İnsan Hatasının Siber Güvenlik İhlallerine Neden Olabileceği 7 Yol

Yayınlanan: 2022-04-19

Verizon tarafından 2021'de yayınlanan kapsamlı bir siber güvenlik raporuna göre, "veri ihlallerinin %85'i insan hatalarından kaynaklanıyor." Siber güvenlik ve veri korumada insan hatası, çoğu zaman veri sızıntılarına yol açan güvenlik ihlallerine neden olabilecek, çalışanların kasıtsız eylemleri olarak tanımlanır.

Tek bir hata şirketler için ölümcül olabilir ve milyonlarca dolara mal olabilir. Örneğin, Target, 2013 yılında şirkete 90 milyon dolar kazandıran büyük bir veri ihlali yaşadı. Olayın ardından şirketin itibarı zedelendi ve müşterilerin güvenini geri kazanması uzun zaman aldı.

Şirket bir güvenlik ihlalinin olabileceğini öngörebilir ve bunu önleyebilir mi? En yaygın insan hatalarını ve bunların nasıl önlenebileceğini tartışalım.

İçindekiler tablosu gösterisi
  • Siber Güvenlik İhlallerine Neden Olan 7 Kritik İnsan Hatası
    • 1. Şifre Hijyeni
    • 2. Yetersiz Veri Erişim Kontrolü
    • 3. Casus yazılım
    • 4. Siber Güvenlik Bilinci Eksikliği
    • 5. Kimlik Avı E-postaları
    • 6. Yetersiz Yazılım Güvenliği
    • 7. Gecikmeli Yama
  • İnsan Hatası Riskleri Nasıl Azaltılır ve Siber Güvenlik İhlalleri Nasıl Önlenir?
    • 1. Parola Yönetimini İyileştirin
    • 2. Hassas Verilere Erişimi Kontrol Edin
    • 3. Antivirüs ve Casus Yazılım Önleme Yazılımını Kurun
    • 4. Çalışanları Siber Güvenlik Konusunda Eğitin
    • 5. Gelen E-postaları Filtrele
    • 6. Güvenlik Politikanızı Güncelleyin
    • 7. Yazılımı Düzenli Olarak Güncelleyin

Siber Güvenlik İhlallerine Neden Olan 7 Kritik İnsan Hatası

hacker-anonim-siber güvenlik-suçlu-yasadışı-veri-şifre-koruması

İnsan hatalarının kasıtsız doğası, kaçınılmaz oldukları anlamına gelmez. Ancak şirketler güvenlik politikalarındaki zafiyetleri tespit edip riskleri azaltacak önlemler alabilirler. İşte güvenlik ihlallerine neden olabilecek en yaygın yedi insan hatası.

Size önerilir: 2022'de Çevrimiçi Korumada Kalmak için En İyi 17 Siber Güvenlik İpucu.

1. Şifre Hijyeni

insan hatası-siber güvenlik-ihlalleri-1

NordPass tarafından 50 ülkede gerçekleştirilen 2021 araştırması, "123456" kombinasyonunun 130 milyon kişi tarafından oturum açma amacıyla kullanıldığını ortaya koyuyor. En sık kullanılan ikinci ve üçüncü şifreler ise sırasıyla 46 milyon ve 22,3 milyon kişi tarafından kullanılan “123456789” ve “qwerty”. Yetenekli bir bilgisayar korsanı, bu kadar zayıf parolaları bir saniyeden daha kısa sürede kırabilir.

Kötü parolalar belirlemenin yanı sıra, çoğu kişi kişisel ve kurumsal e-postaları, sosyal medya hesapları ve diğer hizmetler için aynı kombinasyonu kullanır. Bazı insanlar şifrelerini yıllarca değiştirmez ve hatta meslektaşlarıyla paylaşmaz veya yapışkan notlara yazıp monitörlerine yapıştırır. Verizon, parolalara karşı böylesine dikkatsiz bir tutumun güvenlik ihlallerinin %61'ine neden olduğunu söylüyor.

