncelleme mekanizmalarını etkinleştirin.
- Yedeklemeleri düzenli yapın ve test edin. Fidye yazılımı kurbanı olmayan kuruluşların birçoğunun ya yedeği yoktu ya da eksik veya hasarlıydı. Tüm önemli sistemleri düzenli bir yedeklemeye sahip olacak şekilde programlamak yeterli değildir. Kısmi ve tam geri yüklemeleri düzenli test etmek de son derece kritiktir. Yedeklemelerin hangi zaman aralıklarında (sürekli, saatlik, haftalık vs.) gerçekleşeceğini belirleyin. Geri yükleme için bir plan da hazırlayın. Fidye yazılımı saldırısı yaşayan bazı kurumlar, verilerinin geri yüklenmesi süresinin tahminlerinden çok daha uzun olduğunu ve bunun işlerini olumsuz etkilediğini gördü.
- Kullanıcılara ait dizüstü bilgisayarlardan yönetici ayrıcalıklarını kaldırın. Yaygın saldırı yöntemlerinden biri bu tip cihazlarda kötü amaçlı yazılım çalıştırmak için kullanıcıları kandırmaktır. Kullanıcılar yönetici ayrıcalıklarına sahip olduğunda saldırganların tüm işletmeye erişimi de o kadar kolaylaşır.
- Dizüstü bilgisayarlar için disk şifrelemeyi etkinleştirin. Modern akıllı telefonlar ya da Chromebook’larda bu vardır. Ancak Windows ya da Mac bilgisayarlarda bu doğrudan aktif olarak gelmez ve sonradan ayarlanmalıdır. Her yıl çalınan ya da kaybolan dizüstü bilgisayar sayısı düşünüldüğünde bu yöntemin neden kritik olduğu daha net ortaya çıkmaktadır.
Yazının İngilizce orijinaline bu linkten ulaşabilirsiniz.