Küçük işletme sahibi olmak zor iştir. Siber güvenlik bakımından bu şirketlerin web sitelerini saldırılardan korumak ise çok zor bir iştir. Fakat bu zorluk güvenilir bir ortakla kolayca aşılabilir.
Küçük şirketler internet üzerinde kendilerinden çok daha büyük şirketlerle rekabet etmek zorunda. Siber suçlular ise bu alanda fırsat kollamakta. Siber güvenlik söz konusu olduğunda web sitelerinin ve şirketlerinin büyüklüğü veya küçüklüğü fark etmiyor. Siber saldırganlar her hedefe aynı gözle bakıyor.
Her ne kadar internet sayesinde KOBİ’ler kendilerinden büyük rakipleriyle rekabet edebilir hale geldiyse de, veriyi korumak söz konusu olduğunda KOBİ’ler büyük rakiplerinden birkaç adım geride kalıyor.
Symantec’in hazırladığı 2016 İnternet Güvenliği Tehdit Raporu’na göre 2015 yılı boyunca her gün 1 milyonun üzerinde web saldırısı oldu. Raporda web sitesi yöneticileri gerekli siber güvenlik önlemlerini almadıkları için siber suçluların yasal web sitelerindeki açıklardan faydalandığı ifade ediliyor. Çalışmada yasal web sitelerinin %75’inde yamalanmamış güvenlik açıkları olduğu bilgisi de yer almakta.
Bu siber güvenlik açıklarının neler olduğuna göz atmak gerekirse, en başta gelen açık küçük şirketlerde çalışan milyonlarca insan.
PWC’nin 2015 tarihli ve “Birbirine Bağlı Dünyada Siber Risklerin Yönetilmesi” başlıklı çalışmasında siber güvenlik vakalarındaki baş aktörlerin şirket çalışanları olduğu ifadesi yer almakta. Accenture and HfS Research’ün 2016 tarihli raporuna göre bu vakalarla ilgili kişilerin %48’inin kurum içi veri hırsızlığından şüphelendiği ifade ediliyor. Hatta bu kişilerin %69’u “bir önceki yıl da benzer bir kurum içi veri hırsızlığı ya da hırsızlık teşebbüsü yaşadıklarını” söylüyor.
Diğer bir zayıf nokta ise parolalar. ABD ve Batı Avrupa’daki veri hırsızlığı olaylarını inceleyen SplashData en çok kullanılan parolanın üst üste beş yıldır “123456” olduğunu söylüyor. Güvenli parolalar oluşturmamak şirketleri ve bu şirketlerin web sitelerini saldırıya açık hale getiriyor.
Diğer tehditler ise sosyal davranışlardan ziyade teknik konularla ilgili. Örneğin DDoS’u ele alalım. DDoS saldırılarında saldırganlar bir bilgisayar ağı üzerinden web sitelerini kaldırabileceklerinden çok daha fazla istemle bombardımana tutuyorlar.
Şirketler DDoS bombardımanıyla uğraşırken hackerlar sistemin diğer alanlarına saldırıyor. Saldırı web sitelerinin erişilebilirliğini, daha da önemlisi satışlarını ve gelirlerini olumsuz anlamda etkiliyor. İyice korkutucu olanı ise bazı siber suçluların bu açıktan faydalanarak web sitesinin yeniden ayağa kaldırılması için fidye isteyebilmeleri.
Yeni Teknolojiler, Yeni Güvenlik Açıkları
Yeni teknolojilerin hızla kullanıma girmesi beraberinde birçok güvenlik sorununu da getiriyor. Örneğin bulut KOBİ’ler için oldukça avantajlı bir alan. Bulut sayesinde birçok küçük şirket artık daha önceleri yalnızca büyük şirketlerin kullanabildiği bilgi işlem ve veri depolama kaynaklarına erişebiliyor.
Ancak, KOBİ’lerin buluta geçmeden önce mutlaka yönetişim ve güvenlik ilkelerine öncelik veren ortaklarla çalışması gerekiyor.
Mobilite ve BYOD trendleri ve veriyi bu cihazlara gönderen uygulamalar, siber suçlular için bir başka potansiyel istismar noktası teşkil ediyor. 2015 yılında yeni mobil güvenlik açıklarının 1 milyar insanı etkilediği tahmin ediliyor. AirWatch Mobil Cihaz yönetimi sayesinde bu açıkların önüne geçebilirsiniz.
Dolayısıyla siber güvenlik alanına yapılan yatırım artık hiç olmadığı kadar önemli bir hal almış durumda. Saldırıların yapılabileceği alanlar arttıkça siber suçluların kullandığı teknikler de artıyor. KOBİ’lerin bu duruma karşı proaktif bir tutum belirlemeleri gerekmekte.
Ne var ki küçük şirketlerde ciddi bir IT ve güvenlik kaynağı sorunu var. Bu şirketlerden bazıları “ben kimsenin saldırmayacağı kadar küçüğüm” diye düşünebiliyor. Bazıları ise sadece ekonomik kaygılar güderek güvenliğe yapılan yatırımın geri dönüşünün az olduğunu öne sürüyor. Sonuç: 2016 yılında KOBİ’lerin %40’ı IT bütçelerinin yalnızca %10’unu güvenliğe ayırdı.
Halbuki siber güvenlik konusu aslında o kadar pahalı değil. Standartların, ilkelerin ve araçların makul bir şekilde bir arada kullanılmasıyla şirketleri ve müşterileri siber saldırılardan koruyacak bir strateji geliştirmek mümkün.
Tabii bu strateji tek başına uygulanamaz. Özellikle küçük şirketlerin mutlaka güvenilir ortaklarla çalışması gerekmekte. Birçok küçük kuruluşun güvenlik tehditlerine karşı ilk ve en sağlam savunma hattını web hosting hizmetleri oluşturmakta.