İşletmenizi İnternette Nasıl Güvende Tutabilirsiniz? Ayrıntılı Bir Kılavuz!

Tıpkı büyük bir kurumsal kuruluş gibi, küçük işletmeler de her an bilgisayar korsanlarından gelen kötü amaçlı yazılımlara eşit derecede maruz kalır. Küçük işletmeler tarafından tutulan veriler, büyük kuruluşlar tarafından ticari büyüme ve operasyonlar için toplanan verilerden hiçbir şekilde daha az değerli değildir. Verilerin değeri ve siber güvenlik önlemlerindeki gevşeklik, işletmeyi sürekli olarak bilgisayar korsanlarına maruz bırakır.

SBA tarafından yürütülen bir anket, küçük işletme sahiplerinin %88'inin bir siber saldırının kurbanı olmalarının an meselesi olduğuna inandığını gösterdi. Sorun, bu işletmelerin BT departmanlarına yeterli kaynak yatırımı yapmamasıdır. Ve diğerleri, zorlukla nasıl başa çıkacaklarını bilmiyorlar.

Küçük işletmeler, siber uzaydan gelen mevcut ve ortaya çıkan tehditlere karşı koymanın yeni yollarını sürekli olarak öğrenerek işlerini çevrimiçi ortamda güvende tutmak için savunma mekanizmalarını güçlendirmenin yollarını ararlar.

Küçük işletmelere yönelik sık görülen siber saldırı türleri

Küçük işletmenizin karşılaşabileceği en yaygın siber saldırı türlerinden bazılarını öğrenelim. İşletmenizi çevrimiçi ortamda bu siber saldırılardan korumak için bir çözüm bulmalısınız.

Sizin için önerilenler: Bilgisayarınızı Siber Saldırılardan, İzlemeden ve Kötü Amaçlı Yazılımlardan Nasıl Korursunuz?

1. Sosyal mühendislik dolandırıcılığı

Bu tür saldırıların amacı, kuruluşları parolalar, sosyal güvenlik numaraları veya kredi kartı bilgileri gibi gizli verileri vermeleri için manipüle etmektir. Sosyal mühendislik dolandırıcılığı genellikle, meşru kaynaklardan geliyormuş gibi görünen yanlış ödemeler veya veri talepleri göndermek için e-dolandırıcılık e-postaları tarafından işlenir.

Örneğin, günlük operasyonlarını planlamak için yeni satıcılar veya ağlar arayan küçük bir işletme, sosyal mühendislik dolandırıcılığının kurbanı olabilir. Herhangi bir bağlantıya tıklamadan, çevrimiçi veri formlarını doldurmadan veya e-postaları yanıtlamadan önce daima her kuruluşun gerçekliğini doğruladığınızdan emin olun.

2. Evden çalışmanın etkisi

Çoğu küçük işletme, mümkün olduğunda çalışanlarının bir kısmının veya tamamının evden çalışmasına izin vermeyi tercih eder. Bu operasyonel stratejinin muazzam maliyet tasarrufu faydaları olabilir, ancak işletmeyi siber güvenlik saldırıları tehlikesine sokar. Farklı personelin uzaktan ve farklı konumlardan çalışması gerektiğinde bile kuruluş, tüm siber saldırıları başlangıç ​​aşamasında etkisiz hale getirmek için dikkatli olmalıdır.

3. Kötü amaçlı yazılım saldırıları

Kötü amaçlı yazılım genellikle bilgisayar veya ağ bağlantısını bozmak ve yok etmek ya da davetsiz misafirlerin gizli bilgileri ele geçirmesine izin vermek için tasarlanmış yazılım, virüs veya fidye yazılımı olarak tanımlanır. Çoğu kişi fidye yazılımlarını yalnızca büyük kuruluşlarla ilişkilendirme eğilimindedir. Ancak, fidye yazılımlarının %50 ila %70'inin küçük ve orta ölçekli işletmeleri etkilediğini öğrenince şaşıracaksınız. Kısmen bu işletmelerin çoğunun operasyonların ilk altı ayında çökmesinin nedeni budur.

Son siber saldırı vakaları

Siber saldırıların modern doğasını, yani bir siber saldırının tanımını ve olumsuz etkisini öğrenmek, işinizi her türlü çevrimiçi siber tehdide karşı korumanıza yardımcı olabilir.