2. Yetersiz Veri Erişim Kontrolü

insan hatası-siber güvenlik-ihlalleri-2

Birisine yetersiz erişim hakları atamak, güvenlik ihlallerine neden olabilecek başka bir insan hatasıdır. Bazı kuruluşlarda, yetersiz kişilerin hassas verilere erişme izni vardır. Bununla birlikte, çoğu durumda, kısıtlamaya yönelik özel bir talep olmadıkça, bu tür geniş erişim hakları çalışanlara varsayılan olarak verilir.

Yetersiz erişim denetiminin neden olduğu en yaygın hatalar şunlardır:

  • Hassas verileri yanlışlıkla veya kasıtlı olarak silmek.
  • Veri ihlallerine ve veri sızıntılarına neden olabilecek sistem yapılandırmalarının yapılması.
  • Sistemde yetkisiz değişiklikler yapmak.
  • Değerli veriler içeren e-postaları yanlış alıcılara göndermek.

3. Casus yazılım

insan hatası-siber güvenlik-ihlalleri-3

Çalışanlar, ellerindeki görevi yapmak için çevrimiçi bilgi ararken, yetkisiz kaynaklardan dosya indirebilir, bilinmeyen bağlantıları tıklayabilir veya rastgele açılır pencerelerde "evet" seçeneğine tıklayabilir. Böyle bir eylem, haberiniz olmadan cihazınıza casus yazılımlar alabilir. Günlük işlerinizi yaparken çevrimiçi etkinliklerinizi kaydettiğinden ve oturum açma kimlik bilgilerinizi ve kişisel bilgilerinizi aldığından şüphelenmezsiniz bile. Ardından, bu kötü amaçlı kötü amaçlı yazılım, toplanan bilgileri izniniz olmadan kullanan üçüncü tarafa aktarır.

En kötü yanı, casus yazılımların bir bilgisayardan yayılarak bir şirketin tüm ağına bulaşabilmesidir. Zamanında tespit edilmezse işletmeye multi-milyon dolarlık zararlar verir.

fidye yazılımı-kötü amaçlı yazılım-güvenlik-virüs-casus yazılım-sibersuç-hacking-spam

4. Siber Güvenlik Bilinci Eksikliği

insan hatası-siber güvenlik-ihlalleri-4

Çoğu durumda, güvenlik ihlallerine neden olan insan hataları kazara veya bilgi eksikliğinden kaynaklanır. Ne yazık ki, bazı kuruluşlar sonuç almaya o kadar odaklanmış durumda ki, çalışanlarını siber güvenlik konusunda eğitme ihtiyacını görmezden geliyorlar. İşte insanların bilgi eksikliği nedeniyle yapabilecekleri birkaç yaygın hata:

  • Şüpheli ve yetkili kaynaklardan yazılım indirmek.
  • Restoranlarda veya otellerde halka açık Wi-Fi'ye VPN şifrelemesi olmadan bağlanma.
  • Bilinmeyen bir USD depolama alanı gibi cihazları takmak.

5. Kimlik Avı E-postaları

insan hatası-siber güvenlik-ihlalleri-5

Verizon tarafından 2020'de yürütülen bir araştırmaya göre, siber güvenlik ihlallerinin %20'si kimlik avı e-postaları nedeniyle gerçekleşiyor. Bu tür e-postaların içindeki kötü amaçlı bağlantılara tıklamak, en maliyetli insan hatalarından biridir. Bildirildiğine göre, çalınan tek bir kaydın ortalama maliyeti 133 dolar. Son kullanıcıların bilgisayarının yanı sıra tüm ağa virüs bulaşmasının bir kuruluşa ne kadar zarar verebileceğini bir düşünün!

