Bu hafta lise öğrencisi bir genç CIA yöneticisi John Brennan’ın e-posta hesabını hackledi ve kişisel bilgilerini WikiLeaks’e gönderdi. Brennan bir AOL hesabı kullanıyordu ve bu hack muhtemelen internette kolayca bulunan bilgileri kullanarak elde edilen kişisel bilgilerin hesaba sızmak için kullanıldığı bir ‘sosyal mühendislik’ saldırısıydı.
Yine de, CIA yöneticisi için bile e-posta güvenli değilse, bizim ne şansımız olabilir ki?
Hacklenen bir e-postaya sahip olmanın başınıza gelebilecek en kötü şey olduğunu düşünüyorsanız, bilgilerinizin sayısız pizza sipariş etmek, bomba tehdidi aramaları ya da kendi adınıza internette ırkçı yorumlar yapmak için kullanıldığını bir düşünün. Orta halli bir çift olan Oswego’lu Paul ve Amy Strater böyle korkunç bir durum yaşadılar. Genç hacker olan oğulları sık sık girdiği bir chat odasında başka bir hacker ile (ondan daha iyi bir hacker ile) bir kavgaya girip anne ve babasının hayatlarını hiddetlenen bir siber savaşın talihsiz zararına maruz bıraktı.
PC Pitstop iş geliştirme müdür yardımcısı ve aynı zamanda güvenlik ve performans yazılım üreticisi olan Mike Schroll eskiden bir hackermiş ve hayatını profesyonel olarak büyük şirketlerin siber altyapılarındaki hassas noktaları belirleyerek ve hackleyerek kazanırmış.
Schroll siber güvenliğin birçok katmanının olduğunu ve tıpkı soğan gibi bu katmanların parçalanırsa olayın gözyaşlarıyla sonuçlanacağını belirtiyor. Bu yüzden girişimcilerin ve yöneticilerin, şirketlerinin siber altyapısını tehditlerden en iyi şekilde koruyacak tüm katmanları bilmesi gerekiyor.
1. Sosyal mühendislik
İlk katman şirketinizi uzaktan gelen saldırılara karşı korumaktır. Hackerların internette biri hakkında genel bilgileri kolayca bulabildiği biliniyor (ne de olsa sosyal medyada kendimizle ilgili her şeyi paylaşıyoruz) ve bu bilgiyi bankalar gibi şirketlerin çalışanlarını manipüle etmek, kişisel ve özel bilgilerini ifşa etmek için kullanıyorlar. Bu ifşalar tarafında bir zafiyet olsa da, şirketin güvenlik protokollerini belirtmek ve çalışanlarını eğitmek konusundaki sistematik bir eksikliğinden kaynaklanır.
Schroll çalışanlarınıza güvenlik süreçlerini belirttiğinizden emin olmanızı ve çalışanlarınızla bunların üzerinden sık sık geçmenizi tavsiye ediyor. Arayanları doğrulamak için bir işleminiz olsun ve asla şifrenizi ve diğer özel abone bilgilerinizi paylaşmayın.
2. Fiziksel güvenlik
Binanızın ve teknolojinizin – dolayısıyla da gizli bilgilerinizin – fiziksel olarak güvende olduğunu düşünebilirsiniz, ancak iyi hackerlar bu güvenlik katmanına bile sızmanın ‘hilelerini’ bilirler. Ayrıca birçok iş sahibi şirketlerinin tehlike barındıran diğer fiziksel yönlerine çok az dikkat ediyor, bilgisayarları korunmasız bırakmak ya da eski sabit sürücüleri yok etmekte başarısız olmak gibi.
Diğer çalışanlarınızla olduğu gibi bu fiziksel güvenlik ihlalleri her zaman güvenlik personeliyle ilgili bir durum değildir, şirketin genel güvenlik protokolleriyle ilgilidir. Schroll sürücülerinizi şifrelemenizi, bulut yedeklerinizi güçlendirmenizi, açık olan herhangi donanım erişim noktalarını kapatmanızı, eski donanımızı profesyonellere imha ettirmenizi ve iş cihazlarında Prey Project gibi hırsızlığa karşı kurtarma yazılımına sahip olmanızı tavsiye ediyor.
3. Kablosuz güvenlik
Kablosuz internetiniz de şirketiniz için bir tehdit oluşturur. Genelde Wi-Fi sinyallerinin ofisimizin duvarlarından çok daha uzaklara uzanabildiğini ve iyi anteni olan bir hackerın uzaktan sinyallerimize bağlanabileceğini unuturuz. Ağınızda, korumasız dosya paylaşımları ya da basit şifreli bilgisayar hesapları diğer özel bilgileri ele geçirmek için kolay bir yol olur.
