100’ün üzerinde BT yöneticisiyle yapılan bir araştırmaya göre BT yöneticileri her fırsatta siber güvenliğin önemini vurgulasalar da günlük yaşamda bunu uygulama konusunda pek dikkatli davranmıyor.

Constella Intelligence tarafından hazırlanan bir rapor meşhur, “imamın dediğin yap, yaptığını yapma” sözünü anımsatıyor. Kuzey Amerika ve Avrupa’da 100’den fazla BT yöneticisiyle yapılan görüşmeler sonucu ortaya çıkan “Cyber Risk in Today’s Hyperconnected World” başlıklı rapor, bir anlamda yöneticilerin ne kadar dikkatli olduğuna dair çeşitli izlenimler de içeriyor. Rapordan öne çıkanları incelediğimizde kimlik avı saldırıları, sosyal medya kullanımı, güvenliği yetersiz wi-fi ağlarının kullanımı gibi alanlarda yöneticilerin bazen aşırı dikkatsiz olduğu görülüyor.

Kimlik avı saldırılarında sahte CEO’lar ön planda

COVID-19 pandemisi sırasında kimlik avı saldırılarının %667 gibi son derece ciddi bir oranda arttığına değinilen rapordaki bulgular, BT yöneticileri için de benzer bir oranın söz konusu olduğunu ortaya koyuyor. Araştırmaya katılan her 4 yöneticiden 3’ü (%74), son 90 gün içinde bir kimlik avı veya oltalama saldırısında hedef alındığını ifade ediyor. Bununla birlikte yüzde 34’lük bir kesim, CEO’larının kimliğine bürünen saldırılarla karşılaştığını ekliyor. Asıl endişe verici olansa katılımcıların yüzde 28’inin bunun için özel bir güvenlik önlemi almamış olması.

Kişisel sosyal medya hesapları işte kullanılan cihazlardan yönetiliyor

Araştırmaya katılanların neredeyse yarısı (%48), kişisel sosyal medya platformlarına erişmek için iş bilgisayarlarını kullanıyor. Bununla birlikte yüzde 77’lik bir kesim tanımadığı kişilerden gelen davet ve eklemeleri kabul etmeye istekli. Eğer davet LinkedIn’den geliyorsa bu oran yüzde 63’ü buluyor. Bu bilginin farkında olan siber casuslar LinkedIn’i aktif olarak kullanıyor. İngiliz istihbarat kurumu MI5’e göre yabancı casuslar, LinkedIn üzerinde sahte profiller oluşturarark 10 binden fazla İngiliz vatandaşıyla iletişim kurmuş durumda. Hükümet, bu sayıdan hareketle bir bilinçlendirme kampanyası başlattı ve bu tip profillerle ilişki kuran yöneticilerin kişisel kariyer ve kurumlarına ulusal güvenliğe zarar verebileceğine dikkat çekiyor.

Siber güvenlik yöneticileri parolaları nadiren güncelliyor

Raporda “parola hijyeni eksikliği” olarak ifade edilen bir konu da parolaların güncellenme sıklığı. Araştırma sonuçlarına göre her dört siber güvenlik yöneticisinden 1’i hem iş hem de kişisel kullanım için aynı parolayı kullanıyor. Yüzde 39’luk bir kesim ise son 30 gün içinde işle ilgili parolaları değiştirmediğini belirtiyor.

Yöneticiler, Wi-Fi ağlarında güvenliği göz ardı ediyor

Siber güvenlik alanında sürekli tekrarlanan uyarılardan biri olan kamuya açık ve güvenli olmayan Wi-Fi ağlarında bankacılık vb. işlemlerin yapılmaması ve mecbur olmadıkça bu ağlara bağlanılmaması konusu siber güvenlik yöneticilerinin pek de dikkat etmediği bir başka konu. Araştırmaya göre yüzde 45’lik bir kesim, herhangi bir VPN kullanmadan kamuya açık Wi-Fi ağlarına bağlanmakta sakınca görmüyor.

Sosyal medya izleme politikaları kullanılmıyor

Araştırmaya katılanların yüzde 50’den fazlası, sosyal medya, bloglar, forumlar veya markalara ve yöneticilere yönelik tehditlerle ilgili resmi bir politikaya sahip değil. Raporda, saldırganların potansiyel hedefleri araştırmak için sıklıkla sosyal medyadan faydalandığına dikkat çekilerek, yöneticilerin daha dikkatli davranması gerektiği ifade ediliyor.

Katılımcılar beş farklı sektörden

Araştırmaya katılan yöneticiler beş farklı sektöre dağılmış durumda. Aynı zamanda siber tehditlerle en sık karşılaşan sektörler olarak da niteleyebileceğimiz bu beş sektör, “sağlık & ilaç, finans & sigorta, telekom, kamu ve perakende & e-ticaret olarak sıralanıyor.