IoT (nesnelerin interneti) güvenliğinin gündeme geldiği günümüzde şirketlerin şifrelerin etkili ve sağlam olmasını sağlamak, çalışanları arasında farkındalık yaratmak ve sistemleri sürekli olarak güncellemek gibi çeşitli işlemleri içeren bir siber güvenlik planı oluşturması gerekiyor.
IP kameralar ve geçiş kontrol sistemlerini de içeren cihazların internete taşınması bizlere şüphesiz çeşitli kolaylıklar sağladı. Ancak bununla birlikte yeni riskler, özellikle siber güvenliğe ilişkin sorunlar gündeme geldi. Axis Communications geçtiğimiz günlerde yayınladığı blog yazısında şu ifadelere yer verdi: “Tesislerinizi korumak için yeni kameralar eklerken bunları siber saldırılara karşı korumazsanız, ağınızın güvenlik açığı vermesine yol açabilirsiniz”.
Dolayısıyla son kullanıcı kurumların bir siber güvenlik planı geliştirmesi bir öncelik haline geldi ve öyle de olmalı. Yazıya göre, “Sisteme kurum içi erişimin yönetilmemesi durumunda güvenlik açığı meydana gelebilir. Siber güvenlik planınızı geliştirirken harici tehditlerin yanı sıra kurum içinden gelebilecek tehditleri de göz önüne almalısınız”.
Axis bununla birlikte ağ güvenliğini sağlamak için aşağıdaki hususların dikkate alınması gerektiğini ifade ediyor.
Şifreler
Yazıya göre şifreler “anahtar” olarak da biliniyor. “Arabanızdan tutun para kasanıza kadar her şey için kullandığınız anahtarla kapınızda kullandığınız anahtar şüphesiz aynı değildir. Aynı şekilde, tanıdığınız herkes için bu anahtarın bir yedeğini yaptırıp onlara vermezsiniz. Şifreler söz konusu olduğunda da aynı tutumu sergilemelisiniz. Bir iş arkadaşınız veya şeflerinizden biri kendi şifresini başka bir personelle paylaştığında bu personel sistemde yetkili olmadığı unsurlara erişebilir. Bunun yarattığı riskin çözümü ise şifrelere ilişkin net politikalar ve süreçler oluşturarak bunları uygulamak ve şirketteki herkesin bunlara uymasını sağlamaktır”.
Eski sistemler
Bir sistemi güncellemek zahmetli olsa da ve hatta gözümüzü korkutsa da, güncelleme yapılmadığında sistemin korumasızlığı artabiliyor. Yazının devamına bakalım: “Bir sistem ne kadar eskiyse, siber suçlular tarafından zayıf noktaların bulunmuş olması ihtimali de o kadar fazladır. Bu nedenle bu sistemlerin suiistimale uğrama ihtimali daha yüksektir. Bunun çözümü sisteminizi düzenli olarak güncellemektir, zira korumasızlık taraması ve sızma testileri yapan üreticiler bu zayıflıkların çoğunu tespit ederler. Güncellemeler ve yamalar zayıf noktaları ortadan kaldırarak güvenliğinizi sağlarlar”.
Çok fazla cihaz
Ağa bağlı olan cihaz sayısı arttıkça, tek bir zayıf nokta tüm bu cihazların güvenliğini tehlikeye sokmaya yeterli olduğu için durum daha riskli hale gelmektedir. Yazıya göre, “Cihazlarınız sizin kontrolünüzdeyse, hepsine aynı güvenlik standardı ve prosedürlerini uygulayabilirsiniz. Ancak çalışanlarınız işlerini uzaktan veya kişisel akıllı telefon, tablet veya bilgisayarları üzerinden yapıyorsa, zayıf noktaları bulmak çok daha zor olur. Bunun çözümü de yine şirket genelinde geçerli olan politikalar uygulamak, örneğin çalışanların kişisel bir cihazla sisteme erişmesine izin veren, ancak bunun için belli güvenlik kriterlerini yerine getirmelerini öngören bir kural uygulamaktır”.
Eğitimsiz personel
Yazıya göre, şifre avcılığına yönelik e-postalar bir sisteme yasadışı erişim sağlamanın fazla sonuç alınan yöntemlerinden biri olmaya devam ediyor. “Bazı şifre avcılığı teşebbüsleri kolayca fark edilebilirken, özellikle de saldırıyı yapan kişinin şirketinizi incelemek ve kendini gizlemek için sosyal mühendislik tekniklerini kullanması durumunda bazı teşebbüsleri fark etmek daha zor oluyor. Bu nedenle siber güvenliğine ilişkin doğru uygulamalar hakkında her bir çalışanınızı eğitmeniz çok önemli. Onlara muhtemel bir şifre avcılığı e-postasına ilişkin işaretlere karşı tetikte olmayı ve bu işaretleri fark etmeyi öğretirken bir yandan da şüpheye düştüklerinde üzerinde tarama işlemi gerçekleştirilmesi açısından şüpheli mesajları iletebilecekleri bir e-posta adresi temin edin. İnsani hataları hafife almayın”.
Kaynak: William Pao, a&s International