Capital One Corporation'da bir güvenlik ihlali

Bir finansal hizmetler şirketi olan Capital One, Temmuz 2019'da sistemlerinin saldırıya uğradığını keşfetti. Suçlular, şirketten kredi kartı hizmetleri arayan küçük işletmelerin müşterilerine ait kişisel verileri ele geçirmeyi başardılar. Güvenlik analistleri, veri soygununun ABD'de yaklaşık 100 milyon kişiyi (dış bağlantı) ve Kanada'da altı milyon kişiyi etkilediğini tahmin ediyor.

Weather Channel'ın fidye yazılımı

Bu saldırı Nisan 2019'da meydana geldi ve Hava Kanalı'nı hedef aldı. Saldırının ardından, televizyon ağı, sabah 6'da, tam canlı yayına geçmek üzereyken kötü niyetli bir yazılım saldırısıyla (dış bağlantı) ele geçirildi. Yaklaşık iki saat sonra, bir yedekleme sistemi kullanılarak normal hizmet işlemleri geri yüklendi. Geri dönüş stratejisi işe yaradı çünkü TV'nin siber güvenlik hazırlığı yüksek alarm seviyesindeydi.

ABD Gümrük ve Sınır Koruma Algılarına Siber Saldırı

Bu saldırı Haziran 2019'da gerçekleşti. ABD Gümrük ve Sınır Koruması (CBP), yüzlerin ve araç plakalarının çalındığını doğruladı. Bu saldırı esas olarak şirketin alt yüklenici ağı olan Perceptics'i etkiledi. Saldırganların, bir kara sınırı giriş noktasında çekilmiş yaklaşık 100.000 kişinin fotoğrafını alıp götürdüğü tahmin ediliyor.

Citrix siber güvenlik ihlali

Mart 2019'da FBI, bilgisayar korsanlarının zaten büyük miktarda hassas veriye eriştiğini ve bunları çaldığını öğrendi. Durumla ilgilenmesi için bir yazılım şirketi olan Citrix'i tuttular. Soruşturmalar, siber suçlu grubunun e-postalara, dosyalara ve önemli iş dosyalarına erişim elde etmek için "şifre püskürtme" gibi bir dizi tekniğe güvendiğini gösterdi.

Teksas'ta fidye yazılımı saldırıları

Bu saldırı Ağustos 2019'da gerçekleşti. Teksas'taki 23 kasaba ve küçük şehrin yerel yönetimleriyle birlikte çalışan kuruluşların organize bir siber saldırganlar grubu tarafından saldırıya uğradığı öğrenildiğinde bu sıralarda gerçekleşti. Saldırganlar fidye talep ederken küçük belediyelerde devlet hizmetlerinin akışını durdurdu.

Küçük işletmeler için siber güvenliği artırmaya yönelik en iyi stratejiler nelerdir?

“Küçük kuruluşlar genellikle bu siber güvenlik uyarılarını manuel olarak araştıracak kaynağa, paraya veya uzmanlığa sahip değildir. Yelpazenin diğer ucunda, daha büyük işletmeler için çok hızlı bir şekilde ölçeklenemez hale gelir. Özel güvenlik ekipleri ve daha büyük güvenlik bütçeleri olabilir. Ancak düzinelerce bu tek nokta çözümlerini çalıştırıyorlar.” - David Atkinson tarafından yayınlanan makalelerinden birinde açıklandığı gibi. David, SenseOn'un kurucusu ve CEO'su olan bir siber güvenlik uzmanıdır.

İşletmenizi çevrimiçi ortamda güvende tutmak için kuruluşunuzun siber güvenliğini artırmak üzere uygulayabileceğiniz en kanıtlanmış stratejilerden bazılarını tartışalım.

Eğitim

Ortaya çıkan siber tehditleri ele almanın yeni yolları konusunda personelinizi sürekli olarak eğitmenize ihtiyaç vardır. Bunun nedeni, siber suçluların ticaretlerini her gün mükemmelleştirmesidir. Personeliniz siber güvenlik protokollerini nasıl geliştireceklerini bilirse işletmeniz çok daha güvenli olacaktır.

Dosyaları açmaktan veya tanıdık olmayan kaynaklardan gelen bağlantıları takip etmekten kaçınmak için çalışanlarınıza sürekli hatırlatmalar göndermeniz gerekebilir. Ayrıca, çalışanlarınıza kişisel veya hassas verileri şifreleme süreçleri sağlamayı ve rastgele ödeme taleplerinin gerçekliğini nasıl doğrulayacakları konusunda onları eğitmeyi düşünün.

İlginizi çekebilir: İnsan Hatasının Siber Güvenlik İhlallerine Neden Olabileceği 7 Yol.

