Symantec'ten Güvenlik Raporu!
"Mega güvenlik ihlali" nedir?
Siber suçlular 2013'ün ilk on ayında kuytu köşelerde pusuda bekledikten sonra tarihin en yüksek zararını veren siber saldırıları gerçekleştirdiler. Symantec'in İnternet Güvenliği Tehdit Raporu'nun (ISTR) 19'uncusu siber suçluların davranışında dikkat çekici bir değişikliği gözler önüne sererek, saldırganların daha küçük ödüller sunan hızlı vurgunlar gerçekleştirmek yerine aylar süren planlamanın ardından büyük soygunlar yaptıklarını ortaya koyuyor.
"Tek bir mega güvenlik ihlali daha küçük 50 saldırıya bedel olabiliyor" diyen Symantec Türkiye Ülke Direktörü Gökhan Say sözlerini şöyle sürdürüyor: "Saldırganların ileri seviye bilgi düzeyi artmaya devam etse de, geçen yıl asıl şaşırtıcı olan şey; saldırganların çok daha sabırlı olmaları ve vurgun yapmak için kazanç çok daha büyüyüp olgunlaşana kadar beklemeleri".
2013 yılında, veri güvenliği ihlali sayısının bir önceki yıla göre yüzde 62 artarak 552 milyonu aşkın kişinin kimlik bilgisinin ifşa edilmesi ile sonuçlanması, siber suçun gerek tüketiciler gerekse kurumlar için ne denli gerçek ve zarar verici bir tehdit olduğunu kanıtlıyor.
"Doğru yönetildiğinde müşterilerin şirket hakkındaki algısını geliştirebilen güvenlik hadiselerinin kötü yönetilmesi ise şirketler için yıkıcı olabilir" diye yazıyor Forrester Research Başkan Yardımcısı ve Baş Analisti Ed Ferrara. "Bir şirketin kişisel veriler ve gizlilik politikası nedeniyle o şirkete olan güvenini kaybeden müşterinin başka bir şirket ile çalışmaya başlaması işten bile değil".
Savunma saldırıdan daha zor
Güvenlik ihlallerinin boyut ve kapsamında yaşanan patlama, şirketlere olan güven ve itibarı düşürürken, müşterilerin kredi kartları ve tıbbi kayıtlarından parolaları ve banka hesabı detaylarına kadar uzanan geniş yelpazede, kişisel bilgilerini de gitgide daha fazla oranda tehdit ediyor. 2013'teki en büyük sekiz veri güvenliği ihlalinin her biri on milyonlarca veri kaydının kaybı ile sonuçlandı. Buna kıyasla, 2012'de bu eşiğe ulaşan sadece tek bir veri güvenliği ihlali olmuştu.
"Başarıyı besleyen en büyük şey yine başka bir başarıdır – özellikle de bir siber suçluysanız" diyor Gökhan Say. "Büyük vurgun potansiyeli, büyük ölçekli saldırıların da kalıcı olduğu anlamına geliyor. Her büyüklükteki şirketin güvenlik duruşlarını yeniden incelemeleri, yeniden düşünmeleri ve muhtemelen yeniden tasarlamaları gerekiyor".
Hedefli saldırılar yüzde 91 artarken 2012'ye kıyasla ortalama olarak üç kat daha uzun sürdü. Kişisel asistanlar ve halkla ilişkiler alanlarında çalışanlar en çok hedef alınan iki meslek oldu; siber suçlular bunları ünlüler veya şirket yöneticileri gibi daha yüksek profilli hedeflere ulaşmakta sıçrama tahtası olarak kullanıyor.
Siber dayanıklılık nasıl korunur?
Her ne kadar akıllı cihazlar, uygulamalar ve diğer online hizmetlerden gelen veri akışındaki artış siber suçlular açısından baştan çıkarıcı olsa da kurumlar ve tüketiciler de, ister mega veri güvenliği ihlali olsun, ister hedefli bir saldırı, isterse de sıradan istenmeyen bir e-postadan, kendilerini daha iyi korumak için önlem alabilirler. Symantec, aşağıdaki uygulamaları tavsiye ediyor:
Kurumlar için:
- Verilerinizi takip edin: Koruma, cihaza veya veri merkezine değil, bilgilere odaklanmalıdır. Kritik verilerinizi koruyacak en iyi politika ve prosedürleri belirlemenize yardımcı olması için, bu verilerin nerede kayıtlı bulunduğunu ve nereye gönderildiğini anlayın.
- Çalışanlarınızı eğitin: Kişisel ve kurumsal cihazlar üzerindeki kritik verilerin korunmasına yönelik şirket politika ve prosedürleri de dahil olmak üzere, bilginin korunması konusunda rehberlik sağlayın.
- Güçlü bir güvenlik duruşunu hayata geçirin: Güvenlik altyapınızı veri kaybı önlenme, ağ güvenliği, uç nokta güvenliği, şifreleme, etkin kimlik doğrulama, savunma tedbirleri ve itibar tabanlı teknolojiler ile güçlendirin.
Tüketiciler için:
- Teknolojiyi yakından takip edin: Parolalar krallığınıza açılan kilitlerdir. Ziyaret ettiğiniz her site için güçlü, tahmin edilmesi zor parolalar üretmek ve akıllı telefonlarınız da dahil olmak üzere, cihazlarınızı en son güvenlik yazılımları ile güncellemek için parola yönetim yazılımı kullanın.
- Tetikte olun: Banka ve kredi kartı ekstrelerinizde herhangi bir gariplik olup olmadığını gözden geçirin, talep edilmemiş veya beklenmedik e-postalara karşı dikkatli olun ve online ortamda gerçek olamayacak kadar cazip görünen iyi tekliflerden sakının – zira çoğunlukla gerçek değildirler.
- Kiminle çalıştığınızı bilin: Banka veya kişisel bilgilerinizi isteyebilecek perakendeci ve online hizmet politikalarını bilin. En iyi uygulamalardan biri de, kritik bilgiler paylaşacaksanız, e-posta ile gönderilen bağlantılara tıklamak yerine, şirketin resmi web sitesini doğrudan ziyaret etmektir.