Dijital Biz Dergisi | Yazar

 

Hüsnü TAVLAŞ

 

Ekim 2020

 

 

COVID-19 ile Uzaktan Çalışma ve Güvenlik

 

COVID-19 siber saldırılar, doğal afetler gibi iş sürekliliği planlarında yer almayan bir durum olarak karşımıza çıktı ve çok ani bir şekilde çalışanlar kendilerini evde çalışırken buldular.

Pandeminin başlamasıyla teknolojik altyapısı uzaktan çalışmaya uygun olan başta hizmet, teknoloji, sigorta sektörü, gıda ve üretim sektörlerine göre çok daha hızlı bir şekilde evden çalışmaya büyük oranda geçiş yaptı. Evden çalışma modeli, getirdiği güvenlik riskleri ile birçok şirketin aslında bu sisteme hazır olmadığını, uzaktan çalışmanın yalnızca teknolojik altyapı ile mümkün olmayacağını da gösterdi.

Şirketler çalışanlarına yönetemediği, güvenliğinden emin olmadığı makinelerden ve ağlardan kritik verilere ve sistemlere erişim izni vermek zorunda kaldılar ve daha ilk günden güvenlik risklerini katladılar.

Güvenli olarak VPN bağlantısı yapılan şirketlerde, VPN kurallarının doğru yapılandırılmaması nedeni ile bant genişliklerinde satürasyonlar, güvenlik ihlalleri gibi durumlarla karşı karşıya kaldılar.

İçinde bulunduğumuz bu durum ile evden çalışma sistemi saldırganların saldırı yüzeyinin genişlemesine ve zafiyetlerin artmasına sebebiyet vererek şirketlerin güvenlik anlamında risklerini daha da arttırdı. VPN bağlantıları, 2FA (İki Faktörlü Kimlik Doğrulama), MFA (Çok Faktörlü Kimlik Doğrulama) gibi çeşitli önlemler alsalar da saldırıların hedefi olmaktan kaçamadılar.

Covid-19 ve Coronavirüs benzeri alan adlarındaki dikkat çekici artışla birlikte, yine bu isimlerle düzenlenen oltalama saldırılarında ciddi oranda artışlar oldu. Çok sayıda şirket son derece titizlikle hazırlanmış bu oltalama saldırılarının altında yatan fidye yazılımlarının kurbanı oldu.

Bahsettiğim tüm bu durumlarla birlikte her biri ayrı bir makale konusu olabilecek çok sayıda güvenlik zafiyeti ve saldırı şirketler için iş kaybı, maddi ve itibar kayıpları, kanuni yaptırımlar gibi ne yazık ki maddi ve manevi zararlarla sonuçlandı. Netice olarak evden çalışmak çoğu şirket için sorunları çözmedi, çözmediği gibi şirketleri hiç olmadığı kadar güvenlik riski ile karşı karşıya bıraktı.

İnsanların hayatı ve şirketlerin iş yapış şekillerinin pandemi ile büyük bir değişim geçirdiği yadsınamaz bir gerçek. Şirketlerin teknolojik anlamda uzaktan çalışma ve bunun getireceği güvenlik risklerinin önlenmesine yönelik yatırımlar yapması, ayakta kalıp varlıklarını sürdürebilmeleri için bir gereklilik haline geldi. Yapılan bir araştırma [1] sonucuna göre şirketlerin yüzde 48,7’sinin tüm çalışanlarının, yüzde 43,2’sinin de kısmi olarak evden çalışmaya geçtiği sonucu ortaya çıkmış. Evden çalışma konusunda şirketleri en çok zorlayan nedenlerin arasında ise yüzde 43 ile Kültür ve Alışkanlıkların birinci sırada olduğu, Teknoloji Altyapısının sebep olarak, Organizasyonel Yapılanma ve Müşteri Alışkanlıklarından sonra dördüncü sırada geldiği sonucu çıkmış. Teknolojik Altyapının geride çıkmasının sebebi bu alanda yapılan yatırımlar olduğunu gösterse de şirketlerin güvenlik alanında yeterli yatırım yapmadığını evden çalışma modeline geçişten sonra karşı karşıya kaldıkları güvenlik sorunları net bir şekilde gösteriyor.

Şirketlerin yeni normalde yapacağı yatırımlar arasında altyapı tarafında, IT ekiplerinin uzak kullanıcılar üzerinde kontrolünü sağlayabileceği sunucu ve özellikle masaüstü sanallaştırma (VDI) teknolojileri, kullanıcıların kritik verilere daha güvenli ve denetimli erişimlerini sağlayan çözümler olarak karşımıza çıkıyor. Bununla birlikte kimlik ve erişim yönetimi uygulamaları, bulut sistemlerine geçişleri yatırımlar arasında sıralayabiliriz. Ayrıca bütçeye güvenlik kalemi eklenmeli, bütçede varsa da payı arttırılmalıdır.

Yatırımlara ek olarak şirketlerin öncelikli olarak organizasyonlarında Güvenlik Birimi oluşturmaları veya bir güvenlik danışmanlığı hizmeti almaları tüm güvenlik süreçlerinin uygulanması ve denetlenmesi anlamında büyük bir öneme sahip.

Güvenlik bilincinin çalışanlarda oluşturulması için Bilgi Güvenliği Farkındalığı eğitimlerinin periyodik olarak tüm personele verilmesi ve bu bilincin üst seviyede tutulması yüzdesel oranı yüksek insan faktörlü zafiyetlerin azaltılmasında her şirket tarafından hemen yapılması gereken bir eylem.

Güvenlik testlerinin ve zafiyet taramalarının düzenli olarak yapılması, sosyal mühendislik testleri ve çalışanlara yapılacak oltalama saldırıları senaryoları ile güvenlik seviyesinin sürekli ölçülmesi risklerin en aza indirilmesinin yanında çalışanların da farkındalığını arttırmada önemli bir araç.

Şirketlerin pandemi ile değişen dünyanın ihtiyaçlarına cevap vermeleri ve bu dönüşümün gerisinde kalmamaları, güvenliğin artık bir gereklilik olduğunu bilerek, güvenliği göz ardı etmeden yatırımlarına yön vermeleri sürdürülebilirlik, hizmet kalitesi, müşteri memnuniyeti, gibi birçok alanda yarar sağlamanın yanında rekabette de etkili bir rol alacaktır.

[1] (Deloitte, 2020)