Çalışan cihazlarda güvenli uygulamalar

Siber saldırıların çoğu zayıf, tehlikeye atılmış veya kaybolmuş parolaların bir sonucu olarak gerçekleşir. Çoğu insanın bireysel cihazlarıyla çalışmayı tercih ettiği modern dünyada, tüm ağların ve parolaların güvenli bir şekilde korunması ve saklanması çok önemlidir. Başka bir yol da personelinizi her 60 veya 90 günde bir parolalarını değiştirmeye zorlamaktır.

İşletmenizin güvenilir platformlar ve ortaklarla çalışmasını sağlayın

Siber güvenlik sistemlerinizin gücü, işletmeniz tarafından kullanılan platformların ve ortakların güvenilirliğine bağlıdır. Aşağıdaki bilgilere bakın:

• Sitenizi korumak için bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmayı düşünün.
• Ödeme kartı endüstrisinin - E-ticaret platformunuzun Veri Güvenliği Standartları'nın (PCI-DSS) Seviye 1 ile uyumlu olduğundan emin olun. Bu şekilde işletmeniz, yalnızca tek bir kartı değil, tüm ödeme sistemini etkilemesi muhtemel dijital veri güvenliği ihlallerinden korunur. .
• Kuruluşunuzdaki personeli, siber saldırı olasılığını azaltmak için güvenlik zayıflıklarını tekrar tekrar düzeltmeye ayırın.
• İş kuruluşunuzdaki her bilgisayarda etkin bir virüsten koruma yazılımı bulunduğunu onaylayın. Personeliniz bir kimlik avı e-postasını nasıl belirleyeceğiniz konusunda iyi eğitim almış olsa bile antivirüs çok önemlidir.

Şirketinizin donanım cihazlarını koruyun

Bazen fiziksel şirket varlıklarının çalınması veri kaybına neden olabilir. Bu nedenle sunucularınızı, cep telefonlarınızı, dizüstü bilgisayarlarınızı ve diğer aygıtlarınızı hırsızlığa karşı korumak için ekstra önlemler almanız gerekir. İşletmenize güvenlik kameraları ve alarmlar kurmanız veya yerinde tutmak için bilgisayarları ve sunucuları fiziksel olarak kilitlemeniz gerekebilir. Personeliniz evde, ofiste veya paylaşılan iş istasyonlarında nerede çalışıyor olursa olsun, şirket ekipmanlarını güvende tutmanın önemini bildiklerinden emin olun.

E-posta sisteminizin güvenlik seviyesini yükseltin

Symantec'in 2019 tarihli İnternet Güvenliği Tehdit Raporu raporuna göre, kötü amaçlı e-posta eklerinin neredeyse yarısı ofis dosyalarından kaynaklanmaktadır.

Çalışanlarınızın, şüpheli e-postaları veya bağlantıları açmamak gibi gerekli önlemleri alması gerekir. Bu dersler çalışan eğitim programına dahil edilebilir. Eşzamanlı olarak, müşterilerin özel verilerini içeren belgeler, alıcının belgeyi açmak için bir parola kullanması için uçtan uca şifrelenmelidir.

Verileri güçlendirin

İşletmenizi siber saldırılara karşı korumak için aldığınız önlemler ne olursa olsun, başarıdan asla tam olarak emin olamazsınız. Bu nedenle, aşağıdaki hayati bilgileri pekiştirmenizi tavsiye ederiz:

• Şirket veritabanları.
• Mali belgeler.
• İnsan kaynakları belgeleri.
• Şirketin alacak veya borç hesaplarını gösteren belgeler.

İşletmenizin depolanan tüm bilgilerini bir çevrimiçi depolama sürücüsüne yedeklediğinizden emin olun ve sisteminizin düzgün çalıştığını tekrar tekrar onaylayın.

Bütünsel bir plan geliştirme

Bütüncül bir güvenlik planı, bir personel eğitim programını ve siber tehditlere karşı uygun bir müdahale planını içermelidir. İşletmenizin ağını korumanın ilk adımı, personelinizin tüm güvenlik politikalarını ve süreçlerini bilmesini sağlamaktır.

Çalışan eğitimlerinin sık aralıklarla yapılması gerekir. Örneğin, sağlam bir siber güvenlik sistemini sürdürmek için çalışanlara gerçek dersler ve tazeleme kursları sağlamak için yıllık veya altı ayda bir yapılabilir. Buna ek olarak, çalışanlarınıza yazılımlarını güncelleme ihtiyacında ustalaşmaları, gerekli güvenlik yükümlülüklerini yerine getirmeleri ve olası bir güvenlik ihlalini tespit etmek ve bununla başa çıkmak için ne yapılması gerektiğini anlamaları için rehberlik etmelisiniz.

