İnsan hatası ve bilgi eksikliği, siber güvenlik ihlallerini tetikliyor
Türkiye, Güney Afrika, Kenya, Pakistan, Mısır, Suudi Arabistan ve BAE’de bilgisayar kullanarak çalışan profesyoneller ve iş sahipleriyle yapılan 2 bin 800 online görüşme raporlaştırıldı. Profesyonellerin yalnızca yarısının siber güvenlik eğitimi aldığı belirlendi.
Kaspersky, iş yerinde siber güvenlik araştırması sonuçlarını paylaştı.
Kaspersky’nin Türkiye genelindeki profesyonellerle gerçekleştirdiği “İş Yerinde Siber Güvenlik: Çalışan Bilgisi ve Davranışı” başlıklı son anket, profesyonellerin yalnızca yüzde 49’unun dijital tehditler konusunda eğitim aldığını ortaya koydu.
Bu bilgi eksikliği, siber güvenlik ihlallerinin çoğunun insan hatasından kaynaklandığı göz önüne alındığında oldukça kritik bir durum teşkil ediyor.
Bulgular, BT departmanlarının net yönergeler sağlamasının ve kuruluşların her seviyedeki çalışana ulaşacak yapılandırılmış, uygulamalı siber güvenlik eğitimleri sunmasının önemini bir kez daha gözler önüne seriyor.
SALDIRILAR İNSAN PSİKOLOJİSİNİ HEDEF ALIYOR
Günümüzde birçok siber saldırı, insan psikolojisini istismar ederek dijital savunmaları aşmak amacıyla kasıtlı olarak tasarlanıyor.
“Sosyal mühendislik” yöntemleri, çalışanların güvenini ve aciliyet algısını kullanarak, onları hassas bilgileri paylaşmaya veya sahte işlemler başlatmaya ikna ediyor. Ankete katılan profesyonellerin neredeyse yarısı (yüzde34) son bir yıl içinde, organizasyonlarından, meslektaşlarından veya tedarikçilerden geliyormuş gibi görünen dolandırıcılık mesajlarıyla karşılaştığını bildirirken, yüzde11’i bu tür yanıltıcı iletişimler sonucunda olumsuz etkiler yaşadı. İnsan faktörüyle yakından bağlantılı diğer siber güvenlik sorunları arasında şifrelerin ele geçirilmesi, hassas verilerin sızdırılması, güncellenmemiş IT sistem ve uygulamaları ile kilitlenmemiş veya şifrelenmemiş cihazlar yer alıyor.
İnsan kaynaklı siber saldırılar, uygun eğitim ve farkındalık ile önlenebilir. Katılımcıların yüzde16’sı, siber güvenlik bilgisi eksikliği nedeniyle IT ile ilgili hatalar yaptığını kabul etti. Aynı zamanda, eğitim, IT dışı çalışanlar arasında siber güvenlik farkındalığını artırmanın en etkili yöntemi olarak öne çıktı: Profesyonellerin yüzde 65,5’i, vaka hikâyeleri (yüzde 18) ve hukuki sorumluluk hatırlatmaları (yüzde 40) gibi diğer seçeneklere kıyasla eğitimi tercih etti. Bu bulgular, siber güvenlik eğitiminin organizasyonel savunmanın temel bir katmanı olduğunu gösteriyor.
TERCİH EDİLEN EĞİTİMLER
Katılımcılara belirli eğitim konularını seçme imkânı verildiğinde, çoğunluk şu başlıkları tercih ettiklerini belirtti: gizli iş verilerinin korunması (yüzde 47,3); internet ve web güvenliği (yüzde 52,8); hesap ve şifre güvenliği (yüzde 52,3); mobil cihaz güvenliği (yüzde51,5); e-posta güvenliği (yüzde 40,5); sosyal medya ve mesajlaşma uygulamalarının güvenli kullanımı (yüzde 38,5); güvenli uzaktan çalışma (yüzde 39) ve chatbot gibi yapay zekâ tabanlı hizmetlerin güvenli kullanımı (yüzde 20,3). Ayrıca, katılımcıların yüzde12,5-26’sı tüm bu eğitimleri almak istediklerini belirtti; bu durum, kapsamlı siber güvenlik eğitimine olan geniş talebi ortaya koyuyor.
Veriler, çalışanların siber güvenlik becerilerini geliştirmeye açık olduğunu gösteriyor. Ancak bu bilgilerin günlük IT rutinlerinin bir parçası haline gelmesi için eğitimlerin iyi yapılandırılmış, çalışanların rolüne ve mevcut IT becerilerine uygun, düzenli olarak güncellenen, oyunlaştırılmış ve uygulamalı olması gerekiyor. Bu yaklaşım, çalışanların katılımını ve bilgilerin kalıcılığını artırıyor. Kuruluşlar bu tür eğitime yatırım yaptığında, yalnızca bir zorunluluğu yerine getirmekle kalmıyor; aynı zamanda çalışanlar arasında “önce güvenlik” zihniyetini teşvik ediyor.
Bu sayede, çalışanlar potansiyel bir zayıf halka olmaktan çıkarak, güvenlik konusunda sezgisel ve bilinçli kararlar alabilen, dikkatli birer gözetmen ağına dönüşüyor.
“TÜM KADEMELERİN DİJİTAL RİSKLERİ ANLAMASI ŞART”
Kaspersky Türkiye Genel Müdürü İlkem Özar: “Siber güvenlik, yalnızca IT departmanına ait bir alan olamaz. Yönetim kademesinden staja kadar herkesin dijital riskleri anlaması şarttır. Dayanıklı bir organizasyon inşa etmek için her çalışanın dolandırıcılığı fark etme, maliyetli hatalardan kaçınma ve şirket verilerini koruma yetkinliğine sahip olması gerekir.” dedi.
SAVUNMAYI GÜÇLENDİRECEK ADIMLAR
Kuruluşlar savunmalarını güçlendirmek için aşağıdaki adımları göz önünde bulundurabilir:
•Kaspersky Next ürün serisi gibi güçlü izleme ve siber güvenlik çözümleri uygulamak.
•Çalışan eğitimleri ve siber güvenlik eğitimlerini devreye almak; örneğin, IT ve İK departmanlarının çalışanlara pratik siber güvenlik becerilerini kazandırmasına yardımcı olan Kaspersky Automated Security Awareness Platform’u.
•Çalışanlara yönelik güvenlik politikaları uygulamak; şifre yönetimi, yazılım yükleme ve ağ segmentasyonu gibi konuları kapsayacak şekilde.
•Güvenlik kültürünü desteklemek: Çalışanların şüpheli aktiviteleri bildirmesini teşvik etmek, proaktif güvenlik davranışlarını ödüllendirerek iyi alışkanlıkları pekiştirmek.
