Ponemon Institute ve SecureLink tarafından yapılan bir araştırmaya göre uzaktan erişim kurumların en zayıf karnı haline geldi.
Uzaktan erişime giderek artan iş dünyası, bu kolaylığın getirdiği riskler nedeniyle zor günler geçiriyor. Ponemon Institute ve SecureLink tarafından yapılan “A crisis in third-party remote access security” başlıklı araştırmaya göre uzaktan erişim izni verilen kurumlardan kaynaklanan tehditler ile bu tehditlere karşı alınan önlemler arasında ciddi bir uçurum var.
Araştırmaya göre kurumlar, üçüncü taraflarla ilgili erişim riskini azaltma yönünde bir önlem almayı çok da önemsemiyor. Bu durum, pek çok güvenlik riskini ortaya çıkarırken elde edilen rakamlar durumun sanılandan çok daha ciddi olduğunu gösteriyor.
Her dört kurumdan üçü gereğinden fazla erişim izni verdiği için zarara uğradı
Araştırmada dikkat çeken bilgilerden biri kurumların neredeyse yarısının (%44) son 12 ayda bir güvenlik ihlali yaşaması. Bununla birlikte veri ihlali yaşayan her dört kurumdan üçü, ihlal sebebini üçüncü taraflara çok fazla ayrıcalıklı erişim izni verilmesi olarak tanımlıyor.
Raporu hazırlayan araştırmacılar, kurumların veri erişimini üçüncü taraflarla paylaşmadan önce gerekli güvenlik kontrollerini yapmadığına dikkat çekiyor. Yüzde 51’lik bir kesim ise konu kritik bilgiler olduğunda bile bu kontrolleri gerçekleştirmiyor.
Ponemon Institute Başkanı ve Kurucusu Dr. Larry Ponemon’a göre bu ihmal, gizli bilgileri de kapsayan bir veri ihlalini garanti ediyor. SecureLink CEO’su Joe Devine ise durumu endişe verici olarak tanımlarken kurumların bu zihniyeti mutlaka değiştirmesi gerektiğini ifade ediyor.
Rapordan öne çıkan bulgular
- Katılımcıların %61’i, üçüncü taraf yönetim programlarının risk düzeylerini tanımlamıyor veya sıralamıyor.
- %54’lük bir kesim, kurumlarının ağlarına erişimi olan tüm üçüncü tarafların kapsamlı bir envanterine sahip değil.
- %65’lik bir kesim, kritik verilere erişimi olan üçüncü tarafları tanımlamış değil.
- Kurumların %63’ü, hem iç hem de dış kullanıcılar için erişim ve izin düzeyine ilişkin bir görünüme sahp değil. Ağlarına kimin, ne zaman ve neden erişimleri olduğu tam olarak bilinmiyor.
- Kurumların %64’ü, kritik veya gizli bilgileri düzenli olarak paylaştıkları üçüncü tarafların güvenlik ve gizlilik uygulamalarını izlemiyor.