Bir siber saldırıya ne kadar hızlı yanıt verirseniz, orta düzeyde potansiyel hasarla başa çıkmanız o kadar kolay olacaktır.

İdeal müdahale planının aşağıdakiler gibi önemli bilgilere sahip olması gerekir:

• İletişim kurulacak kişi.
• Kuruluşun verilerinin ve veri yedeklerinin saklandığı yer.
• İhlal hakkında onları bilgilendirmek için kolluk kuvvetlerini veya halkı ne zaman aramalısınız.

Federal İletişim Komisyonu, küçük işletme sahiplerine işletme için bir siber güvenlik planı geliştirmeye yardımcı olacak bir siber planlayıcı sağlar. Oluşturmayı bitirdikten sonra sayfanın altında size özel bir siber güvenlik planı oluşturabilirsiniz.

Wi-Fi bağlantınızı koruyun

Satın alma sırasında, Wi-Fi ağ ekipmanı güvenli değildi. Cihazın genellikle varsayılan bir şifresi vardır, ancak cihazı kendi özel şifrenizle şifrelemeniz her zaman tavsiye edilir. Yönlendirici, kullanılacak parola güvenlik düzeyi türünü seçmenize izin vermelidir; en güvenli Wi-Fi Korumalı Erişim II (WPA2) kodunu kullanmanızı öneririz.

Aynı zamanda, yönlendiricinin ağınızın adını yayınlamamasını sağlamak için ağınızı gizli tutmalısınız. Müşterilere Wi-Fi erişimi sağlamak için, onları ana ağdan uzak tutmak için ayrı bir parola ve farklı güvenlik ayarları kullanan bir "misafir" hesabı oluşturmak en iyisidir.

Ödeme sistemlerinizi koruyun

Ticari ödeme işlemcilerinizi korumak amacıyla, sistem yazılımının güncellendiğinden emin olmak için bankacılık kurumunuzla iletişim kurun. Karmaşık ödeme sistemlerinin güvenliğini sağlamanın daha zor olduğunu lütfen unutmayın. Ancak Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi, kullanılacak sistemi ve onu nasıl koruyacağınızı belirlemede size yardımcı olacak yönergeler sağlar.

Şunlar da ilginizi çekebilir: Berbat Olmayan Bir Siber Güvenlik Politikası Yazmak İçin 17 Harika İpucu.

Bir siber suç olayı nasıl bildirilir?

Ne yazık ki, küçük işletmelere yönelik siber saldırılar sık ​​sık yaşanıyor. Bu nedenle, siber saldırı kurbanlarının siber suç vakalarını ele alırken izlenecek doğru adımları bilmeleri gerekir.

Birleşik Krallık'ta, tüm siber suç vakaları Action Fraud'a (harici bağlantı) bildirilir. Action Fraud daha sonra vakayı Ulusal Dolandırıcılık İstihbarat Bürosuna iletir ve bir polis suçu referans numarası verir.

İşletmenizin mali durumunun riske girmesi durumunda, banka hesabınıza yönelik herhangi bir girişimi engellemek ve dolandırıcılıkla ilgili soruşturma başlatmak için mümkün olan en kısa sürede bankanızla iletişime geçtiğinizden emin olun. Ayrıca işletmenizin siber sigortası varsa sigortacınızı arayın ve hemen gerekli yardımı isteyin.

İş bilgilerinin çalındığı veya gizliliğinin ihlal edildiği durumlarda GDPR'yi ihlal etme olasılığı yüksektir. Bu nedenle, olası cezaları azaltmak için bu tür olayların 72 saat geçmeden önce ICO'ya bildirilmesi gerekir.

Hem büyük hem de küçük işletmelerin sağlam siber güvenlik planlarından yararlanabilecekleri çok şey var. İşletmenize yönelik siber suç saldırılarını önlemenin en iyi yolu, bilgi güvenliği süreçlerini uyguladığınızdan emin olmak ve güvenilir antivirüs ve casus yazılım önleme yazılımı yüklemektir.

Küçük işletmenizin sigorta poliçesine siber sigortayı dahil etmeniz de yardımcı olacaktır. Siber saldırı durumunda, sigorta kapsamı veri kurtarma, sistem onarımı, itibar yönetimi ve yasal savunma maliyetlerini düşürmeye yardımcı olacaktır.