6. Yetersiz Yazılım Güvenliği

insan hatası-siber güvenlik-ihlalleri-6

Çalışanlar tekrarlayan günlük görevleri yerine getirdiklerinde, zamanla dikkatsiz hale gelirler ve güvenlik prosedürlerini görmezden gelirler. Dün işleri sorunsuzsa, bugün hiçbir şeyin onları tehdit edemeyeceğini düşünüyorlar. Güvenlik prosedürlerine yönelik bu dikkatsiz tutum, bazen tüm şirketlerin güvenlik sistemini tehlikeye atabilir. İşte çalışanların göz ardı ettiği güvenlik prosedürleri:

  • Yazılım güncellemeleri: Çoğu çalışan, çok uzun sürdüğü veya en uygunsuz zamanlarda ortaya çıktığı için yazılım güncellemelerini atlar.
  • Bazen çalışanlar, işlerini engelledikleri için antivirüsleri veya güvenlik özelliklerini kapatabilirler. İnterneti aktif olarak kullanırken bilgisayarı bir dakika bile korumasız bırakmak tehlikelidir.

7. Gecikmeli Yama

insan hatası-siber güvenlik-ihlalleri-7

Gecikmeli yama, önceki noktayla yakından bağlantılıdır ancak daha çok yazılım güncellemelerine odaklanır. Siber suçlular sürekli olarak yazılım güvenliğindeki güvenlik açıklarını ararlar, ancak yazılım geliştiricileri de bunu yapar. Böyle bir güvenlik açığını keşfettiklerinde hemen düzeltirler ve yazılım güncellemeleri olarak bilinen yamaları gönderirler. Güncellemeleri zamanında yükleyenler, cihazlarını güvenlik ihlallerinden korurken, gecikmenin her dakikası güvenliğin ele geçirilme riskini artırıyor.

Equifax kredi raporlama ajansının durumu, yazılım güncellemelerinin neden göz ardı edilmemesi gerektiğine dair mükemmel bir örnektir. 2017'de yazılımlarında bir güvenlik açığı vardı. Şirket bunu biliyordu ancak yama sürecini erteledi. Sonuç olarak, sistemleri saldırıya uğradı ve 140 milyondan fazla Amerikalı müşterinin ve 8.000 Kanadalı müşterinin kişisel bilgileri ele geçirildi.

İlginizi çekebilir: İşletmenizin Siber Güvenlik İçin İhtiyaç Duyduğu Belgeler ve Protokoller.

İnsan Hatası Riskleri Nasıl Azaltılır ve Siber Güvenlik İhlalleri Nasıl Önlenir?

siber-güvenlik-koruma-gizlilik-şifreleme-emniyet-şifre-güvenlik duvarı-erişim

Şirketler güvenlik politikalarındaki boşlukları belirledikten sonra önleyici tedbirler alabilirler. Hata yapmak insana mahsustur; bu yüzden riskleri tamamen ortadan kaldırmak mümkün değil, en aza indirmek mümkündür. Aşağıdaki yedi önlemi inceleyin.

1. Parola Yönetimini İyileştirin

1. Nokta

Siber güvenlik ihlallerinin büyük bir kısmının zayıf parola hijyeninden kaynaklanması nedeniyle şirketler parola yönetimine özellikle dikkat etmelidir. Kuruluşlar, tüm hesapları için basit parolalar kullanmaya veya tek bir kombinasyon belirlemeye karşı net bir politika belirlemelidir. Parola oluşturma araçları, harflerden, sayılardan ve simgelerden oluşan güçlü ve güvenilir parolalar oluşturmaya yardımcı olabilir.

Ayrıca, tüm kurumsal hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmek de politikanın zorunlu bir parçası olmalıdır. Hesaplarınızın korumasını artıracak ve bilgisayar korsanları tarafından kırılmaz hale getirecektir.

2. Hassas Verilere Erişimi Kontrol Edin

2. nokta

Tüm çalışanlara hassas verilere sınırsız erişim verilmesi, şirketler tarafından yapılan büyük bir hatadır. Varsayılan olarak, erişimin tüm çalışanlara reddedilmesi gerekir. Ardından, yöneticiler, çalışanların işlerini yapmak için verilere erişmesi gerektiğinde hareket halindeyken izinler atamalıdır. Hatta çoğu sistem, rollerine bağlı olarak farklı kullanıcı izin seviyelerine sahiptir. Örneğin, kıdemsiz uzmanlar belgeleri yalnızca görüntüleyebilirken, yöneticiler bunları düzenleme veya silme hakkına sahiptir. Kullanıcı haklarının bu şekilde bölünmesi, hassas verilerin değiştirilmesini veya yanlışlıkla silinmesini önler.