Schroll şirketlerin eskimiş WEB ya da WPA yerine WPA2 protokollerini kullanması gerektiğini söylüyor. Ayrıca yönlendirici şifreniz de diğer tüm şifreleriniz kadar güçlü olmalıdır. Asla sıradan bir şifre kullanmayın ve kolayca tahmin edilemeyen bir şifre (şirketinizin adresi gibi) olduğundan emin olun.
4. Şifreler
Schroll’e göre şifreler iç çamaşırı gibidir, sık sık değiştirilmeli, özel olmalı ve asla kimseyle paylaşılmamalıdır. En iyi şifreler uzun olanlardır, büyük harf ve küçük harflerin, sayılarla sembollerin bir kombinasyonunu kullanın her hesapta farklı şifre kullanın.
Schroll hatırlaması kolay söz gruplarını kullanmanızı tavsiye ediyor. Örneğin, Forrest Gump filminden şu meşhur cümleyi düşünün ‘Life’s a box of chocolates, Forrest. You never know what you’re gonna get’, bu çok etkili bir şifreye ‘L’aboc,F.Ynkwy’gg.’ şeklinde dönüştürülebilir.
Bütün bu şifreleri takip etmek yorucu olabilir, bu yüzden 1Password ya da LastPass gibi şifrelerinizi kontrol edecek ve güvende tutacak hizmetleri kullanabilirsiniz.
5. İki adımlı şifreleme
İyi hackerlar zor şifreli hesap güvenliğine bile sızmanın yollarını bilirler. Bu yüzden işletmeler güçlü bir şekilde iki adımlı yetkilendirmeyi kullanmayı düşünmelidir. Google, Apple ve Dropboxm gibi en büyük şirketler bir cep telefonu numarası ya da e-posta hesabını iki etkenli yetkilendirmeli olarak öneriyorlar, Authy ve Google Authenticator gibi uygulamalar diğer uygulama ve hizmetlerle bunu gerçekleştirmenize yardım edebilir.
Parmak izi ve yüz tanıma ve hatta ultrasonik sesler gibi daha fazla güvenlik yöntemleri geliştirildikçe şirketler, hackerlardan uzak durmak için gerekli olan güvenlik önlemlerini sık sık güncellemeden kaçınmamalıdır.
6. E-posta güvenliği
Eğer hiçbir şeyi korumuyorsanız Schroll en azından e-posta hesaplarınızı korumanızın gerekli olduğunu belirtiyor. Hackerların bir e-posta hesabına girdiğini farz edin, e-posta hesabınızın tipik olarak unutulmuş şifrelerin yeniden oluşturulduğu yer olduğunu göz önünde bulundurursak diğer hesaplara ulaşmak hackerlar için zor olmaz. Eski bir bilgi olacak belki ama Schroll e-posta ya da eklentilerindeki bağlantılara asla tıklamamanızı söylüyor çünkü birçoğu sizi gerçek site gibi gözüken e-dolandırıcılık sitelerine çeker. Bunun yerine kendi internet tarayıcınızdan yeni bir sekme açarak ve web site URL’sini yazarak bir web sitesi açın.
Schroll (elbette iki adımlı doğrulama ile güçlendirilmiş olan) Gmail ve Google uygulamalarını kullanmanızı tavsiye ediyor çünkü Google istenmeyen e-posta, virüs ve e-dolandırıcılık için üstün korumalara sahip.
7. Anti-virüs
Çoğu anti virüs yazılımı diğer özel bilgileri ve e-posta hesaplarını güvenli tutan hizmetlere sahiptir. Ancak en iyi yazılımın bile hassas noktaları vardır. Kötü niyetli virüs yazılımları yıldırım hızıyla oluşur ve virüs koruma şirketleri onları ‘kara liste’ye almak için takip etmede zorluk yaşar.
Bu yüzden işletmeler PC Matic gibi ‘beyaz liste’yi kullanan bir hizmeti kullanmalıdır. Beyaz liste koruması güvenlik sisteminize ekstra bir koruma katmanı ekleyerek sadece önceden onaylanmış olan yazılım ve programların indirilmesine izin verir.
Şirketinizin çok çok yüksek bir hacklenme ihtimaline sahip olduğunu anlamalısınız. Sadece zamanı belli değildir. Bu yüzden donanımızı, yazılımınızı ve bulut hesaplarınızı güvence altına almak için uygun önlemler alın ve net, detaylı ve bildirilmiş bilgi ve teknoloji güvenlik politikasına sahip olun.
Unutmayın: Online chat odalarından uzak durun ve asla hiçbir koşulda genç bir hackerla ya da birçok büyük harfli olan size mafya veya fantastik bir büyücü ismi gibi gelen profil isimli biriyle dalaşmayın.
Bu makale entrepreneur.com’da Peter Gasca tarafından 2015’te yayınlanan yazıdan çevrilmiştir.
Bir yanıt bırakın