3. Antivirüs ve Casus Yazılım Önleme Yazılımını Kurun

3. nokta

Virüsler ve casus yazılımlar, cihazlarınızda ve ağınızda yıkıcı hasara neden olabilir. Bu nedenle, yıkıcı sonuçlarına karşı savaşmaktansa korunmak daha akıllıcadır. Virüslere ve casus yazılımlara karşı en iyi koruma, antivirüs ve casus yazılım önleme yazılımlarıdır. McAfee Total Protection, Norton 360 ve Bitdefender Total Security, kullanılmaya değer en iyi üç casus yazılım önleme çözümüdür. Bu yazılım, şifreli İnternet kullanımı için VPN ve cihazı harici tehditlerden korumak için bir Güvenlik Duvarı sağlar.

4. Çalışanları Siber Güvenlik Konusunda Eğitin

4. nokta

Çoğu insan hatası, siber güvenlik konusundaki bilgi eksikliğinden kaynaklanmaktadır. Ve bu tür hataların risklerini azaltmanın en iyi yolu, çalışanlarınızı bilgi güvenliği konusunda eğitmek ve farkındalıklarını artırmaktır. Şirketler sık ​​sık eğitimler düzenlemeli ve çalışanlarına siber saldırılar, türleri ve koruma prosedürleri hakkında bilgi vermelidir. Kimlik avı e-postalarını gerçek e-postalardan nasıl ayırt edeceklerini, nasıl rapor edeceklerini ve güvenlik ihlallerini tespit etmeleri durumunda ne yapacaklarını bilmelidirler. Şirketinizin belirli bir güvenlik politikası varsa, çalışanlarınızın bunu bildiğinden emin olun.

siber-güvenlik-güvenlik-çalışan

5. Gelen E-postaları Filtrele

5. nokta

Kendinizi kimlik avı e-postalarından korumanın bir yolu, şirketinizin dışından alınan iletileri işaretlemektir. Ancak bazı spam e-postalar şirketinizin e-posta etki alanını taklit edebildiğinden bu %100 çözüm değildir. Bu nedenle, şüpheli e-postaları tespit eden güvenlik yazılımı kullanmak başka bir seçenektir.

Kimlik avına karşı nasıl mücadele etmeye karar verirseniz verin, asla bir dosyayı indirmemeye veya şüpheli e-postaların içindeki bir bağlantıya tıklamamaya karar verin.

6. Güvenlik Politikanızı Güncelleyin

6. nokta

Şirketiniz, çalışanların siber güvenlik prosedürlerini takip etme konusundaki vicdani tutumuna güvenmemelidir. Hassas verilerin nasıl ele alınacağını, parolaların ve diğer güvenlik kurallarının nasıl ve ne zaman güncelleneceğini açıklayan, açıkça açıklanan bir kurumsal güvenlik politikanız olmalıdır. Ancak, bu kılavuz eski olmamalıdır. Düzenli olarak güncellediğinizden emin olun ve çalışanlarınızı yeni güvenlik prosedürlerine aşina olmaları için bilgilendirin.

Şunlar da ilginizi çekebilir: Siber Güvenlikte Makine Öğrenimi Nasıl Kullanılır?

7. Yazılımı Düzenli Olarak Güncelleyin

7. nokta

Yazılım geliştiricileri, güvenlik açıklarını keşfettikleri ve bunlara karşı korunmanıza yardımcı olmak istedikleri için yamalar yayınlarlar. Bu nedenle, yazılım güncellemelerini göz ardı etmek ve atlamak, cihazınızın tehlikeye girme riskini artırır. Bu nedenle, yamaları kullanıma sunulduktan hemen sonra yüklemeniz önerilir.